工业控制系统的动态配置.pdf

摘要
申请专利号：	CN201380018910.6	申请日：	2013.01.31
公开号：	CN104204973A	公开日：	2014.12.10
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G05B 19/042申请日:20130131\|\|\|公开
IPC分类号：	G05B19/042; G06F21/50; G06F21/57	主分类号：	G05B19/042
申请人：	ABB研究有限公司
发明人：	S.奥伯梅尔; H.哈德里; M.瓦勒; S.斯托伊特; A.赫里斯托瓦
地址：	瑞士苏黎世
优先权：	2012.02.01 EP 12153487.9
专利代理机构：	中国专利代理(香港)有限公司 72001	代理人：	叶晓勇;姜甜
PDF下载：	PDF下载

内容摘要

本发明涉及一种用于工业控制系统的动态配置的控制器模块(7)，其包括：当前设置接收器(71)，配置成接收工业控制系统的当前配置和安全设置；已变更设置接收器(72)，配置成接收工业控制系统的已变更配置设置；设置分析器(73)，配置成基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态激活器(74)，配置成动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。

权利要求书

1.   一种工业控制系统的动态重新配置的方法，所述工业控制系统包括经由网络单元(41，42，43)所互连的生产控制单元(51，52，53，61，62，63，64)，所述方法包括：
确定所述工业控制系统的当前配置和安全设置；
提出对所述工业控制系统的生产控制单元(53，64)的变更；
基于所述当前配置和安全设置以及所述提出的变更来确定所述工业控制系统的所述网络单元(41，42，43)的已更新配置和安全设置；以及
通过激活所述工业控制系统的所述网络单元(41，42，43)的所述已更新配置和安全设置，来动态建立到所述生产控制单元(53，64)的至少一个通信路径。

2.    如权利要求1所述的方法，其中，所述工业控制系统的应用包括分别运行于第一和第二主机(H1，H2)的第一和第二组件(A，B)，包括：
提出包括从所述工业控制系统的所述第二主机(H2；63)到第三主机(H3；53)的所述第二组件(B)的重新指配的变更，以及
通过激活所述工业控制系统的所述网络单元(41，42，43)的所述已更新配置和安全设置，来建立从所述第一主机(H1)到所述第三主机(H3)的通信路径。

3.   一种用于工业控制系统的动态配置的控制器模块(7)，包括：
当前设置接收器(71)，配置成接收所述工业控制系统的当前配置和安全设置；
已变更设置接收器(72)，配置成接收所述工业控制系统的已变更配置设置；
设置分析器(73)，配置成基于所述当前配置和安全设置以及所述已变更配置设置来确定所述工业控制系统的已更新配置和安全设置；以及
动态激活器(74)，配置成动态建立至少一个通信路径，以激活所述工业控制系统的所述已更新配置和安全设置。

4.   如权利要求3所述的控制器模块(7)，其中，所述已变更设置接收器(72)配置成捕获由变更管理器系统(11)所传送的已变更配置设置。

5.   如权利要求3或4所述的控制器模块(7)，其中，所述已变更设置接收器配置成检测下列至少一个的状态的变化所引起的已变更配置：所述工业控制系统的网络单元(41，42，43)和生产控制单元(51，52，53，61，62，63，64)。

6.   如权利要求3至5中的任一项所述的控制器模块(7)，其中，所述设置分析器配置成基于下列至少一个来确定已更新配置和安全设置：所述控制系统的冗余网络单元(41，42，43)和冗余生产控制单元(51，52，53，61，62，63，64)。

7.   如权利要求3至6中的任一项所述的控制器模块(7)，其中，所述动态激活器配置成开启所述设置激活器(74)与下列至少一个之间的至少一个暂时通信路径：所述控制系统的网络单元(41，42，43)与生产控制单元(51，52，53，61，62，63，64)，以便激活所述控制系统的已更新配置和安全设置。

8.   如权利要求3至7中的任一项所述的控制器模块(7)，其中，所述已变更设置接收器(72)配置成接收所述控制系统的已变更安全设置，以及其中所述设置分析器(73)配置成基于已变更安全设置来确定所述控制系统的已更新配置和安全设置。

9.   如权利要求3至8中的任一项所述的控制器模块(7)，还包括已更新设置发射器，以用于向变更管理器系统(11)传送已更新配置和安全设置。

10.   一种计算机程序产品，包括其上存储了指导控制器模块执行下列步骤的计算机程序代码的计算机可读介质：
接收所述工业控制系统的当前配置和安全设置；
接收所述工业控制系统的已变更配置设置；
基于当前配置和安全设置以及已变更配置设置来确定所述工业控制系统的已更新配置和安全设置；以及
动态建立至少一个通信路径，以便激活所述工业控制系统的所述已更新配置和安全设置。

