操作可编程逻辑控制器.pdf

一种用于工业控制系统(10)的可编程逻辑控制器(14)包括应用逻辑执行层(42)以及更新检查层(40)和输出检查层(44)中的至少一个。应用逻辑层(42)适合于从耦合到可编程逻辑控制器(14)的至少一个传感器(16)来接收传感器输入数据(32)并且处理传感器输入数据(32)以生成致动器(18)的输出参数(30)。输出检查层(44)适合于接收输出参数(30)；检查输出参数是否输出参数为与容许输出参数的列表(52)对应的容许输出参数；以及向致动器(16)仅输出容许输出参数。更新检查层(40)适合于接收应用逻辑更新数据(50)，其中应用逻辑更新数据包含用于更新应用逻辑(43)的信息。更新检查层(40)适合于通过检验应用逻辑更新数据(50)所定义的每一个应用逻辑更新是否对应于容许逻辑更新的列表(48)中的应用逻辑更新来检查应用逻辑更新数据(50)是否应用逻辑更新数据为容许应用逻辑更新数据，并且仅当更新数据是容许应用逻辑更新数据时，才更新应用逻辑(43)。

1.   一种用于更新可编程逻辑控制器(14)的方法，所述方法包括下列步骤：
接收所述可编程逻辑控制器(14)的更新检查层(40)中的应用逻辑更新数据(50)，其中所述应用逻辑更新数据(50)包含用于更新所述可编程逻辑控制器的应用逻辑(43)的信息；
由所述更新检查层(40)通过检验所述应用逻辑更新数据(50)所定义的每一个应用逻辑更新对应于来自容许逻辑更新的列表(48)的应用逻辑更新，来检查所述应用逻辑更新数据(50)是否所述应用逻辑更新数据(50)为容许应用逻辑更新数据；
仅当所述应用逻辑更新数据是容许应用逻辑更新数据时，才采用所述应用逻辑更新数据(50)来更新所述应用逻辑(43)。

2.   如权利要求1所述的方法，
其中，所述应用逻辑更新数据(50)包括所述应用逻辑(43)的功能的更新；
在作为所述容许逻辑更新的列表(48)的一部分的容许功能的列表中列示功能时，允许所述功能的更新。

3.   如权利要求1或2所述的方法，
其中，所述应用逻辑更新数据(50)包括所述应用逻辑(43)所使用的参数的更新；
当已更新参数值处于作为所述容许逻辑更新的列表(48)的一部分的应用逻辑参数值的预定义范围的列表中所定义的预定义范围之内时，允许参数的更新。

4.   如权利要求1或2或3所述的方法，
其中，由所述更新检查层(40)来检查所述应用逻辑更新数据(50)的步骤与所述应用逻辑更新数据的始发方无关。

5.   一种用于操作可编程逻辑控制器(14)的方法，所述方法包括下列步骤：
从耦合到所述可编程逻辑控制器(14)的至少一个传感器(16)来接收传感器输入数据(32)；
采用所述可编程逻辑控制器(14)中存储的应用逻辑(43)来处理所述传感器输入数据(32)，以生成输出参数(30)；
接收所述可编程逻辑控制器(14)的输出检查层(44)中的所述输出参数(30)；
由所述输出检查层通过检验所述输出参数(30)是否对应于容许输出参数的列表(52)，来检查所述输出参数(30)是否所述输出参数为容许输出参数；
向耦合到所述可编程逻辑控制器(14)的致动器(18)仅输出容许输出参数(30)。

6.   如权利要求5所述的方法，还包括下列步骤：
在检测到不容许输出参数的情况下，由所述输出检查层(44)来通知控制系统(10)。

7.   如权利要求5或6所述的方法，还包括下列步骤：
在检测到不容许输出参数的情况下，停止所述可编程逻辑控制器(14)和/或致动器(18)。

8.   如以上权利要求中的任一项所述的方法，
其中，所述容许应用逻辑更新的列表(48)和/或所述容许输出参数的列表(52)存储在所述可编程逻辑控制器(14)中。

9.   如以上权利要求中的任一项所述的方法，
其中，所述容许逻辑更新的列表(48)和/或所述容许输出参数的列表(52)在所述可编程逻辑控制器(14)中提供，使得它在控制系统(10)中安装所述可编程逻辑控制器(14)之后不是可修改的。

