用于工業(yè)控制系統(tǒng)的安全電源的制作方法
【專利摘要】本文公開了一種用于工業(yè)控制系統(tǒng)或包括分布式電源網(wǎng)絡(luò)的任何系統(tǒng)的電源�����。在實施例中�����,電源包括:電池模塊��,其包括電池單元和被配置為監(jiān)控電池單元的電池監(jiān)控器;以及自托管服務(wù)器�,其操作地與電池模塊耦合�����,該自托管服務(wù)器被配置為從電池監(jiān)控器接收診斷信息并提供對診斷信息的網(wǎng)絡(luò)存取��。在實施方式中�����,由自托管的服務(wù)器存儲的診斷信息可以經(jīng)由安全網(wǎng)絡(luò)(例如�����,安全訪問云計算環(huán)境)被廣播到以下各項或者由以下各項遠(yuǎn)程地存?���。浩髽I(yè)控制/監(jiān)控系統(tǒng)、應(yīng)用控制/監(jiān)控系統(tǒng)�����、或者其它遠(yuǎn)程系統(tǒng)�。
【專利說明】用于工業(yè)控制系統(tǒng)的安全電源
[0001]相關(guān)申請的交叉引用
[0002]本申請基于35U.S.C.§119(e)要求于2015年4月13日遞交的���、并且名稱為“POWERSUPPLY SYSTEM”的美國臨時專利申請N0.62/146,796的權(quán)益�����。本申請還是于2014年10月20日遞交的�、并且名稱為“SECURE POWER SUPPLY FOR AN INDUSTRIAL CONTROL SYSTEM”的美國非臨時專利申請N0.14/519,032的部分繼續(xù)申請。美國非臨時專利申請N0.14/519,032基于35U.S.C.§ 119 (e)要求于2014年2月14日遞交的�、并且名稱為“BACKUP POWER SUPPLY”的美國臨時專利申請N0.61/940,003的權(quán)益。美國非臨時專利申請N0.14/519,032還是于2013年8月6日遞交的����、并且名稱為“SECURE INDUSTRIAL⑶NTROL SYSTEM”的國際申請N0.PCT/US2013/053721的部分繼續(xù)申請。美國非臨時專利申請N0.14/519,032還是于2014年8月27日遞交的�����、并且名稱為“SECURE INDUSTRIAL⑶NTROL SYSTEM”的美國非臨時專利申請N0.14/469,931的部分繼續(xù)申請�。美國非臨時專利申請序列號N0.14/519,032還是于2014年7月30日遞交的、并且名稱為“INDUSTRIAL CONTROL SYSTEM CABLE”的美國非臨時專利申請序列號N0.14/446,412的部分繼續(xù)申請��,美國非臨時專利申請序列號N0.14/446,412基于35U.S.C.§119(e)要求于2014年7月7 日遞交的���、并且名稱為“INDUSTRIAL CONTROL SYSTEMCABLE”的美國臨時專利申請N0.62/021�����,438的優(yōu)先權(quán)����。上述臨時的和非臨時的專利申請通過引用方式將其全部內(nèi)容并入本文����。
【背景技術(shù)】
[0003]工業(yè)控制系統(tǒng)(諸如標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)(ICS)或可編程自動化控制器(PAC))包括在工業(yè)生產(chǎn)中使用的各種類型的控制設(shè)備,諸如監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)���、分布式控制系統(tǒng)(DCS)����、可編程邏輯控制器(PLC)以及經(jīng)安全標(biāo)準(zhǔn)(諸如IEC1508)認(rèn)證的工業(yè)安全系統(tǒng)����。這些系統(tǒng)被用在工業(yè)中,包括電����、水和廢水、油和氣的生產(chǎn)以及精煉、化學(xué)�、食品、制藥和機(jī)器人���。使用從各種類型的傳感器采集的信息來測量過程變量����、來自工業(yè)控制系統(tǒng)的自動的和/或操作者驅(qū)動的監(jiān)視命令可以被發(fā)送到各種致動器設(shè)備���,諸如控制閥��、液壓致動器���、磁致動器、電氣開關(guān)��、電機(jī)�����、螺線管等等��。這些致動器設(shè)備從傳感器和傳感器系統(tǒng)采集數(shù)據(jù)���,打開和關(guān)閉閥和斷路器�����,調(diào)節(jié)閥和發(fā)動機(jī)�,針對報警條件來監(jiān)控工業(yè)過程等等。
[0004]在其它示例中���,關(guān)于在地理上可以分開很廣的過程站點����,SCADA系統(tǒng)可以使用開環(huán)控制��。這些系統(tǒng)使用遠(yuǎn)程終端單元(RTU)來向一個或多個控制中心發(fā)送監(jiān)視數(shù)據(jù)���。部署RTU的SCADA應(yīng)用包括流體管道、配電以及大型通信系統(tǒng)�。DCS系統(tǒng)通常被用于利用高帶寬、低延時數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行實時數(shù)據(jù)采集和連續(xù)的控制����,并且被用在大型園區(qū)的工業(yè)過程工廠中,諸如油和氣����、精煉�����、化學(xué)�����、制藥���、食品和飲料、水和廢水����、制漿造紙、公用電源�����、以及礦業(yè)和金屬業(yè)����。PLC更典型地提供布爾和順序邏輯操作和定時器以及連續(xù)控制,并且經(jīng)常被用在獨立的機(jī)械和機(jī)器人中���。此外�����,ICE和PAC系統(tǒng)可以被用在針對建筑��、機(jī)場�����、輪船���、空間站等等的設(shè)施過程中(例如�,用于監(jiān)控和控制供暖��、通風(fēng)以及空氣調(diào)節(jié)(HVAC)設(shè)備和能耗)��。隨著工業(yè)控制系統(tǒng)的演變���,新技術(shù)正在結(jié)合這些各種類型的控制系統(tǒng)的方面。例如����,PAC可以包括SCADA���、DCS和PLC的方面。
【發(fā)明內(nèi)容】
[0005]公開了一種用于工業(yè)控制系統(tǒng)或任何包括分布式電源網(wǎng)絡(luò)的系統(tǒng)的電源�。所述電源包括電池模塊,所述電池模塊包括電池單元和被配置為監(jiān)控所述電池單元的電池監(jiān)控器�。在實施例中,所述電源還具有自托管的(self-hosted)服務(wù)器�,所述自托管的服務(wù)器與所述電池模塊操作地耦合。所述自托管的服務(wù)器被配置為從所述電池監(jiān)控器接收診斷信息��,并且提供對所述診斷信息的網(wǎng)絡(luò)存取�����。在實現(xiàn)方式中����,由自托管的服務(wù)器存儲的診斷可以經(jīng)由安全網(wǎng)絡(luò)(例如,安全訪問云計算環(huán)境)被廣播到以下各項或者由以下各項遠(yuǎn)程地存取:企業(yè)控制/監(jiān)控系統(tǒng)���、應(yīng)用控制/監(jiān)控系統(tǒng)����、或者其它遠(yuǎn)程系統(tǒng)�����。
[0006]提供本概述,以便以簡化的形式介紹一組概念�。這些概念在以下的【具體實施方式】中被進(jìn)一步地描述。本概述既不旨在標(biāo)識出所要求的主題的關(guān)鍵特征或必要特征����,也不旨在被用作幫助確定所要求的主題的范圍。
【附圖說明】
[0007]參照附圖來描述【具體實施方式】����。在描述和附圖中的不同的實例中對相同的附圖標(biāo)記的使用可以指示相似或相同的項目。
[0008]圖1是示出了根據(jù)本公開內(nèi)容的示例實施例的包括一個或多個認(rèn)證模塊的電源的框圖���。
[0009]圖2是示出了根據(jù)本公開內(nèi)容的示例實施例的工業(yè)控制系統(tǒng)的框圖���。
[0010]圖3是示出了根據(jù)本公開內(nèi)容的示例實施例的工業(yè)控制系統(tǒng)(諸如圖2的工業(yè)控制系統(tǒng))的框圖,其中工業(yè)控制系統(tǒng)從多個源(諸如電網(wǎng)以及一個或多個本地發(fā)電機(jī))接收電力�����,并且其中一個或多個備用電源被配置為使用多個電池模塊來存儲和返回電能���。
[0011]圖4是示出了根據(jù)本公開內(nèi)容的示例實施例的備用電源的框圖�����,所述備用電源被配置為與系統(tǒng)(諸如圖2的工業(yè)控制系統(tǒng))通信地耦合并且被配置為連接到電力源(例如����,圖2的電網(wǎng)和/或本地發(fā)電機(jī))以存儲和返回電能���,其中備用電源包括控制器和多個電池模塊�����,并且每個電池模塊具有與控制器通信地耦合的電池監(jiān)控器��。
[0012]圖5是示出了根據(jù)本公開內(nèi)容的示例實施例的備用電源(諸如圖4中示出的備用電源)的框圖�����,其中備用電源被配置為與系統(tǒng)(諸如圖2的工業(yè)控制系統(tǒng))通信地耦合�����,并且其中備用電源包括控制器����,所述控制器被配置為向系統(tǒng)提供關(guān)于被包括有備用電源的多個電池模塊的狀態(tài)的信息。
[0013]圖6是根據(jù)本公開內(nèi)容的示例實施例的對設(shè)備進(jìn)行認(rèn)證(諸如在圖1中示出的電源和/或其它設(shè)備����,諸如被連接到圖1中示出的電源的受電設(shè)備)的安全控制系統(tǒng)的圖示的說明。
[0014]圖7是示出了根據(jù)本公開內(nèi)容的示例實施例的用于工業(yè)控制系統(tǒng)(諸如圖6的安全控制系統(tǒng))的動作認(rèn)證路徑的框圖����。
[0015]圖8是進(jìn)一步地示出了根據(jù)本公開內(nèi)容的示例實施例的圖7的動作認(rèn)證路徑的框圖。
[0016]圖9是示出了根據(jù)本公開內(nèi)容的示例實施例的用于認(rèn)證動作請求的方法的流程圖��。
[0017]圖10是示出了根據(jù)本公開內(nèi)容的示例實施例的電池模塊的框圖����。
[0018]圖11是示出了根據(jù)本公開內(nèi)容的示例實施例的在電源和工業(yè)控制系統(tǒng)元件之間的連接的框圖。
[0019]圖12是示出了根據(jù)本公開內(nèi)容的示例實施例的第一電源和一個或多個冗余電源之間的連接的框圖���。
【具體實施方式】
[0020]
[0021]在工業(yè)控制系統(tǒng)環(huán)境中�����,電力通常是使用本地發(fā)電(例如���,使用現(xiàn)場渦輪機(jī)和/或柴油發(fā)電機(jī))從電網(wǎng)(例如,使用來自AC干線的高電壓電力)提供到諸如控制器�、輸入/輸出(I/O)模塊等之類的自動化設(shè)備等等。經(jīng)常地���,還從電池向這些環(huán)境中的自動化設(shè)備提供備用電力����。例如�,可以使用例如鉛酸電池來在工業(yè)環(huán)境中提供大規(guī)模電池儲能。來自大規(guī)模電池儲能的電力可以使用集中的���、交流(AC)電力傳輸技術(shù)來提供��。在其它示例中�,使用較小的�、分散的直流(DC)電池電源。例如���,備用電池電力由較小的鉛酸電池在機(jī)柜��、控制器�����、I/O模塊等的水平上提供�����。然而���,當(dāng)與較新的可再充電電池技術(shù)(例如��,鋰離子電池)相比時�,鉛酸電池具有相對低的能量密度����。進(jìn)一步,在這些配置中�����,備用電池通常與控制硬件分開���,需要到每個電池的單獨連接�,以監(jiān)控電池狀態(tài)��。例如�����,工業(yè)自動化環(huán)境中的備用電池通常都連接到控制硬件的備用I/O端口,以監(jiān)控這樣的電池的活動(例如���,開/關(guān)狀態(tài))。
[0022]公開了一種用于工業(yè)控制系統(tǒng)或者任何包括分布式電源網(wǎng)絡(luò)的系統(tǒng)的電源��。該電源包括電池模塊���,其包括電池單元以及被配置為監(jiān)控所述電池單元的電池監(jiān)控器�����。在實施例中�����,電源還具有操作地與電池模塊耦合的自托管的服務(wù)器����。自托管的服務(wù)器被配置為從所述電池監(jiān)控器接收診斷信息��,并且提供對所述診斷信息的網(wǎng)絡(luò)存取�����。在實現(xiàn)方式中,由自托管的服務(wù)器存儲的診斷可以經(jīng)由安全網(wǎng)絡(luò)(例如�,安全訪問云計算環(huán)境)被廣播到以下各項或者由以下各項遠(yuǎn)程地存取:企業(yè)控制/監(jiān)控系統(tǒng)、應(yīng)用控制/監(jiān)控系統(tǒng)��、或者其它遠(yuǎn)程系統(tǒng)���。電源網(wǎng)絡(luò)可以包括多個分布式電源�。分布式電源可以與彼此相通信(例如���,經(jīng)由各自的服務(wù)器之間的網(wǎng)絡(luò))��。
[0023]工業(yè)控制系統(tǒng)可以包括被耦合到至少一個輸入/輸出模塊的至少一個控制模塊����,所述至少一個輸入/輸出模塊由控制模塊來控制和監(jiān)控���,其中輸入/輸出模塊被配置成從傳感器接收輸入信號或者為致動器或者電機(jī)提供輸出信號����?���?刂颇K和/或所述輸入/輸出模塊可以被耦合到電力模塊�����,以用于向控制模塊和/或輸入/輸出模塊提供電力����。在一些實施例中��,第一電力模塊為控制模塊和輸入/輸出模塊兩者服務(wù)����。在其它實施例中����,第一電力模塊為控制模塊服務(wù),并且第二電力模塊為輸入/輸出模塊服務(wù)�。進(jìn)一步,可以理解的是�,可以實現(xiàn)多個控制模塊和/或多個輸入/輸出模塊。前述示例是出于解釋的目的而提供的���,而不應(yīng)該被理解為將系統(tǒng)限制為單個控制��、輸入/輸出或者電力模塊�。工業(yè)控制系統(tǒng)可以包括一個或多個電源(例如,獨立的電源或者分布式電源網(wǎng)絡(luò))�����,以用于將電力分配到電力模塊���。