说明书

工业控制系统的动态配置
技术领域
本发明涉及用于工业控制系统的动态配置的控制器模块。本发明还涉及用于工业控制系统的动态配置的方法。
背景技术
广泛地部署控制系统以控制各种工业(例如汽车工业、能量输送、生命科学解决方案、电力生成、过程自动化、水工业等)中的工业过程。当前控制系统在工程过程期间配置一次，并且可包括用于运行控制系统的工程环境以及用于控制工业过程的若干控制装置。工程环境和控制装置经由具体包括网络控制装置的网络来连接，以提供用于运行控制系统的必要通信基础设施。此外，包含安全控制器以用于网络保护。
WO2010/069698公开一种用于自动网络分析的技术，其中网络规范信息转换为网络的单一中间表示。中间表示能够用来确定安全参数和预计数据业务参数。安全参数能够用来配置安全措施，例如配置防火墙或侵入检测单元。可监测数据业务，并且可发信号通知关于没有预计数据业务。该技术提供自动配置或适配所部署控制系统中的计算机安全措施，但是没有提供控制系统本身的动态配置。
发明内容
本发明的一个目的是提供用于工业控制系统的动态配置的控制器模块和方法，该控制器模块和方法至少没有一部分现有技术的缺点。具体来说，本发明的一个目的是提供用于工业控制系统的动态配置的控制器模块和方法，其中工业控制系统可在连续实现工业控制系统的安全性的情况下动态地重新配置。
按照本发明，这些目的通过独立权利要求的特征来实现。另外，其它有利实施例由从属权利要求和描述得出。
按照本发明，在用于包括经由网络单元所互连的生产控制单元的工业控制系统的动态重新配置的方法中，执行下列步骤；
重复地确定工业控制系统的当前配置和安全设置；
提出或指定或请求对工业控制系统的特定生产控制单元的变更，其中这类变更又可称作已变更配置设置；
基于当前配置和安全设置以及所提出变更来确定工业控制系统的网络单元的已更新配置和安全设置；以及
通过激活或实现工业控制系统的网络单元的已更新配置和安全设置，来动态建立到特定生产控制单元的至少一个通信路径。通信路径可从工业控制系统的变更管理器到特定生产控制单元暂时地配置，或者从对等生产控制单元到特定生产控制单元永久地配置。
在该方法的优选变体中，工业控制系统的应用包括第一和第二组件或任务，其分别运行于第一和第二主机或者主生产控制单元上，以及该方法包括：
提出包括从工业控制系统的第二主机到第三主机的第二组件的重新指配的变更，以及
通过激活工业控制系统的网络单元的已更新配置和安全设置，来建立从第一主机到第三主机的通信路径。
按照本发明，上述目的的具体实现在于，用于工业控制系统的动态配置的控制器模块包括：当前设置接收器，配置成接收工业控制系统的当前配置和安全设置；已变更设置接收器，配置成接收工业控制系统的已变更配置设置；设置分析器，配置成基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态激活器，配置成动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。工业控制系统的操作员可要求已变更配置设置。在工业控制系统的组件的故障的情况下，也可要求已变更设置。设置分析器基于当前安全设置来确定已更新配置和安全设置，并且因此可保持工业控制系统中的安全性。动态激活器可按照所需安全标准来建立一个或多个通信路径。通信路径可以在工业控制系统的动态配置期间仅暂时地建立，或者它们可例如在组件的故障的情况下永久地建立，使得通信可经过新建立的通信信道重新路由。因此，工业控制系统可按照特定安全设置动态地配置，并且因此保持所需安全等级。
在一实施例中，已变更设置接收器配置成捕获变更管理器系统所传送的已变更配置设置。在操作员基于已变更配置设置来要求工业控制系统的新配置的情况下，设置分析器确定已更新配置和安全设置，其由动态激活器来激活，同时按照安全设置来保持所需安全等级。因此，操作员无需留意安全等级，而是仅留意工业控制系统的配置。
在另一实施例中，已变更设置接收器配置成接收通过下列至少一个的状态的变化所引起的已变更配置设置：工业控制系统的网络单元和生产控制单元。状态的变化可因生产控制单元的故障(例如系统崩溃、网络电缆故障、系统损害引起的失灵等)而发生。例如，在工业控制系统的组件检测状态变化(例如因为另一个组件不再进行响应)的情况下，可传送对应已变更配置设置，其在由已变更设置接收器来接收时将相应地发起工业控制系统的动态配置。
在另一个实施例中，设置分析器配置成基于下列至少一个来确定已更新配置和安全设置：工业控制系统的冗余网络单元和冗余生产控制单元。冗余网络单元或冗余生产控制单元可设计成使得可根据所选配置和安全设置来使用不同应用和功能性。因此，冗余网络单元或冗余生产控制单元可用来取代工业控制系统的出故障组件，其中提供所需配置，同时保持所需安全等级。
在另一实施例中，动态激活器配置成开启设置激活器与下列至少一个之间的至少一个暂时通信路径：控制系统的网络单元与生产控制单元，以便激活控制系统的已更新配置和安全设置。可按照所需安全等级来保护至少一个暂时通信路径。因此，在实施已更新配置和安全设置时，可动态地配置工业控制系统，同时保持所需安全等级。
在另一实施例中，已变更设置接收器配置成接收控制系统的已变更安全设置，以及其中设置分析器配置成基于已变更安全设置来确定控制系统的已更新配置和安全设置。相应地，安全等级可按照动态条件来增加或降低。例如，设置分析器可基于已变更配置设置或者已变更安全设置来检测系统损害(其可要求工业控制系统的增加安全等级)，使得可克服系统损害。
在另一个实施例中，控制器模块还包括已更新设置发射器，以用于向变更管理器系统传送已更新配置和安全设置。因此，配置和安全设置的所有变更可透明地传送给变更管理器系统，并且因此可由变更管理器系统的操作员来检验。
除了用于工业控制系统的动态配置的控制器模块之外，本发明还涉及一种用于工业控制系统的动态配置的方法以及包括其上存储了计算机程序代码的计算机可读介质的计算机程序产品。
一种用于工业控制系统的动态配置的方法包括：接收工业控制系统的当前配置和安全设置；接收工业控制系统的已变更配置设置；基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。在一变体中，该方法还包括：捕获变更管理器系统所传送的已变更配置设置。在另一个变体中，该方法还包括：检测通过下列至少一个的状态的变化所引起的已变更配置设置：工业控制系统的网络单元和生产控制单元。在一变体中，该方法还包括基于下列至少一个来确定已更新配置和安全设置：工业控制系统的冗余网络单元和冗余生产控制单元。在另一个变体中，该方法还包括：开启至少一个暂时通信路径，以便激活控制系统的已更新配置和安全设置。在一变体中，该方法还包括：向变更管理器系统传送已更新配置和安全设置。
计算机程序产品包括计算机可读介质，其上存储了指导控制器模块执行下列步骤的计算机程序代码：接收工业控制系统的当前配置和安全设置；接收工业控制系统的已变更配置设置；基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。
附图说明
