用于工業(yè)資產(chǎn)的遠程資產(chǎn)管理服務(wù)的制作方法
【專利摘要】本發(fā)明涉及基于云的遠程訪問系統(tǒng)、遠程資產(chǎn)服務(wù)器以及用于調(diào)控對工業(yè)資產(chǎn)的訪問的方法�。所述遠程資產(chǎn)服務(wù)器允許工業(yè)資產(chǎn)例如控制器、馬達驅(qū)動等的所有者以及其它相關(guān)實體例如原始設(shè)備制造商(OEM)能夠遠程地��、安全地監(jiān)測和管理工業(yè)資產(chǎn)。遠程資產(chǎn)服務(wù)器用作網(wǎng)絡(luò)基礎(chǔ)設(shè)施裝置��,其根據(jù)由終端用戶定義的安全策略來調(diào)控不同實體對工業(yè)資產(chǎn)的訪問���。這些定義的安全策略在云平臺中被連接代理實現(xiàn)為角色特定的入口,該入口用作經(jīng)由遠程資產(chǎn)服務(wù)器的到工業(yè)資產(chǎn)的安全連接管線�。通過使用這種架構(gòu),終端用戶可以定義工業(yè)資產(chǎn)的哪些方面能夠被諸如OEM或系統(tǒng)集成商的外部實體遠程地查看�、訪問或修改。
【專利說明】用于工業(yè)資產(chǎn)的遠程資產(chǎn)管理服務(wù)
[0001]相關(guān)申請的交叉引用
[0002]本申請要求于2013年9月10日提交的題目為“REMOTE ASSET MANGEMENTSERVICES”的美國臨時申請序列號N0.61/875����,966的優(yōu)先權(quán),上述申請的全部內(nèi)容通過應(yīng)用合并到本文中���。
【背景技術(shù)】
[0003]本申請總體上涉及在云基礎(chǔ)設(shè)施上遠程地查看和配置工業(yè)資產(chǎn)的系統(tǒng)和方法���。
【發(fā)明內(nèi)容】
[0004]以下給出簡化的概要以提供對本文所描述的一些方面的基本理解。該概要既不是廣泛的綜述也不意在識別出關(guān)鍵/重要元素或界定本文所描述的各方面的范圍��。其僅是為了以簡化的形式給出一些概念��,以作為稍后給出的更詳細描述的前序���。
[0005]在一個或更多個實施方式中����,提供了一種遠程資產(chǎn)服務(wù)器,包括:云接口部件��,該云接口部件被配置成將該遠程資產(chǎn)服務(wù)器通信地耦接至云平臺���;資產(chǎn)接口部件���,該資產(chǎn)接口部件被配置成將該遠程資產(chǎn)服務(wù)器通信地耦接至工業(yè)資產(chǎn);以及遠程管理策略部件�,該遠程管理策略部件被配置成調(diào)控從云平臺對工業(yè)資產(chǎn)的遠程訪問。
[0006]此外���,提供了一種基于云的遠程訪問系統(tǒng)�����,包括:遠程資產(chǎn)服務(wù)器接口部件���,所述遠程資產(chǎn)服務(wù)器接口部件被配置成經(jīng)由云平臺從遠程資產(chǎn)服務(wù)器接收安全策略,其中����,所述安全策略定義了對工業(yè)資產(chǎn)的遠程訪問的允許范圍���;以及入口管理部件,所述入口管理部件被配置成基于所述安全策略生成所述云平臺中的入口�����,其中�����,所述入口根據(jù)所述對遠程訪問的允許范圍來調(diào)控對所述工業(yè)資產(chǎn)的遠程訪問����。
[0007]此外�����,提供了一種用于調(diào)控對工業(yè)資產(chǎn)的訪問的方法���,包括:通過包括至少一個處理器的裝置接收定義了與工業(yè)裝置相關(guān)的遠程訪問許可的安全策略數(shù)據(jù)����;通過所述裝置給連接代理裝置發(fā)送指令以建立云平臺上的通信入口,其中�����,所述通信入口經(jīng)由所述云平臺將遠程裝置鏈接至所述工業(yè)裝置����;通過所述裝置經(jīng)由所述通信入口從所述遠程裝置接收請求,以進行下述中的至少之一:從所述工業(yè)裝置的存儲器區(qū)域讀取數(shù)據(jù)��,或?qū)?shù)據(jù)寫入到所述工業(yè)裝置的存儲器區(qū)域�����;以及響應(yīng)于確認出所述請求不違反所述遠程訪問許可而允許所述請求�。
[0008]為了實現(xiàn)上述目的和相關(guān)目的,在本文中結(jié)合以下描述和附圖描述了某些示例性的方面���。這些方面表示可以實踐的各種方式�,所有可以實踐的各種方式都意在包含在本文中�。當結(jié)合附圖來考慮時,其他優(yōu)點和新穎特征將根據(jù)以下詳細描述而變得明顯����。
【專利附圖】
【附圖說明】
[0009]圖1是給終端用戶和OEM 二者提供對工業(yè)資產(chǎn)的定制化遠程訪問的資產(chǎn)管理系統(tǒng)��。
[0010]圖2是示例性遠程資產(chǎn)服務(wù)器的框圖����。
[0011]圖3示出了用于提供對一個或更多個資產(chǎn)的安全可靠遠程訪問的系統(tǒng)�����。
[0012]圖4示出了通過終端用戶入口和OEM入口提供的特定于角色的視圖和功能���。
[0013]圖5示出了用于使用OEM入口對在各個位置處的多個工業(yè)機器進行集體分析的基于云的總體架構(gòu)。
[0014]圖6示出了使用遠程訪問架構(gòu)針對一組工業(yè)資產(chǎn)分配特定于不同角色和用戶的視圖����。
[0015]圖7示出了有助于由多個類型的用戶對工業(yè)資產(chǎn)進行遠程訪問的基于云的架構(gòu)。
[0016]圖8示出了能夠?qū)①Y產(chǎn)數(shù)據(jù)鏈接到來自本地外圍裝置的外圍裝置的遠程資產(chǎn)服務(wù)器���。
[0017]圖9是用于使用遠程資產(chǎn)服務(wù)器控制對工業(yè)資產(chǎn)的訪問的示例性方法的流程圖��。
