用于安全仪表化过程控制系统的入侵防御的设备及方法

摘要

本发明揭示用于安全仪表化过程控制系统的入侵防御的设备及方法。一种保护安全仪表化系统的范例方法涉及接收来自过程控制系统的元件的合法信息(其中所述合法信息计划发送到安全仪表化系统)、确定签名是否与所述合法信息至少充分匹配、以及在确定所述签名与所述合法信息至少充分匹配时，阻止所述合法信息到达所述安全仪表化系统。

说明书

技术领域

本发明总体上涉及过程控制系统，尤其涉及用于安全仪表化过程控制系统的入侵防御的设备及方法。

背景技术

过程控制系统-如那些用于化学、石油、或其他过程的过程控制系统-典型地包括一个或多个集中式过程控制器，集中式过程控制器通过模拟总线、数字总线或模拟/数字混合总线，与至少一个主机或操作员工作站及与一个或多个现场设备通信连接。所述现场设备可能是阀、阀定位器、开关及传送器(例如温度传感器、压力传感器及流率传感器)，它们在过程中发挥功能，如开启或关闭阀及测量过程参数。所述过程控制器接收所述现场设备所进行的过程测量的信号及/或关于所述现场设备的其他信息，并使用这些信息来实施控制例程，然后产生控制信号并通过所述总线或其他通信线传送至所述现场设备，以控制过程的操作。来自所述现场设备和所述控制器的信息可以由所述操作员工作站执行的一种或多种应用程序，使操作员能够执行针对过程所需要的功能，例如观察过程的当前状态、修正过程的操作等等。

许多过程控制系统也包括一个或多个应用站。典型地，这些应用站使用个人计算机、工作站或类似物来实施，所述个人计算机、工作站或类似物通过局域网(LAN)通信连接到所述控制器、操作员工作站及所述过程控制系统中的其他系统。每个应用站可以执行一个或多个软件应用程序，软件应用程序在过程控制系统中执行活动管理功能、维修管理功能、实质控制功能、诊断功能、实时监测功能、安全相关功能、配置功能等等。

有些过程控制系统或其部分可能存在重大的安全风险。例如，化学处理工厂、发电厂等可能实施关键过程，这些关键过程如果没有适当地控制及/或使用预定的关闭顺序迅速关闭，会对人员、环境及/或设备造成重大损害。为了处理和涉及这种关键过程的过程控制系统相关的安全风险，许多过程控制系统供应商提供遵守安全相关标准的产品，例如遵守“国际电工委员会”(Electrotechnical Commission，IEC)的IEC 61508标准及IEC 61511标准的产品。

一般上，遵守一个或多个已知安全相关标准的过程控制系统是通过使用安全仪表化系统结构来实施。在这样的系统结构中，与基本过程控制系统相关的、负责全过程的连续控制的控制器及现场设备在物理上和逻辑上与专用现场设备及其他与安全仪表系统相关的专用控制元件分离，而安全仪表系统则负责安全仪表功能的执行，以响应出现重大安全风险的控制情况，从而确保过程安全关闭。特别是许多已知的安全相关标准要求以专用控制元件来补充基本过程控制系统，比如以逻辑求解器、安全已确认现场设备(例如：传感器、末控元件-比如气动阀)、数据冗余设备及例程(例如冗余链路、循环冗余码校验等等)及安全已确认软件或代码(例如已确认应用程序、功能模块、功能块等等)。此外，许多已知的过程控制系统也提供至少一个图形运行时间界面，图形运行时间界面允许用户或其他系统操作员监测过程、改变参数值、向一个或多个设备、控制环路及/或其他过程控制实体发出命令等等。

安全仪表化系统定期地更新以下载更新的软件、更新的操作参数、更新的控制过程等等。目前的安全仪表化系统使用用户名及密码及/或机械钥匙开关来防止从过程控制系统中的工作站未经授权地对安全仪表化系统进行下载存取。然而，如果：钥匙没有获得谨慎保管、用户在无人看管的情况下离开已登录联接的工作站、机械锁在使用后没有重锁、钥匙被复制，可能发生未经授权的对安全仪表化系统的下载存取。