将参照附图、作为举例更详细地说明本发明，附图包括：
图1示出包括第一和第二生产环境区域的示范工业控制系统；
图2示出在生产控制单元的示范损坏之后的示范工业控制系统；
图3示意示出按照本发明的控制器模块的位置的可能性；
图4示出运行于两个主机的动态控制系统应用的示例；
图5和图6示出第一主机和第二主机的示范配置文件；
图7示出具有运行于两个主机的应用的示范环境；
图8示出在第二主机的损坏之后的示范环境；
图9和图10示出在第二主机的损坏之后的第一主机和第三主机的示范配置文件；
图11从系统级角度示出具有第一和第二主机的系统的示范原始操作；
图12示出在第二主机的损坏之后的所产生应用流程；以及
图13是示出用于工业控制系统的动态配置的方法的步骤的示范序列的流程图。
具体实施方式
图1示意示出包括第一生产环境区域50和第二生产环境区域60的示范工业控制系统。第一生产环境区域50包括第一、第二和第三生产控制单元51、52、53。第二生产环境60包括第一、第二、第三和第四生产控制单元61、62、63、64。生产控制单元51、52、53、61、62、63、64提供运行工业控制系统所需的生产控制应用和功能性。生产控制单元51、52、53、61、62、63、64可涉及运行于计算机的软件模块、包括一个或多个逻辑电路的硬件模块、多核处理器中的单个核心、虚拟服务器之上的单个虚拟机、它们的组合或者提供用于运行工业控制系统的所需应用和功能性的任何其它单元。
如图1示意所示，生产控制单元51、52、53、61、62、63、64可连接到第一和第二网络单元41、42。第一和第二网络单元41、42可向生产控制单元51、52、53、61、62、63、64提供连网和安全功能性。例如，可按照如下方式激活了安全设置：使得没有来自第一生产环境区域50的数据可流动到第二生产环境区域60，反过来也是一样。
如图1示意所示，可提供工程环境区域10、办公室环境区域20和其它外设区域30。工程环境区域10可包括工程工作站11，办公室环境区域可包括办公室工作站21，以及其它外设区域30可包括第一和第二其它外设31、32。工程工作站11和办公室工作站21可涉及任何工作站、例如PC(PC：个人计算机)。其它外设31、32可涉及任何其它外设，例如打印机、绘图仪、网络附连存储装置等。工程工作站11、办公室工作站21和其它外设31、32可连接到第三网络单元43，其可提供连网和安全功能性。第三网络单元43可连接到第一网络单元41，以便提供包括第一和第二生产区域50、60的工业控制系统与工程环境区域、办公室环境区域20以及其它外设区域30之间的连网和安全功能性。
第一、第二和第三网络单元41、42、43可经过与工业控制系统分离的网络来连接。备选地，工业控制系统可提供第一、第二和第三网络单元41、42、43之间的网络连接。
具体来说，第一、第二和第三网络单元41、42、43可包括任何路由器装置、交换装置、防火墙、接入控制装置或对应模块，以便提供所需连网和安全功能性。此外，第一、第二和第三网络单元41、42、43的连网和安全功能性可经过配置和安全设置(其可包括例如防火墙规则、接入控制列表等)来配置。
如图1示意所示，控制器模块7被布置用于包括第一和第二生产区50、60的工业控制系统的动态配置。例如，控制模块7可连接到第一网络单元41。控制模块7包括当前设置接收器71，其配置成接收工业控制系统的当前配置和安全设置。当前配置和安全设置可在广播请求时接收，例如使得工业控制系统的所有组件向控制模块7发送当前配置和安全设置。备选地，可通过不断接收和分析网络业务，使得工业控制系统的初始配置和安全设置不断更新到当前配置和安全设置，来得到当前配置和安全设置。
如图1示意所示，控制器模块7包括变更设置接收器72，其配置成接收已变更配置设置。例如，已变更设置接收器72可配置成从工程工作站11接收与控制系统的配置变化相关的所有业务，其可始发于工程工作站11的操作员的命令。备选地，已变更设置接收器72可配置成例如接收与网络单元41、42、43和/或生产控制单元51、52、53、61、62、63、64的状态变化相关的通知。具体来说，例如，状态变化可涉及网络单元41、42、43和/或生产控制单元51、52、53、61、62、63、64的故障或失灵。单元的失灵可包括生产环境区域的内部泛洪(internal flooding)、单元被病毒或蠕虫污染等。
如图1示意所示，控制器模块7包括设置分析器73，其配置成基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置。具体来说，当工程工作站11传送已变更配置设置以便修改工业控制系统的配置时，这类已变更配置设置立即由已变更设置接收器72来接收，并且进一步传送给设置分析器73，其分析已变更配置设置，并且基于当前配置和安全设置以及已变更配置设置来确定已更新配置和安全设置。
如图1示意所示，控制器模块7包括设置激活器74，以用于激活工业控制系统的已更新配置和安全设置。具体来说，按照工程工作站11所传送的已变更配置设置和/或由于网络单元和/或生产控制单元的已变更配置设置，激活配置设置和安全设置以动态配置工业控制系统，其中工业控制系统按照所需配置并且按照所需安全性进行操作。
控制器模块7可通过编程软件模块(其包括计算机程序代码，以控制计算机的一个或多个处理器)来实现。在一变体中，控制器模块7通过运行于工程工作站11的编程软件模块来实现。
按照本发明的控制器模块7实现实时控制应用的健壮执行，并且同时提供控制系统的动态重新配置(例如用于平衡多个单元的CPU负荷)和打补丁，而无需中断生产过程。此外，网络单元41、42、43和/或生产控制单元51、52、53、61、62、63、64的必要设置自动适配到工业控制系统环境的基本动态变化。这确保针对系统损害(其因这类变化而可能出现)的改进计算机安全恢复力，并且降低攻击面，因为安全设置仅允许所需数据传递。
传统工业控制系统在工程过程期间配置一次(并且在需要时手动重新配置)。本发明提供，应用和/或功能性在运行时自动和动态地配置，即，无需停止工业控制系统。这个灵活性使功能和/或应用能够在工业控制系统的操作期间被更新、移动、即时变更等。
图2示出在第二生产环境60的第三生产控制单元63的示范损坏之后的图1的工业控制系统。工业控制系统由控制器模块7动态地重新配置，其中在这个示例中，以前属于第一生产区域50的第三生产控制单元53这时执行第二生产区域60的功能，并且其中第四生产控制单元64这时执行第一生产区域50的功能。
图3示意示出控制器模块7的位置的可能性。在变体a)中，控制器模块7位于工程环境区域10与工业控制系统的一个或多个生产区域8之间。在变体b)中，控制器模块7放置在可监测整个网络的位置。控制器模块7的位置确保可监测与工业控制系统的变化相关的所有网络业务。
控制器模块7也可充当认证和授权网关，其中工程工作站11、网络单元41、42和43、生产控制单元51、52、53、61、62、63和64和/或工程工作站10的操作员经过认证/授权。通过这个信息，控制器模块确定必要通信，并且例如能够开启网络单元41、42、43以用于重新配置业务。可例如通过对通信信道应用加密，并且通过应用适当的认证、授权和/或记帐机制，来保护控制器模块7的设计。