10.   如以上权利要求中的任一项所述的方法，
其中，所述容许逻辑更新的列表(48)和/或所述容许输出参数的列表(52)仅经由对所述可编程逻辑控制器(14)的本地访问是可改变的。

11.   如以上权利要求中的任一项所述的方法，还包括下列步骤：
允许仅由具有特定用户准许的用户(22)对所述应用逻辑(43)的更新；
仅当从具有与所述特定用户准许不同的超级用户准许的用户(28)接收到所述更新时，才允许所述容许逻辑更新的列表(48)和/或所述容许输出参数的列表(52)的更新。

12.   一种用于可编程逻辑控制器(14)的计算机程序，其在由所述可编程逻辑控制器的处理器运行时适合于运行如权利要求1至10中的任一项所述的方法的步骤。

13.   一种计算机可读介质，其上存储了如权利要求11所述的计算机程序。

14.   一种用于工业控制系统(10)的可编程逻辑控制器(14)，所述可编程逻辑控制器(14)包括：
应用逻辑层(42)，适合于从耦合到所述可编程逻辑控制器(14)的至少一个传感器(16)来接收传感器输入数据(32)并且处理所述传感器输入数据(32)以生成致动器(18)的输出参数(30)；
更新检查层(40)，适合于接收应用逻辑更新数据(50)，其中所述应用逻辑更新数据包含用于更新所述应用逻辑(43)的信息，所述更新检查层(40)适合于通过检验所述应用逻辑更新数据(50)所定义的每一个应用逻辑更新是否对应于来自容许逻辑更新的列表(48)的应用逻辑更新来检查所述应用逻辑更新数据(50)是否所述应用逻辑更新数据为容许应用逻辑更新数据，并且仅当所述更新数据是容许应用逻辑更新数据时才更新所述应用逻辑(43)。