发明内容

本发明揭示用于安全仪表化过程控制系统的入侵防御的范例方法及设备。一种保护安全仪表化系统的范例方法涉及接收来自过程控制系统的元件的合法信息(其中所述合法信息计划发送到安全仪表化系统)及确定签名是否与所述合法信息至少充分匹配。在确定所述签名与所述合法信息至少充分匹配时，所述合法信息被阻止到达所述安全仪表化系统。

根据另一范例，本发明揭示一种用于保护安全仪表化过程控制系统的范例设备。所述范例设备包括接收器，以便接收来自过程控制系统的过程控制部分的寻址到安全仪表化系统的合法信息。所述设备也包括数据仓库(以便存储至少一个签名)及签名分析器(以便确定所述至少一个签名是否与所述合法信息至少充分匹配，以及在所述签名与所述合法信息至少充分匹配时，阻止所述合法信息到达所述安全仪表化系统。

根据另一范例，本发明揭示一种范例机器可读媒介。所述范例机器可读媒介包括存储于其上的指令，所述指令在被执行时促使机器接收来自过程控制系统的过程控制部分的寻址到安全仪表化系统的合法信息，并确定签名是否与所述合法信息充分匹配。所述机器可读指令在被执行时进一步促使所述机器在确定所述签名与所述合法信息至少充分匹配时，阻止所述合法信息到达所述安全仪表化系统。

附图说明

图1为一框图，其显示一种范例过程控制系统，该范例过程控制系统可以配置成使用在此描述的范例入侵防御系统设备及方法。

图2为一详细框图，其显示图1的范例入侵防御系统。

图3为一流程图，其描绘一种可以用于实施图1及2的范例入侵防御系统的范例方法。

图4为一流程图，其描绘一种可以与图1及2的范例入侵防御系统连同使用来将软件下载到所述过程控制系统的范例方法。

图5为一框图，其显示一种可以用于实施在此描述的设备及方法的范例处理器系统。

具体实施方式

一般上，在此描述的范例设备及方法可以与控制系统连同使用，以便为所述控制系统的安全系统(例如安全仪表化系统(SIS))提供入侵防御。更明确地说，在此描述的范例设备及方法防止由过程控制系统发送的预定指令控制安全系统。在一实施例中，由过程控制系统发送的、与预定签名匹配的合法(例如有效、经授权、许可等等)指令被防止到达安全系统。

如以下所作的更详细描述那样，范例入侵防御系统(IPS)在过程控制系统及与所述过程控制系统相关的安全系统(即安全仪表化系统SIS)之间提供。所述范例入侵防御系统(IPS)接收由所述过程控制系统传送给所述安全系统的信息。所述范例入侵防御系统(IPS)对所接收的信息及一签名进行比较，以确定所接收的信息是否与所述签名匹配。匹配指示所接收的信息是软件下载解锁命令，而软件下载解锁命令是对所述安全系统的合法指令。如果所接收的信息与所述签名匹配，所述范例入侵防御系统(IPS)放弃所述信息或防止所述信息到达所述安全系统(即不发送所述信息到所述安全系统)。如果所接收的信息与所述签名不匹配，所述范例入侵防御系统(IPS)将所述信息进路及/或发送到所述安全系统。所述范例入侵防御系统(IPS)也配置成从所述安全系统接收定向所述过程控制系统或计划发送到所述过程控制系统的信息。所述范例入侵防御系统(IPS)不监测从所述安全系统发送到所述过程控制系统的这样的信息。