[0018]圖10是用于使用遠程資產(chǎn)服務(wù)器對工業(yè)資產(chǎn)的訪問進行基于角色的調(diào)控的示例性方法的流程圖。
[0019]圖11是示例性計算環(huán)境��。
[0020]圖12是示例性聯(lián)網(wǎng)環(huán)境�����。
【具體實施方式】
[0021]現(xiàn)在參照附圖來描述本公開內(nèi)容的各方面,其中�,相似的附圖標記用于指代全文中相似的元件。在以下描述中����,出于解釋的目的,闡述了許多特定細節(jié)��,以提供對一個或更多個方面的透徹理解����。然而,應(yīng)當理解的是�����,可在沒有這些特定細節(jié)的情況下����,或者以其他方法、部件����、材料等來實現(xiàn)本公開內(nèi)容的某些方面����。在其他實例中���,以框圖形式示出了公知的結(jié)構(gòu)和設(shè)備以便于描述一個或更多個方面��。
[0022]工業(yè)控制器及其相關(guān)聯(lián)的I/O設(shè)備是現(xiàn)代自動化系統(tǒng)操作的核心���。這些控制器與場設(shè)備在工廠地面上交互以控制與如下目的相關(guān)的自動化處理諸如產(chǎn)品制造、材料處理���、批量處理、監(jiān)控以及其他這樣應(yīng)用�����。工業(yè)控制器存儲并執(zhí)行用戶定義的控制程序以實現(xiàn)與受控處理相關(guān)的決策制定�。這種程序可以包括但不限于梯形邏輯、順序功能圖��、功能塊圖���、結(jié)構(gòu)化文本�����、傳統(tǒng)計算機語言���、c�����、c++�����、c#或其他這樣的編程結(jié)構(gòu)��。通常�����,工業(yè)控制器從提供與受控系統(tǒng)的一個或更多個狀態(tài)相關(guān)的離散和遙測數(shù)據(jù)的傳感器和計量設(shè)備讀取輸入數(shù)據(jù)��,并且根據(jù)用戶定義的程序基于這些輸入來生成控制輸出���。
[0023]除了工業(yè)控制器及其相關(guān)聯(lián)的I/O設(shè)備����,一些工業(yè)自動化系統(tǒng)還可以包括底層控制系統(tǒng)��,例如執(zhí)行工業(yè)處理的部分的本地控制或者具有自己的本地化控制系統(tǒng)的視覺系統(tǒng)�、條形碼標記系統(tǒng),變頻驅(qū)動��、工業(yè)機器人等����。
[0024]給定的工業(yè)企業(yè)可以包括許多工業(yè)設(shè)備、資產(chǎn)和不同產(chǎn)品供應(yīng)商或原始設(shè)備制造商(OEM)提供的機器�����。末端用戶(例如�����,工業(yè)資產(chǎn)的所有者)和OEM 二者都需要能夠安全��、可靠���、及時并且成本低廉地遠程操作和維護關(guān)鍵的生產(chǎn)資產(chǎn)����。然而�����,從OEM的角度來看�,部署現(xiàn)場服務(wù)人員以服務(wù)跨許多客戶地點的廣泛分布的一隊設(shè)備可能成本很高,并經(jīng)常導致不可接受的長響應(yīng)時間����。而且,OEM經(jīng)常難于獲得對安裝在遠程或條件惡劣的地方的客戶設(shè)備的遠程訪問��。OEM和其他設(shè)備服務(wù)實體通過使遠程資產(chǎn)在線而受益��,其將提供遠程設(shè)備配置�、補丁管理、預(yù)測維護�����、設(shè)備優(yōu)化等�����。
[0025]終端用戶也可以從使其工業(yè)資產(chǎn)可用于由OEM進行的遠程訪問中受益,因為這樣做有利于對維修或停機問題的更快響應(yīng)��。遠程訪問還允許遠程地管理軟件升級�、補丁和固件更新,這確保將終端用戶的資產(chǎn)保持為最新�����。
[0026]然而�����,盡管有這些潛在優(yōu)勢����,但是使得工業(yè)資產(chǎn)在線以被OEM或其他服務(wù)提供商遠程訪問提出了與最終用戶相關(guān)的安全和安保問題。為了利用通過使得能夠遠程訪問其工業(yè)資產(chǎn)而得到的這些益處����,遠程資產(chǎn)管理方案必須進行保護以防止對控制例程或?qū)S袛?shù)據(jù)(例如,生產(chǎn)統(tǒng)計���、保密配方數(shù)據(jù)等)的未授權(quán)訪問�����。
[0027]本文描述的遠程資產(chǎn)管理方案解決了上述問題�,并且提供了將在下文更詳細地描述的附加益處�����。雖然結(jié)合將具有遠程訪問的OEM提供給終端用戶的資產(chǎn)來描述本公開內(nèi)容中闡述的某些示例��,應(yīng)理解類似的技術(shù)可以用于授權(quán)對其他類型的服務(wù)提供商的訪問��,包括但不限于系統(tǒng)集成商����、設(shè)備供應(yīng)商、第三方業(yè)務(wù)提供商等�。