控制器模块7的有益效果包括：
- 屏蔽用于管理工业控制系统的复杂度，因为配置和安全设置自动地适配到已变更配置设置。
- 正确修改流动到工业控制系统的生产环境区域的容许数据，使得只有所需业务流动。这自动降低攻击面，因为正好仅准许绝对强制性的数据业务。不常见的是，配置或安全设置经过错误配置，并且将过多数据广播到其它单元，其可被淹没，并且因此在识别重要数据方面有问题。同样的情况在由不满的内部人员进行的恶意修改的情况下会发生。在这种情况下，控制器模块7提供，损坏受到限制，因为它仅允许已经识别为对工业控制系统的操作至关重要的那一种通信。
- 按照控制器模块7，配置设置可与安全设置分离，同时仍然具有对工业控制系统的当前配置和安全设置的全面知识。变更配置设置以及相应地变更生产环境的操作员或专业人员无需修改安全设置。
- 受损变更管理器系统11将不会引起朝工业控制系统的泛洪，因为变更管理器系统11无法开启与生产环境区域或者其内部的任意数据传递路径，因为这些设置基于当前设置来确定，这意味着，病毒或特洛伊无法到达工业控制系统。另外，变更管理器系统11可测试已更新配置和安全设置是否合理，例如生产控制单元51、52、53、61、62、63、64的CPU是否充分强大以运行附加功能性。
按照本发明的控制器模块7与现有解决方案的差别在于：
- 控制器模块7集成控制系统配置和网络信息。它平衡控制系统配置，以自动确定工业控制系统内部的所需通信路径，并且配置单独单元以反映那种情况。可动态检查已变更设置。认证方案的使用可在运行时检验用户和单元。控制器模块7可用作“中间人”，其接收来自变更管理器系统11的所有变更，得出工业控制系统的所需配置和安全设置，并且然后执行工业控制系统的重新配置，以及具体来说是网络单元41、42、43和生产控制单元51、52、53、61、62、63、64的重新配置。
- 控制器模块7可分析当前配置和安全设置，并且可得出不同单元之间的所需数据流，以执行所需变更。基于这个分析，网络单元可配置成拒绝尚未识别为所要求的数据。这与传统防火墙/交换机(其没有考虑工业控制系统)有所不同。
- 控制器模块7检查所有变更，并且将它们与作用进行匹配，这意味着，不仅变更管理器系统11检查是否允许某个用户执行某个变更，而且控制器模块7还可执行那个检查。这增加附加的安全层。
图4示出运行于两个主机、即第一主机H1和第二主机H2(其可配置成提供用于运行工业控制系统的所需应用和功能性)的动态控制系统应用的示例。可涉及工业控制系统的生产控制单元的应用具有各具有其自己的控制块(即，第一控制块a和第二控制块b)的第一组件A和第二组件B。为了支持这两个块之间的通信，Net Proxy（网络代理）组件可包括第一主机H1的计划表中的发送块。在块a之后，具有接收块的另一个Net Proxy组件在第二控制块b之前插入第二主机H2的计划表中。Net Proxy块配置成为，第一主机H1的发送块向第二主机H2上的接收块的所指定端口发送数据。接收块配置成监听那个端口。
在这个示例中，第一主机H1的配置通过按照图5的XML文件来定义。第一主机H2的配置类似地通过按照图6的XML文件来定义。
图7中，示意示出示范环境。运行于第一主机H1的应用运行第二主机H2上的功能性(功能B)的一部分。第三主机在图7中示出，由此第三主机H3没有涉及到那个特定应用，但是也允许那个功能性(功能B)的执行。第二主机H2和第三主机H3是冗余单元。
如果第二主机H2崩溃，则控制器模块7通过重新配置第一主机H1以使得组件A与第三主机H3上的B的冗余副本进行通信进行反应。所产生的新配置在图8中示出。图9中，示出第一主机H1的已更新XML文件。图10中，示出第三主机H3的已更新XML文件。
控制器模块7可按如下所述来确定已变更配置。当新配置例如由变更管理器系统11来发送给第一主机H1和第二主机H2时，控制器模块7接收所有重新配置业务，其在必要时必须经过解密，并且因此新配置文件的副本在控制器模块7中是可用的。此后，控制器模块7运行一系列Xpath查询，这意味着，针对这些查询来检查新接收的配置。
获得其配置已经变更的主机的IP地址。
         /configuration/@IP
获得第一主机H1向其发送数据的所有目标IP和端口。
         /configuration//target[@host]
这对第一主机H1的配置揭示下列信息。
    经过配置变更的主机的IP地址：
         10.0.0.1
    主机要求向其发送消息的IP地址和端口：
         <target host=”10.0.0.3” port=”80”/>
使用这个信息，控制器模块7更新单独网络安全装置的配置。
图11从系统级角度来示出系统的示范原始操作。布置第一、第二和第三主机H1、H2、H3，其可配置成提供用于运行工业控制系统的所需应用和功能性，例如提供一个或多个生产控制单元51、52、53、61、62、63、64。主机H1、H2、H3可连接到网络/安全控制系统40，其可包括一个或多个网络单元41、42、43。变更管理器系统1和控制器模块7可连接到网络/安全控制系统40。在图11所示的示例中，允许第一主机H1与第二主机H2进行通信，这在图11中通过虚线示出。不允许变更管理器系统11与主机H1、H2、H3直接通信，而是仅与控制器模块7进行通信，这在图11中采用虚线示出。不允许第三主机H3与任何其它主机进行通信，而是作为冗余系统来配置。
在例如由于网络线路的中断、主机装置的故障、系统崩溃等引起的第二主机H2的故障的情况下，系统自行适配到这种干扰。例如，第一主机H1将注意到这个情况，因为不再接收来自第二主机H2的确认。在这种情况下，第一主机H1可配置成建立与控制器模块7的通信，以便开启到变更管理器系统11的通信路径。
图12中，示出所产生应用流程。例如，变更管理器系统11可要求第一主机H1经过重新配置，使得第三主机H3的控制块B用来代替第二主机H2的控制块B。控制器模块7确定并且实施所需变更，其中例如网络/控制系统40的安全控制设置成实现变更管理器系统11与第一以及第三主机H1、H3之间的通信。此外，也可实现第一主机H1与第三主机H3之间的通信。对应通信路径在图12中以虚线示出。基于这些通信路径，第一主机H1和第三主机H3根据地重新配置，其中例如已变更配置存储在变更管理器系统11中。此后，控制器模块7重新配置网络/控制系统40的安全控制，使得不允许变更管理器系统11与第一主机H1以及第三主机H3之间的直接通信。此外，例如，也可不允许与已经出故障的第二主机H2的通信。
图13中，用于工业控制系统的动态配置的方法的步骤的示范序列。在步骤S1，接收工业控制系统的当前配置和安全设置。在步骤S2，接收已变更配置设置。在步骤S3，已更新配置和安全设置基于当前配置和安全设置以及已变更配置设置来确定。在步骤S4，动态建立至少一个通信路径，以便激活已更新配置和安全，使得工业控制系统采用已更新配置和安全设置来配置。