图1为一框图，其显示一范例过程控制系统10，范例过程控制系统10包括在此描述的范例入侵防御设备及方法。如图1所示，过程控制系统10包括一入侵防御系统(IPS)15a。过程控制系统10也包括一过程控制部分12，过程控制部分12通过入侵防御系统(IPS)15b及/或通过开关17，通信连接到安全仪表化系统部分14(例如安全仪表化系统SIS)。在所图解的范例中，过程控制部分12配置成实施一控制过程，而安全仪表化系统部分14配置成实施所述控制过程的关闭，以回应一个或多个不安全情况。入侵防御系统(IPS)15a配置成监测从操作员站18、动态应用站20、备用应用站22或远程操作员站44传送到过程控制部分12或安全仪表化系统部分14的信息，以及阻止已经预先选择(即预定)及已经使用标识符(例如签名、编码等等)来识别的信息。所述图解范例的入侵防御系统(IPS)15b配置成监测从过程控制部分12传送到安全仪表化系统部分12的信息以及阻止已经预先选择(即预定)及已经使用标识符(例如签名、编码等等)来识别的信息。虽然图1包括入侵防御系统(IPS)15a及入侵防御系统(IPS)15b，过程控制系统10的实施可以包括入侵防御系统(IPS)15a及入侵防御系统(IPS)15b中的一个或两个。此外，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以位于过程控制系统10中的任何期望位置。

在图1的图解范例中，基本过程控制部分12包括控制器16、操作员站18、动态应用站20及备用应用站22，控制器16、操作员站18、动态应用站20及备用应用站22可以通过总线或局域网(LAN)24通信连接，局域网(LAN)24一般称为“应用程序控制网络”(ACN)。操作员站18和应用站20及22可以使用一个或多个工作站或任何其他合适的计算机系统或处理单元来实施。例如，应用站20及22可以使用类似以下图5中所示的范例处理器系统500的单处理器个人计算机、单处理器工作站或多处理器工作站等来实施。此外，局域网(LAN)24可以使用任何期望的通信媒介及协议来实施。例如，范例局域网(LAN)24可以基于固定或无线以太网(Ethernet)通信方案，由于固定或无线以太网(Ethernet)通信方案广为人知，因此在此不作更详细的描述。然而，本领域的普通工程技术人员将可以理解，可以使用任何其他合适的通信媒介及协议。此外，虽然图中只显示单一局域网(LAN)，但可以使用超过一个局域网(LAN)和应用站20及22中的适当通信硬件，在操作员站18、应用站20及22以及控制器16之间提供冗余通信路径。

控制器16可以通过数字数据总线32及输入/输出(I/O)设备34连接到多个智能现场设备26、28及30。智能现场设备26、27、28、29及30可以是遵守Fieldbus协议的阀、促动器、传感器等等，在这种情况下，智能现场设备26、27、28、29及30使用广为人知的Fieldbus协议，通过数字总线32进行通信。当然，也可以改为使用其他类别的智能现场设备及通信协议。例如，智能现场设备26、27、28、29及30可以改为使用广为人知的Profibus及HART协议、通过数据总线32进行通信、遵守Profibus协议或HART协议的设备。附加的输入/输出(I/O)设备(与所述输入/输出(I/O)设备34相似或相同)可以连接到所述控制器16，以使附加组合的智能现场设备(可以是Fieldbus设备、HART等等)能够与控制器16通信。

除了智能现场设备26、27、28、29及30之外，一个或多个非智能现场设备36及38可以通信连接到控制器16。非智能现场设备36及38可以是传统的4-20mA或0-10V直流电(VDC)设备，它们通过各自的固定链路40及42与控制器16通信。

控制器16可以是(例如)由费舍-柔斯芒特系统有限公司(Fisher-Rosemount System，Inc.)出售的DeltaV^TM控制器。然而，可以使用任何其他控制器。此外，虽然图1只显示一个控制器，任何期望类别的或多类别混合的附加控制器可以连接到局域网(LAN)24。控制器16可以执行与过程控制系统10相关的一个或多个过程控制例程。这些过程控制例程可以由系统工程师或其他人类操作员使用操作员站18来产生并下载到控制器16及在控制器16中初始化。

如图1所示，范例过程控制系统10也可以包括远程操作员站44，该远程操作员站44通过通信链路46及局域网(LAN)48，通信连接到应用站20及22。远程操作员站44可以在地理上远程定位，在这种情况下，通信链路46以无线通信链路、基于互联网或基于其他可交换包通信网络、电话线(例如数字用户线)或它们的任何组合为优选，但并非必须是无线通信链路、基于互联网或基于其他可交换包通信网络、电话线(例如数字用户线)或它们的任何组合。