[0028]圖1示出了有助于通過終端用戶和OEM二者來進行對工業(yè)資產(chǎn)的定制化遠程訪問的資產(chǎn)管理方案。資產(chǎn)管理方案包括通信地耦接到本地工業(yè)資產(chǎn)114的遠程資產(chǎn)服務(wù)器102�。遠程資產(chǎn)服務(wù)器102使得能夠通過來自遠程位置的終端用戶108和OEM 112來可靠安全地監(jiān)視并管理工業(yè)資產(chǎn)114。工業(yè)資產(chǎn)114可以基本上包括任何工業(yè)設(shè)備��、裝置的集合或機器���,包括但不限于工業(yè)控制器���、電機驅(qū)動(例如����,可變頻率驅(qū)動)��、人機界面(HMI)終端����、傳感器、儀表�、操縱室、視覺系統(tǒng)或其他這樣的資產(chǎn)�����。在一個或多個實施方式中����,遠程資產(chǎn)服務(wù)器102可以包括(本地的方式或通過網(wǎng)絡(luò))通信地鏈接到工業(yè)資產(chǎn)114的獨立服務(wù)器設(shè)備或其他設(shè)備、與工業(yè)資產(chǎn)114共用機架或操縱室的機架安裝設(shè)備或面板安裝設(shè)備�����、物理地附接并且有線連接到工業(yè)資產(chǎn)114的模塊化設(shè)備或其他適當?shù)膶嵤┓绞?。還可以將遠程資產(chǎn)服務(wù)器102實施為網(wǎng)絡(luò)架構(gòu)設(shè)備,包括但不限于網(wǎng)絡(luò)交換機、路由器����、防火墻設(shè)備�����、云網(wǎng)關(guān)設(shè)備�、或其他這樣的網(wǎng)絡(luò)設(shè)備。另外�����,盡管圖1(和此處描述的其他示例)描繪了遠程資產(chǎn)服務(wù)器102作為通信地耦接到工業(yè)資產(chǎn)114的獨立的物理設(shè)備���,但是遠程資產(chǎn)服務(wù)器102的一些實施方式可以包括工業(yè)資產(chǎn)114的嵌入部件(例如��,在工業(yè)資產(chǎn)上執(zhí)行的一組軟件部件)��。在另一個實施方式中�����,遠程資產(chǎn)服務(wù)器102可以包括可以由授權(quán)人員在工廠設(shè)備內(nèi)的資產(chǎn)之間或跨多個工廠站點攜帶的便攜式設(shè)備�。
[0029]終端用戶108可以經(jīng)由終端用戶入口 106來遠程地訪問遠程資產(chǎn)服務(wù)器102。在一個或更多個實施方式中��,可以在由連接代理104維持并管理的云架構(gòu)中實例化終端用戶入口 106�。類似地,OEM 112可以通過云架構(gòu)中實例化的OEM入口 110來遠程地訪問遠程資產(chǎn)服務(wù)器102����。如下面將更詳細地描述的那樣,終端用戶入口 106和OEM入口 110經(jīng)由遠程資產(chǎn)服務(wù)器102將不同的視圖和訪問特權(quán)提供給工業(yè)資產(chǎn)114����。通過保持用于實例化終端用戶入口 106和OEM入口 110的云基礎(chǔ)設(shè)施,連接代理104將安全數(shù)據(jù)管道提供到終端用戶的工廠��,并且有助于對終端用戶的工業(yè)資產(chǎn)的����、定制化的特定于角色的訪問。
[0030]通常����,遠程資產(chǎn)服務(wù)器102用作根據(jù)由終端用戶限定的企業(yè)安全策略通過不同的實體(例如,工廠人員��、OEM�、系統(tǒng)集成商等)來調(diào)控對工業(yè)資產(chǎn)114的訪問的專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。可以在云平臺中將這些限定的安全策略實現(xiàn)為特定于角色的入口(例如��,終端用戶入口 106和OEM入口 110)����,特定于角色的入口用作經(jīng)由遠程資產(chǎn)服務(wù)器102到工業(yè)資產(chǎn)114的安全連接管道。使用遠程資產(chǎn)服務(wù)器102��,連同由連接代理104維護的基于云的基礎(chǔ)設(shè)施���,終端用戶可以限定允許通過OEM或其他外部實體來遠程查看、訪問和/或修改工業(yè)資產(chǎn)114的哪方面��。
[0031]圖2是根據(jù)本公開內(nèi)容的一個或更多個實施方式的示例性遠程資產(chǎn)服務(wù)器102的框圖�。在本公開內(nèi)容中說明的系統(tǒng)、裝置或處理的各方面可以構(gòu)成包含在一個或更多個機器��,例如包含在與一個或更多個機器相關(guān)聯(lián)的一個或更多個計算機可讀介質(zhì)中的機器可執(zhí)行部件��。當通過一個或更多個機器��、例如一個或更多個計算機��、一個或更多個計算設(shè)備��、一個或多個自動化設(shè)備、一個或更多個虛擬機等來執(zhí)行這些部件時��,這些部件可以使得一個或更多個機器進行所描述的操作�。
[0032]遠程資產(chǎn)服務(wù)器102可以包括工廠網(wǎng)絡(luò)接口部件204、云接口部件206����、機器網(wǎng)絡(luò)接口部件208、本地裝置接口部件210�����、遠程管理策略部件212��、一個或多個處理器216以及存儲器218����。在各種實施方式中,工廠網(wǎng)絡(luò)接口部件204���、云接口部件206����、機器網(wǎng)絡(luò)接口部件208�����、本地裝置接口部件210、遠程管理策略部件212�、一個或多個處理器216以及存儲器218中的一個或更多個可以電子地和/或通信地相互耦接,以進行遠程資產(chǎn)服務(wù)器102的功能中的一個或更多個功能����。在一些實施方式中,部件204����、部件206����、部件208、部件210和部件212可以包括存儲在存儲器218中并且被一個或更多個處理器216執(zhí)行的軟件指令��。遠程資產(chǎn)服務(wù)器202也可以與圖2中未示出的其他硬件和/或軟件部件交互��。例如�,一個或更多個處理器216可以與一個或更多個外部用戶接口設(shè)備例如鍵盤、鼠標�、顯示監(jiān)視器、觸摸屏�����、或其他這樣的接口設(shè)備進行交互。