操作可编程逻辑控制器
技术领域
本发明涉及用于更新和/或操作可编程逻辑控制器的方法、计算机程序和计算机可读介质以及可编程逻辑控制器。
背景技术
例如用于控制发电厂、变电站、化学工厂等的工业控制系统通常包括多个可编程逻辑控制器，其耦合到工业控制系统的传感器和致动器，并且根据传感器所生成的数据来控制致动器。
在可编程逻辑控制器中，运行应用逻辑，其处理来自相应传感器的输入数据，并且生成输出到一个或多个致动器的输出参数，其控制相应致动器的行为。
例如，为了对可编程逻辑控制器进行编程，IEC 61131-3当前定义五种编程语言：功能框图(FBD)、梯形图(LD)、结构化文本(ST；与Pascal编程语言相似)、指令列表(IL；与汇编语言相似)和顺序功能图(SFC)。
控制系统以及具体是控制器可通过通信网络(其可具有控制系统外部的连接)来连接。这些外部连接可用于通过更新可编程逻辑控制器的应用逻辑，来配置控制系统。
具有到可编程逻辑控制器的经认证连接，可允许有权访问控制系统的每一个工程师按照任何目的(包括犯罪意图)来改变可编程逻辑控制器的应用逻辑(符合IEC 61131-3，例如功能框图、梯形图)。
这还可发出病毒和特洛伊，其感染可编程逻辑控制器的工程PC完全控制，从而允许其将可编程逻辑控制器的内部应用逻辑改变成任何值，其中包括伪装修改代码的功能性，并且因而可控制底层进程。
例如，对震网(Stuxnet)病毒的分析表明，注入可编程逻辑控制器中的恶意震网病毒代码不是直接运行，而是包含定时器，其对一小部分时间不显明地将输出(并且因而离心机的速度)改变成极低级。代码还包含输入进程镜像的记录功能，以便在以后伪造输入进程镜像以获得合法控制。
专利申请EP 1772787公开一种连接到多个输入装置、例如开关或传感器的可编程逻辑控制器。按照其输入装置种类，输入装置分类为安全或者不安全，例如，具有由双系统所组成的触点的紧急停止按钮被认为是安全的，而具有单触点的普通开关被认为是不安全的。通过组合串行或并行来自输入装置的信号所配置的顺序程序基于组合逻辑和输入装置分类来确定为安全或者不安全。确定对组合逻辑的任何变化重复进行，并且产生对顺序程序的输出的二元安全属性。
发明内容
上述特性可转递最小特权的安全原则，其要求所准予的准许量应当匹配所需组织的业务目标(其例如被ISO 27000系列所要求)。
具体来说，工程师只应当能够将控制器的内部应用逻辑改变成针对控制器在预期域中用于所定义目的的那些值和程序，而不是改变成能够引起损害或者允许功能性的伪装的值。
本发明的一个目标是提供一种用于工业控制系统的安全可编程逻辑控制器。
这个目的通过独立权利要求的主题来实现。通过从属权利要求和以下描述，其他示范实施例是显而易见的。
本发明的一个方面涉及一种用于更新可编程逻辑控制器的方法。该控制器可以是工业控制系统的一部分。
按照本发明的一实施例，该方法包括下列步骤：接收可编程逻辑控制器的更新检查层中的应用逻辑更新数据，其中应用逻辑更新数据包含用于更新可编程逻辑控制器的应用逻辑的信息；由更新检查层通过检验应用逻辑更新数据所定义的每一个应用逻辑更新是否对应于来自容许逻辑更新的列表或者容许逻辑更新的列表中的应用逻辑更新，来检查应用逻辑更新数据是否应用逻辑更新数据为容许应用逻辑更新数据；以及仅当更新数据是容许应用逻辑更新数据时，才采用应用逻辑更新数据来更新应用逻辑。
换言之，应用逻辑更新检查层因此咨询预先建立的详尽列表，其包含显式枚举或者通过数字极限所定义的容许逻辑更新。更新检查与关联到始发方(orignator)、即对更新请求进行发起或者编程的工程师或操作员的任何种类的准许或权限无关。
更新检查层可通过软件或硬件来实现，其为可编程逻辑控制器提供白名单专门知识，即，容许逻辑更新的名称可被看作是可编程逻辑更新的白名单。容许逻辑更新名单可包含或定义容许逻辑变化的特性、所使用功能和/或参数。特性可涉及由可编程逻辑控制器所控制的进程的物理过程安全性的边界。
预计应用逻辑更新数据包括完整应用程序，其被提供给空或擦除的控制器存储器或PLC数据存储。换言之，如本文所使用的术语“更新”并不局限于本发明对已经存在于控制器的应用逻辑层的初始逻辑应用程序的使用情况的适用性。
可编程逻辑控制器仅接受其应用逻辑中对应于容许变化的所定义列表的变化。PLC应用的容许逻辑变化的特性可基于其中使用可编程逻辑控制器的域。在可编程逻辑控制器用于不同域的情况下，特殊角色、例如超级用户可必须经由安全连接来登录到控制器，并且改变列表。