如图1所示，动态应用站20及备用应用站22通过局域网(LAN)24及通过冗余链路50通信连接。冗余链路50可以是动态应用站20及备用应用站22之间的单独、专用(即不是共用)通信链路。冗余链路50可以使用(例如)专用以太网(Ethernet)链路来实施(例如在相互连接的动态应用站20及备用应用站22的每个应用站中的专用以太网卡)。然而，在其他范例中，冗余链路50可以使用通信连接到应用站20及22的局域网(LAN)24或冗余局域网(LAN)(图中未显示)来实施(局域网(LAN)24及冗余局域网(LAN)中的任何一个都不是必须专用的)。

一般而言，应用站20及22通过冗余链路50，连续地、例外地或定期地交换信息(例如回应参数值变化、应用站配置变化等等)以建立及维持冗余语境。冗余语境使得能够在动态应用站20及备用应用站22之间进行控制的无缝或无扰切换或转换，以回应用应用站20及22的其中之一的故障。例如，所述冗余语境使得能够进行从动态应用站20到备用应用站22的控制切换或转换，以回应动态应用站20中的硬件或软件故障或回应来自系统操作员或用户或过程控制系统10的客户应用程序的指示。

如图1所示，过程控制系统10的安全仪表化系统部分14包括逻辑求解器52及54以及现场设备56及58。逻辑求解器52及54可以使用(例如)由费舍-柔斯芒特系统有限公司(Fisher-Rosemount System，Inc.)生产的商用DeltaV SLS 1508逻辑求解器来实施。一般上，逻辑求解器52及54通过冗余链路60，作为冗余对进行协作。换句话说，逻辑求解器52及54以及冗余链路60实施与以上连同动态应用站20及备用应用站22以及冗余链路50进行描述的那些技术充分相似或相同的冗余技术。在其他实施例中，逻辑求解器52及54可以改为使用单一非冗余逻辑求解器或多个非冗余逻辑求解器来实施。

在所述图解范例中，逻辑求解器52及54使用配置成实施一个或多个安全仪表化功能的安全相关电子控制器来实施。应该理解，安全仪表化功能配置成：监测与一个或多个特定危险及/或不安全情况相关的一个或多个过程情况，评估所述过程情况以确定是否有正当理由来关闭过程，以及在有正当理由时促使一个或多个现场设备、组件及/或元件(例如关闭阀)以实现或执行关闭过程。

典型地，每个安全仪表化功能使用至少一个传感设备、一个逻辑求解器以及一个现场设备、组件或元件(例如阀)。所述逻辑求解器典型地配置成通过所述传感器来监测至少一个过程控制参数，以及在察觉到危险情况时操作所述现场设备、组件或元件，以实现过程的安全关闭。例如，逻辑求解器可以通信连接到压力传感器(压力传感器读出容器或槽中的压力)，而且可以配置成在通过所述压力传感器检测到不安全超压时促使通气阀开启。当然，安全仪表化系统中的每个逻辑求解器可以配置成实施一个或多个安全仪表化功能，而且因此可以通信连接到多个传感器及/或现场设备、组件或元件，这些传感器及/或现场设备、组件或元件典型地经过安全评级或认证。

现场设备56及58可以是智能或非智能现场设备，包括传感器、促动器及/或任何其他可以用于监测过程情况及/或用于实现过程控制系统10的控制关闭的过程控制设备。例如，现场设备56及58可以是经安全认证或评级的流率传感器、温度传感器、压力传感器、关闭阀、通气阀、隔离阀、临界开关阀等等。虽然图1的范例过程控制系统10的安全仪表化系统部分14中只描绘两个逻辑求解器52及54以及两个现场设备56及58，但可以使用附加的现场设备及/或逻辑求解器来实施任何期望数目的安全仪表化功能。