[0033]工廠網(wǎng)絡(luò)接口部件204可以被配置成在終端用戶的設(shè)備(例如��,工廠的辦公室以太網(wǎng)網(wǎng)絡(luò))處將遠程資產(chǎn)服務(wù)器102與工廠網(wǎng)絡(luò)或企業(yè)網(wǎng)絡(luò)接口連接�����。云接口部件206可被配置成將遠程資產(chǎn)服務(wù)器耦接到基于網(wǎng)絡(luò)的云平臺或?qū)S迷破脚_����,并且與云平臺交換數(shù)據(jù)。這可以包括與在云平臺中實例化的一個或更多個終端用戶入口和/或OEM入口交換數(shù)據(jù)�����。機器網(wǎng)絡(luò)接口部件208可被配置成在終端用戶的設(shè)備處將遠程資產(chǎn)服務(wù)器102與機器網(wǎng)絡(luò)(如工業(yè)或工廠地面網(wǎng)絡(luò))接口連接��。在示例實施方式中�,機器網(wǎng)絡(luò)可包括用于在工廠地面上在工業(yè)機器和工業(yè)資產(chǎn)之間交換數(shù)據(jù)的通用工業(yè)協(xié)議(CIP)網(wǎng)絡(luò)。
[0034]本地裝置接口部件210可被配置成經(jīng)由本地通信協(xié)議(例如���,WiF1���、USB��、藍牙等)將遠程資產(chǎn)服務(wù)器102與一個或更多個本地設(shè)備接口連接���。可以經(jīng)由本地裝置接口部件210與遠程資產(chǎn)服務(wù)器102接口連接的本地裝置可以包括但不限于移動客戶端設(shè)備(例如��,智能電話)�、手持儀表、便攜式設(shè)備運行數(shù)據(jù)分析應(yīng)用����、認證裝置(例如讀卡器、生物測定閱讀器等)���、視頻攝像機����、遙測設(shè)備或其他這樣的設(shè)備�����。
[0035]遠程管理策略部件212可以被配置成根據(jù)通過終端用戶和/或OEM提供的策略限定輸入來生成遠程管理策略限定���。如將在下面更詳細地描述的那樣�,遠程管理策略限定可以包括由終端用戶限定的企業(yè)安全策略和由OEM請求并且由終端用戶批準的遠程管理功倉泛��。
[0036]一個或多個處理器216可以進行在此參照所公開的系統(tǒng)和/或方法描述的功能中的一個或更多個功能�。存儲器218可以是存儲用于進行在此參照所公開的系統(tǒng)和/或方法描述的功能的計算機可執(zhí)行指令和/或信息的計算機可讀存儲介質(zhì)。
[0037]圖3示出了用于提供對一個或更多個工業(yè)資產(chǎn)的安全可靠的遠程訪問的系統(tǒng)��。下面描述投入使用遠程資產(chǎn)服務(wù)器102以用于對工業(yè)資產(chǎn)114的定制的遠程訪問的示例技術(shù)���。然而�,應(yīng)當認識到�����,用于投入使用遠程資產(chǎn)服務(wù)器102的任何合適的技術(shù)在本公開內(nèi)容的一個或更多個實施方式的范圍內(nèi)�����。
[0038]可以在使用一個或更多個聯(lián)網(wǎng)的客戶端裝置314(例如�,臺式計算機、膝上型計算機����、平板計算機、智能電話等)的終端用戶設(shè)備上配置和投入使用遠程資產(chǎn)服務(wù)器102���。為此�,可以(例如,使用工廠網(wǎng)絡(luò)接口部件204)將遠程資產(chǎn)服務(wù)器102放置在工廠網(wǎng)絡(luò)302上�����,以利于由聯(lián)網(wǎng)的客戶端裝置314進行訪問����。此外或可選地,可以使用一個或更多個本地客戶端裝置308來本地地配置和投入使用遠程資產(chǎn)服務(wù)器102����,本地客戶端裝置308可以經(jīng)由本地裝置接口部件210與遠程資產(chǎn)服務(wù)器102接口連接。本地客戶端裝置308可以使用任何合適的無線或硬線本地通信協(xié)議��、包括但不限于通用串行總線(USB)��、WiF1����、藍牙等與遠程資產(chǎn)服務(wù)器接口連接�����。
[0039]當在聯(lián)網(wǎng)的(或本地的)客戶端設(shè)備與遠程資產(chǎn)服務(wù)器102之間建立通信時,終端用戶可以在遠程資產(chǎn)服務(wù)器102與工業(yè)資產(chǎn)114之間建立功能關(guān)聯(lián)�。遠程資產(chǎn)服務(wù)器102的一個或更多個實施方式可以支持即插即用型發(fā)現(xiàn)序列,從而遠程資產(chǎn)服務(wù)器102自動地檢測工業(yè)設(shè)備或與其連接的資產(chǎn)��。在圖3示出的示例中���,遠程資產(chǎn)服務(wù)器102通過機器網(wǎng)絡(luò)304(例如����,CIP網(wǎng)絡(luò))與工業(yè)資產(chǎn)114通信���。然而�,在一個或更多個實施方式中�����,遠程資產(chǎn)服務(wù)器102可以直接連接到工業(yè)資產(chǎn)114�����。在這樣的實施方式中��,遠程資產(chǎn)服務(wù)器102可以被配置成直接安裝到工業(yè)資產(chǎn)114,并且通過專用通信端口與資產(chǎn)接口連接�。遠程資產(chǎn)服務(wù)器102也可以是與工業(yè)資產(chǎn)114共用機架與或控制面板的機架安裝或面板安裝的裝置。在又一示例中�����,工業(yè)資產(chǎn)114可以設(shè)有預(yù)先捆綁的機載遠程資產(chǎn)服務(wù)器功能��。