[0024]本文還描述了用于促進(jìn)對工業(yè)控制系統(tǒng)環(huán)境中的電池電源(例如���,不間斷的電源(UPS)設(shè)備)的監(jiān)控和控制的系統(tǒng)和技術(shù)。描述的技術(shù)和系統(tǒng)可以使用高能量密度可再充電電池技術(shù)(例如���,鋰離子可再充電電池技術(shù))來實現(xiàn)�。在本公開內(nèi)容的實施例中��,工業(yè)UPS提供通信和/或安全特征�,例如,雙向系統(tǒng)通信���、控制系統(tǒng)集成���、網(wǎng)絡(luò)安全集成等等�����。例如�,工業(yè)UPS提供狀態(tài)信息��、診斷信息����、可靠性信息、雙向通信等等�。在一些實施例中,工業(yè)UPS實現(xiàn)密鑰加密的微控制器技術(shù)��。
[0025]在一些實施例中����,電源包括可以執(zhí)行對電源和/或被連接到電源的設(shè)備的認(rèn)證的電路(例如�����,印刷電路板(PCB)��、集成電路(IC)芯片和/或其它電路)��。這可以防止或者最小化將電源插入到不旨在與該特定電源或者電源類型一起使用的設(shè)備中的可能(例如,防止或者最小化低電壓電源被插入到高電壓設(shè)備中的可能性)����。例如,電源利用耦合的模塊執(zhí)行“握手”操作�,以驗證電源與合適的和/或期望的設(shè)備配對。在一些實施例中���,諸如發(fā)光二極管(LED)指示燈之類的指示器被用于提供對該認(rèn)證的通知�。例如�����,多色LED和/或單色LED提供診斷信息����,以指示認(rèn)證的狀態(tài)(例如,使用純色發(fā)光�、不發(fā)光、閃爍��、一種顏色代表一種狀態(tài)和另一種顏色代表另一種狀態(tài)等等)。
[0026]在一些實施例中�����,電源可以被用于認(rèn)證另一個設(shè)備���,例如���,從電源接收電力的儀器。例如,電源電路可以被用來認(rèn)證受電設(shè)備、受電設(shè)備的類型、受電設(shè)備的生產(chǎn)商等等��。以這種方式,可以防止或者最小化在工業(yè)自動化環(huán)境中對偽造設(shè)備的使用��。進(jìn)一步,電源可以被用于向諸如控制器����、輸入/輸出(I/o)模塊、端設(shè)備�����、現(xiàn)場設(shè)備(例如��,過程傳感器和/或致動器)等之類的設(shè)備認(rèn)證它自身���。在一些實施例中�����,電源促進(jìn)電源和被連接到電源的設(shè)備之間的加密通信�。例如���,電源可以提供電源和端設(shè)備����、現(xiàn)場設(shè)備等之間的雙向加密通信�。進(jìn)一步,在一些實施例中���,操作者可以使用被連接到網(wǎng)絡(luò)的電源來獲得關(guān)于現(xiàn)場設(shè)備(例如����,傳感器��、致動器或者任何其它儀器)的認(rèn)證信息�。在一些實施例中,兩個或更多個認(rèn)證模塊(例如���,第一認(rèn)證模塊和第二認(rèn)證模塊)被配置為在安裝新設(shè)備時����、在啟動時/復(fù)位時、周期性地�、在預(yù)定的時間和/或其它預(yù)先定義的事件時執(zhí)行認(rèn)證序列(例如,“握手”)�����。如果認(rèn)證模塊未能對另一個設(shè)備進(jìn)行認(rèn)證和/或彼此進(jìn)行認(rèn)證��,則設(shè)備中的至少一個設(shè)備(例如��,未經(jīng)認(rèn)證的設(shè)備)可以被部分或者完全地禁用和/或限制與其它設(shè)備進(jìn)行通信��。
[0027]在工業(yè)控制系統(tǒng)中�����,各種工業(yè)元件/子系統(tǒng)(例如�,輸入/輸出模塊、電源模塊�、現(xiàn)場設(shè)備、開關(guān)����、工作站和/或物理互連設(shè)備)是由控制元件/子系統(tǒng)(例如,一個或多個通信/控制模塊)來控制或驅(qū)動的���?��?刂圃?子系統(tǒng)根據(jù)從動作發(fā)起者接收的編程和動作請求(例如�,可執(zhí)行的軟件模塊�、控制命令��、數(shù)據(jù)請求等)來操作�,所述動作發(fā)起者例如是但不必然地被限定于:操作者接□(例如,SCADA或者人機(jī)界面(HMI))����、工程接口、本地應(yīng)用����、遠(yuǎn)程應(yīng)用等等。在多個動作發(fā)起者存在的情況下���,工業(yè)控制系統(tǒng)可以是易受對數(shù)據(jù)和/或控制的未經(jīng)授權(quán)的存取的攻擊的�����。進(jìn)一步�����,工業(yè)控制系統(tǒng)可能是易受可以以更新�����、應(yīng)用圖像�����、控制命令等的形式發(fā)送的惡意軟件���、間諜軟件或者其它損壞的/惡意的軟件攻擊的�����。簡單地認(rèn)證操作者可能不足以保護(hù)該系統(tǒng)免于惡意行動者或者甚至可以經(jīng)由有效的登錄或者表面上看來有效的(例如���,被黑客攻擊的)應(yīng)用或者操作者/工程接口發(fā)起的無意地未經(jīng)授權(quán)的請求/命令。
[0028]本公開內(nèi)容是針對用于防止未經(jīng)授權(quán)的動作請求免于在工業(yè)控制系統(tǒng)中被處理的控制器�����、系統(tǒng)和技術(shù)的?����?梢越?jīng)由從動作發(fā)起者到工業(yè)元件/控制器(例如���,通信/控制模塊����、輸入/輸出(I/O)模塊���、電力模塊、現(xiàn)場設(shè)備�、開關(guān)、工作站�、物理互連設(shè)備等)的認(rèn)證路徑來保護(hù)對操作或者全部操作者動作和/或其它控制動作或者請求的預(yù)先定義的選擇。在實現(xiàn)方式中����,工業(yè)控制系統(tǒng)要求動作認(rèn)證器來對由動作發(fā)起者產(chǎn)生的動作請求進(jìn)行簽名。未經(jīng)簽名的動作請求可以自動地產(chǎn)生錯誤����,并且將不被工業(yè)元件/控制器處理或者執(zhí)行。工業(yè)元件/控制器可以被配置為接收所簽名的動作請求,驗證對所簽名的動作請求的真實性���,并且當(dāng)所簽名的動作請求的真實性被驗證時執(zhí)行請求的操作�。以這種方式����,惡意的或者以其它方式未經(jīng)授權(quán)的動作請求不被處理,并且因此系統(tǒng)可以被保護(hù)而免于遭受惡意軟件�、間諜軟件、對控制參數(shù)的未經(jīng)授權(quán)的改變�、對數(shù)據(jù)的未經(jīng)授權(quán)的存取等。
[0029]示例的實現(xiàn)方式
[0030]主要參考圖1至圖12����,根據(jù)本公開內(nèi)容描述了示例電源。在一些實施例中�,電源120包括一個或多個認(rèn)證模塊134,所述認(rèn)證模塊134被配置為向被連接至電源120的設(shè)備(例如��,I/O模塊102��、控制模塊104等(例如�,如圖1中示出的))認(rèn)證電源120和/或電源120的一個或多個電池模塊122。認(rèn)證模塊134還可以被用于認(rèn)證被連接至電源120的一個或多個設(shè)備�。在一些實施例中��,認(rèn)證模塊134存儲與電源120相關(guān)聯(lián)的唯一標(biāo)識符136和/或安全憑證138(例如����,如圖5中示出的�����,其中���,使用控制器128來實現(xiàn)認(rèn)證模塊�����,所述控制器128包括處理器140以及存儲一個或多個唯一標(biāo)識符136和/或安全憑證138的存儲器142)。認(rèn)證模塊134可以被配置為基于認(rèn)證來建立和/或阻止與被連接至電源120的設(shè)備的連接�。電源120還可以包括用于(例如,向操作者)指示認(rèn)證的指示器(例如���,指示燈144)�。
[0031 ]在一些實施例中�����,電源120包括報警模塊146。在本公開內(nèi)容的實施例中�,報警模塊146被配置為當(dāng)電源120和/或被連接至電源120的設(shè)備滿足一條件和/或條件的集合時(例如,向操作者)提供報警���。例如��,當(dāng)獲得對電源120和/或被連接至電源的設(shè)備的認(rèn)證和/或?qū)﹄娫?20和/或被連接至電源的設(shè)備的認(rèn)證失敗時��,由認(rèn)證模塊134生成報警���,并由報警模塊146提供該警告。例如��,電源120執(zhí)行與耦合的受電設(shè)備(例如���,I/O模塊102和/或控制模塊104)的“握手”操作�����,以驗證電源120與合適的和/或期望的設(shè)備配對�����。若否��,則報警模塊146可以被用于(例如�����,經(jīng)由網(wǎng)絡(luò))警告操作者�。在一些實施例中,以電子郵件的形式向操作者提供報警�����。在其它實施例中�����,以文本消息的形式向操作者提供報警����。然而,這些報警是通過示例的方式來提供的�,而不意味著限制本公開內(nèi)容���。在其它實施例中�,向操作者提供不同的報警�����。此外,當(dāng)認(rèn)證過程滿足條件時�,可以向操作者提供多個報警(例如,電子郵件和文本消息等)�。應(yīng)當(dāng)注意到的是,對于其它條件����,可以由認(rèn)證模塊134和/或報警模塊146來提供報警,這些條件包括但不必限于:電源故障����、電池模塊故障、連接的設(shè)備故障����、針對電源和/或受電設(shè)備的各種錯誤條件等。
[0032]認(rèn)證模塊134還可以被配置為對電源120與被連接至電源120的一個或多個設(shè)備之間的通信進(jìn)行加密�����。如圖1中所示的�����,電源120可以包括加密模塊148。例如�,使用一種或多種加密協(xié)議來發(fā)送電源120與受電設(shè)備之間的信息。這樣的加密協(xié)議的示例包括但不必限于:傳輸層安全(TLS)協(xié)議��、安全套接層(SSL)協(xié)議等�����。例如��,電源120與受電設(shè)備之間的通信可以使用HTTP安全(HTTPS)協(xié)議����,其中HTTP協(xié)議分層在SSL和/或TLS協(xié)議之上。
[0033]在一些實施例中����,可以在電源120與被連接至電源120的設(shè)備之間執(zhí)行認(rèn)證序列。例如���,電源120通過使用控制器128的認(rèn)證模塊134執(zhí)行認(rèn)證序列����,來對耦合的I/O模塊102���、控制模塊104等進(jìn)行認(rèn)證�。在其它實施例中����,被連接至電源120的設(shè)備可以對電源120進(jìn)行認(rèn)證。例如����,控制模塊104可以通過利用控制器128的認(rèn)證模塊134執(zhí)行認(rèn)證序列,來對耦合的電源120進(jìn)行認(rèn)證����。在其它實施例中,一個電源120可以對另一電源120進(jìn)行認(rèn)證��。例如��,第一電源120通過執(zhí)行第一電源120的控制器128的第一認(rèn)證模塊134與第二電源120的控制器128的第二認(rèn)證模塊134之間的認(rèn)證序列���,來對第二(冗余)電源120進(jìn)行認(rèn)證�����。在一些實施例中����,第二電源120還可以對第一電源120進(jìn)行認(rèn)證。
[0034]應(yīng)當(dāng)注意到的是���,雖然處理器140和存儲器142被描述為具有作為控制器128的一部分的一些特性(例如���,參考圖1),但是這種結(jié)構(gòu)是通過示例的方式來提供的��,而不意味著限制本公開內(nèi)容����。因此,(例如�����,除了利用控制器128包括的處理器140和存儲器142之外��,或替代利用控制器128包括的處理器140和存儲器142)��,一個或多個的電池模塊122還可以包括處理器���、存儲器等�����。在這樣的實施例中�����,一個或多個的電池模塊122可以包括一個或多個認(rèn)證模塊134�����,例如���,在認(rèn)證模塊134采用處理器和(可能存儲一個或多個密鑰、證書�����、唯一標(biāo)識符��、安全憑證等的)存儲器來向一個或多個其它設(shè)備(例如��,其它電池模塊122��、控制器128、控制元件或子系統(tǒng)等)認(rèn)證電池模塊134和/或認(rèn)證與電源120耦合的其它設(shè)備(例如����,其它電池模塊122、控制器128���、控制元件或子系統(tǒng)等)的情況下��。
[0035]在一些實施例中����,電池模塊134可以對電源120的控制器128和/或連接的設(shè)備(例如��,與電源120耦合的受電設(shè)備)進(jìn)行認(rèn)證����。例如,電池模塊134可以通過使用電池模塊134的認(rèn)證模塊134執(zhí)行認(rèn)證序列����,來對電源120的控制器128和/或耦合的I/O模塊102、控制模塊104等進(jìn)行認(rèn)證���。在其它實施例中����,被連接至電源120的受電設(shè)備可以對一個或多個電池模塊122進(jìn)行認(rèn)證。例如����,控制模塊104通過利用相應(yīng)的電池模塊134的認(rèn)證模塊134執(zhí)行認(rèn)證序列,來對連接的電源120的一個或多個(例如�,每個)電池模塊122進(jìn)行認(rèn)證���。
[0036]在一些實施例中����,控制器128可以對一個或多個電池模塊134進(jìn)行認(rèn)證���。例如,控制器128通過執(zhí)行控制器128的認(rèn)證模塊134與相應(yīng)的電池模塊122的認(rèn)證模塊134之間的認(rèn)證序列,來對一個或多個電池模塊134進(jìn)行認(rèn)證��。在進(jìn)一步的實施例中��,一個電池模塊122可以對另一電池模塊122進(jìn)行認(rèn)證���。例如���,第一電池模塊122通過執(zhí)行第一電池模塊122的第一認(rèn)證模塊134與第二電池模塊122的第二認(rèn)證模塊134之間的認(rèn)證序列����,來對第二電池模塊122進(jìn)行認(rèn)證�����。在一些實施例中�����,第二電池模塊122還可以對第一電池模塊122進(jìn)行認(rèn)證��。