按照本发明的一实施例，应用逻辑更新数据包括应用逻辑的功能的更新。在作为容许逻辑更新的列表的一部分的容许功能的列表中列示功能时，允许功能的更新。
作为举例，容许功能列表的初始建立可按照下列方式生成：更新检查层可分析所使用功能(例如编程语言的功能)，其已经用来在可编程逻辑控制器本身中历史地或者在控制系统的对等控制器中生成先前应用逻辑。将这些功能传递到容许功能列表中。不允许所有其他功能用于应用逻辑更新。
按照本发明的一实施例，应用逻辑更新数据包括对应用逻辑所使用的参数的更新。当已更新参数值处于作为容许逻辑更新的列表的一部分的应用逻辑参数值的预定义范围的列表中所定义的预定义范围之内时，允许参数的更新。例如，(例如来自所使用编程语言的)功能的自变量可限制到容许应用逻辑更新的列表所存储的特定参数范围。
本发明的另一方面涉及一种用于操作可编程逻辑控制器的方法。
必须注意，用于更新可编程逻辑控制器的方法可以是如以下所述用于操作可编程逻辑控制器的方法的一部分。
按照本发明的一实施例，该方法包括下列步骤：从耦合到可编程逻辑控制器的至少一个传感器来接收传感器输入数据；采用可编程逻辑控制器中存储的应用逻辑来处理传感器输入数据，以生成输出参数；接收可编程逻辑控制器的输出检查层中的输出参数；由输出检查层通过检查输出参数是否对应于容许输出参数的列表来检查输出参数是否输出参数为容许输出参数；以及向耦合到可编程逻辑控制器的致动器仅输出容许输出参数。
容许输出参数的列表还可被看作是输出参数的白名单，以及输出检查层可被看作是对应白名单功能性。
可由输出检查层、控制对致动器和/或传感器的访问的附加层来执行检查。
可以有可能的是，输出参数的一些特性按照使得它们可以仅在运行时来检查的方式与传感器相关。例如，在这种情况下，控制器(还)可执行在应用逻辑的执行期间是否违反特性的检查。例如通过查询作为白名单的组成部分的某些变量/参数，这可基于控制器的实际状态。
例如，容许输出参数的列表的初始建立可按照下列方式生成：输出检查层可通知或记录初始应用逻辑的所有输入数据和输出参数，并且可将其相互关联，以生成容许输出参数的列表。
可通过将白名单检查限制到取决于自上一次检查以来已经改变的变量的那些断言/规则，而不重复已知地将产生相同结果的检查，来节省执行时间。
按照本发明的一个实施例，该方法还包括下列步骤：在检测到不容许输出参数的情况下，由输出检查层来通知控制系统。例如，可通知中央控制器在特定控制器中运行不容许功能性。
按照本发明的一个实施例，该方法还包括下列步骤：在检测到不容许输出参数的情况下，停止可编程逻辑控制器和/或致动器。取决于配置，输出检查层可发起安全停止。
按照本发明的一实施例，容许应用逻辑更新的列表和/或容许输出参数的列表存储在可编程逻辑控制器中。例如，容许应用逻辑更新的列表可以是更新检查层的一部分。容许输出参数的列表可以是输出检查层的一部分。还有可能的是，容许输出参数的列表是容许应用逻辑更新的列表的一部分。因此，两种检查层均可基于相同列表来执行其检验。
按照本发明的一实施例，容许逻辑更新的列表和/或容许输出参数的列表在可编程逻辑控制器中提供，使得在控制系统中安装可编程逻辑控制器之后不是可修改的。换言之，白名单功能性例如由供应商“烧录”到控制器中。以后不可能改变它。
按照本发明的一实施例，容许逻辑更新的列表和/或容许输出参数的列表仅经由对可编程逻辑控制器的本地访问是可改变的。白名单功能性可以仅在具有本地物理装置访问是可改变的。
按照本发明的一实施例，该方法还包括下列步骤：允许仅由具有特定用户准许的用户对应用逻辑的更新；以及仅当从具有与特定用户准许不同的超级用户准许的用户接收更新时，才允许对容许逻辑更新的列表和容许输出参数的列表的更新。白名单功能性可以是经由特殊用户准许(其未被准予普通用户、例如工程师)远程可改变的。
容许应用逻辑更新和/或容许输出参数的列表可在调试期间由特殊角色、例如由与应用工程师(其将具有更新应用域中的应用逻辑的权限)不同的人(“超级用户”)来改变。
本发明的另一方面涉及一种用于可编程逻辑控制器的计算机程序，其在由可编程逻辑控制器的处理器运行时适合于运行用于如上文和下文所述更新和/或操作可编程逻辑控制器的方法的步骤。
本发明的另一方面涉及一种其上存储这种计算机程序的计算机可读介质。计算机可读介质可以是软盘、硬盘、USB(通用串行总线)存储装置、RAM(随机存取存储器)、ROM(只读存储器)和EPROM(电可擦可编程只读存储器)。计算机可读介质也可以是允许下载程序代码的数据通信网络、如因特网。