资源描述

《工业控制系统的动态配置.pdf》由会员分享，可在线阅读，更多相关《工业控制系统的动态配置.pdf（21页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104204973A43申请公布日20141210CN104204973A21申请号201380018910622申请日2013013112153487920120201EPG05B19/042200601G06F21/50200601G06F21/5720060171申请人ABB研究有限公司地址瑞士苏黎世72发明人S奥伯梅尔H哈德里M瓦勒S斯托伊特A赫里斯托瓦74专利代理机构中国专利代理香港有限公司72001代理人叶晓勇姜甜54发明名称工业控制系统的动态配置57摘要本发明涉及一种用于工业控制系统的动态配置的控制器模块7，其包括当前设置接收器71，配置成接收工业控制系统的当前。

2、配置和安全设置；已变更设置接收器72，配置成接收工业控制系统的已变更配置设置；设置分析器73，配置成基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态激活器74，配置成动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。30优先权数据85PCT国际申请进入国家阶段日2014100886PCT国际申请的申请数据PCT/EP2013/0518952013013187PCT国际申请的公布数据WO2013/113812EN2013080851INTCL权利要求书2页说明书7页附图11页19中华人民共和国国家知识产权局12发明专利申请权利要求书2。

3、页说明书7页附图11页10申请公布号CN104204973ACN104204973A1/2页21一种工业控制系统的动态重新配置的方法，所述工业控制系统包括经由网络单元41，42，43所互连的生产控制单元51，52，53，61，62，63，64，所述方法包括确定所述工业控制系统的当前配置和安全设置；提出对所述工业控制系统的生产控制单元53，64的变更；基于所述当前配置和安全设置以及所述提出的变更来确定所述工业控制系统的所述网络单元41，42，43的已更新配置和安全设置；以及通过激活所述工业控制系统的所述网络单元41，42，43的所述已更新配置和安全设置，来动态建立到所述生产控制单元53，64的至。

4、少一个通信路径。2如权利要求1所述的方法，其中，所述工业控制系统的应用包括分别运行于第一和第二主机H1，H2的第一和第二组件A，B，包括提出包括从所述工业控制系统的所述第二主机H2；63到第三主机H3；53的所述第二组件B的重新指配的变更，以及通过激活所述工业控制系统的所述网络单元41，42，43的所述已更新配置和安全设置，来建立从所述第一主机H1到所述第三主机H3的通信路径。3一种用于工业控制系统的动态配置的控制器模块7，包括当前设置接收器71，配置成接收所述工业控制系统的当前配置和安全设置；已变更设置接收器72，配置成接收所述工业控制系统的已变更配置设置；设置分析器73，配置成基于所述当前。

5、配置和安全设置以及所述已变更配置设置来确定所述工业控制系统的已更新配置和安全设置；以及动态激活器74，配置成动态建立至少一个通信路径，以激活所述工业控制系统的所述已更新配置和安全设置。4如权利要求3所述的控制器模块7，其中，所述已变更设置接收器72配置成捕获由变更管理器系统11所传送的已变更配置设置。5如权利要求3或4所述的控制器模块7，其中，所述已变更设置接收器配置成检测下列至少一个的状态的变化所引起的已变更配置所述工业控制系统的网络单元41，42，43和生产控制单元51，52，53，61，62，63，64。6如权利要求3至5中的任一项所述的控制器模块7，其中，所述设置分析器配置成基于下列至。

6、少一个来确定已更新配置和安全设置所述控制系统的冗余网络单元41，42，43和冗余生产控制单元51，52，53，61，62，63，64。7如权利要求3至6中的任一项所述的控制器模块7，其中，所述动态激活器配置成开启所述设置激活器74与下列至少一个之间的至少一个暂时通信路径所述控制系统的网络单元41，42，43与生产控制单元51，52，53，61，62，63，64，以便激活所述控制系统的已更新配置和安全设置。8如权利要求3至7中的任一项所述的控制器模块7，其中，所述已变更设置接收器72配置成接收所述控制系统的已变更安全设置，以及其中所述设置分析器73配置成基于已变更安全设置来确定所述控制系统的已更。

7、新配置和安全设置。9如权利要求3至8中的任一项所述的控制器模块7，还包括已更新设置发射器，以用于向变更管理器系统11传送已更新配置和安全设置。10一种计算机程序产品，包括其上存储了指导控制器模块执行下列步骤的计算机程权利要求书CN104204973A2/2页3序代码的计算机可读介质接收所述工业控制系统的当前配置和安全设置；接收所述工业控制系统的已变更配置设置；基于当前配置和安全设置以及已变更配置设置来确定所述工业控制系统的已更新配置和安全设置；以及动态建立至少一个通信路径，以便激活所述工业控制系统的所述已更新配置和安全设置。权利要求书CN104204973A1/7页4工业控制系统的动态配置技术。

8、领域0001本发明涉及用于工业控制系统的动态配置的控制器模块。本发明还涉及用于工业控制系统的动态配置的方法。背景技术0002广泛地部署控制系统以控制各种工业例如汽车工业、能量输送、生命科学解决方案、电力生成、过程自动化、水工业等中的工业过程。当前控制系统在工程过程期间配置一次，并且可包括用于运行控制系统的工程环境以及用于控制工业过程的若干控制装置。工程环境和控制装置经由具体包括网络控制装置的网络来连接，以提供用于运行控制系统的必要通信基础设施。此外，包含安全控制器以用于网络保护。0003WO2010/069698公开一种用于自动网络分析的技术，其中网络规范信息转换为网络的单一中间表示。中间表示。

9、能够用来确定安全参数和预计数据业务参数。安全参数能够用来配置安全措施，例如配置防火墙或侵入检测单元。可监测数据业务，并且可发信号通知关于没有预计数据业务。该技术提供自动配置或适配所部署控制系统中的计算机安全措施，但是没有提供控制系统本身的动态配置。发明内容0004本发明的一个目的是提供用于工业控制系统的动态配置的控制器模块和方法，该控制器模块和方法至少没有一部分现有技术的缺点。具体来说，本发明的一个目的是提供用于工业控制系统的动态配置的控制器模块和方法，其中工业控制系统可在连续实现工业控制系统的安全性的情况下动态地重新配置。0005按照本发明，这些目的通过独立权利要求的特征来实现。另外，其它有。

10、利实施例由从属权利要求和描述得出。0006按照本发明，在用于包括经由网络单元所互连的生产控制单元的工业控制系统的动态重新配置的方法中，执行下列步骤；重复地确定工业控制系统的当前配置和安全设置；提出或指定或请求对工业控制系统的特定生产控制单元的变更，其中这类变更又可称作已变更配置设置；基于当前配置和安全设置以及所提出变更来确定工业控制系统的网络单元的已更新配置和安全设置；以及通过激活或实现工业控制系统的网络单元的已更新配置和安全设置，来动态建立到特定生产控制单元的至少一个通信路径。通信路径可从工业控制系统的变更管理器到特定生产控制单元暂时地配置，或者从对等生产控制单元到特定生产控制单元永久地配置。