[0037]可以與工業(yè)控制系統(tǒng)一起使用電源120��。例如�,參考圖2,根據(jù)本公開內(nèi)容描述了示例工業(yè)控制系統(tǒng)100�。在實施例中,工業(yè)控制系統(tǒng)100可以包括工業(yè)控制系統(tǒng)(ICS)�、可編程自動化控制器(PAC)、監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)�、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)和經(jīng)安全標(biāo)準(zhǔn)(例如���,IEC1508)認(rèn)證的工業(yè)安全系統(tǒng)等��。工業(yè)控制系統(tǒng)100使用通信控制架構(gòu)來實現(xiàn)分布式控制系統(tǒng)���,所述分布式控制系統(tǒng)包括控制元件或子系統(tǒng)�����,其中所述子系統(tǒng)是由分布在整個系統(tǒng)中的一個或多個控制器來控制的��。例如����,一個或多個I/O模塊102被連接至一個或多個控制模塊104�。工業(yè)控制系統(tǒng)100被配置為向I/O模塊102發(fā)送數(shù)據(jù)���,以及從I /0模塊1 2接收數(shù)據(jù)����。I /0模塊102可以包括輸入模塊��、輸出模塊和/或輸入及輸出模塊����。例如�����,在過程中����,輸入模塊可以被用于從輸入傳感器接收信息����,而輸出模塊可以被用于向輸出致動器發(fā)送指令。例如���,I/O模塊104可以被連接至處理傳感器106(例如���,照度傳感器、輻射傳感器�����、氣體傳感器����、溫度傳感器���、電氣傳感器、磁傳感器和/或聲音傳感器)以便測量天然氣廠�����、煉油廠等的管道中的壓力�,和/或被連接至處理致動器108(例如,控制閥���、液壓致動器����、磁致動器���、電機(jī)、螺線管���、電氣開關(guān)����、發(fā)射機(jī)等)���。
[0038]在實現(xiàn)方式中���,I/O模塊102可以被用于控制系統(tǒng)以及收集應(yīng)用中的數(shù)據(jù)��,所述應(yīng)用包括但不必限于:工業(yè)過程(例如���,加工、生產(chǎn)�、發(fā)電、制造和精煉)�����;基礎(chǔ)設(shè)施過程(例如��,水處理及分配��、污水收集及處理�����、油和氣的管道輸送��、電力傳輸及分配、風(fēng)場和大型通信系統(tǒng))��;用于建筑物�����、機(jī)場�、輪船和空間站的設(shè)施過程(例如,用于監(jiān)控和控制供暖�����、通風(fēng)和空氣調(diào)節(jié)(HVAC)設(shè)備以及能耗)���;大型園區(qū)的工業(yè)過程工廠(例如���,油和氣、精煉��、化學(xué)���、制藥、食品和飲料��、水和廢水�、制漿造紙����、公用電源�、礦業(yè)、金屬業(yè))和/或關(guān)鍵基礎(chǔ)設(shè)施�����。
[0039]在實現(xiàn)方式中��,I/O模塊102可以被配置為將從傳感器106接收到的模擬數(shù)據(jù)轉(zhuǎn)換成數(shù)字?jǐn)?shù)據(jù)(例如���,使用模擬-至-數(shù)字轉(zhuǎn)換器(ADC)電路等)��。1/0模塊102還可以被連接到致動器108并被配置為控制致動器108的一個或多個操作特性�����,例如��,速度�����、扭矩等�����。此外��,I/O模塊102可以被配置為將數(shù)字?jǐn)?shù)據(jù)轉(zhuǎn)換成模擬數(shù)據(jù)���,以便傳輸?shù)街聞悠?08(例如����,使用數(shù)字-至-模擬(DAC)電路等)����。在實現(xiàn)方式中,I/O模塊102中的一個或多個可以包括被配置用于經(jīng)由通信子總線進(jìn)行通信的通信模塊�,所述通信子總線例如以太網(wǎng)總線、Hl現(xiàn)場總線��、過程現(xiàn)場總線(PR0FIBUS)���、高速可尋址遠(yuǎn)程換能器(HART)總線�、網(wǎng)絡(luò)通信協(xié)議(Modbus)等等�。此外���,兩個或更多個I/O模塊102可以被用于針對通信子總線提供容錯和冗余連接��。
[0040]每個I/O模塊102可以被提供有唯一標(biāo)識符(ID)����,所述唯一標(biāo)識符(ID)用于將一個I/0模塊102與另一個I/0模塊102進(jìn)行區(qū)分。在實現(xiàn)方式中����,當(dāng)I/0模塊102被連接到工業(yè)控制系統(tǒng)100時,其是由它的ID來標(biāo)識的�。多個I /0模塊1 2可以與工業(yè)控制系統(tǒng)100—起使用,以提供冗余����。例如,兩個或更多個I/O模塊102可以被連接到傳感器106和/或致動器108�。每個I/O模塊102可以包括一個或多個端口以及與所述I/O模塊102包括在一起的電路,所述端口提供到硬件的物理連接��,所述電路例如印刷電路板(PCB)等���。
[0041]I/O模塊102中的一個或多個可以包括用于連接至其它網(wǎng)絡(luò)的接口��,所述接口包括但不必限于:廣域蜂窩電話網(wǎng)絡(luò)�����,諸如3G蜂窩網(wǎng)絡(luò)����、4G蜂窩網(wǎng)絡(luò)、或全球移動通信系統(tǒng)(GSM)網(wǎng)絡(luò);無線計算機(jī)通信網(wǎng)絡(luò)���,諸如W1-Fi網(wǎng)絡(luò)(例如�,使用IEEE 802.11網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線LAN(WLAN))���;個域網(wǎng)(PAN)(例如��,使用IEEE 802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線PAN(WPAN))����;廣域網(wǎng)(WAN);內(nèi)聯(lián)網(wǎng)���;外聯(lián)網(wǎng);互聯(lián)網(wǎng)�;因特網(wǎng)等等��。此外,I/O模塊102中的一個或多個可以包括用于將I/O模塊102連接到計算機(jī)總線的連接等�。
[0042]控制模塊104可以被用來監(jiān)控和控制I/O模塊102,以及將兩個或更多個I/O模塊102連接在一起�����。在本公開內(nèi)容的實施例中�����,當(dāng)I/O模塊102基于針對所述I/O模塊102的唯一ID連接到工業(yè)控制系統(tǒng)100時��,控制模塊104可以更新路由表�����。此外���,當(dāng)使用多個冗余的I/0模塊102時,每個控制模塊104可以實現(xiàn)對關(guān)于I/O模塊102的信息數(shù)據(jù)庫的鏡像�����,并且隨著從I/O模塊102接收到數(shù)據(jù)和/或向I/O模塊102發(fā)送數(shù)據(jù)而更新所述信息數(shù)據(jù)庫�����。在一些實現(xiàn)方式中,兩個或更多個控制模塊104被用于提供冗余�����。為了增加的安全性�,控制模塊104可以被配置為執(zhí)行認(rèn)證序列或握手以在預(yù)先定義的事件或時間互相認(rèn)證,所述預(yù)先定義的事件或時間包括但不必限于:啟動���、復(fù)位���、新的控制模塊104的安裝、控制模塊104的更換��、定期地����、預(yù)定的時間等等。此外����,控制模塊104可以被配置為以隨機(jī)(例如,偽隨機(jī))的時間間隔來執(zhí)行認(rèn)證�。
[0043]可以將由工業(yè)控制系統(tǒng)100發(fā)送的數(shù)據(jù)進(jìn)行分組����,S卩����,可以將數(shù)據(jù)的不連續(xù)的部分轉(zhuǎn)換成包含數(shù)據(jù)部分與網(wǎng)絡(luò)控制信息等的數(shù)據(jù)分組。工業(yè)控制系統(tǒng)100可以使用一個或多個協(xié)議進(jìn)行數(shù)據(jù)傳輸����,所述協(xié)議包括諸如高級數(shù)據(jù)鏈路控制(HDLC)的面向比特的同步數(shù)據(jù)鏈路層協(xié)議�。在一些實施例中,工業(yè)控制系統(tǒng)100根據(jù)國際標(biāo)準(zhǔn)化組織(ISO)的13239標(biāo)準(zhǔn)等實現(xiàn)HDLC�。此外,兩個或更多個控制模塊104可以被用于實現(xiàn)冗余的HDLC��。然而��,應(yīng)該注意的是�����,HDLC是通過示例的方式提供的���,而不意味著限制本公開內(nèi)容����。因此,工業(yè)控制系統(tǒng)100可以根據(jù)本公開內(nèi)容使用其它各種通信協(xié)議��。
[0044]控制模塊104中的一個或多個可以被配置用于經(jīng)由I/O模塊102與被用于監(jiān)控和/或控制被連接到工業(yè)控制系統(tǒng)100的儀器的部件來交換信息��,所述部件例如一個或多個控制回路反饋機(jī)制/控制器���。在實現(xiàn)方式中���,控制器可以被配置為微控制器/可編程邏輯控制器(PLC)、比例-積分-微分(PID)控制器等等��。在本公開內(nèi)容的實施例中��,I /0模塊102和控制模塊104包括網(wǎng)絡(luò)接口���,所述網(wǎng)絡(luò)接口例如用于經(jīng)由網(wǎng)絡(luò)110將一個或多個I/0模塊102連接到一個或多個控制器���。在實現(xiàn)方式中,網(wǎng)絡(luò)接口可以被配置為用于將I/O模塊102連接到局域網(wǎng)(LAN)的千兆比特的以太網(wǎng)接口�。此外,兩個或更多個控制模塊104可以被用于實現(xiàn)冗余千兆比特以太網(wǎng)。
[0045]然而�����,應(yīng)該注意到的是�����,千兆比特以太網(wǎng)是通過示例的方式提供的��,而不意味著限制本公開內(nèi)容��。因此��,網(wǎng)絡(luò)接口可以被配置用于將控制模塊104連接到其它各種網(wǎng)絡(luò)���,所述其它各種網(wǎng)絡(luò)包括但不必限于:廣域蜂窩電話網(wǎng)絡(luò)(諸如3G蜂窩網(wǎng)絡(luò)、4G蜂窩網(wǎng)絡(luò)�����、或GSM網(wǎng)絡(luò))�����;無線計算機(jī)通信網(wǎng)絡(luò)(諸如W1-Fi網(wǎng)絡(luò)(例如,使用IEEE 802.11網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線LAN(WLAN))) ;PAN(例如����,使用IEEE 802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的WPAN) ;WAN���;內(nèi)聯(lián)網(wǎng)��;外聯(lián)網(wǎng)����;互聯(lián)網(wǎng)�;因特網(wǎng)等等。另外�����,網(wǎng)絡(luò)接口可以使用計算機(jī)總線來實現(xiàn)�����。例如�����,網(wǎng)絡(luò)接口可以包括諸如微型PCI接口等外圍部件互連(PCI)卡接口。此外��,網(wǎng)絡(luò)110可以被配置為包括跨越不同的接入點的單個網(wǎng)絡(luò)或多個網(wǎng)絡(luò)�。
[0046]現(xiàn)在參照圖3,工業(yè)控制系統(tǒng)100可以從多個源接收電力�����。例如�,交流電是從電網(wǎng)112提供的(例如,使用來自交流干線的高壓電力)�����。還可以使用本地發(fā)電(例如�,現(xiàn)場渦輪機(jī)或柴油本地發(fā)電機(jī)114)來提供交流電。電源116被用于將來自電網(wǎng)112的電力分配給工業(yè)控制系統(tǒng)100的自動化設(shè)備���,例如,控制器����、I/O模塊等等。另一電源118被用于將來自本地發(fā)電機(jī)114的電力分配給自動化設(shè)備�。工業(yè)控制系統(tǒng)100還包括額外的(備用)電源120,其被配置為使用多個電池模塊122來存儲和返回直流電。例如����,電源120起UPS的作用。在本公開內(nèi)容的實施例中�,多個電源116、118和/或120被(例如�����,物理上分散的)分布在工業(yè)控制系統(tǒng)100內(nèi)��。
[0047]在一些實施例中����,一個或多個電源116、118和/或120是在機(jī)柜的水平上提供的��。例如��,一個電源120被用于向控制模塊104及其相關(guān)聯(lián)的I/O模塊102提供備用電力��。在其它實施例中�,一個電源120被用于向控制模塊104提供備用電力,而另一個電源120被用于向相關(guān)聯(lián)的I/O模塊102提供備用電力(例如�,其中在設(shè)施內(nèi)����,I/O模塊102和控制模塊104通過某個距離物理地分隔開��,其中在I/O模塊102和控制模塊104之間保持電隔離等等)�����。
[0048]電源116�����、118和/或120還可以被配置為向現(xiàn)場設(shè)備供電��,所述現(xiàn)場設(shè)備例如參照圖2描述的傳感器106和/或致動器108����。例如,電源116和118中的一個或多個包括交流到直流(AC/DC)轉(zhuǎn)換器�,其用于將(例如,如由AC干線供給的)AC轉(zhuǎn)換為DC�,以傳輸給致動器108(例如,在其中致動器108是DC電機(jī)或其它DC致動器的實現(xiàn)方式中)�����。此外���,被用于提供冗余的兩個或更多個電源116��、118和/或120可以使用針對每個電源120的單獨的(冗余的)電源背板來連接到工業(yè)控制系統(tǒng)100的自動化設(shè)備�����。