[0040]響應(yīng)于發(fā)現(xiàn)序列的開始����,遠程資產(chǎn)服務(wù)器102可以識別工業(yè)資產(chǎn)114和資產(chǎn)可用的任何數(shù)據(jù)(例如,資產(chǎn)標識符�����、設(shè)備數(shù)據(jù)標簽�����、配置參數(shù)��、狀態(tài)或健康指示符����,固件版本信息�、裝置編程����、資產(chǎn)性能統(tǒng)計等)���。當遠程資產(chǎn)服務(wù)器102已經(jīng)被配置成識別工業(yè)資產(chǎn)114時��,終端用戶可以限定用于管理對工業(yè)資產(chǎn)114的遠程訪問的企業(yè)安全策略310����。如下面將更詳細地描述的那樣�����,遠程資產(chǎn)服務(wù)器102允許終端用戶限定與不同類別的被授權(quán)的用戶(例如�,工廠人員、OEM����、設(shè)備或機器供應(yīng)商等)對應(yīng)的不同的訪問策略。當建立了這些企業(yè)安全策略時���,遠程資產(chǎn)服務(wù)器102允許每個被授權(quán)的用戶經(jīng)由基于云的特定于角色的入口(例如����,終端用戶入口 106和OEM入口 110)遠程地訪問工業(yè)資產(chǎn)114,特定于角色的入口是基于由終端用戶限定的企業(yè)安全策略310在云基礎(chǔ)設(shè)施中配置的�����。
[0041]如上所述�,遠程資產(chǎn)服務(wù)器102包括云接口部件206,云接口部件206允許服務(wù)器與基于網(wǎng)絡(luò)的云平臺或?qū)S迷破脚_接口連接并且與其交換數(shù)據(jù)�����。在一個或更多個實施方式中�����,云平臺可以包括專用的基于云的基礎(chǔ)設(shè)施���,該基礎(chǔ)設(shè)施由連接代理104維護并且被設(shè)計成與遠程資產(chǎn)服務(wù)器接口連接以將安全可靠的連接管道提供給終端用戶的工業(yè)資產(chǎn)�。云接口部件206可以被配置成使用任何合適的連接方法來訪問云平臺���。例如���,遠程資產(chǎn)服務(wù)器102可以被配置成通過終端用戶的以太網(wǎng)或WiFi網(wǎng)絡(luò)經(jīng)由工廠網(wǎng)絡(luò)302來訪問云平臺��。在另一示例中�,遠程資產(chǎn)服務(wù)器102可以被配置成經(jīng)由蜂窩����、衛(wèi)星或無線電連接直接連接到云平臺�。在一個或更多個實施方式中,遠程訪問服務(wù)器102可以被配置成檢測用于訪問云平臺的最適合的可用連接介質(zhì)(例如�,檢測蜂窩、衛(wèi)星或無線電連接的存在)����,并且通過最合適的連接介質(zhì)自動連接到云平臺上。
[0042]在一個或更多個實施方式中����,專用云基礎(chǔ)設(shè)施被設(shè)計成利用由終端用戶限定的企業(yè)安全策略310,以生成通過其授權(quán)用戶將遠程訪問工業(yè)資產(chǎn)114的基于云的入口����。例如,在投入使用遠程資產(chǎn)服務(wù)器102期間����,終端用戶可以通過(例如�,使用聯(lián)網(wǎng)的客戶端裝置314或本地客戶端裝置308)在遠程資產(chǎn)服務(wù)器102中限定企業(yè)安全策略310來初始地配置終端用戶入口 106�����。例如�,企業(yè)安全策略310可以限定終端用戶經(jīng)由終端用戶入口 106可以遠程地查看和/或修改工業(yè)資產(chǎn)114的哪方面。這可以包括:指定終端用戶通過終端用戶入口 106可以查看或修改工業(yè)資產(chǎn)114的哪些數(shù)據(jù)標簽����,經(jīng)由終端用戶入口 106可以遠程地設(shè)置哪些配置參數(shù),哪些終端用戶身份要被授權(quán)對工業(yè)資產(chǎn)114的遠程訪問等��。一旦被限定�,遠程資產(chǎn)服務(wù)器102可以經(jīng)由云接口部件206將企業(yè)安全策略310通信到云平臺?;谶@些策略,云基礎(chǔ)設(shè)施將根據(jù)所限定的策略來配置終端用戶入口 106�����,其用作到工業(yè)資產(chǎn)114的被管理的遠程連接管道��。
[0043]雖然本示例將企業(yè)安全策略310描繪為使用聯(lián)網(wǎng)的客戶端裝置314被限定在遠程資產(chǎn)服務(wù)器102上��,但是一些實施方式可以允許將安全策略直接限定在云平臺上��。在這種實施方式中,可以為具有管理員特權(quán)的授權(quán)用戶提供基于網(wǎng)絡(luò)的接口�����,該基于網(wǎng)絡(luò)的接口允許用戶直接在云平臺上直接限定一個或更多個訪問入口����,并且將入口與給定的遠程資產(chǎn)服務(wù)器102相關(guān)聯(lián)。
[0044]一旦在云平臺中被建立���,終端用戶入口 106可以使用任何合適的終端用戶遠程客戶端裝置316被訪問,這也根據(jù)用戶的適當授權(quán)���。例如�����,(例如�����,經(jīng)由有線因特網(wǎng)或蜂窩連接)終端用戶遠程客戶端裝置316可以訪問云平臺����,并且可以調(diào)用終端用戶入口 106以查看和/或修改工業(yè)資產(chǎn)114的方面(例如,查看工業(yè)資產(chǎn)的健康狀態(tài)���、修改配置參數(shù)等)���。在從終端用戶遠程客戶端裝置316接收訪問工業(yè)資產(chǎn)114的請求時,終端用戶入口 106可以使用任何合適的方法(例如��,基于密碼的認證�����、生物認證�����、基于硬件的認證等)來認證客戶端裝置的用戶���,并且在成功認證時提供到工業(yè)資產(chǎn)114的訪問���,其中到資產(chǎn)的訪問的級別符合部署期間限定的企業(yè)安全策略310。