11、。0007在该方法的优选变体中，工业控制系统的应用包括第一和第二组件或任务，其分别运行于第一和第二主机或者主生产控制单元上，以及该方法包括提出包括从工业控制系统的第二主机到第三主机的第二组件的重新指配的变更，以及说明书CN104204973A2/7页5通过激活工业控制系统的网络单元的已更新配置和安全设置，来建立从第一主机到第三主机的通信路径。0008按照本发明，上述目的的具体实现在于，用于工业控制系统的动态配置的控制器模块包括当前设置接收器，配置成接收工业控制系统的当前配置和安全设置；已变更设置接收器，配置成接收工业控制系统的已变更配置设置；设置分析器，配置成基于当前配置和安全设置以及已变更配。

12、置设置来确定工业控制系统的已更新配置和安全设置；以及动态激活器，配置成动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。工业控制系统的操作员可要求已变更配置设置。在工业控制系统的组件的故障的情况下，也可要求已变更设置。设置分析器基于当前安全设置来确定已更新配置和安全设置，并且因此可保持工业控制系统中的安全性。动态激活器可按照所需安全标准来建立一个或多个通信路径。通信路径可以在工业控制系统的动态配置期间仅暂时地建立，或者它们可例如在组件的故障的情况下永久地建立，使得通信可经过新建立的通信信道重新路由。因此，工业控制系统可按照特定安全设置动态地配置，并且因此保持所需安全等级。0。

13、009在一实施例中，已变更设置接收器配置成捕获变更管理器系统所传送的已变更配置设置。在操作员基于已变更配置设置来要求工业控制系统的新配置的情况下，设置分析器确定已更新配置和安全设置，其由动态激活器来激活，同时按照安全设置来保持所需安全等级。因此，操作员无需留意安全等级，而是仅留意工业控制系统的配置。0010在另一实施例中，已变更设置接收器配置成接收通过下列至少一个的状态的变化所引起的已变更配置设置工业控制系统的网络单元和生产控制单元。状态的变化可因生产控制单元的故障例如系统崩溃、网络电缆故障、系统损害引起的失灵等而发生。例如，在工业控制系统的组件检测状态变化例如因为另一个组件不再进行响应的情况。

14、下，可传送对应已变更配置设置，其在由已变更设置接收器来接收时将相应地发起工业控制系统的动态配置。0011在另一个实施例中，设置分析器配置成基于下列至少一个来确定已更新配置和安全设置工业控制系统的冗余网络单元和冗余生产控制单元。冗余网络单元或冗余生产控制单元可设计成使得可根据所选配置和安全设置来使用不同应用和功能性。因此，冗余网络单元或冗余生产控制单元可用来取代工业控制系统的出故障组件，其中提供所需配置，同时保持所需安全等级。0012在另一实施例中，动态激活器配置成开启设置激活器与下列至少一个之间的至少一个暂时通信路径控制系统的网络单元与生产控制单元，以便激活控制系统的已更新配置和安全设置。可按。

15、照所需安全等级来保护至少一个暂时通信路径。因此，在实施已更新配置和安全设置时，可动态地配置工业控制系统，同时保持所需安全等级。0013在另一实施例中，已变更设置接收器配置成接收控制系统的已变更安全设置，以及其中设置分析器配置成基于已变更安全设置来确定控制系统的已更新配置和安全设置。相应地，安全等级可按照动态条件来增加或降低。例如，设置分析器可基于已变更配置设置或者已变更安全设置来检测系统损害其可要求工业控制系统的增加安全等级，使得可克服系统损害。0014在另一个实施例中，控制器模块还包括已更新设置发射器，以用于向变更管理器系统传送已更新配置和安全设置。因此，配置和安全设置的所有变更可透明地传送。

16、给变更说明书CN104204973A3/7页6管理器系统，并且因此可由变更管理器系统的操作员来检验。0015除了用于工业控制系统的动态配置的控制器模块之外，本发明还涉及一种用于工业控制系统的动态配置的方法以及包括其上存储了计算机程序代码的计算机可读介质的计算机程序产品。0016一种用于工业控制系统的动态配置的方法包括接收工业控制系统的当前配置和安全设置；接收工业控制系统的已变更配置设置；基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。在一变体中，该方法还包括捕获变更管理器系统所传送的已变。

17、更配置设置。在另一个变体中，该方法还包括检测通过下列至少一个的状态的变化所引起的已变更配置设置工业控制系统的网络单元和生产控制单元。在一变体中，该方法还包括基于下列至少一个来确定已更新配置和安全设置工业控制系统的冗余网络单元和冗余生产控制单元。在另一个变体中，该方法还包括开启至少一个暂时通信路径，以便激活控制系统的已更新配置和安全设置。在一变体中，该方法还包括向变更管理器系统传送已更新配置和安全设置。0017计算机程序产品包括计算机可读介质，其上存储了指导控制器模块执行下列步骤的计算机程序代码接收工业控制系统的当前配置和安全设置；接收工业控制系统的已变更配置设置；基于当前配置和安全设置以及已变。

18、更配置设置来确定工业控制系统的已更新配置和安全设置；以及动态建立至少一个通信路径，以便激活工业控制系统的已更新配置和安全设置。附图说明0018将参照附图、作为举例更详细地说明本发明，附图包括图1示出包括第一和第二生产环境区域的示范工业控制系统；图2示出在生产控制单元的示范损坏之后的示范工业控制系统；图3示意示出按照本发明的控制器模块的位置的可能性；图4示出运行于两个主机的动态控制系统应用的示例；图5和图6示出第一主机和第二主机的示范配置文件；图7示出具有运行于两个主机的应用的示范环境；图8示出在第二主机的损坏之后的示范环境；图9和图10示出在第二主机的损坏之后的第一主机和第三主机的示范配置文件。

19、；图11从系统级角度示出具有第一和第二主机的系统的示范原始操作；图12示出在第二主机的损坏之后的所产生应用流程；以及图13是示出用于工业控制系统的动态配置的方法的步骤的示范序列的流程图。具体实施方式0019图1示意示出包括第一生产环境区域50和第二生产环境区域60的示范工业控制系统。第一生产环境区域50包括第一、第二和第三生产控制单元51、52、53。第二生产环境60包括第一、第二、第三和第四生产控制单元61、62、63、64。生产控制单元51、52、53、61、62、63、64提供运行工业控制系统所需的生产控制应用和功能性。生产控制单元51、52、53、说明书CN104204973A4/7页。

20、761、62、63、64可涉及运行于计算机的软件模块、包括一个或多个逻辑电路的硬件模块、多核处理器中的单个核心、虚拟服务器之上的单个虚拟机、它们的组合或者提供用于运行工业控制系统的所需应用和功能性的任何其它单元。0020如图1示意所示，生产控制单元51、52、53、61、62、63、64可连接到第一和第二网络单元41、42。第一和第二网络单元41、42可向生产控制单元51、52、53、61、62、63、64提供连网和安全功能性。例如，可按照如下方式激活了安全设置使得没有来自第一生产环境区域50的数据可流动到第二生产环境区域60，反过来也是一样。0021如图1示意所示，可提供工程环境区域10、办。