[0049]參照圖4�,電源120包括多個電池模塊122����。在本公開內(nèi)容的實施例中,每個電池模塊122包括鋰離子電池單元124����。例如,電池模塊122是使用一又二分之一伏特(1.5 V)的鋰離子電池單元�����、三伏特(3V)的鋰離子電池單元等實現(xiàn)的����。在一些實施例中��,電源120包括堆疊在一起的���、八(8)個到十(10)個之間的電池模塊122。然而�,八(8)個到十(10)個之間的電池模塊122的堆疊是通過示例的方式提供的,而不意味著限制本公開內(nèi)容�����。在其它實施例中�,少于八(8)個或多于十(10)個電池模塊122堆疊在一起。
[0050]圖1O中示出了電源120的另一個實施例�����。電源120可以包括電池組�����,所述電池組包括電池模塊122的堆疊(每個電池模塊122包括一個或多個電池單元)�。在一些實施例中,將每個電池模塊122包封(encase)在電池模塊保護(hù)層404(例如��,電流隔離層)中��,并且將電池模塊122堆疊在一起以形成電池組。經(jīng)堆疊的電池模塊122(即���,電池組)還可以被電池組保護(hù)層402(例如,另一個電流隔離層或屏蔽勢皇)包封住���。電源120可以包括一個或多個電池組并且可以進(jìn)一步具有電源保護(hù)層400 (例如����,構(gòu)成電源120的�、圍繞電池模塊的工業(yè)級(例如,招)外殼)��。在一些實施例中�,電源保護(hù)層/包裝(encasementMOO是利用水密封的連接器以數(shù)噸的壓力來組裝的。電源保護(hù)層/包裝400可以是在一個或多個方向(例如�����,用于現(xiàn)場部署的多個可能的方向)上可安裝的�����。
[0051]應(yīng)當(dāng)注意到的是����,盡管將電池模塊122描述為包括鋰離子電池單元124�����,但是本公開內(nèi)容的系統(tǒng)和技術(shù)可以使用其它可再充電的電池���、存儲(storage )和/或蓄電池(accumu I ator)技術(shù),包括但不必限于:鉛酸電池�����、堿性電池��、鎳鎘電池�����、鎳金屬氫化物電池���、鋰離子聚合物電池����、鋰硫電池、薄膜鋰電池���、鉀離子電池�、鈉離子電池��、鎳鐵電池��、鎳氫電池�、鎳鋅電池�、鋰空氣電池、磷酸鐵鋰電池�����、鈦酸鋰電池���、溴化鋅電池����、全釩液流電池���、鈉硫電池���、熔鹽電池����、氧化銀電池等等����。
[0052]電池模塊122中的每個都包括實時電池監(jiān)控器126,其可以使用(例如)印刷電路板(PCB)來實現(xiàn)�。在本公開內(nèi)容的實施例中,由控制器128(例如���,微控制器)使用電池監(jiān)控器126來對電池單元124進(jìn)行操作�����。例如���,每個電池監(jiān)控器126向控制器128提供針對每個相應(yīng)的電池單元124的診斷信息。診斷信息包括但不必限于:電池單元124的工作電壓�����、電池單元124的工作電流(例如��,以安培為單位)、進(jìn)入電池單元124的電荷的單位(例如�����,以庫侖為單位)�、流出電池單元124的電荷的單位(例如,以庫侖為單元)����、電池單元124的壽命(例如,以時間為單位�����、以充電/放電周期的數(shù)量為單位)等等�����。
[0053]在實施例中��,控制器128被配置為自托管的服務(wù)器和/或與電源120的自托管的服務(wù)器通信地耦合�����。自托管的服務(wù)器可以(例如)包括在本地存儲器(例如�����,內(nèi)部硬盤驅(qū)動器��、固態(tài)磁盤驅(qū)動器�����、閃存等)中保存數(shù)據(jù)的服務(wù)器�����。自托管的服務(wù)器可以接收并且存儲來自電源的每個電池監(jiān)控器126的診斷信息����。自托管的服務(wù)器被配置為提供對診斷信息的網(wǎng)絡(luò)存取。例如�,自托管的服務(wù)器可以廣播該診斷信息或者可以經(jīng)由與服務(wù)器的互聯(lián)網(wǎng)或內(nèi)聯(lián)網(wǎng)連接來提供對數(shù)據(jù)庫、文件目錄�����、或日志的存取�。在實施例中,自托管的服務(wù)器與IEEE625410PC統(tǒng)一架構(gòu)通信棧相兼容��。自托管的服務(wù)器可以提供對各種各樣的電力變量和/或診斷的存取,所述各種各樣的電力變量和/或診斷可以被工業(yè)控制系統(tǒng)應(yīng)用���、企業(yè)��、和/或準(zhǔn)許監(jiān)控電源網(wǎng)絡(luò)的安全網(wǎng)絡(luò)(例如�,云)計算應(yīng)用所控制��、監(jiān)控����、趨向、警告和/或歷史化�。
[0054]在一些實施例中,將每個電池監(jiān)控器126單獨地連接到控制器128��。在其它實施例中��,將多個電池監(jiān)控器126連接到共享的通信信道(諸如�����,串行總線)��,進(jìn)而連接到控制器128�����。還將電池監(jiān)控器126連接到電力調(diào)節(jié)器130(例如�,包括變壓器),其從外部電源(諸如���,電源116和/或電源118)接收電力��。使用從電力調(diào)節(jié)器130供應(yīng)的電能來對電池單元124進(jìn)行充電���。使用另一個電力調(diào)節(jié)器132將電能從電池單元124放電,所述另一個電力調(diào)節(jié)器132可以被用于調(diào)整由電池單元124供應(yīng)的電能的一個或多個輸出特性(諸如���,電壓)�。在實施例中����,電力調(diào)節(jié)器130可以實現(xiàn)交錯的功率因子校正(PFC)以實現(xiàn)接近統(tǒng)一的功率因子和零切換拓?fù)湟詫OSFET渡越損耗驅(qū)動到零。
[0055]在本公開內(nèi)容的實施例中�,每個電池模塊122都包括具有箔包裝的電池單元124的支架,其中可以將多個支架堆疊起來�,從而使得電池單元124保持密封,同時允許對箔內(nèi)的電池單元124進(jìn)行擴(kuò)展和收縮����。在本公開內(nèi)容的實施例中��,還在支架框中將包括電池監(jiān)控器126的PCB與電池單元124包封在一起���。此外,PCB是由電池單元124供電的��,并且被配置為限制電流進(jìn)入和流出每個電池單元124���。例如����,電池監(jiān)控器126包括電信號開關(guān)設(shè)備(例如���,以模擬開關(guān)的方式串聯(lián)連接的兩(2)個場效應(yīng)晶體管(FET))���,其防止在沒有來自電池監(jiān)控器126的授權(quán)的情況下��,將能量存儲在電池中和/或從電池返回能量���。以這種方式�����,當(dāng)電池單元124的端子被連接到非計劃中的電氣路徑(例如��,短路)時����,阻止與電池單元124的電氣連接。此外�,當(dāng)電池監(jiān)控器126不活動時(例如,當(dāng)電池單元124中沒有電荷時)���,防止到電池單元124的電氣連接����。在該示例中����,當(dāng)將電池模塊122插入到電源120中時,其至少部分地被充電��。
[0056]在本公開內(nèi)容的實施例中���,使用被放置在每個支架框上的電觸點(例如����,電連接器)來對電池模塊122進(jìn)行堆疊和連接。電連接器與電池單元124電連接(例如����,經(jīng)由電池監(jiān)控器PCB),并且可以在沒有從支架框伸出的電線的情況下(這另外需要與電池單元124的焊接連接)被放置在支架框上�����。例如�����,在一個支架框上提供的滑入配合(snap-f i t)電連接器(例如�,被放置在支架框的上表面上),其與另一個支架框上的對應(yīng)的滑入配合電連接器(例如����,被放置在另一個支架框的下表面上)相匹配。電連接器可以被配置為增加電連接器之間的接觸表面積和/或提供電連接器的自對齊(例如��,通過配置一個電連接器的一部分用于插入到另一個電連接器中)����。
[0057]在本公開內(nèi)容的實施例中,對電連接器進(jìn)行幾何排列(例如�,位置的、大小的等)以防止多個電池模塊122以非計劃的方式連接在一起��。例如�����,可以讓一個電觸點的方向相對于支架框大致向上����,而可以讓另一個電觸點的方向相對于支架框大致向下。在其它實施例中�,提供視覺提示以用于將兩個電池模塊122進(jìn)行對齊(例如,顏色編碼����、標(biāo)記等)。
[0058]此外���,電源120可以包括槽�、溝����、軌道等��,以提供對電池模塊122的機(jī)械對準(zhǔn)(mechanical registrat1n)����,諸如�����,用于將一個電池模塊122的電連接器與另一個電池模塊122的匹配電連接器對齊��,和/或與電源120的電連接器對齊�。例如,電池模塊122包括被配置為用于插入到電源120的外殼的相應(yīng)軌道的標(biāo)簽(tab)或標(biāo)桿(post)����,并且提供電池模塊122相對于外殼的對齊。此外�,控制器128可以將唯一的物理標(biāo)識(ID)與每個電池模塊122相關(guān)聯(lián),以唯一地標(biāo)識相對于電源120的外殼的����、以特定的順序和/或在特定的位置處耦合的每個電池模塊120。
[0059]在本公開內(nèi)容的實施例中�,電源120被構(gòu)造為用于柜式安裝�����、架式安裝、墻面安裝等等��。電源120的外殼可以由剛性的絕緣材料(諸如���,丙烯腈.丁二烯.苯乙烯(ABS)或另一種塑料材料)構(gòu)成����,其可以被用于容納在電池單元故障的情況下以其它方式釋放的能量��。此夕卜���,外殼可以被配置為容納或者至少基本上容納化學(xué)電池單元部件(諸如�,鋰)���,其可能是由于電池故障而釋放的����。此外���,電源120中容納的部件彼此可以是電隔離的�����。例如����,到控制器128的信號與電池監(jiān)控器126和電池單元124是電流隔離的。此外���,控制器128和電力調(diào)節(jié)器130與電池模塊122和電力調(diào)節(jié)器132是電隔離的和/或故障隔離的(例如���,使用單獨的變壓器、光隔離器等)����。
[0060]現(xiàn)在參照附圖5,控制器128連接到工業(yè)控制系統(tǒng)100(例如�����,經(jīng)由網(wǎng)絡(luò)110)����。在本公開內(nèi)容的實施例中��,控制器128實現(xiàn)控制器等級處和/或每一電池模塊122等級處的安全和/或診斷�����?���?刂破?28(包括其一些或所有部件)可以在計算機(jī)控制下操作����。例如���,處理器140可以包括在控制器128內(nèi)或中以使用軟件�����、固件���、硬件(例如,固定的邏輯電路)�、手動處理或其組合來控制本文所述的控制器128的部件和功能。本文中使用的術(shù)語“控制器”���、“功能”����、“月艮務(wù)”和“邏輯”通常表示與控制控制器128相結(jié)合的軟件、固件�����、硬件或軟件�、固件、硬件的組合�。在軟件實現(xiàn)的情況下,模塊�、功能或邏輯表示用于當(dāng)在處理器(例如,中央處理單元(CPU)或多個CPU)上被執(zhí)行時執(zhí)行指定任務(wù)的程序代碼�。程序代碼可以被存儲在一個或多個計算機(jī)可讀存儲器設(shè)備(例如,內(nèi)部存儲器和/或一個或多個有形介質(zhì))等中�����?����?梢栽诰哂懈鞣N處理器的各種商業(yè)計算平臺上實現(xiàn)本文所述的結(jié)構(gòu)�、功能��、方法和技術(shù)��。
[0061]處理器140為控制器128提供處理功能���,并且可以包括任意數(shù)量的處理器、微控制器或其它處理系統(tǒng)和用于存儲由控制器128訪問或生成的數(shù)據(jù)和其它信息的內(nèi)部常駐或外部存儲器���。處理器140可以執(zhí)行用于實現(xiàn)本文所述技術(shù)的一個或多個軟件程序�����。處理器140不受限于形成其的材料或其中所采用的處理機(jī)制,并由此���,可以經(jīng)由半導(dǎo)體和/或晶體管等(例如����,使用電子集成電路(IC)部件)來實現(xiàn)�。
[0062]控制器128還包括存儲器142。存儲器142是用于提供存儲與控制器128的操作相關(guān)聯(lián)的各種數(shù)據(jù)(諸如�,用于指導(dǎo)處理器140和控制器128的其它可能的部件來執(zhí)行本文所述功能的軟件程序和/或代碼段或其它數(shù)據(jù))的存儲功能的有形計算機(jī)可讀介質(zhì)的例子。從而���,存儲器142可以存儲數(shù)據(jù)��,諸如���,用于操作電源120(包括其部件)的指令程序等�����。在本公開內(nèi)容的實施例中����,存儲器142可以存儲用于電源120的唯一標(biāo)識符136和/或安全憑證138��。應(yīng)該注意到的是��,盡管描述了單個存儲器142��,但可以采用多種類型的存儲器以及存儲器的組合(例如���,有形的非暫時性存儲器)���。存儲器142可以與處理器140整合,可以包括獨立的存儲器,或可以是以上這兩種的組合�。存儲器142可以包括,但并不一定限于:可移動和不可移動存儲器部件�,諸如隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)�����、閃存(例如�����,安全數(shù)字(SD)存儲卡����、迷你SD存儲卡和/或微SD存儲卡)、磁存儲器�����、光存儲器����、通用串行總線(USB)存儲器設(shè)備��、硬盤存儲器、外部存儲器等����。在實現(xiàn)方式中,電源120和/或存儲器142可以包括可移動集成電路卡(ICC)存儲器��,諸如�,由用戶識別模塊(SIM)卡、通用用戶識別模塊(USIM)卡�、通用集成電路卡(UICC)提供的存儲器等。
