过程自动化系统和用于过程自动化系统的过程装置.pdf

过程自动化系统和用于过程自动化系统的过程装置
    【技术领域】

    本发明涉及一种过程自动化系统以及用于过程自动化系统的过程装置。

    背景技术

    对于在过程自动化系统或者其子系统或者系统的一部分与外部装置之间进行数据传输的要求不断增加，例如远程编程、远程参数设定、远程维护或远程诊断。在DE198 46 618 A1中公开了一种方法，其中，为了实现远程维护和/或远程诊断，将需要从外部位置传送到过程自动化系统中的数据，例如一个控制命令，打包成一个Email邮件，将其向该过程自动化系统寻址，然后传送到该系统。在过程自动化系统中，该Email由收件人接收，经过解码提取所传输的控制命令，并将该命令继续传送到为该控制指令确定的应用。用同样方式可以将过程自动化系统的数据传送到外部装置。为此在过程自动化系统和外部装置之间不需要专门的数据连接，因为可以直接利用与过程自动化系统相连接的、带有电子防护墙(防火墙)的标准数据传输系统(全球和/或本地数据网，例如Internet或Intranet)，其中，电子防护墙允许Email通过(即所谓的Email通道)。

    为了提高过程自动化系统防护墙的安全性，有效抵抗外界非经许可的闯入，可以对Email中封装的数据进行加密，在提取数据时再进行解密，然后再将数据继续传送。在此，对向外部装置传送的数据的加密和从外部装置接收到的数据的解密可以在过程自动化系统中利用加密和解密装置实现。因此在外部装置与过程自动化系统之间进行数据交换时，很难实现选择一部分数据，例如与安全性有关的数据进行加密处理，而对其它数据不进行加密处理。因而只要对某些数据有加密要求，就只能将所有要通过电子防护墙交换的数据一起进行加密处理，这势必导致费用的增加和数据传输速度地降低。另外，由于经过加密处理的数据在外部装置与自动化系统之间进行数据交换时必须途经加密和解密装置，因而不可能实现加密数据在过程自动化系统内部各个位置的通信。最后，所传数据在被加密之前和在解密之后在过程自动化系统中有可能被操纵。

    众所周知，秘密数据在传送到接收端之前必须进行加密处理，在所谓的公开的加密方法中，数据发送端采用授权的数据接收端的公钥对数据进行加密，以保证只有该接收端可以利用自己独有的私钥进行数据解密。通过数据签名可以认证发送端的可靠性。为此，发送端使用自己的私钥对数据进行加密，而接收端则使用发送端的公钥对数据进行解密。利用公钥加密的数据不一定是可靠的，而利用私钥签名的数据则不具有隐秘性。因此为了同时保证数据的可靠性和隐密性，可以将加密和签名结合起来，为此发送端首先使用自己的私钥，然后再使用接收端的公钥对数据进行加密。为了最终同时保证所传数据的完整性，即没有数据失真，发送端可以从所传输的数据中确定一个校验码，对其进行签名，即使用发送端自己的私钥对其进行加密，然后传送给接收端。接收端使用发送端的公钥对校验码进行解密，并将其与从接收的数据中计算出的校验码进行比较，如果两个校验码相同，表明数据是完整的。

    【发明内容】

    本发明要解决的技术问题是，使得能够对过程自动化系统中所选择的重要数据进行灵活而又安全的操作。

    根据本发明，上述技术问题的解决是通过权利要求1所述的过程自动化系统以及权利要求5所述的过程装置实现的。

    本发明的过程自动化系统和过程装置的优选扩展由从属权利要求给出。

    在本发明所述的过程自动化系统中，由过程装置实现过程自动化范围内的给定功能，并与过程自动化系统进行与功能和装置有关的数据交换，其中，至少一部分数据是加密后进行数据交换的。

    按照本发明的用于过程自动化系统的过程装置包括用于执行过程自动化范围内的给定功能的功能部件，以及与该功能部件相连接的通信部件，该部件可以连在过程自动化系统上，用于与过程自动化系统进行与功能及装置有关的数据的交换，其中，该通信部件具有在进行数据交换时将至少部分数据进行加密的部件。

    数据加密和解密在过程装置中、即在发送端和接收端实现，其中，在过程自动化系统中，加密数据和未加密数据以相同的方式传输。这里，过程装置为现场设备、维护设备及其它终端装置，例如测量变换器、执行机构、驱动机构、分析装置、控制器和调节器等。例如测量变换器既是测量数据的发送端，又是参数设定数据的接收端。当对数据有安全要求时，通过测量变换器中的通信部件对这些数据进行加密，然后与过程自动化系统进行数据交换。另一方面，未被归入具有安全要求类的数据在进行交换时则不需要作加密处理。根据加密方式不同，经过加密的数据针对操纵受到保护和/或只能被授权的接收端接收，其中，还可对发送端进行认证。无论是过程自动化系统内部的过程装置，还是系统的外部装置均可以是数据的发送端和接收端，这些外部装置可以任意地与过程自动化系统耦合。

    在硬件中，通过过程装置的编程确定，或者通过必要时的加密参数化确定等，可以确定何种数据应归入有安全要求的数据并进行加密传输。这样，需要加密的数据在发送之前就自动被加密，而接收的数据只有在解密之后才能在过程装置中被继续处理。其中，一部分数据在进行传输时既可以不经过加密，也可以同时经过加密地传输。测量数据是一个例子，它既可以在过程自动化系统中不经过加密处理进行传输，以用于控制和调节的目的，也可以经过加密处理后进行传输，以用于校准目的或供官方用于监控目的。因此，例如工业衡器中的具有校准作用的重量数据可以经过加密处理后输出到某个外部数据存储器或者显示器，为此不必将数据传输途径封闭，同时未经加密的重量数据可以用来控制浇注过程。因为在这种情况下，加密数据主要用于记录和存储，可以确定它们在通信过程中的重要性等级低于不经过加密的数据，即具有较低的优先级，以保证用于控制和调节的非加密数据在通信过程中不受妨碍。为此可以设定，将经过加密的数据首先收集起来，有必要的话加上时间标记，以便例如日后打包进行通信传送。