本发明的另一方面涉及一种用于工业控制系统的可编程逻辑控制器。必须理解，如上文和下文所述的更新和操作方法的特征可以是如上文和下文所述的可编程逻辑控制器的特征，反过来也是一样。
按照本发明的一实施例，可编程逻辑控制器包括应用逻辑执行层以及更新检查层和输出检查层中的至少一个。
应用逻辑层可适合于从耦合到可编程逻辑控制器的至少一个传感器来接收传感器输入数据并且处理传感器输入数据以生成输出参数。
输出检查层可适合于接收输出参数；检查输出参数是否输出参数为与容许输出参数的列表对应的容许输出参数；以及向耦合到可编程逻辑控制器的致动器仅输出容许输出参数。
更新检查层可适合于接收应用逻辑更新数据，其中应用逻辑更新数据包含用于更新应用逻辑的信息。更新检查层可适合于检查应用逻辑更新数据是否应用逻辑更新数据为容许应用逻辑更新数据，其中更新检查层检查应用逻辑更新数据所定义的每一个应用逻辑更新是否对应于容许逻辑更新的列表中的应用逻辑更新；以及仅当更新数据是容许应用逻辑更新数据时，才更新应用逻辑。
通过更新检查层和/或输出检查层，白名单功能性可直接包含到可编程逻辑控制器中。这可允许包括或者连接到这种控制器的装置的更安全操作。
总之，更新和/或操作方法以及可编程逻辑控制器可提供下列特征：
可定义容许应用逻辑的特性(例如特殊功能的使用、在动作进行之前用于监测的时间间隔量、输入数据的变化等)和/或容许输出(其可限制到预定义范围)。
可对应用逻辑代码(即，应用程序和/或程序的参数)的每个变化来检查变化是否对应于所定义特征(例如，是否仅使用容许功能)。
在应用逻辑的执行期间，可检查所定义特征是否仍然成立。
通过参照以下所述实施例进行的说明，本发明的这些方面及其他方面将会显而易见。
附图说明
下文中参照附图示出的示范实施例更详细地说明本发明的主题。
图1示意示出按照本发明的一实施例的工业控制系统。
图2示意示出按照本发明的一实施例的可编程逻辑控制器。
图3示出按照本发明的一实施例、用于操作可编程逻辑控制器的方法的流程图。
图4示出按照本发明的一实施例、用于可编程逻辑控制器的应用逻辑的简图。
大体上，附图中，相同部件提供有相同参考标号。
具体实施方式
图1示出具有中央控制器12以及通信上连接到中央控制器12的可编程逻辑控制器14的工业控制系统10。此外，可编程逻辑控制器14在通信上连接到传感器16和致动器18。例如，传感器16是压力传感器，以及致动器18是阀。
必须理解，工业控制系统10可包括多个控制器14、传感器16和致动器18。图1中因简洁起见，仅示出其中之一。
可编程逻辑控制器14的应用逻辑可从远程PC 20、例如从控制系统10的工程师22来更新。远程PC 20经由数据通信网络24与控制器14连接。
此外，超级用户28的第二远程PC 26可连接到通信网络24。如下面将说明，超级用户28可具有访问权，以便不仅更新可编程逻辑控制器14的应用逻辑(其负责处理传感器数据32并且生成控制致动器的输出数据30)，而且还修改控制器14的安全特性。
图2示出可编程逻辑控制器14的原理图。可编程逻辑控制器14包括更新检查层40、应用逻辑层42和输出检查层44。层40、42、44可以是控制器14中存储的计算机程序。但是，层40、44可至少部分通过硬件来实现。
应用逻辑层42包括或者存储可编程逻辑控制器14的应用逻辑43，其在运行时接收传感器数据32、处理传感器数据44并且生成输出参数30(其被输出到致动器18)。应用层44可包括输入/输出层46，其负责接收输入数据32并且输出该输出参数30。
更新检查层40包括容许逻辑更新的列表48，其由更新检查层40用于确定是否允许应用逻辑的更新。每次更新检查层40从数据网络24接收更新数据50时，更新检查层40检验更新数据48所定义的应用逻辑更新是否在列表46中列示。仅在应用逻辑更新处于列表46中的情况下，应用逻辑采用更新数据50来更新。
输出检查层44包括容许输出参数的列表52，其由输出检查层44用来检查应用层42中的应用逻辑所生成的输出参数32是否为容许参数。
图3示出用于更新和操作可编程逻辑控制器14的流程图。
在步骤100，容许逻辑更新的列表48和/或容许输出参数的列表52存储在可编程逻辑控制器14中。例如，列表52可以是列表48的一部分，反过来也是一样。