[0063]控制器128包括通信接口150����。通信接口 150被操作地配置為與電源120的部件通信。例如�,通信接口 150可以被配置為傳輸用于控制器128中的存儲設(shè)備的數(shù)據(jù)、從控制器128中的存儲設(shè)備獲取數(shù)據(jù)等����。通信接口 150還通信地與處理器140耦合以促進(jìn)電源120的部件與處理器140之間的數(shù)據(jù)傳輸,例如�,用于將從與控制器128通信地耦合的設(shè)備接收的輸入傳遞給處理器140,和/或?qū)⑤敵鰝鬟f給與控制器128通信地耦合的設(shè)備��,諸如�����,電池監(jiān)控器126。例如����,使用共享通信通道(諸如,串行總線)來實現(xiàn)通信接口 150����,以將處理器連接到多個電池監(jiān)控器126。
[0064]在本公開內(nèi)容的實施例中�,控制器128被配置用于與電池監(jiān)控器126雙向通信。例如����,控制器128從電池監(jiān)控器126收集診斷信息(例如,關(guān)于電池單元124的狀態(tài)信息和/或可靠性信息)�。此外,控制器128操作電池模塊122���,例如�,指導(dǎo)電池模塊122存儲和返回來自于電源116�、電源118提供的電能等�。應(yīng)當(dāng)注意到的是,盡管通信接口 150被描述為控制器128的部件,但是可以將通信接口 150的一個或多個部件實現(xiàn)為經(jīng)由有線和/或無線連接通信地耦合到控制器128的外部部件���。此外���,控制器128可以包括和/或連接一個或多個輸入/輸出(I/O)設(shè)備(例如,經(jīng)由通信接口 150)�����,其包括但并不一定限于:顯示器��、鼠標(biāo)等�。例如,控制器128可以連接到顯示器設(shè)備�,諸如,多彩(例如��,三色)發(fā)光二極管(LED)(例如�,指示燈144),其可以指示電源120的狀態(tài)�����。
[0065]通信接口 150和/或處理器140可以被配置為與各種不同的網(wǎng)絡(luò)110通信����,包括但并不一定限于:廣域蜂窩電話網(wǎng)絡(luò)��,諸如��,3G蜂窩網(wǎng)絡(luò)��、4G蜂窩網(wǎng)或全球移動通信系統(tǒng)(GSM)網(wǎng)絡(luò);無線計算機(jī)通信網(wǎng)絡(luò)����,諸如���,WiFi網(wǎng)絡(luò)(例如�,使用IEEE802.1l網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線局域網(wǎng)(WLAN));互聯(lián)網(wǎng)�����;因特網(wǎng)����;廣域網(wǎng);局域網(wǎng)(LAN);個域網(wǎng)(PAN)(例如�����,使用IEEE802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線個域網(wǎng)(WPAN));公共電話網(wǎng)絡(luò);外聯(lián)網(wǎng)�����;內(nèi)聯(lián)網(wǎng)等�����。然而�����,僅以示例的形式提供該列表�,而并不意味著限制本公開內(nèi)容。此外�����,可以使用計算機(jī)總線來實現(xiàn)通信接口150 ο例如�����,通信接口 150可以包括PCI卡接口����,諸如���,迷你PCI接口等。此外�����,通信接口 150可以被配置為與單個網(wǎng)絡(luò)110或跨不同的接入點的多個網(wǎng)絡(luò)進(jìn)行通信�����。以此方式�,控制器128用于將電源120通信地耦合到工業(yè)控制系統(tǒng)100。
[0066]現(xiàn)在參考附圖6�,通過一個或多個背板將控制元件或子系統(tǒng)(例如,I/O模塊102����、控制模塊104、電源120等)連接在一起�。例如,通過通信背板15 2可以將控制模塊104連接到I /0模塊102��。此外�����,可以通過電力背板154將電源116、118和/或120連接到I/O模塊104和/或控制模塊106�。在一些實施方式中,每個控制模塊104和/或I/O模塊102可以在背板154上具有用于定義電力通道的至少一個獨立的軌跡��,該電力通道相對于耦合其它控制模塊104和/或I/O模塊102的其它通道(S卩��,軌跡)具有電流隔離和獨立控制��。在本公開內(nèi)容的實施例中����,物理互連設(shè)備(例如��,交換機(jī)、連接器或線纜�����,諸如但不限于美國非臨時專利申請序列號14/446�,412中描述的那些)用于連接到I/O模塊102��、控制模塊104��、電源120和其它可能的工業(yè)控制系統(tǒng)設(shè)備��。例如��,線纜用于將控制模塊104連接到網(wǎng)絡(luò)110���,另一線纜用于將電源連接到電網(wǎng)112��,另一線纜用于將電源120連接到本地發(fā)電機(jī)114等��。
[0067]配電架構(gòu)的另一實施例在圖11中示出�。配電網(wǎng)絡(luò)500可以包括耦合到一個或多個電力模塊504的電源502(例如,現(xiàn)場安裝的UPS)��,該一個或多個電力模塊504被安裝到背板154上用于向控制模塊506����、輸入/輸出模塊506�、508��、510�、512等供應(yīng)電力����。如圖12中所示出的����,配電網(wǎng)可以包括額外的(例如,補充的)安全電源514(例如����,安全的UPS)�,其可以被電連接到電源502用于提供補充電力或用于向不同于由電源502供電的那些設(shè)備的其它設(shè)備提供電力�����。在實施例中�,電源502和安全電源514可以被配置為基于網(wǎng)絡(luò)需要和/或用于維持電源之間的閾值電荷水平來彼此之間雙向傳輸電力�����。
[0068 ] 再來參考圖6,工業(yè)控制系統(tǒng)1 O可以實現(xiàn)安全的控制系統(tǒng)�����。例如,工業(yè)控制系統(tǒng)100包括安全的憑證源(例如�����,工廠156)以及安全的憑證實現(xiàn)者(例如�,密鑰管理實體158)。工廠156被配置為生成唯一的安全憑證(例如����,密鑰、證書等��,諸如唯一的標(biāo)識符136和/或安全憑證138)。密鑰管理實體158被配置為向I/O模塊102�����、控制模塊104�����、電源116、電源118和/或電源120(例如,包括多個電池模塊122和/或控制器128中的一個或多個)供應(yīng)由工廠156生成的唯一的安全憑證����。例如����,I/O模塊102和相關(guān)聯(lián)的電源120可以均被供應(yīng)有唯一的安全憑證����。
[0069]然后����,基于唯一的安全憑證來執(zhí)行用于對在工業(yè)控制系統(tǒng)100中實現(xiàn)的控制元件或子系統(tǒng)認(rèn)證的認(rèn)證過程。例如�����,在實施例中,控制模塊104和電源120是可操作以基于唯一的安全憑證(例如,基于上述認(rèn)證過程)來彼此雙向通信的��。此外,在本文所公開的安全的工業(yè)控制系統(tǒng)100中����,工業(yè)控制系統(tǒng)100的多個(例如,每個)控制元件和子系統(tǒng)(例如,I/0模塊�����、電源�、物理互連設(shè)備等等)被提供有用于提供工業(yè)控制系統(tǒng)100的多個(例如,全部)級別的安全的安全憑證�����。另外���,上述元件可以在制造期間(例如����,誕生時)就被提供有唯一的安全憑證(例如�,密鑰、證書等)�����,并且可以從誕生起就由工業(yè)控制系統(tǒng)100的密鑰管理實體進(jìn)行管理�,以提升工業(yè)控制系統(tǒng)100的安全。
[0070]在一些實施例中���,使用連接到或包含于物理互連設(shè)備(例如���,單線加密芯片)中的控制器來連接控制元件或子系統(tǒng)�,這允許實現(xiàn)部件(例如���,電源120)和連接到該部件的物理互連設(shè)備(例如,電纜組件)之間的認(rèn)證���。例如�,微處理器安全加密技術(shù)可以被內(nèi)置到電纜組件中��,并被鍵入(keyed)工業(yè)控制系統(tǒng)100的特定部件�。這一配置在用戶將電纜組件安裝(例如,插入)到部件(其未被配置為與該電纜組件連接)中時����,為工業(yè)控制系統(tǒng)100提供了安全。在實施例中�,在一個或多個(例如每一個)物理互連設(shè)備中實現(xiàn)單線串行密鑰(例如,單線嵌入式密鑰)����。
[0071]在本公開內(nèi)容的實施例中�,在工業(yè)控制系統(tǒng)100的元件和/或物理互連設(shè)備(例如���,電纜組件)之間的通信包括認(rèn)證過程��?��?梢詧?zhí)行該認(rèn)證過程以對工業(yè)控制系統(tǒng)100中的元件和/或物理互連設(shè)備進(jìn)行認(rèn)證。在實施方式中����,認(rèn)證過程可以利用與該元件和/或物理互連設(shè)備相關(guān)聯(lián)的安全憑證來對該元件和/或物理互連設(shè)備進(jìn)行認(rèn)證。例如�,安全憑證可以包括加密密鑰、證書(例如�,公共密鑰證書、數(shù)字證書�����、標(biāo)識證書���,安全證書���、非對稱證書���、標(biāo)準(zhǔn)證書、非標(biāo)準(zhǔn)證書)和/或標(biāo)識號�。在實施例中,包含于工業(yè)控制系統(tǒng)100的部件和/或物理互連設(shè)備中的和/或連接到工業(yè)控制系統(tǒng)100的部件和/或物理互連設(shè)備的控制器(例如����,安全微控制器)可以被配置用于執(zhí)行該認(rèn)證過程。
[0072]在實施方式中��,工業(yè)控制系統(tǒng)100的多個控制元件或子系統(tǒng)(例如�����,元件和/或物理互連設(shè)備)被提供有它們自己的唯一安全憑證�。例如��,在工業(yè)控制系統(tǒng)100的每個元件被制造時�,該元件都被提供有其自己的唯一的證書、加密密鑰和/或標(biāo)識號的集合(例如���,各自的密鑰和證書的集合是在元件誕生時就規(guī)定了的)����。該證書、加密密鑰和/或標(biāo)識號的集合被配置用于提供/支持強(qiáng)加密�����。可以利用標(biāo)準(zhǔn)的(例如��,商業(yè)上現(xiàn)有的(COTS))加密算法(例如國家安全局(NSA)算法��、美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)算法等等)來實現(xiàn)加密密鑰�。
[0073]在一些實施例中���,可以將密碼密鑰和證書存儲在片上存儲器(0CM)中��,例如�����,認(rèn)證模塊的SRAM中�。此外��,敏感任務(wù)(例如����,具有機(jī)密信息以及有時甚至具有公共信息的任務(wù))可以具有在O CM中執(zhí)行的棧����。例如���,可以在來自本地存儲在O CM中的棧的內(nèi)核空間或應(yīng)用空間中執(zhí)行加密任務(wù)�����。
[0074]基于認(rèn)證過程的結(jié)果���,可以激活被認(rèn)證的元件,在工業(yè)控制系統(tǒng)100內(nèi)啟用或禁用該元件的部分功能��,在工業(yè)控制系統(tǒng)100內(nèi)啟用該元件的完整功能�����,和/或可以完全禁用該元件在工業(yè)控制系統(tǒng)100內(nèi)的功能(例如����,沒有在該元件和工業(yè)控制系統(tǒng)100的其它元件之間促進(jìn)通信)�����。
[0075]在實施例中,與工業(yè)控制系統(tǒng)100的元件相關(guān)聯(lián)的密鑰��、證書和/或標(biāo)識號可以指定該元件的原始設(shè)備制造商(OEM)���。如本文所使用的�����,術(shù)語“原始設(shè)備制造商”或“OEM”可以被規(guī)定為物理地制造設(shè)備(例如�����,元件)的實體和/或設(shè)備的供應(yīng)商(例如�,從物理制造商購買設(shè)備并銷售設(shè)備的實體)�����。因此�,在實施例中,可以由既是設(shè)備的物理制造商又是供應(yīng)商的OEM來制造和分銷(銷售)設(shè)備���。然而�,在其它實施例中,可以由是供應(yīng)商但不是物理制造商的OEM來分銷設(shè)備���。在這樣的實施例中�����,OEM可以使得由物理制造商來制造該設(shè)備(例如��,OEM可以從物理制造商對該設(shè)備進(jìn)行購買�����、協(xié)議���、訂購等等)。
[0076]此外�����,在OEM包括并非設(shè)備的物理制造商的供應(yīng)商的情況下�,該設(shè)備可以帶有供應(yīng)商的商標(biāo)而不是物理制造商的商標(biāo)����。例如,在元件(例如����,電源120)與特定的OEM(其是供應(yīng)商但不是物理制造商)相關(guān)聯(lián)的實施例中��,該元件的密鑰�����、證書和/或標(biāo)識號可以指定其來源���。在對工業(yè)控制系統(tǒng)100的元件的認(rèn)證期間,當(dāng)確定被認(rèn)證的元件是由與工業(yè)控制系統(tǒng)100的一個或多個其它元件的OEM不同的實體制造或提供的時�����,則在工業(yè)控制系統(tǒng)100內(nèi)至少部分地禁用該元件的功能��。例如�,可以對在該元件與工業(yè)控制系統(tǒng)100的其它元件之間的通信(例如,數(shù)據(jù)傳送)施加限制����,使得該元件不能在工業(yè)控制系統(tǒng)100內(nèi)工作/起作用。當(dāng)工業(yè)控制系統(tǒng)100的多個元件中的一個元件請求替換時���,該特征可以防止工業(yè)控制系統(tǒng)100的用戶不知情地以非同源的元件(例如����,相比工業(yè)控制系統(tǒng)100的其余元件具有不同來源(不同OEM)的元件)來替換該元件,并在工業(yè)控制系統(tǒng)100內(nèi)實施上述元件���。以這種方式���,本文所描述的技術(shù)可以防止將其它OEM的元件替換進(jìn)入安全的工業(yè)控制系統(tǒng)100。在一個例子中���,由于替換的元件不能在原始OEM的系統(tǒng)內(nèi)認(rèn)證和操作�,因此可以防止提供類似功能的元件取代由原始OEM提供的元件的一種替換���。在另一個例子中���,原始OEM可以向第一分銷商提供具有第一物理和加密標(biāo)簽集合的元件,并且可以將第一分銷商的元件安裝在工業(yè)控制系統(tǒng)100中���。在該例子中����,相同的原始OEM可以向第二分銷商提供具有第二(例如����,不同的)物理和加密標(biāo)簽集合的元件。在該例子中��,可以防止第二分銷商的元件在工業(yè)控制系統(tǒng)100內(nèi)操作����,這是由于它們不能以第一分銷商的元件來進(jìn)行認(rèn)證和操作。然而�,還應(yīng)該注意的是,第一分銷商和第二分銷商可以達(dá)成雙方協(xié)議�,其中第一元件和第二元件可以被配置為在相同的工業(yè)控制系統(tǒng)100內(nèi)認(rèn)證和操作。此外����,在一些實施例中,分銷商之間用于允許互操作的協(xié)議也可以被實現(xiàn)��,從而該協(xié)議只應(yīng)用于特定客戶���、客戶群組��、設(shè)施等等���。