如图1所示，现场设备56及58通过各自的链路62及64通信连接到逻辑求解器52及54。在现场设备56及58是智能设备的情况下，逻辑求解器52及54可以使用固定的数字通信协议(例如HART协议、Fieldbus协议等等)与现场设备56及58通信。然而，可以改为使用任何其他期望的通信媒介(例如固定通信媒介、无线通信媒介等等)及协议。亦如图1所示，逻辑求解器52及54通过入侵防御系统(IPS)15b及/或开关17及总线32以及输入/输出(I/O)设备34，通信连接到控制器16。然而，逻辑求解器52及54可以在过程控制系统10中替代地以任何其他期望方式通信连接。例如，逻辑求解器52及54可以通过入侵防御系统(IPS)15b及/或开关17，及/或通过入侵防御系统(IPS)15b及/或开关17以及局域网(LAN)24，直接地连接到控制器16。不论逻辑求解器52及54以什么方式在过程控制系统10中连接，逻辑求解器52及54以相对于控制器16的逻辑对等物为优选，但并非必须是相对于控制器16的逻辑对等物。

在过程控制系统10的一个实施例中，安全仪表化系统部分14的组件(例如逻辑求解器54及/或逻辑求解器52)包括锁定状态及解锁状态。在所述解锁状态下，安全仪表化系统部分14的解锁组件可接受包括所述组件的更新指令及/或参数的信息。例如，操作员站18可为过程控制部分12发送更新操作参数的下载要求到逻辑求解器54。如果逻辑求解器54处在锁定状态，所述下载要求将被逻辑求解器54忽略。安全仪表化系统部分14的组件的状态是受由所述安全仪表化系统组件从其他组件(例如所述安全仪表化系统部分的组件、所述过程控制部分、操作员的组件等等)接收的锁定及解锁命令控制。附加地或可选择地，根据Fieldbus 系统实施的设备可以包括锁定块，该锁定块可以接收解锁及锁定命令。

所述图解范例的入侵防御系统(IPS)15a监测在所述操作员站(操作员站18、动态应用站20、备用应用站22及远程操作员站44)与过程控制部分12及安全仪表化系统部分14之间传送的信息。所述图解范例的入侵防御系统(IPS)15b监测在过程控制部分12与安全仪表化系统部分14之间传送的信息。如以下将连同图2进行的更详细的描述那样，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b接收对安全仪表化系统部分14定向(例如致、传送、转发、发送等等)的信息(例如消息、信息包、指令、信号等等)。入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b对所述信息及代表或指示已经预先识别或预先选择的(为防止不安全或危险操作情况)将被入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b阻止的信息的参考签名进行比较。例如，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以确定所述签名是否与所述信息匹配、所述签名是否充分地与所述信息匹配(例如所述签名的一部分与所述信息匹配、所述签名与所述信息之间的差异在容许极限内)等等。在有些实施例中，为了确定是所述参考签名中的一个或多个参考签名与所接收的信息匹配，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以产生所接收的信息的签名并对所产生的签名及所述参考签名中的一个或多个参考签名进行比较。可选择地，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以对所接收的信息的特定数据部分及所述参考签名中的一个或多个参考签名进行比较。这些数据可以包括文本、文字数字串、二进制串、特定命令等等。在其他实施例中，可以选择使用其他签名匹配方法。

如果入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b确定所述信息与所述签名匹配，则入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b阻止所述信息到达安全仪表化系统部分14。如果入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b确定所述信息与所述签名不匹配，则入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b帮助传输所述信息到所述安全仪表化系统。此外，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b接收来自安全仪表化系统部分14的信息并在不进行监测的情况下帮助传输所述信息到过程控制部分12。

入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以使用任何类别的有能力监测通信的网络通信元件来实施。例如，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以是专用防火墙、有监测能力的网络路由器、有监测能力的网络交换机、有能力与过程控制部分12及安全仪表化系统部分14连接并有能力监测过程控制部分12与安全仪表化系统部分14之间的通信的个人计算机等等。例如，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以使用个人计算机、服务器计算机、桌面计算机等等来实施，执行可从Inc.获得的入侵防御软件。虽然范例入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b不监测从安全仪表化系统部分14接收到过程控制部分12的信息，但在其他实施例中，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b可以配置成除了监测相反方向的通信之外，还监测这样的通信，或配置成改为监测这样的通信。