    【附图说明】

    下面对照附图对本发明作进一步说明。

    图1示出了按照本发明的过程自动化系统的一种实施方式，以及

    图2示出了按照本发明的过程装置的一种实施方式。

    【具体实施方式】

    图1示出一个过程自动化系统的示意图，该自动化系统包含多个过程装置，其执行过程自动化中的特定功能，并与过程自动化系统进行和功能及装置有关的数据的交换。这里，过程装置是指数据终端设备，即数据发送器或接收器。特别是包含现场设备和维护设备，例如用于压力、温度、流量、液面等的测量变换器1，用于气体或流体分析的分析装置2，称重系统3，用于阀门的位置调节器和其它分散的调节器4，位置驱动机构5，记录和显示装置6。为了实现过程自动化系统内的数据交换，分散在各个外设层面中的过程装置与分散的控制调节装置7和操作和观察装置8一起通过现场总线9或者其它类型通信路径相互连在一起，其中，各个现场总线9通过总线耦合器10相互连在一起。而现场总线9又经过控制装置11与中央设备总线12相连，在该中央总线上还连接有中央控制调节装置13和操作和监测装置14。中央设备总线12通过耦合装置15与外部全球通信网络16相连，例如与Internet相连，以实现与外部装置17的数据交换，以便对过程自动化系统或者各过程装置进行远程维护、远程诊断、远程参数设定、远程监测等。另外，可以在过程自动化系统不同点上连接外部装置18，例如编程装置、诊断装置或者服务装置。

    过程自动化系统中事先给定的具有安全性要求的数据在传输之前要进行加密处理，其中，根据数据加密方式的不同，可以确保数据在发送端和接收端之间传输时受封保护而不会被外界操纵，和/或只被授权的接收端接收，其中，可附加地对发送端进行验证。数据的加密和解密在数据终端设备上实现，即在数据发送端或者接收端实现。这里数据终端设备是指过程装置和外部装置，其中，在过程自动化系统中，加密数据和非加密数据用相同方式进行传输。

    图2示出一个过程装置，具体来说例如是一个测量变换器I。其包含一个用于实现测量功能的功能部件19和一个通信部件20，该通信部件与功能部件19相连接，并通过现场总线20连接到过程自动化系统，与过程自动化系统进行和功能及装置有关的数据的交换。功能部件19包含传感器21和测量数据采集与计算装置22，该功能部件19产生测量数据、诊断数据以及其它与功能或装置有关的数据23，并对传送给它的命令、参数和其它数据24进行处理。这些发送的数据23和接收的数据24均通过测量变换器1的通信部件20与过程自动化系统进行数据交换。通过硬件连接或者编程方式可以确定，发送数据23中哪些数据需要利用加密装置25进行加密处理。对于接收数据24，通信装置20识别哪些数据是经过加密的，并将这些数据在解密装置26中进行解密。发送数据23和接收数据24的加密和解密以公知的加密方法实现。为此，每个过程装置，例如这里所举的测量变换器1，都获得一个自己的私钥和一个与之相应的公钥，其中，密钥可以存储在测量变换器1中，也可以由其自己产生。与无法访问的存储的私钥不同的是，公钥在测量变换器1与过程自动化系统连接时，例如在投入运行时，被通知给中央密钥管理装置27(图1)，该中央密钥管理装置可以被设置为一个独立设备或者在另一个现有设备，例如一个可编程存储器中实现。要与过程装置进行数据交换的外部装置18，首先自动向中央密钥管理装置27登记，经过身份核查后将其各自的公钥存放在该密钥管理中心。密钥管理中心27通过将所管理的各个公钥用其自己的私钥签名来保证这些公钥的真实性，这样利用密钥管理中心27的公钥可随时核查公钥的真实性。

    例如如果设定只允许由经过授权的外部节点18对过程装置(例如4)的某个特定参数进行调整，则对将要发送到过程装置4的调整值在外部节点18中进行加密，其中，所传送的调整值的完整性由过程装置4在接收到数据以后确定，并且由过程装置4确定该外部节点18的身份以及该外部节点对参数进行调整的权限。

    可以设定，将同一数据，这里例如为测量变换器1的测量数据，一方面经过加密传送到确定的接收装置(例如某个记录装置或显示装置)，另一方面不经过加密传送到其它接收装置(例如某个用于对该测量数据作进一步处理的调节器)。一般情况下，只有有安全性要求的数据需要经过加密后再传送。所有其它数据，特别是用于过程控制和过程调节的数据，基本不加密传送。为了不使过程控制和调节受到妨碍，一般未经过加密的数据比经过加密的数据在通信过程中具有更高的优先权，为此将加密数据和待加密数据首先收集在过程装置1的存储器28中。

    利用这里所描述的数据加密方法能够实现对过程装置进行无错远程参数调节、或者从任意经过授权的位置对过程装置进行服务、对测量数据或过程装置状态可靠地官方监测、对安全性有关数据或者隐秘数据、故障诊断数据或者装置参数(例如参数设置配方)的无错地传输、对于校准数据的不需要封闭传输途径的传输，以及其它一些场合。