[0077]在另一實例中����,用戶可以嘗試實現(xiàn)工業(yè)控制系統(tǒng)100內(nèi)的錯誤指定的(例如�,錯誤標(biāo)示的)元件。例如��,錯誤標(biāo)示的元件具有在其上標(biāo)示的物理標(biāo)記����,該物理標(biāo)記錯誤地指示該元件與同工業(yè)控制系統(tǒng)100的其它元件的OEM相同的OEM相關(guān)聯(lián)。在這樣的實例中����,由工業(yè)控制系統(tǒng)100實現(xiàn)的認(rèn)證過程可以使得用戶被警告該元件是偽造的。由于偽造的元件經(jīng)常是惡意軟件可以通過其被引入工業(yè)控制系統(tǒng)100中的運載工具��,所以該過程還可以提升工業(yè)控制系統(tǒng)100的改進(jìn)的安全性����。在多個實施例中,認(rèn)證過程為工業(yè)控制系統(tǒng)100提供了安全氣隙�,確保安全的工業(yè)控制系統(tǒng)在物理上與不安全的網(wǎng)絡(luò)隔離開。
[0078]密鑰管理實體158可以被配置用于管理密碼系統(tǒng)中的密碼密鑰(例如�,加密密鑰)����。這種對密碼密鑰的管理(例如�,密鑰管理)可以包括密鑰的生成�����、交換���、存儲���、使用和/或更換。例如���,密鑰管理實體158被配置為用作安全憑證來源��,其針對工業(yè)控制系統(tǒng)100的元件來生成唯一的安全憑證(例如�����,公共安全憑證�����、秘密安全憑證)����。密鑰管理與用戶和/或系統(tǒng)級別的密鑰(例如,用戶之間或者系統(tǒng)之間)有關(guān)�����。
[0079]在多個實施例中�,密鑰管理實體158包括諸如位于安全設(shè)施中的實體之類的安全實體。密鑰管理實體158可以相對于I/O模塊102��、控制模塊104和網(wǎng)絡(luò)110來遠(yuǎn)程放置�����。例如�,防火墻160可以將密鑰管理實體158與控制元件或者子系統(tǒng)和網(wǎng)絡(luò)110(例如,公司網(wǎng)絡(luò))分開����。在多個實現(xiàn)方式中,防火墻160可以是基于軟件或者硬件的網(wǎng)絡(luò)安全系統(tǒng)���,其通過基于規(guī)則集分析數(shù)據(jù)分組并且確定數(shù)據(jù)分組是否應(yīng)當(dāng)被允許通過����,來控制輸入和輸出的網(wǎng)絡(luò)業(yè)務(wù)。因此���,防火墻160在受信任的安全內(nèi)部網(wǎng)絡(luò)(例如�����,網(wǎng)絡(luò)110)與不認(rèn)為是安全且受信任的另一網(wǎng)絡(luò)162(例如,云和/或互聯(lián)網(wǎng))之間建立屏障���。在多個實施例中�����,防火墻160允許密鑰管理實體158與控制元件或者子系統(tǒng)和/或網(wǎng)絡(luò)110中的一個或多個之間的選擇性(例如�����,安全)通信�����。在多個例子中����,一個或多個防火墻可以在工業(yè)控制系統(tǒng)100內(nèi)的各個位置處實現(xiàn)。例如���,防火墻可以集成在網(wǎng)絡(luò)110的交換機(jī)和/或工作站中��。
[0080]如所描述的����,安全的工業(yè)控制系統(tǒng)100可以進(jìn)一步包括一個或多個制造實體(例如�����,工廠156)�����。工廠156可以與工業(yè)控制系統(tǒng)100的元件的原始設(shè)備制造商(OEM)相關(guān)聯(lián)�。密鑰管理實體158可以經(jīng)由網(wǎng)絡(luò)(例如,云)與制造實體通信地耦合���。在多個實現(xiàn)方式中��,當(dāng)工業(yè)控制系統(tǒng)100的元件在一個或多個工廠156處被制造時���,密鑰管理實體158可以與這些元件通信地耦合(例如���,可以具有到這些元件的加密通信管道)。密鑰管理實體158可以在制造時使用通信管道來向這些元件提供安全憑證(例如�����,將密鑰���、證書和/或標(biāo)識號插入這些元件中)。
[0081 ]此外����,當(dāng)這些元件被置于使用(例如,激活)時����,密鑰管理實體158可以(例如,經(jīng)由加密通信管道)通信地耦合到全世界的各個單獨元件�����,并且可以對具體代碼的使用、撤銷(例如�,移除)、任何特定代碼的使用進(jìn)行確認(rèn)并且簽名和/或啟用任何特定代碼的使用�。因此,密鑰管理實體158可以與元件被最初制造(例如����,產(chǎn)生)的工廠處的每個元件進(jìn)行通信,使得該元件生來具有管理密鑰�。包括用于工業(yè)控制系統(tǒng)100中的每個元件的所有加密密鑰、證書和/或標(biāo)識號的主數(shù)據(jù)庫和/或表格可以由密鑰管理實體158來維護(hù)����。密鑰管理實體158通過其與元件的通信而被配置用于撤銷密鑰,從而提升認(rèn)證機(jī)制防部件被盜以及重復(fù)使用的能力�����。
[0082]在多個實現(xiàn)方式中�����,密鑰管理實體158可以經(jīng)由另一網(wǎng)絡(luò)(例如���,云和/或互聯(lián)網(wǎng))和防火墻與控制元件和子系統(tǒng)和/或網(wǎng)絡(luò)110中的一個或多個通信地耦合��。例如����,在多個實施例中,密鑰管理實體158可以是集中式系統(tǒng)或者分布式系統(tǒng)���。此外����,在多個實施例中���,密鑰管理實體158可以本地或者遠(yuǎn)程地管理�����。在一些實現(xiàn)方式中�����,密鑰管理實體158可以位于網(wǎng)絡(luò)110和/或控制元件或者子系統(tǒng)內(nèi)(例如,集成在其內(nèi))�。密鑰管理實體158可以提供管理和/或可以以各種方式進(jìn)行管理。例如�,密鑰管理實體158可以通過以下方式來實現(xiàn)/管理:通過中央位置處的客戶、通過各個工廠位置處的客戶、通過外部第三方管理公司和/或通過工業(yè)控制系統(tǒng)100的不同層處以及取決于層的不同位置處的客戶��。
[0083]可以通過認(rèn)證過程來提供變化的安全級別(例如�����,可縮放的����、用戶配置的安全量)。例如�,可以提供基本的安全級別,其對元件進(jìn)行認(rèn)證并且保護(hù)元件內(nèi)的代碼�����。還可以增加其它安全層�。例如,安全性可以被實現(xiàn)為這樣的程度��,即諸如電源120之類的部件在沒有發(fā)生正確的認(rèn)證的情況下無法加電�。在多個實現(xiàn)方式中,在元件中實現(xiàn)代碼的加密���,在元件上實現(xiàn)安全憑證(例如����,密鑰和證書)。安全性可以分布在(例如�����,貫通)整個工業(yè)控制系統(tǒng)100中����。例如,安全性可以貫通工業(yè)控制系統(tǒng)100—直到終端用戶�����,在該實例中�����,終端用戶知道模塊被設(shè)計為控制的對象���。在多個實施例中���,認(rèn)證過程提供對設(shè)備的加密�����、識別,以用于系統(tǒng)硬件或者軟件部件的安全通信和認(rèn)證(例如�����,經(jīng)由數(shù)字簽名)��。
[0084]在多個實現(xiàn)方式中�,認(rèn)證過程可以被實現(xiàn)為提供和/或啟用由不同制造商/銷售商/供應(yīng)商(例如,OEM)制造和/或提供的元件的安全工業(yè)控制系統(tǒng)100內(nèi)的互操作性���。例如�����,可以啟用由不同制造商/銷售商/供應(yīng)商制造和/或提供的元件之間的選擇性的(例如����,一些)互操作性�����。在多個實施例中��,在認(rèn)證期間實現(xiàn)的唯一的安全憑證(例如,密鑰)可以形成分級結(jié)構(gòu)�,從而允許由工業(yè)控制系統(tǒng)100的不同元件執(zhí)行不同的功能。
[0085]連接工業(yè)控制系統(tǒng)100的部件的通信鏈路可以進(jìn)一步使用數(shù)據(jù)分組��,例如���,放置(例如注入和/或填充)在其中的短分組(runt packet)(例如�����,小于六十四(64)字節(jié)的分組)�,從而提供增加的安全級別�。短分組的使用增加了可以將外部信息(例如,諸如錯誤消息�����、惡意軟件(病毒)��、數(shù)據(jù)挖掘應(yīng)用等的惡意內(nèi)容)注入到通信鏈路上的困難級別�。例如,短分組可以被注入到在控制模塊104與電源120之間發(fā)送的數(shù)據(jù)分組之間的間隙內(nèi)的通信鏈路上�����,以阻礙外部實體將惡意內(nèi)容注入到通信鏈路上的能力�。
[0086]在本公開內(nèi)容的多個實施例中,為了發(fā)起認(rèn)證順序���,第一認(rèn)證模塊(例如���,包括在電源120、電源120的控制器128����、電源120的電池模塊122、諸如I /0設(shè)備102����、控制模塊104等的控制元件或者子系統(tǒng)中)被配置為向第二認(rèn)證模塊(例如,包括在電源120�����、電源120的控制器128�����、電源120的電池模塊122�����、諸如I /0設(shè)備102、控制模塊104等的控制元件或者子系統(tǒng)中)發(fā)送請求數(shù)據(jù)報��。在多個實現(xiàn)方式中����,請求數(shù)據(jù)報包括第一明文隨機(jī)數(shù)(隨機(jī)數(shù)NonceA)、包含第一設(shè)備認(rèn)證密鑰(DAKA)的第一設(shè)備認(rèn)證密鑰證書(CertDAKA)以及第一標(biāo)識屬性證書(IACA)����。在一些實施例中,第一認(rèn)證模塊被配置為利用真實隨機(jī)數(shù)生成器(以下稱為“TRNG”)來生成第一隨機(jī)數(shù)(隨機(jī)數(shù)A)�����,并且對第一隨機(jī)數(shù)(隨機(jī)數(shù)A)�、第一設(shè)備認(rèn)證密鑰證書(CertDAKA)以及第一標(biāo)識屬性證書(IACA)進(jìn)行連結(jié)或者以其它方式進(jìn)行組合,以生成請求數(shù)據(jù)報�����。在一些實施例中����,第一設(shè)備認(rèn)證密鑰證書(CertDAKA)和第一標(biāo)識屬性證書(IACA)由第一認(rèn)證模塊本地存儲��。例如����,證書可以被存儲在第一認(rèn)證模塊的本地存儲器(例如��,ROM��、RAM���、閃存或者其它非暫時性存儲介質(zhì))中。
[0087]第二認(rèn)證模塊被配置為通過利用由設(shè)備生命周期管理系統(tǒng)(DLM)或者導(dǎo)出的使用密碼庫函數(shù)生成的公共密鑰對第一設(shè)備認(rèn)證密鑰證書(CertDAKA)以及第一標(biāo)識屬性證書(IACA)進(jìn)行驗證�����,來證實請求數(shù)據(jù)報的有效性����。在這點上,公共密鑰可以被存儲在認(rèn)證模塊的SRAM或者另一本地存儲器中�,并且與密碼庫函數(shù)一起使用以對交換的數(shù)據(jù)(例如,在認(rèn)證模塊之間交換的隨機(jī)數(shù))進(jìn)行驗證或者密碼簽名��。在一些實施例中,第二認(rèn)證模塊可以利用橢圓曲線數(shù)字簽名算法(以下稱為“ECDSA”)或者其它驗證操作對證書進(jìn)行驗證��。在一些實施例中�,第二認(rèn)證模塊可以進(jìn)一步被配置為通過對以下各項進(jìn)行驗證來證實來自明文值的證書值的有效性:證書類型是針對每個證書的設(shè)備認(rèn)證密鑰(以下稱為“DAK”)或者標(biāo)識屬性證書(以下稱為“IAC" ); IAC名稱匹配、DAK證書模塊類型匹配模塊類型論證;和/或消息有效載荷中的每個證書的微處理器序列號(以下稱為“MPSN”)彼此匹配����。在一些實施例中,第二認(rèn)證模塊可以進(jìn)一步被配置為驗證DAK和IAC證書不在本地撤銷列表(例如����,包括撤銷的和/或無效的證書的列表或者數(shù)據(jù)庫)中。當(dāng)?shù)诙J(rèn)證模塊未能驗證請求數(shù)據(jù)報的有效性時����,第二認(rèn)證模塊可以生成錯誤消息,部分地或者全部地禁用第一認(rèn)證模塊和/或停止或者限制去往/來自第一認(rèn)證模塊的通信���。