[0045]終端用戶入口 106可以與定制的終端用戶接口相關(guān)聯(lián)�����,以遠程查看、控制或配置工業(yè)資產(chǎn)114�。因此,在成功認證之后�,終端用戶入口 106可以將接口傳送到終端用戶遠程客戶端裝置316以利于遠程地查看、修改����、配置和/或控制工業(yè)資產(chǎn)114。由終端用戶入口106提供的接口表示針對終端用戶角色定制的對工業(yè)資產(chǎn)114的查看���。因此����,此連接基礎(chǔ)設(shè)施使得終端用戶能夠在任何位置訪問�����、查看和修改與工業(yè)資產(chǎn)114相關(guān)聯(lián)的數(shù)據(jù)�����,其遵從由安全策略310限定的嚴格控制的安全參數(shù)����。
[0046]也可以由終端用戶來配置遠程資產(chǎn)服務(wù)器102,以允許OEM對工業(yè)資產(chǎn)114的受控�、被調(diào)控的訪問。OEM可以是工業(yè)資產(chǎn)114的制造商��,并且終端用戶可以在具有OEM的地方具有服務(wù)協(xié)議��、以根據(jù)需要管理工業(yè)資產(chǎn)114�。例如,服務(wù)協(xié)議可能需要OEM修正操作上的故障���、幫助資產(chǎn)配置����、進行固件版本管理�����、實現(xiàn)軟件更新和補丁����、遠程地監(jiān)控資產(chǎn)的性能等。為了在不暴露敏感信息或引入安全風險的情況下給OEM提供足夠的遠程訪問特權(quán)�����,遠程資產(chǎn)服務(wù)器102支持創(chuàng)建根據(jù)OEM的功能需求而定制的OEM入口 110。
[0047]可以使用類似于配置終端用戶入口 106的過程來配置OEM入口 110���,其具有允許在終端用戶和OEM之間協(xié)商OEM訪問權(quán)限的附加特征�。例如�����,在部署期間���,遠程資產(chǎn)服務(wù)器102可以通過云平臺執(zhí)行與OEM的握手例程��。在該服務(wù)器配置階段期間����,OEM可以指定正確管理工業(yè)資產(chǎn)114所需的遠程管理功能312�。例如�,OEM可以請求訪問工業(yè)資產(chǎn)114中的特定數(shù)據(jù)項(例如,數(shù)據(jù)標簽)或數(shù)據(jù)區(qū)域�����;指定用于被識別數(shù)據(jù)項的所需的讀/寫權(quán)限;請求許可來發(fā)起命令或執(zhí)行與工業(yè)裝置有關(guān)的維護動作(例如����,重置工業(yè)資產(chǎn),在工業(yè)資產(chǎn)上加載新的固件等)或其他請求的功能�。遠程資產(chǎn)服務(wù)器102(或云平臺)在云平臺中實例化OEM入口 110并且使得OEM入口 110可用于OEM之前,要求終端用戶批準所請求的遠程管理功能312��。以該方式����,遠程資產(chǎn)服務(wù)器102以及由連接代理104維護的云基礎(chǔ)設(shè)施為OEM提供工具,該工具用于指定他們想要如何訪問工業(yè)資產(chǎn)114���、以便代表終端用戶可靠地管理他們的機器����,同時使得這種訪問經(jīng)受終端用戶批準����,以出于安全、可靠或商業(yè)利益的原因為終端用戶提供拒絕訪問工業(yè)資產(chǎn)114的所選方面的能力����。
[0048]例如��,在訪問協(xié)商期間�,OEM可以請求(經(jīng)由遠程管理功能312)對工業(yè)資產(chǎn)的配置參數(shù)的非限制寫訪問�。然而,用戶限定的企業(yè)安全策略310可以指定僅可以本地地修改某些控制環(huán)路調(diào)節(jié)參數(shù)�����,因此必須對所有用戶拒絕對這些所識別參數(shù)的遠程寫訪問�。因此,遠程資產(chǎn)服務(wù)器102僅可以實施這種由OEM請求��、不與用戶限定的企業(yè)安全策略310沖突的功能��,從而使得遠程管理功能312服從于企業(yè)安全策略310��。在另一示例中�����,OEM可以請求與一個或更多個企業(yè)安全策略310沖突的遠程管理功能312 ;然而����,終端用戶可以允許針對CffiM的策略的例外(例如���,如果所請求的管理功能優(yōu)選地由CEM執(zhí)行而非由工廠人員執(zhí)行)�����。
[0049]一旦在OEM與終端用戶之間就遠程管理功能312達成一致�,云基礎(chǔ)設(shè)施可以基于所達成的管理功能和訪問權(quán)限來生成并維護OEM入口 110。然后����,經(jīng)授權(quán)的OEM遠程客戶端裝置306可以經(jīng)由OEM入口 110遠程地訪問工業(yè)資產(chǎn)114,這加強了由遠程管理功能312和安全策略310限定的訪問權(quán)限和限制�����。與終端用戶入口 106—樣����,OEM入口 110可以將定制的界面?zhèn)鬟f給被認證的OEM遠程客戶端裝置306,以提供對工業(yè)資產(chǎn)114的特定于OEM的查看���,其可以與經(jīng)由終端用戶入口 106提供給工廠人員的查看不同��。
[0050]如前述示例所描述的�����,遠程資產(chǎn)服務(wù)器102與專門的云基礎(chǔ)實施進行協(xié)調(diào)�����,以創(chuàng)建并維護由各種類型的用戶進行的對工業(yè)資產(chǎn)的安全����、受控的遠程訪問。連接代理104管理使得OEM能夠遠程訪問終端用戶的裝置的云基礎(chǔ)設(shè)施�,從而使得維護安全訪問管道的復(fù)雜性對終端用戶基本上不可見。此外��,此處描述的遠程訪問架構(gòu)可以包括多個安全級別�,以確保符合終端用戶安全策略。例如�����,在經(jīng)由OEM入口 110連接的外部實體試圖繞過終端用戶的安全策略并且訪問由遠程管理功能312限定的所允許的訪問范圍外部的數(shù)據(jù)區(qū)域的情況下�����,OEM入口 110可以對專門的終端用戶客戶端裝置觸發(fā)警報����,以告知未授權(quán)的訪問企圖����。通知可以包括通過其試圖進行安全破壞的特定OEM入口的識別�。