21、公室环境区域20和其它外设区域30。工程环境区域10可包括工程工作站11，办公室环境区域可包括办公室工作站21，以及其它外设区域30可包括第一和第二其它外设31、32。工程工作站11和办公室工作站21可涉及任何工作站、例如PCPC个人计算机。其它外设31、32可涉及任何其它外设，例如打印机、绘图仪、网络附连存储装置等。工程工作站11、办公室工作站21和其它外设31、32可连接到第三网络单元43，其可提供连网和安全功能性。第三网络单元43可连接到第一网络单元41，以便提供包括第一和第二生产区域50、60的工业控制系统与工程环境区域、办公室环境区域20以及其它外设区域30之间的连网和安全功能性。0。

22、022第一、第二和第三网络单元41、42、43可经过与工业控制系统分离的网络来连接。备选地，工业控制系统可提供第一、第二和第三网络单元41、42、43之间的网络连接。0023具体来说，第一、第二和第三网络单元41、42、43可包括任何路由器装置、交换装置、防火墙、接入控制装置或对应模块，以便提供所需连网和安全功能性。此外，第一、第二和第三网络单元41、42、43的连网和安全功能性可经过配置和安全设置其可包括例如防火墙规则、接入控制列表等来配置。0024如图1示意所示，控制器模块7被布置用于包括第一和第二生产区50、60的工业控制系统的动态配置。例如，控制模块7可连接到第一网络单元41。控制模块。

23、7包括当前设置接收器71，其配置成接收工业控制系统的当前配置和安全设置。当前配置和安全设置可在广播请求时接收，例如使得工业控制系统的所有组件向控制模块7发送当前配置和安全设置。备选地，可通过不断接收和分析网络业务，使得工业控制系统的初始配置和安全设置不断更新到当前配置和安全设置，来得到当前配置和安全设置。0025如图1示意所示，控制器模块7包括变更设置接收器72，其配置成接收已变更配置设置。例如，已变更设置接收器72可配置成从工程工作站11接收与控制系统的配置变化相关的所有业务，其可始发于工程工作站11的操作员的命令。备选地，已变更设置接收器72可配置成例如接收与网络单元41、42、43和/或。

24、生产控制单元51、52、53、61、62、63、64的状态变化相关的通知。具体来说，例如，状态变化可涉及网络单元41、42、43和/或生产控制单元51、52、53、61、62、63、64的故障或失灵。单元的失灵可包括生产环境区域的内部泛洪INTERNALFLOODING、单元被病毒或蠕虫污染等。0026如图1示意所示，控制器模块7包括设置分析器73，其配置成基于当前配置和安全设置以及已变更配置设置来确定工业控制系统的已更新配置和安全设置。具体来说，当工程工作站11传送已变更配置设置以便修改工业控制系统的配置时，这类已变更配置设置立即由已变更设置接收器72来接收，并且进一步传送给设置分析器73，。

25、其分析已变更配置设置，并且基于当前配置和安全设置以及已变更配置设置来确定已更新配置和安全设置。说明书CN104204973A5/7页80027如图1示意所示，控制器模块7包括设置激活器74，以用于激活工业控制系统的已更新配置和安全设置。具体来说，按照工程工作站11所传送的已变更配置设置和/或由于网络单元和/或生产控制单元的已变更配置设置，激活配置设置和安全设置以动态配置工业控制系统，其中工业控制系统按照所需配置并且按照所需安全性进行操作。0028控制器模块7可通过编程软件模块其包括计算机程序代码，以控制计算机的一个或多个处理器来实现。在一变体中，控制器模块7通过运行于工程工作站11的编程软件模。

26、块来实现。0029按照本发明的控制器模块7实现实时控制应用的健壮执行，并且同时提供控制系统的动态重新配置例如用于平衡多个单元的CPU负荷和打补丁，而无需中断生产过程。此外，网络单元41、42、43和/或生产控制单元51、52、53、61、62、63、64的必要设置自动适配到工业控制系统环境的基本动态变化。这确保针对系统损害其因这类变化而可能出现的改进计算机安全恢复力，并且降低攻击面，因为安全设置仅允许所需数据传递。0030传统工业控制系统在工程过程期间配置一次并且在需要时手动重新配置。本发明提供，应用和/或功能性在运行时自动和动态地配置，即，无需停止工业控制系统。这个灵活性使功能和/或应用能够。

27、在工业控制系统的操作期间被更新、移动、即时变更等。0031图2示出在第二生产环境60的第三生产控制单元63的示范损坏之后的图1的工业控制系统。工业控制系统由控制器模块7动态地重新配置，其中在这个示例中，以前属于第一生产区域50的第三生产控制单元53这时执行第二生产区域60的功能，并且其中第四生产控制单元64这时执行第一生产区域50的功能。0032图3示意示出控制器模块7的位置的可能性。在变体A中，控制器模块7位于工程环境区域10与工业控制系统的一个或多个生产区域8之间。在变体B中，控制器模块7放置在可监测整个网络的位置。控制器模块7的位置确保可监测与工业控制系统的变化相关的所有网络业务。003。

28、3控制器模块7也可充当认证和授权网关，其中工程工作站11、网络单元41、42和43、生产控制单元51、52、53、61、62、63和64和/或工程工作站10的操作员经过认证/授权。通过这个信息，控制器模块确定必要通信，并且例如能够开启网络单元41、42、43以用于重新配置业务。可例如通过对通信信道应用加密，并且通过应用适当的认证、授权和/或记帐机制，来保护控制器模块7的设计。0034控制器模块7的有益效果包括屏蔽用于管理工业控制系统的复杂度，因为配置和安全设置自动地适配到已变更配置设置。0035正确修改流动到工业控制系统的生产环境区域的容许数据，使得只有所需业务流动。这自动降低攻击面，因为正好。

29、仅准许绝对强制性的数据业务。不常见的是，配置或安全设置经过错误配置，并且将过多数据广播到其它单元，其可被淹没，并且因此在识别重要数据方面有问题。同样的情况在由不满的内部人员进行的恶意修改的情况下会发生。在这种情况下，控制器模块7提供，损坏受到限制，因为它仅允许已经识别为对工业控制系统的操作至关重要的那一种通信。0036按照控制器模块7，配置设置可与安全设置分离，同时仍然具有对工业控制系统的当前配置和安全设置的全面知识。变更配置设置以及相应地变更生产环境的操作员或专说明书CN104204973A6/7页9业人员无需修改安全设置。0037受损变更管理器系统11将不会引起朝工业控制系统的泛洪，因为变。