[0088]響應(yīng)于有效請求數(shù)據(jù)報�,第二認(rèn)證模塊被配置為向第一認(rèn)證模塊發(fā)送響應(yīng)數(shù)據(jù)報����。在實現(xiàn)方式中,響應(yīng)數(shù)據(jù)報包括第二明文隨機(jī)數(shù)(nonce) (NonceB)���、與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(SigB[N0nceA| INonceB])����、包含第二設(shè)備認(rèn)證密鑰(DAKB)的第二設(shè)備認(rèn)證密鑰證書(certDAKB)和第二標(biāo)識屬性證書(IACB)。在一些實施例中�,第二認(rèn)證模塊被配置為利用TRNG生成第二隨機(jī)數(shù)(NonceB),連結(jié)或者以其它方式組合該第一隨機(jī)數(shù)(NonceA)和第二隨機(jī)數(shù)(NonceB)���,并且利用由第二認(rèn)證模塊本地存儲的私有密鑰(例如DAK)來對該連結(jié)/組合后的隨機(jī)數(shù)進(jìn)行簽名�。第二認(rèn)證模塊還被配置為連結(jié)或者以其它方式組合第二隨機(jī)數(shù)(NonceB)�、與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(SigB[N0nceA INonceB])���、第二設(shè)備認(rèn)證密鑰證書(certDAKB)和第二標(biāo)識屬性證書(IACB)以生成響應(yīng)數(shù)據(jù)報�����。在一些實施例中���,第二設(shè)備認(rèn)證密鑰證書(CertDAKB)和第二標(biāo)識屬性證書(IACB)是由第二認(rèn)證模塊本地存儲的。例如�����,證書可以被存儲在第二認(rèn)證模塊的本地存儲器(例如,ROM,RAM,閃存或其它非暫時性存儲介質(zhì))中��。
[0089]第一認(rèn)證模塊被配置為:通過使用ECDSA或其它驗證操作來利用公共密鑰驗證第二設(shè)備認(rèn)證密鑰證書(CertDAKB)和第二標(biāo)識屬性證書(IACB)�����,來證實響應(yīng)數(shù)據(jù)報的有效性��,該公共密鑰是被本地存儲的或是從密碼庫(crypto library)中檢索得到的����。在一些實施例中,第一認(rèn)證模塊還可以被配置為通過驗證以下項目來證實來自明文值的證書值的有效性:1AC&DAK證書具有匹配的MPSN�、IAC名匹配、關(guān)于兩個證書(IAC&DAK)的證書類型正確����、在兩個證書上有正確的發(fā)布者名、DAK模塊類型是正確的類型(例如����,通信/控制模塊)。在一些實施方式中�,第一認(rèn)證模塊還可以被配置為驗證DAK和IAC證書不位于本地撤銷列表中。
[0090]為了證實響應(yīng)數(shù)據(jù)報的有效性���,第一認(rèn)證模塊還被配置為驗證與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第一簽名(sigB[NonceA I | NonceB])����。在一些實施例中,第一認(rèn)證模塊被配置為:通過連結(jié)第一本地存儲的隨機(jī)數(shù)(NonceA)和從第二認(rèn)證模塊接收的第二明文隨機(jī)數(shù)(NonceB)��、利用公共設(shè)備認(rèn)證密鑰(例如�����,使用來自certDAKB的DAKB)驗證第一密碼簽名(sigB[NonceA | | NonceB])����、以及比較本地生成的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的連結(jié)與經(jīng)密碼式驗證的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的連結(jié)����,來驗證第一簽名(sigB[NonceA | | NonceB])。當(dāng)?shù)谝徽J(rèn)證模塊無法證實響應(yīng)數(shù)據(jù)報的有效性時����,第一認(rèn)證模塊可以生成錯誤消息,部分或完全地禁用第二認(rèn)證模塊��,和/或停止或限制去往/來自第二認(rèn)證模塊的通信��。
[0091]第一認(rèn)證模塊還被配置為當(dāng)響應(yīng)數(shù)據(jù)報有效時,向第二認(rèn)證模塊發(fā)送認(rèn)證數(shù)據(jù)報�。在實現(xiàn)方式中,認(rèn)證數(shù)據(jù)報包括與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名(sigA[N0nceA|
NonceB])��。在一些實施例中�,第一認(rèn)證模塊被配置為利用由第一認(rèn)證模塊本地存儲的私有密鑰(例如DAK)來對本地生成的第一與第二隨機(jī)數(shù)的連結(jié)進(jìn)行簽名。當(dāng)響應(yīng)數(shù)據(jù)報無效時�,認(rèn)證數(shù)據(jù)報可以被“失敗的”認(rèn)證數(shù)據(jù)報替換,該“失敗的”認(rèn)證數(shù)據(jù)報包括與第二隨機(jī)數(shù)相關(guān)聯(lián)的簽名和由第一認(rèn)證模塊生成的錯誤報告(例如�,“失敗”)消息(SigA[NonCeB|Error])0
[0092]響應(yīng)于認(rèn)證數(shù)據(jù)報,第二認(rèn)證模塊還可以被配置為向第一認(rèn)證模塊發(fā)送響應(yīng)認(rèn)證數(shù)據(jù)報���。在實現(xiàn)方式中�����,響應(yīng)認(rèn)證數(shù)據(jù)報包括與第一隨機(jī)數(shù)相關(guān)聯(lián)的簽名和由第二認(rèn)證模塊生成的錯誤報告(例如�,“成功”或“失敗”)消息(sigB[NonceA| Error])��。在一些實施例中�,第二認(rèn)證模塊被配置為通過驗證與第一和第二隨機(jī)數(shù)相關(guān)聯(lián)的第二簽名(sigA[NonceA
I NonceB])來證實認(rèn)證數(shù)據(jù)報的有效性。在一些實施例中���,第二認(rèn)證模塊被配置為:通過連結(jié)從第一認(rèn)證模塊接收的第一明文隨機(jī)數(shù)(NonceA)和第二本地存儲的隨機(jī)數(shù)(NonceB)�、利用公共設(shè)備認(rèn)證密鑰(例如使用來自certDAKA的DAKA)驗證第二密碼簽名(sigA[NonCeA INonceB])、以及比較本地生成的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的連結(jié)與經(jīng)密碼式認(rèn)證的第一隨機(jī)數(shù)和第二隨機(jī)數(shù)的連結(jié)�����,來驗證第二簽名(sigA[NonceA | | NonceB])�����。除了錯誤報告消息外����,當(dāng)?shù)诙J(rèn)證模塊無法證實認(rèn)證數(shù)據(jù)報的有效性時,第二認(rèn)證模塊可以部分或完全地禁用第一認(rèn)證模塊���,和/或停止或限制去往/來自第一認(rèn)證模塊的通信��。
[0093]在根據(jù)“主-從”配置對采用認(rèn)證模塊的設(shè)備進(jìn)行布置的實現(xiàn)方式中��,主設(shè)備(例如�,第一認(rèn)證模塊)可以被配置為認(rèn)證每個從設(shè)備。在失敗的認(rèn)證的事件中��,主設(shè)備可以至少部分地禁用或限制去往/來自未經(jīng)認(rèn)證的從設(shè)備的通信����。替代地��,在沒有主設(shè)備情況下的并行工作的兩個或更多個從模塊可以彼此認(rèn)證��,其中���,失敗的認(rèn)證導(dǎo)致兩個設(shè)備都被部分或完全地禁用。例如�,假如兩個或更多個冗余電源120在啟動或其它預(yù)先設(shè)定的時間/事件時無法成功地完成認(rèn)證序列,則它們可以被禁用��。
[0094]現(xiàn)在參照圖7和圖8����,每個電源120或任何其它工業(yè)元件/控制器206可以至少部分地根據(jù)來自動作發(fā)起者202的請求/命令進(jìn)行工作。在實現(xiàn)方式中�,動作發(fā)起者202是操作者接口 208(例如,SCADA和/或HMI)����、包括編輯器212和編譯器214的工程接口 210、本地應(yīng)用220���、遠(yuǎn)程應(yīng)用216(例如����,經(jīng)由本地應(yīng)用220通過網(wǎng)絡(luò)218進(jìn)行通信)等等。在圖7和圖8中示出的認(rèn)證路徑200中��,工業(yè)元件/控制器206(例如����,電源120)僅當(dāng)動作請求已由動作認(rèn)證器204簽名和/或加密時才處理動作請求(例如,對數(shù)據(jù)�����、控制命令����、固件/軟件更新、設(shè)定點控制�、應(yīng)用圖像下載等的請求)。這防止了來自有效用戶簡檔的未授權(quán)的動作請求�����,并且還保護(hù)系統(tǒng)免受來自無效(例如����,非法闖入(hacked))簡檔的未授權(quán)動作請求的危害。
[0095]在本公開內(nèi)容的實施方式中�����,動作認(rèn)證器204可以是與動作發(fā)起者202同處現(xiàn)場(例如����,直接連接的設(shè)備生命周期管理系統(tǒng)(DLM)222或安全的工作站226),或被遠(yuǎn)程放置(例如����,經(jīng)由網(wǎng)絡(luò)218連接的DLM 222)?���?傮w來說,動作認(rèn)證器204包括其上存儲有私有密鑰的存儲介質(zhì)和被配置為利用私有密鑰對由動作發(fā)起者202生成的動作請求進(jìn)行簽名和/或加密的處理器�����。私有密鑰被存儲在無法經(jīng)由標(biāo)準(zhǔn)操作者登陸進(jìn)行訪問的存儲器中��。例如�����,安全的工作站226可以需要物理密鑰、便攜式加密設(shè)備(例如�,智能卡、RFID標(biāo)簽等)和/或生物識別輸入才能訪問��。
[0096]在一些實施例中���,動作認(rèn)證器204包括便攜式加密設(shè)備����,諸如智能卡224(其可包括安全的微處理器)����。在這種方式中,整個設(shè)備(包括私有存儲的密鑰和與之通信的處理器)可以由對動作發(fā)起者202的接口具有授權(quán)訪問的操作者或用戶攜帶����。無論動作認(rèn)證節(jié)點204是經(jīng)由安全的工作站還是不安全的工作站來訪問認(rèn)證路徑200,來自動作發(fā)起者202的動作請求可以在便攜式加密設(shè)備的架構(gòu)內(nèi)被安全地簽名和/或加密(例如���,與使用潛在的保護(hù)力度較小的工作站或基于云的架構(gòu)相對)��。舉例而言����,未授權(quán)個人在能夠認(rèn)證經(jīng)由動作發(fā)起者202發(fā)出的任何動作請求之前將必須物理地獲取智能卡224�。
[0097]在一些實施例中,可以采用多層安全性����。例如,動作認(rèn)證器204可以包括安全的工作站226���,該安全的工作站226可以是僅可經(jīng)由智能卡224訪問才可訪問以對動作請求進(jìn)行簽名和/或加密����。此外���,安全的工作站226可以是可經(jīng)由生物計量的或多因素密碼系統(tǒng)設(shè)備228(例如���,指紋掃描儀、虹膜掃描儀����、面部識別設(shè)備等中的一個或多個)才能訪問的。在一些實施例中�,多因素密碼系統(tǒng)設(shè)備228可以在激活智能卡224或其它便攜式加密設(shè)備來對動作請求進(jìn)行簽名之前要求有效的生物計量輸入���。
[0098]由動作發(fā)起者202驅(qū)動的電源120或任何其它工業(yè)元件/控制器206被配置為接收經(jīng)簽名的動作請求,驗證經(jīng)簽名的動作請求的可靠性�����,并且當(dāng)經(jīng)簽名的動作請求的可靠性得到驗證時執(zhí)行所請求的動作����。在一些實施例中,工業(yè)元件/控制器206(例如�����,電源120)包括被配置為存儲動作請求(例如����,應(yīng)用圖像、控制命令和/或由動作發(fā)起者發(fā)送的任何其它數(shù)據(jù))的存儲介質(zhì)(例如�����,SD/微SD卡�、HDD、SSD或任何其它非暫時性存儲設(shè)備)(例如���,電源120的存儲器142)�。工業(yè)元件/控制器206還包括在簽名得到驗證之后進(jìn)行/執(zhí)行動作請求(即,執(zhí)行所請求的動作)的處理器(例如�����,電源120的處理器140)��。在一些實施例中��,動作請求由動作發(fā)起者202和/或動作認(rèn)證器204加密�,并且還必須在能夠執(zhí)行所請求的動作之前由處理器140解密���。在實現(xiàn)方式中��,工業(yè)元件/控制器206包括虛擬鍵開關(guān)234(例如���,在處理器140上運行的軟件模塊),該虛擬鍵開關(guān)234僅在動作請求簽名得到驗證之后和/或動作請求被解密之后才使得處理器140能夠執(zhí)行所請求的動作�。在一些實施例中,每個和每一動作或關(guān)鍵動作的每一個選擇必須在工業(yè)元件/控制器206上運行之前通過認(rèn)證路徑�����。
[0099]圖9示出了根據(jù)示例性實施例的用于在工業(yè)控制系統(tǒng)中認(rèn)證動作請求的過程300。在實施方式中�,過程300可以由(例如,參照圖1至圖6所描述的)工業(yè)控制系統(tǒng)100和/或工業(yè)控制系統(tǒng)100的(例如���,參照圖7和圖8所描述的)認(rèn)證路徑200所表現(xiàn)����。發(fā)起動作請求(方框310)��。例如���,將操作者/工程接口 208/210和/或遠(yuǎn)程/本地應(yīng)用接口 216/220用于生成動作請求���。然后,利用動作認(rèn)證器對動作請求進(jìn)行簽名(方框320)����。例如,動作認(rèn)證器204被用于對動作請求進(jìn)行簽名�����。在一些實施例中���,可以利用動作認(rèn)證器對動作請求進(jìn)行加密(方框322)�。然后,將已簽名的動作請求發(fā)送(例如�����,下載)給工業(yè)元件/控制器(方框330)��。例如���,將動作請求提供給工業(yè)元件/控制器206(例如,提供給電源120)���。然后����,驗證已簽名的動作請求的可靠性(方框340)�。在一些實施例中,可以利用工業(yè)元件/控制器來對動作請求進(jìn)行解密(方框342)�����。例如����,工業(yè)元件/控制器206可以對動作請求進(jìn)行解密�����。然后��,當(dāng)驗證了已簽名的動作請求的可靠性時�,可以執(zhí)行所請求的動作(方框350) ο例如�,電源120執(zhí)行由操作者/工程接口 208、210和/或遠(yuǎn)程/本地應(yīng)用接口 216��、220所請求的動作����。