根据所述图解范例，入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b阻止解锁命令(例如符合Fieldbus Foundation系统的解锁命令、用于控制器的解锁命令等等)被传送到过程控制系统10的安全仪表化系统部分14。换句话说，对过程控制部分12的组件(例如操作员站18)进行工作的用户不能通过从过程控制部分12的所述组件发送解锁命令来将安全仪表化系统部分14的任何组件置于解锁状态-即使所述解锁命令是受过程控制部分12容许的合法信息。

为了便于解锁安全仪表化系统部分14的组件，所述图解范例的开关17a及开关17b提供分别绕路入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b的能力。开关17a及开关17b使得能够进行将被入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b阻止到达其预定目的地的通信。开关17a及/或开关17b可以实施为与入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b分离的设备(如图中所示)，或可选择地可以与入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b结合。开关17a及/或开关17b可以包括安全机制(例如钥匙锁、用于输入安全密码的键区等等)。可选择地，开关17a及/或开关17b可以不包括集成安全性能。例如，如果开关17a及/或开关17b所在的设施提供充分的物理安全而足以防止未经授权接触开关17a及/或开关17b，则开关17a及/或开关17b可能不需要集成安全。此外，在有些实施例中，过程控制系统10可以不包括开关17a及/或开关17b。

除了利用开关17a及/或开关17b来绕路入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b之外，还可以通过从入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b内部的组件(例如从安全仪表化系统部分14的组件)发送解锁命令来解锁安全仪表化系统部分14的组件。例如，直接连接到安全仪表化系统部分14的操作员终端(即未通过入侵防御系统(IPS)15连接到安全仪表化系统部分14)可以发送解锁命令到安全仪表化系统部分14的组件。根据这样的实施例，所述解锁命令可以由直接连接到安全仪表化系统部分14的设备发出，而且在所期望的下载完成时，可以由安全仪表化系统部分14的组件或过程控制部分12的组件发出锁定命令。可选择地，可以使用其他合适的方法来解锁系统中的组件，包括解锁入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b。

图2为一详细框图，其显示图1的范例入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b。为了便于描述，图2以入侵防御系统(IPS)15b作为参考来进行描述。所述图解范例的范例入侵防御系统(IPS)15b包括第一包接收器202、签名分析器204、签名数据仓库206、第一包传送器208、第二包传送器210及第二包接收器212。

所述图解范例的第一包接收器202接收从过程控制系统的过程控制部分(例如图1的过程控制系统10的过程控制部分12)传送的信息。第一包接收器202将所接收的信息传送到签名分析器204。第一包接收器202可以是任何类别的通信界面，例如局域网界面、广域网界面、无线网络界面、服务提供者网络界面等等。范例第一包接收器202可以实施为单独的设备，或可选择地在二进制设备中以传送器(例如第二包传送器210)实施而构成包收发器。

所述图解范例的签名分析器204从签名数据仓库206检索签名，然后将所述签名与从第一包接收器202接收的信息进行比较。如果签名分析器204确定所述信息与所检索的签名中的一个或多个签名匹配，签名分析器204阻止所述信息被传送到第一包传送器208(即阻止所述信息被传送到安全系统)。以下连同图3的流程图对实施签名分析器204的范例过程进行描述。

范例签名数据仓库206存储可能从过程控制部分12接收及由签名分析器204分析的信息的签名。在所述图解范例中，存储在签名数据仓库206的所述签名描述(指示)将另外被允许传送到安全仪表化系统部分14的、而且可以由安全仪表化系统部分14解释来修改其一个或多个操作的、但所述图解范例中的签名分析器204已经配置成对其进行阻止(以防止不安全或危险的操作)的合法信息的特性。例如，签名可以指示在包标题中的第一偏移具备第一值及在包标题中的第二偏移具备第二值的通信包是应被阻止到达安全系统的“解锁”指令。

第一包传送器208接收未被签名分析器204放弃的信息并将所接收的信息传送到过程控制系统的安全仪表化系统部分(例如图1的安全仪表化系统部分14)。第一包传送器208可以是任何类别的通信界面，例如局域网界面、广域网界面、无线网络界面、服务提供者网络界面等等。范例第一包传送器208可以实施成单独的设备或可以选择地与二进制设备中的接收器(例如第二包接收器212)结合，以构成包收发器。