30、更管理器系统11无法开启与生产环境区域或者其内部的任意数据传递路径，因为这些设置基于当前设置来确定，这意味着，病毒或特洛伊无法到达工业控制系统。另外，变更管理器系统11可测试已更新配置和安全设置是否合理，例如生产控制单元51、52、53、61、62、63、64的CPU是否充分强大以运行附加功能性。0038按照本发明的控制器模块7与现有解决方案的差别在于控制器模块7集成控制系统配置和网络信息。它平衡控制系统配置，以自动确定工业控制系统内部的所需通信路径，并且配置单独单元以反映那种情况。可动态检查已变更设置。认证方案的使用可在运行时检验用户和单元。控制器模块7可用作“中间人”，其接收来自变更管理器。

31、系统11的所有变更，得出工业控制系统的所需配置和安全设置，并且然后执行工业控制系统的重新配置，以及具体来说是网络单元41、42、43和生产控制单元51、52、53、61、62、63、64的重新配置。0039控制器模块7可分析当前配置和安全设置，并且可得出不同单元之间的所需数据流，以执行所需变更。基于这个分析，网络单元可配置成拒绝尚未识别为所要求的数据。这与传统防火墙/交换机其没有考虑工业控制系统有所不同。0040控制器模块7检查所有变更，并且将它们与作用进行匹配，这意味着，不仅变更管理器系统11检查是否允许某个用户执行某个变更，而且控制器模块7还可执行那个检查。这增加附加的安全层。0041图4。

32、示出运行于两个主机、即第一主机H1和第二主机H2其可配置成提供用于运行工业控制系统的所需应用和功能性的动态控制系统应用的示例。可涉及工业控制系统的生产控制单元的应用具有各具有其自己的控制块即，第一控制块A和第二控制块B的第一组件A和第二组件B。为了支持这两个块之间的通信，NETPROXY（网络代理）组件可包括第一主机H1的计划表中的发送块。在块A之后，具有接收块的另一个NETPROXY组件在第二控制块B之前插入第二主机H2的计划表中。NETPROXY块配置成为，第一主机H1的发送块向第二主机H2上的接收块的所指定端口发送数据。接收块配置成监听那个端口。0042在这个示例中，第一主机H1的配置通。

33、过按照图5的XML文件来定义。第一主机H2的配置类似地通过按照图6的XML文件来定义。0043图7中，示意示出示范环境。运行于第一主机H1的应用运行第二主机H2上的功能性功能B的一部分。第三主机在图7中示出，由此第三主机H3没有涉及到那个特定应用，但是也允许那个功能性功能B的执行。第二主机H2和第三主机H3是冗余单元。0044如果第二主机H2崩溃，则控制器模块7通过重新配置第一主机H1以使得组件A与第三主机H3上的B的冗余副本进行通信进行反应。所产生的新配置在图8中示出。图9中，示出第一主机H1的已更新XML文件。图10中，示出第三主机H3的已更新XML文件。0045控制器模块7可按如下所述来。

34、确定已变更配置。当新配置例如由变更管理器系统11来发送给第一主机H1和第二主机H2时，控制器模块7接收所有重新配置业务，其在必要时必须经过解密，并且因此新配置文件的副本在控制器模块7中是可用的。此后，控制器模块7运行一系列XPATH查询，这意味着，针对这些查询来检查新接收的配置。0046获得其配置已经变更的主机的IP地址。说明书CN104204973A7/7页100047/CONGURATION/IP获得第一主机H1向其发送数据的所有目标IP和端口。0048/CONGURATION/TARGETHOST这对第一主机H1的配置揭示下列信息。0049经过配置变更的主机的IP地址10001主机要求向。

35、其发送消息的IP地址和端口使用这个信息，控制器模块7更新单独网络安全装置的配置。0050图11从系统级角度来示出系统的示范原始操作。布置第一、第二和第三主机H1、H2、H3，其可配置成提供用于运行工业控制系统的所需应用和功能性，例如提供一个或多个生产控制单元51、52、53、61、62、63、64。主机H1、H2、H3可连接到网络/安全控制系统40，其可包括一个或多个网络单元41、42、43。变更管理器系统1和控制器模块7可连接到网络/安全控制系统40。在图11所示的示例中，允许第一主机H1与第二主机H2进行通信，这在图11中通过虚线示出。不允许变更管理器系统11与主机H1、H2、H3直接通信。

36、，而是仅与控制器模块7进行通信，这在图11中采用虚线示出。不允许第三主机H3与任何其它主机进行通信，而是作为冗余系统来配置。0051在例如由于网络线路的中断、主机装置的故障、系统崩溃等引起的第二主机H2的故障的情况下，系统自行适配到这种干扰。例如，第一主机H1将注意到这个情况，因为不再接收来自第二主机H2的确认。在这种情况下，第一主机H1可配置成建立与控制器模块7的通信，以便开启到变更管理器系统11的通信路径。0052图12中，示出所产生应用流程。例如，变更管理器系统11可要求第一主机H1经过重新配置，使得第三主机H3的控制块B用来代替第二主机H2的控制块B。控制器模块7确定并且实施所需变更，。

37、其中例如网络/控制系统40的安全控制设置成实现变更管理器系统11与第一以及第三主机H1、H3之间的通信。此外，也可实现第一主机H1与第三主机H3之间的通信。对应通信路径在图12中以虚线示出。基于这些通信路径，第一主机H1和第三主机H3根据地重新配置，其中例如已变更配置存储在变更管理器系统11中。此后，控制器模块7重新配置网络/控制系统40的安全控制，使得不允许变更管理器系统11与第一主机H1以及第三主机H3之间的直接通信。此外，例如，也可不允许与已经出故障的第二主机H2的通信。0053图13中，用于工业控制系统的动态配置的方法的步骤的示范序列。在步骤S1，接收工业控制系统的当前配置和安全设置。。

38、在步骤S2，接收已变更配置设置。在步骤S3，已更新配置和安全设置基于当前配置和安全设置以及已变更配置设置来确定。在步骤S4，动态建立至少一个通信路径，以便激活已更新配置和安全，使得工业控制系统采用已更新配置和安全设置来配置。说明书CN104204973A101/11页11图1说明书附图CN104204973A112/11页12图2说明书附图CN104204973A123/11页13图3说明书附图CN104204973A134/11页14图4图5说明书附图CN104204973A145/11页15图6说明书附图CN104204973A156/11页16图7说明书附图CN104204973A167/11页17图8说明书附图CN104204973A178/11页18图9说明书附图CN104204973A189/11页19图10说明书附图CN104204973A1910/11页20图11图12说明书附图CN104204973A2011/11页21图13说明书附图CN104204973A21。

展开阅读全文