[0100]為了增強(qiáng)的安全性,工業(yè)元件/控制器206(例如��,電源120)可以進(jìn)一步配置為在由工業(yè)元件/控制器206執(zhí)行所請求的動作之前�����,利用動作認(rèn)證器204(例如���,利用智能卡224)來執(zhí)行認(rèn)證序列��。例如�����,在方框350之前�����,或者甚至在方框330之前����,可以執(zhí)行所謂的“握手”。在一些實施例中�,可以使用更復(fù)雜的認(rèn)證序列來執(zhí)行簽名和驗證方框320和340。此外�����,在一些實施例中�,認(rèn)證序列可以被執(zhí)行作為附加的安全措施�,以增強(qiáng)較簡單的簽名驗證和/或解密措施。
[0101]在一些實施例中���,工業(yè)元件/控制器206所實施的認(rèn)證序列可以包括向動作認(rèn)證器204發(fā)送請求數(shù)據(jù)報�����,例如��,其中�,請求數(shù)據(jù)報包括第一密碼隨機(jī)數(shù)(nonce)、第一設(shè)備認(rèn)證密鑰證書(例如�,包含設(shè)備認(rèn)證密鑰的第一認(rèn)證證書)以及第一標(biāo)識屬性證書。然后����,從動作認(rèn)證器204接收響應(yīng)數(shù)據(jù)報,例如��,其中�����,響應(yīng)數(shù)據(jù)報包括第二隨機(jī)數(shù)���、與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第一簽名�、第二設(shè)備認(rèn)證密鑰證書(例如���,包含設(shè)備認(rèn)證密鑰的第二認(rèn)證證書)以及第二標(biāo)識屬性證書�����。然后���,通過驗證與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第一簽名����、第二設(shè)備認(rèn)證密鑰證書以及第二標(biāo)識屬性證書來證實響應(yīng)數(shù)據(jù)報的有效性�����。然后�����,(例如����,當(dāng)響應(yīng)數(shù)據(jù)報被確定為有效時)可以將認(rèn)證數(shù)據(jù)報發(fā)送給動作認(rèn)證器204��,其中�����,認(rèn)證數(shù)據(jù)報包括與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第二簽名。
[0102]可選地���,動作認(rèn)證器204可以發(fā)起握手����,在這種情況下����,工業(yè)元件/控制器206所實施的認(rèn)證序列可以包括從動作認(rèn)證器204接收請求數(shù)據(jù)報,例如����,其中,請求數(shù)據(jù)報包括第一隨機(jī)數(shù)�����、第一設(shè)備認(rèn)證密鑰證書以及第一標(biāo)識屬性證書��。然后�����,可以通過驗證第一設(shè)備認(rèn)證密鑰證書以及第一標(biāo)識屬性證書來證實請求數(shù)據(jù)報的有效性。然后����,當(dāng)請求數(shù)據(jù)報為有效時,可以將響應(yīng)數(shù)據(jù)報發(fā)送給動作驗證器�,例如,其中��,響應(yīng)數(shù)據(jù)報包括第二隨機(jī)數(shù)��、與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第一簽名�、第二設(shè)備認(rèn)證密鑰證書以及第二標(biāo)識屬性證書。然后��,可以接收來自動作認(rèn)證器204的認(rèn)證數(shù)據(jù)報��,例如��,其中����,認(rèn)證數(shù)據(jù)報包括與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第二簽名。然后����,可以例如通過驗證與第一和第二隨機(jī)數(shù)關(guān)聯(lián)的第二簽名來證實認(rèn)證數(shù)據(jù)報的有效性。
[0103]可以使用以上(例如��,參照認(rèn)證模塊所執(zhí)行的認(rèn)證)描述的技術(shù)中的一項或多項來完成能夠由工業(yè)元件/控制器206和動作認(rèn)證器204所實施的握手或認(rèn)證序列���。此外���,動作發(fā)起者202、動作認(rèn)證器204以及工業(yè)元件/控制器206中的每一個可以包括能夠執(zhí)行本文所述功能或操作(例如����,方法300和認(rèn)證序列的步驟)的電路和/或邏輯。例如�,動作發(fā)起者202、動作認(rèn)證器204以及工業(yè)元件/控制器206中的每一個可以包括一個或多個處理器���,所述一個或多個處理器運行由非暫時性機(jī)器可讀介質(zhì)永久地����、半永久地或臨時地存儲的程序指令�����,非暫時性機(jī)器可讀介質(zhì)例如但并不必限于:硬盤驅(qū)動器(HDD)�����、固態(tài)盤(SDD)、光盤�����、磁存儲設(shè)備��、閃存驅(qū)動器或者SD/微SD卡�����。
[0104]—般地����,可以使用硬件(例如,諸如集成電路的固定邏輯電路)��、軟件����、固件、人工處理或其組合來實施本文所描述功能中的任意功能�。因此,以上公開內(nèi)容中討論的方框一般性地表示硬件(例如��,諸如集成電路的固定邏輯電路)、軟件����、固件或其組合����。在硬件配置的例子中,以上公開內(nèi)容中討論的各個方框可以與其它功能一起實施為集成電路��。該集成電路可以包括給定方框��、系統(tǒng)或電路的全部功能����,或者該方框、系統(tǒng)或電路的部分功能���。此外���,方框、系統(tǒng)或電路的各單元可以實施在多個集成電路上�����。該集成電路可以包括各種集成電路,包括但不必限于:單片集成電路���、倒裝芯片集成電路�、多片模塊集成電路和/或混合信號集成電路�。在軟件實施的例子中,以上公開內(nèi)容中討論的各個方框表示可運行指令(例如�����,程序代碼)�����,當(dāng)被處理器運行時�����,所述可運行指令執(zhí)行指定的任務(wù)�。這些可運行指令可以存儲在一個或多個有形計算機(jī)可讀介質(zhì)內(nèi)。在一些這種例子中����,整個系統(tǒng)、方框或電路是可以使用其軟件或固件等效物來實施的。在其它例子中�����,給定系統(tǒng)���、方框或電路的一部分可以用軟件或固件來實施�,而其它部分可以用硬件來實施��。
[0105]
[0106]盡管已經(jīng)使用特定于結(jié)構(gòu)特征和/或過程操作的語言來描述了主題����,但是應(yīng)當(dāng)理解�����,所附權(quán)利要求中限定的主題并不必限制于以上描述的具體的特征或操作�����。相反地����,以上描述的具體的特征或操作是被公開作為實施權(quán)利要求的示例性形式的。
【主權(quán)項】
1.一種電源,包括: 電池模塊�����,其包括電池單元和被配置為監(jiān)控所述電池單元的電池監(jiān)控器�;以及 自托管的服務(wù)器,其操作地與所述電池模塊耦合���,所述自托管的服務(wù)器被配置為從所述電池監(jiān)控器接收診斷信息并且提供對所述診斷信息的網(wǎng)絡(luò)存取���。2.根據(jù)權(quán)利要求1所述的電源,其中��,所述電池單元包括鋰離子電池單元�����。3.根據(jù)權(quán)利要求1所述的電源����,其中,所述電源包括多個電池模塊����,其中�,所述多個電池模塊中的每個電池模塊被配置為通過堆疊與所述多個電池模塊中的另一個電池模塊相連接��。4.根據(jù)權(quán)利要求3所述的電源��,其中�,所述多個電池模塊中的每一個電池模塊是通過分別的電池模塊保護(hù)層來包封的。5.根據(jù)權(quán)利要求4所述的電源��,其中���,所述多個電池模塊是通過電池組保護(hù)層來包封的��。6.根據(jù)權(quán)利要求5所述的電源,還包括:電源保護(hù)層��,其包封所述多個電池模塊和所述自托管的服務(wù)器��,所述電源保護(hù)層限定堅硬的包裝���,所述堅硬的包裝在一個或多個方向上是可安裝的��。7.根據(jù)權(quán)利要求1所述的電源�,其中����,所述診斷信息包括下列各項中的至少一項:所述電池單元的工作電壓����、所述電池單元的工作電流��、與所述電池單元相關(guān)聯(lián)的電荷或者與所述電池單元相關(guān)聯(lián)的壽命�����。8.—種電源網(wǎng)絡(luò)�����,包括: 多個分布式電源����,所述多個分布式電源與彼此相通信,每個電源包括: 電池模塊���,其包括電池單元和被配置為監(jiān)控所述電池單元的電池監(jiān)控器�;以及 自托管的服務(wù)器��,其操作地與所述電池模塊耦合���,所述自托管的服務(wù)器被配置為從所述電池監(jiān)控器接收診斷信息并且提供對所述診斷信息的網(wǎng)絡(luò)存取����。9.根據(jù)權(quán)利要求8所述的電源網(wǎng)絡(luò),其中��,所述電池單元包括鋰離子電池單元��。10.根據(jù)權(quán)利要求8所述的電源網(wǎng)絡(luò)���,其中����,每個電源包括多個電池模塊��,其中��,所述多個電池模塊中的每個電池模塊被配置為通過堆疊與所述多個電池模塊中的另一個電池模塊相連接�。11.根據(jù)權(quán)利要求1O所述的電源網(wǎng)絡(luò)���,其中�����,所述多個電池模塊中的每一個電池模塊是通過分別的電池模塊保護(hù)層來包封的���。12.根據(jù)權(quán)利要求11所述的電源網(wǎng)絡(luò)��,其中����,所述多個電池模塊是通過電池組保護(hù)層來包封的�����。13.根據(jù)權(quán)利要求12所述的電源網(wǎng)絡(luò)�����,其中�,每個電源還包括電源保護(hù)層,所述電源保護(hù)層包封所述多個電池模塊和所述自托管的服務(wù)器�����,所述電源保護(hù)層限定堅硬的包裝���,所述堅硬的包裝在一個或多個方向上是可安裝的���。14.根據(jù)權(quán)利要求8所述的電源網(wǎng)絡(luò)��,其中����,所述診斷信息包括下列各項中的至少一項:所述電池單元的工作電壓�����、所述電池單元的工作電流�����、與所述電池單元相關(guān)聯(lián)的電荷或者與所述電池單元相關(guān)聯(lián)的壽命��。15.—種工業(yè)控制系統(tǒng)����,包括: 控制模塊; 輸入/輸出模塊�����,其被所述控制模塊控制和監(jiān)控��,所述輸入/輸出模塊被配置為從傳感器接收輸入信號或者為致動器或電機(jī)提供輸出信號���; 電力模塊����,用于向所述控制模塊和所述輸入/輸出模塊中的至少一個模塊提供電力��;以及 電源���,用于向所述電力模塊分配電力�����,所述電源包括: 電池模塊��,其包括電池單元和被配置為監(jiān)控所述電池單元的電池監(jiān)控器�����;以及自托管的服務(wù)器����,其操作地與所述電池模塊耦合���,所述自托管的服務(wù)器被配置為從所述電池監(jiān)控器接收診斷信息并且提供對所述診斷信息的網(wǎng)絡(luò)存取����。16.根據(jù)權(quán)利要求15所述的工業(yè)控制系統(tǒng),其中�����,所述電池單元包括鋰離子電池單元���。17.根據(jù)權(quán)利要求15所述的工業(yè)控制系統(tǒng)�����,其中�����,所述電源包括多個電池模塊����,其中����,所述多個電池模塊中的每個電池模塊被配置為通過堆疊與所述多個電池模塊中的另一個電池模塊相連接。18.根據(jù)權(quán)利要求17所述的工業(yè)控制系統(tǒng)�,其中,所述多個電池模塊中的每一個電池模塊是通過分別的電池模塊保護(hù)層來包封的��。19.根據(jù)權(quán)利要求18所述的工業(yè)控制系統(tǒng)��,其中�����,所述多個電池模塊是通過電池組保護(hù)層來包封的�����。20.根據(jù)權(quán)利要求19所述的工業(yè)控制系統(tǒng)���,還包括:電源保護(hù)層����,其包封所述多個電池模塊和所述自托管的服務(wù)器����,所述電源保護(hù)層限定堅硬的包裝,所述堅硬的包裝在一個或多個方向上是可安裝的。21.根據(jù)權(quán)利要求15所述的工業(yè)控制系統(tǒng)��,其中�����,所述診斷信息包括下列各項中的至少一項:所述電池單元的工作電壓���、所述電池單元的工作電流���、與所述電池單元相關(guān)聯(lián)的電荷或者與所述電池單元相關(guān)聯(lián)的壽命。
【文檔編號】G05B19/418GK106054824SQ201610229230
【公開日】2016年10月26日
【申請日】2016年4月13日 公開號201610229230.4, CN 106054824 A, CN 106054824A, CN 201610229230, CN-A-106054824, CN106054824 A, CN106054824A, CN201610229230, CN201610229230.4
【發(fā)明人】A·魯亞科斯, J·G·加爾文
【申請人】基巖自動化平臺公司