所述图解范例的第二包接收器212接收来自安全仪表化系统部分14的寻址到过程控制系统的过程控制部分的信息。根据所述图解范例，第二包接收器212将所述传送到第二包传送器210。可选择地，第二包接收器212可以传送所接收的信息到签名分析器(例如签名分析器204)，以使能够过滤来自安全仪表化系统部分14的寻址到过程控制系统10的过程控制部分12的信息。第二包传送器210接收来自第二包接收器212的信息并将所述的包传送到过程控制系统10的过程控制部分12。第二包传送器210及第二包接收器212可以是任何类别的通信界面，例如局域网界面、广域网界面、无线网络界面、服务提供者网络界面等等。

图3为一流程图，其描绘可以用于实施图1及2的入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b的范例过程。图4为一流程图，其描绘可以由图1的过程控制系统10的组件(例如远程操作员站44、动态应用站20、备用应用站22、操作员站18、入侵防御系统(IPS)15a、入侵防御系统(IPS)15b、逻辑求解器54及/或逻辑求解器52)实施的范例过程。图3及/或4的范例过程可以由处理器、控制器及/或任何其他合适的处理设备实施。例如，图3及/或4的范例过程可以收录于存储在有形机器可存取或可读媒介上的编码指令中，比如存储在与处理器(例如以下连同图5进行讨论的范例处理器505)相关的闪速存储器、只读存储器(ROM)及/或随机存取存储器(RAM)上的编码指令中。可选择地，图3及/或4的一些或所有范例操作可以使用专用集成电路(ASICs)、可编程逻辑器件(PLDs)、现场可编程逻辑器件(FPLDs)、离散逻辑、硬件、固件等等的任何组合来实施。此外，图3及/或4中描绘的一个或多个操作可以人工地实施，或以前述的任何技术的任何组合来实施，例如以固件、软件、离散逻辑及/或硬件的任何组合来实施。此外，虽然图3及/或4的范例过程以图3及/或4的流程图来进行描述，但图3及/或4的范例过程也可以以许多其他方法来实施。例如，可以改变流程块的执行顺序，及/或可以改变、消除、分割或结合所描述的有些流程块。此外，图3及/或4的任何范例操作或所有范例操作可以按顺序地执行，及/或(例如)由个别的处理线程、处理器、器件、离散逻辑、电路等同时执行。

为了便于描述，图3以入侵防御系统(IPS)15b作为参考来进行描述，但图3的过程也可以替代性地用于实施入侵防御系统(IPS)15a。图3的范例过程以寻址到安全仪表化系统(例如图1的安全仪表化系统部分14的逻辑求解器54)的通信包在入侵防御系统(例如图1的入侵防御系统(IPS)15b)被接收(流程块302)为开始。安全仪表化系统部分14接着从可利用的数据仓库(例如图2的数据仓库206)检索一个或多个签名(流程块304)。所述安全仪表化系统接着将所接收的通信包与所述一个或多个检索签名进行比较(流程块306)。例如，图2的签名分析器204可以将从第一包接收器202接收的通信包与从签名数据仓库206检索的一个或多个签名进行比较。可以使用任何方法将所述通信包与所述签名进行比较。

在对所接收的通信包与所检索的一个或多个签名进行比较(流程块306)之后，签名分析器204确定所接收的通信包是否与所述一个或多个检索签名匹配(流程块308)。如果所接收的通信包与所述一个或多个检索签名匹配(流程块308)，第一包传送器208(图2)将所述通信包进路到所述适当的安全仪表化系统(流程块310)。如果所接收的通信包与所述一个或多个检索签名不匹配(流程块308)，则签名分析器204阻止所述通信包(即所述通信包不被进路到所述通信包寻址的所述安全仪表化系统)(流程块312)。然后，图3的范例过程结束。在所述图解范例中，图3的范例过程是在每次包被第一包接收器202接收时执行。