[0051]如圖4所示�����,終端用戶入口 106和OEM入口 110可以將兩個或更多個不同的角色特定的視圖提供到終端用戶的裝置中�����。相應(yīng)的入口也提供適用于訪問裝置的實體的不同的功能組���,其中可用于每個實體的功能嚴密地受終端用戶控制��。除了上文所描述的遠程資產(chǎn)數(shù)據(jù)監(jiān)測和配置方面之外�����,入口也可以支持許多報告��、分析以及管理工具����。例如,終端用戶入口 106可以使得認證的終端用戶(例如����,工廠人員、工業(yè)資產(chǎn)的所有者等)能夠遠程地限定或修改控制對工業(yè)資產(chǎn)114的訪問的安全策略310���。終端用戶也可以遠程地提交由OEM請求的遠程管理功能312的批準�,以便于OEM入口 110的配置�。
[0052]終端用戶入口 106也可以使得終端用戶能夠遠程地監(jiān)測與工業(yè)資產(chǎn)114有關(guān)的系統(tǒng)或處理。除了性能和配置數(shù)據(jù)之外�����,終端用戶入口 106也可以監(jiān)測和收集與資產(chǎn)的位置�、健康、安全狀況�����、產(chǎn)品產(chǎn)量/收益����、能耗、電力質(zhì)量、環(huán)境條件��、與資產(chǎn)交互的工廠人員的識別有關(guān)的信息�����,及其他這樣的信息���。
[0053]在一些實施方式中,終端用戶入口 106也可以利用基于云的分析服務(wù)相對于其他監(jiān)測的資產(chǎn)對工業(yè)資產(chǎn)114進行比較性性能分析����,或?qū)霉I(yè)資產(chǎn)114的更大的系統(tǒng)進行比較性性能分析。終端用戶入口 106也可以進行與由OEM或其他實體進行的遠程訪問有關(guān)的管理功能���,包括但不限于跟蹤服務(wù)用途��。例如�����,終端用戶入口 106可以具有圖形地描繪遠程資產(chǎn)服務(wù)器102與入口之間的數(shù)據(jù)流量的關(guān)聯(lián)管理界面�����。管理界面可以使用任何適當?shù)膱D形表示來描繪數(shù)據(jù)流量����,包括但不限于條形圖、使用梯度顏色編碼(gradientcolor-coding)來表示工廠地板上的每個資產(chǎn)的數(shù)據(jù)流量的熱圖(heat map)��、速度動畫流圖����,其中流速圖用于表示去往資產(chǎn)的數(shù)據(jù)流量等。使用該接口�����,終端用戶可以識別去往特定資產(chǎn)的遠程訪問流量的突然增加�、數(shù)據(jù)流量的起點(例如,哪個端口正被用于發(fā)起遠程訪問���、與流量關(guān)聯(lián)的登錄身份等)�����,以及其他相關(guān)信息�。管理界面也可以包括使得授權(quán)的終端用戶能夠禁止或阻止一個或更多個入口訪問工業(yè)資產(chǎn)的管理控件�。由于可經(jīng)由終端用戶入口 106從任何遠程位置訪問管理界面,所以授權(quán)的終端用戶可以使用這些工具在任何時間從任何位置來遠程地查看和控制對工業(yè)資產(chǎn)的訪問。
[0054]在一個或更多個實施方式中��,終端用戶入口 106也可以預(yù)測與遠程訪問資產(chǎn)相關(guān)聯(lián)的成本�����,如果連接代理104基于去往或來自工業(yè)資產(chǎn)114的訪問流量的量來對終端用戶收費�,則這可以是有用的。
[0055]示例OEM入口 110可以使得OEM能夠遠程地配置其工業(yè)資產(chǎn)114或相關(guān)聯(lián)的機器��,并且遠程地安裝軟件補丁或升級���。通過將遠程地執(zhí)行這些委托和維護功能的能力提供給OEM,OEM入口 110便利于更快的OEM響應(yīng)時間�����,并且消除了派遣OEM人員到遙遠且可能不適于居留的終端用戶裝置位置處的需要���。OEM也可以經(jīng)由OEM入口 110遠程地監(jiān)測工業(yè)資產(chǎn)114的性能��。
[0056]此外����,由于可以在通常的云架構(gòu)(由連接代理104維護)中將與不同的終端用戶機器和/或設(shè)施對應(yīng)的多個OEM入口實例化,因此��,云架構(gòu)可以支持便利于對不同位置的多個機器進行集體和比較性分析的分析和報告工具���。圖5示出了用于使用本文中描述的OEM入口對不同位置的多個工業(yè)機器進行集體分析的基于云的總體架構(gòu)��。如在前面的示例中���,OEM配置和維護專用云架構(gòu)502 (由連接代理104管理)中的OEM入口 110,以便于遠程委托����、監(jiān)測和維護終端用戶的工業(yè)系統(tǒng)504的一個或更多個工業(yè)資產(chǎn)。OEM入口 110使得OEM112能夠經(jīng)由一個或更多個遠程資產(chǎn)服務(wù)器(例如�����,遠程資產(chǎn)服務(wù)器102)來訪問工業(yè)資產(chǎn)�,以使得如上文所述的那樣通過終端用戶來控制和調(diào)控提供給OEM的訪問的范圍。
[0057]在本示例中�,OEM 112具有在云架構(gòu)502中的多個OEM入口 IlO1-11n,以便于訪問在多個工業(yè)系統(tǒng)501 - 504n處的工業(yè)資產(chǎn)���。工業(yè)系統(tǒng)501 - 504N可以包括在相同的工業(yè)設(shè)施內(nèi)的多個系統(tǒng)(屬于單個終端用戶)���;地理上處在通常工業(yè)企業(yè)的不同設(shè)施處的系統(tǒng)��;或者屬于不同的終端用戶���、在地理上處在不同位置處的系統(tǒng)。使用本文中描述的架構(gòu)�����,OEMl 12可以單獨地從遠程OEM設(shè)施調(diào)用每個OEM入口 110��,以便訪問相應(yīng)的工業(yè)資產(chǎn)����。