存在关于列表48、52如何存储在控制器14中的若干可能性。它们可被存储以使得它们在控制系统10中安装可编程逻辑控制器14之后是不可修改的。换言之，列表48、52以及还有层40、44的逻辑可烧录到控制器14中。
此外，对层40、44的访问可限制到对控制器14的本地访问。例如，容许逻辑更新的列表48和/或容许输出参数的列表52仅经由对可编程逻辑控制器14的本地访问是可改变的。
作为另一种可能性，层40、44可经由数据网络24例如从PC 26远程更新。但是，在这种情况下，仅当从具有与用户准许(采用其，可更新应用逻辑43)不同的超级用户准许的用户28接收更新时，才可允许容许逻辑更新的列表48和/或容许输出参数的列表52的更新。
在步骤102，用户22设法经由数据网络24从PC 20远程更新应用逻辑43，并且更新检查层40从PC 20接收对应应用逻辑更新数据50。
在步骤104，更新检查层40检验是否允许用户22更新应用逻辑43。仅当用户22具有特定用户准许时，才可允许应用逻辑43的更新。
在步骤106，更新检查层40检查应用逻辑更新数据50是否为容许应用逻辑更新数据。为此，更新检查层40检验应用逻辑更新数据50所定义的每一个应用逻辑更新对应于容许逻辑更新的列表48中的应用逻辑更新。
在步骤108，仅当应用逻辑更新数据50是容许应用逻辑更新数据时，更新检查层40才采用应用逻辑更新数据50来更新应用逻辑43。
在步骤110，应用逻辑43从传感器16接收传感器输入数据32，处理传感器输入数据32，并且生成输出参数30。
在步骤112，在输出检查层44中接收输出参数30，并且输出检查层44检验输出参数30是否为容许输出参数。为此，输出检查层44检查输出参数30是否对应于容许输出参数的列表52。
在步骤114，仅当输出参数是容许输出参数30时，输出参数30才输出到致动器18。
在步骤116，当输出检查层44检测到不容许输出参数30时，输出检查层44通知控制系统10的其他部件检测到不容许输出参数。例如，可通知中央控制器12控制器14按照使得它生成不容许参数的方式来修改。
另外，在步骤116，在检测到不容许输出参数的情况下，输出检查层44可停止可编程逻辑控制器14和/或致动器18。
图4示出应用层42中存储的应用逻辑43的示例。具体来说，图4示出用于控制采取阀18的形式的致动器18的级联控制环路。
应用逻辑43基于来自关联传感器16的温度传感器数据32a和压力传感器数据32b来控制阀18。应用逻辑43的目标是将温度保持在预期范围之内。阀18能够仅直接影响压力而不是温度。因此，压力的设置点(在PID TIC55:2中)基于温度传感器数据32a来计算。基于当前压力(Pv，“过程值”)和预期压力(Sp，“设置点”)，第二PID组件(PidCC_2:5)计算输出参数30，其表示阀闭合的程度[0..1]，其中0表示阀18完全闭合，而1表示阀18完全开启。
由于所控制硬件的限制，阀18无法任意开启和闭合。完全开启完全闭合的阀18(以及完全闭合完全开启的阀18)必须不快于一秒进行。另外，阀18必须从不完全闭合超过三秒，因为否则物理过程变和不稳定。为了确保没有控制应用逻辑43能够损坏硬件，我们公式化限制集合：
assert(Valve(1) == 0 -> Valve(1) < 1 in [0..1000[ ms)
assert(Valve(1) == 1 -> Valve(1) > 0 in [0..1000[ ms)
assert(Valve(1) == 0 -> Valve(1) > 0 in [0..3000[ ms)
目标是破坏底层物理过程的攻击者可能改变应用逻辑43，使得一旦它观测到某个温度值，则第二PID组件(PidCC_2:5)将阀18闭合10秒。断言会确保这不是可能的，并且因而拒绝应用逻辑43(在PidCC_2:5中)应用逻辑43的变化。
虽然在附图和以上描述中详细示出和描述了本发明，但是这种图示和描述被认为是说明性或示范性而不是限制性的；本发明并不局限于所公开的实施例。通过研究附图、本公开和所附权利要求书，对所公开的实施例的其他变更是本领域的技术人员能够理解和实施的，并且实施要求保护的本发明。在权利要求书中，词语“包括”并不排除其他元件或步骤，以及不定冠词“一”或“一个”并不排除多个。单个处理器或控制器或者其他单元可完成权利要求书中所述的若干项的功能。在互不相同的从属权利要求中陈述某些量度的事实并不表示这些量度的组合不能用于产生良好效果。权利要求书中的任何参考标号不应当被理解为限制范围。