[发明专利]在工业控制和自动化系统或其他系统中支持无线接入多个安全层的设备和方法

说明书

相关申请的交叉引用

本申请根据35U.S.C.§119(e)要求2007年9月28日提交的美国临时申请No.60/995,905的优先权，其通过引用结合于此。

政府权利

美国政府具有本发明的已付许可和在有限情况下按照来自能源部(DoE)的条件规定的合理条件要求专利所有人许可其他人。

技术领域

本公开大体上涉及通信系统，并且更具体地涉及在工业控制和自动化系统或其他系统中支持无线接入多个安全层的设备和方法。

背景技术

过程处理设施(processing facility)常常使用工业控制和自动化系统管理。示例过程处理设施包括化学的、制药的、纸和石油化工生产工厂。除其他操作外，工业控制和自动化系统典型地与过程处理设施中的工业设备交互并且对其进行控制，工业设备例如用于生产化学的、制药的、纸或石油化工产品的设备等。

工业控制和自动化系统常规地包括有线部件和无线部件。例如，工业控制和自动化系统可以包括无线传感器网络，其向有线控制器提供数据。

在许多类型的网络(例如公司和工业网络等)中，常常有多个网络层，其由安全范例(paradigm)或安全域细分。例如，工业场所常常使用分为多等级的“珀杜(Purdue)控制系统”模型。等级1可例如服务于过程控制器和场输入/输出装置(例如传感器或致动器)。等级2可例如支持过程控制配置数据库、人机界面和(在某些情况下)复杂控制。等级3可例如支持过程控制历史记录和高级监控应用程序。等级4可例如支持商业应用程序和过程维护应用程序。非军事区(DMZ)常常建立在等级3和等级4之间用于无线应用并且在等级3和等级4之间用于交换数据。时常，过程控制网络(PCN)用于代表等级1-3，而商业局域网(LAN)用于代表等级4。这些等级中的每个可具有不同的安全域，和许多最佳实践冠军，PCN的安全域、商业LAN的独立安全域以及甚至DMZ的独立安全域。

发明内容

本公开提供在工业控制和自动化系统或其他系统中支持无线接入多个安全层的设备和方法。

在第一实施例中，方法包括在第一无线节点接收消息。第一无线节点与第一有线网络关联，并且第一有线网络与第一安全层关联。该方法还包括当该消息的至少一个目的地位于第一安全层中时在第一有线网络上传输该消息。该方法还包括当该消息的至少一个目的地位于第二安全层中时无线传输该消息用于递送给第二无线节点。第二无线节点与第二有线网络关联，并且第二有线网络与第二安全层关联。

在特定实施例中，第一和第二安全层与不同的安全范例和/或不同的安全域关联。

在其他特定的实施例中，消息与位于第一安全层中的至少一个目的地和位于第二安全层中的至少一个目的地关联。

在再其他特定的实施例中，该方法还包括在消息和/或消息的内容中使用标签以识别与该消息关联的一个或多个安全层。传输和无线传输基于该一个或多个识别的安全层。

在更其他特定的实施例中，该方法还包括确定是否过滤消息并且如果该消息将被过滤则丢弃该消息。同样，无线传输消息包括如果该消息将不被过滤则无线传输该消息。确定是否过滤消息可以包括阻挡一个或多个指定类型的消息。第一有线网络可以包括有线网络的冗余对，并且一个或多个指定类型的消息可以包括与有线网络的冗余对关联的中心业务流(traffic)。而且，第一和第二有线网络可以通过有线路由器耦合，并且确定是否过滤消息可以包括过滤该消息以避免网络回路的形成。

在第二实施例中，设备包括配置成在第一有线网络上通信的有线网络接口。第一有线网络与第一安全层关联。该设备还包括配置成在无线网络上通信的无线网络接口。该设备还包括配置成确定通过网络接口中之一接收的消息是否具有至少一个位于第一安全层中的目的地的控制器。控制器还配置成当至少一个目的地位于第一安全层中时启动消息在第一有线网络上通过有线网络接口的传输。控制器还配置成当消息的至少一个目的地位于第二安全层中时启动消息在无线网络上通过无线网络接口的传输。

在第三实施例中，系统包括多个安全层，其中安全层与多个有线网络关联。系统还包括多个网关节点，其中每个网关节点耦合于有线网络中的一个并且与安全层中的一个关联。网关节点中的每个配置成接收消息，当该消息的至少一个目的地位于它关联的安全层中时在它关联的有线网络上传输该消息，并且当该消息的至少一个目的地位于安全层中的不同的一个中时无线传输该消息用于递送给无线节点中的另一个。