图4的过程图解一个可以将软件安全地下载到图1的过程控制系统10的范例过程。图4的过程以入侵防御系统(IPS)15b作为参考来进行描述，然而，所述过程也可以替代性地用于入侵防御系统(IPS)15a及与其相关的通信。图4的过程以过程控制系统的组件(例如过程控制系统10的操作员站18)发送解锁命令到所述安全仪表化系统的组件(例如安全仪表化系统部分14的逻辑求解器52)(流程块402)为开始。入侵防御系统(例如图1及2的入侵防御系统(IPS)15b)接收所述解锁命令、确定所述解锁命令为应被阻止的合法指令以及放弃或阻止所述解锁命令(流程块404)。图3中图解用于分析及阻止通信的范例过程。

根据所述图解范例过程，在随后的某时，解锁命令从安全仪表化系统部分14中的工作站(例如与逻辑求解器52相关的工作站)发送到安全仪表化系统部分14(流程块406)。换句话说，所述命令是通过没有连接到通过入侵防御系统(IPS)15b连接到安全仪表化系统部分14的通信链路发送。因此，所述解锁命令没有被入侵防御系统(IPS)15b阻止。因此，所述解锁命令到达所寻址的安全仪表化系统部分14，而安全仪表化系统部分14被置于解锁状态(流程块408)。例如，所述安全仪表化系统可以进入解锁状态，在解锁状态下，安全仪表化系统部分14可接受发送到安全仪表化系统部分14的下载要求。

在安全仪表化系统部分14处在解锁状态后，过程控制系统10中的组件发送软件下载到安全仪表化系统部分14(流程块410)。例如，操作员站18可以向安全仪表化系统部分14发送下载要求，包括更新参数。在所述下载过程完成后，过程控制系统10的组件发送锁定命令，以使安全仪表化系统部分14返回到锁定状态(流程块412)。因此，安全仪表化系统部分14返回到锁定状态，这使未经授权的设备不能发送下载要求到安全仪表化系统部分14。然后，图4的范例过程结束。

图5为一原理框图，其显示一个范例处理器平台500，该范例处理器平台500可用于及/或可编程为实施在此描述的图1的过程控制系统10的任何或所有部分及/或组件。例如，处理器平台500可以由一个或多个通用处理器、处理器芯核、微控制器等等来实施。

图5的范例的处理器平台500包括至少一个通用可编程处理器505。处理器505执行存在于处理器505的主存储器中(例如在RAM 515及/或ROM520中)的编码指令510及/或512。处理器505可以是任何类别的处理单元，比如处理器芯核、处理器及/或微控制器。处理器505除了执行别的以外，还可以执行图3及/或4的范例过程，以实施范例入侵防御系统(IPS)15a及/或入侵防御系统(IPS)15b或任何其他在此描述的设备。处理器505通过总线525，与所述主存储器(包括ROM 520及/或RAM 515)进行通信。RAM 515可以由动态随机存取存储器(DRAM)、同步动态随机存取存储器(SDRAM)及/或任何其他类别的随机存取存储器(RAM)器件实施，而ROM520可以由闪速存储器及/或任何其他期望类别的存储器器件实施。对存储器515及520的存取可以由存储器控制器(图中未显示)来控制。

处理器平台500也包括界面电路530。界面电路530可以以任何类别的界面标准实施，比如通用串行总线(USB)界面、蓝牙界面、外存储器界面、串口、通用输入/输出界面等等。一个或多个输入设备535及一个或多个输出设备540连接到界面电路530。

虽然在此已经描述某些范例方法、设备及制造件，但本专利包括的范围并未受其限制。这些范例的性质属于非限制性的原理性范例，其并未限制本专利包括的范围。相反地，本专利包括所有根据字面意义或等效原则正当地属于附此的权利要求的范围的方法、设备及制造件。

此外，虽然前述的揭示描述用于保护安全系统(例如安全仪表化系统)的实施例，但可以实施在此描述的设备及方法来保护其他类别的重要/关键系统。例如，所述设备及方法可以用于防止涡轮控制系统、涡轮保护系统、防火系统、气体探测系统的变化等等。