[0058]此外�,云架構(gòu)502可以執(zhí)行可由OEM 112調(diào)用的分析服務(wù)506,以進行分布式工業(yè)資產(chǎn)的集體或比較性分析�����。例如�,通過經(jīng)由OEM入口 110從多個工業(yè)資產(chǎn)收集和整理數(shù)據(jù),分析服務(wù)506可以跨越多個工業(yè)系統(tǒng)504和終端用戶生成工業(yè)資產(chǎn)的比較視圖����。這些視圖可以傳達資產(chǎn)的相對性能統(tǒng)計����;停機時間發(fā)生或維護問題的比較�����;機器間不同的配置參數(shù)的識別等���。在一些實施方式中����,分析服務(wù)506可以識別在特定設(shè)施處的比在其他設(shè)施處的類似資產(chǎn)運行地明顯更好的機器或工業(yè)資產(chǎn)�����。在這種情況下���,分析服務(wù)506也可以識別下述一個或更多個因素(例如��,配置參數(shù)����、操作上下文等),該一個或更多個因素可以引起改進的性能����,為OEM提供統(tǒng)計基礎(chǔ)以用于向設(shè)計成改進其工業(yè)資產(chǎn)的性能的其他終端用戶推薦配置或操作變化。
[0059]圖6示出了使用主體遠程訪問架構(gòu)來分配用于工業(yè)資產(chǎn)114的集合的不同的角色特定和用戶特定視圖�����。所示出的示例描繪了分別包括多個工廠設(shè)施的兩個工業(yè)企業(yè)(終端用戶)���。工業(yè)企業(yè)I包括工廠1.1-1.N,并且工業(yè)企業(yè)2包括工廠2.1 - 2.M0每個工廠設(shè)施容置由OEM A和OEM B之一或二者提供的一個或更多個工業(yè)資產(chǎn)114�����。OEM A制造機器A.1-A.X�����,而OEM B制造機器B.1-B.Y。因此�����,每個OEM負責多個機器類型���,所述多個機器類型跨越許多工廠設(shè)施(工廠1.1 - 1.N和2.1-2.M)來銷售和分發(fā)到多個客戶(工業(yè)企業(yè)I和工業(yè)企業(yè)2)�。
[0060]由于OEM與終端用戶的這種關(guān)系,所以圖6中描繪的一些工廠設(shè)施包括來自O(shè)EM二者(例如工廠1.1���,1.2���,1.N和2.M)的工業(yè)資產(chǎn)114。因此��,終端用戶入口 106可以被配置成提供每個終端用戶的工業(yè)資產(chǎn)114(包括來自O(shè)EM 二者的機器)的異構(gòu)集合的統(tǒng)一視圖��。如上所述�,可以通過從有云能力的終端用戶客戶端裝置調(diào)用終端用戶入口 106來遠程地訪問這些視圖。使用該架構(gòu)�,終端用戶可以從基于云的單個關(guān)注點來跟蹤包括其工業(yè)企業(yè)的所有資產(chǎn)。
[0061]使用相同的基于云的遠程訪問架構(gòu)(由連接代理104管理)�,0ΕΜ入口 110可以被配置成跨越多個客戶(終端用戶)和工廠設(shè)施為每個OEM提供其自身的一組機器的可遠程訪問的統(tǒng)一視圖。此外�����,通過利用結(jié)合圖5所描述的分析服務(wù)506��,OEM入口 110可以跨越多個工廠設(shè)施進行每個OEM的一組資產(chǎn)的集體和/或比較性分析�����。例如,OEM A可以利用云架構(gòu)的分析服務(wù)來對部署在工廠1.1和1.N(由終端用戶I擁有)和工廠2.M(由終端用戶2擁有)處的機器A.1進行比較性的���、跨企業(yè)的分析��。這些分析可以例如跨越所部署的機器A.1的實例來比較一個或更多個性能度量�����,并且識別運行得明顯優(yōu)于或劣于確定的度量平均值的機器��。該分析可以跨越機器進一步比較配置設(shè)置���、操作上下文、生命周期數(shù)據(jù)或其他相關(guān)因素���,以識別可能是更優(yōu)(或劣化)的性能的原因的一個或更多個因素�����。這種分析可以為OEM A提供對在不同操作設(shè)置下它們的機器的性能的深入了解�,否則這可能是不可見的��。這些深入了解可以幫助OEM為它們裝置的用戶提供故障排除指導或配置推薦�。OEM也可以使用該信息來進行它們的裝置的研究和開發(fā),識別值得進一步開發(fā)或改進的機器類的方面��。
[0062]在一些實施方式中�,基于云的遠程訪問系統(tǒng)也可以提供調(diào)度工具,該調(diào)度工具使得每個OEM能夠在每個客戶站點處調(diào)度它們的裝置的周期性檢查��。例如�,作為與終端用戶的服務(wù)協(xié)議的一部分,可以要求OEM按月執(zhí)行對其在終端用戶設(shè)施處的機器安裝的檢查���。為此�,OEM可以訪問運行在云基礎(chǔ)設(shè)施上的調(diào)度服務(wù)�����,并且配置自動的提醒以在每個月的特定日子檢查終端用戶的資產(chǎn)�����。然后����,基于云的遠程訪問系統(tǒng)可以在適當?shù)臅r間生成并向與OEM關(guān)聯(lián)的指定客戶端裝置傳遞自動通知�����。在一些實施方式中�����,終端用戶可以配置OEM入口 110���,以使得僅在這些預(yù)調(diào)度的檢查時間段期間能夠訪問工業(yè)資產(chǎn)114,并且在所有其他時間阻止經(jīng)由OEM入口的訪問�����?����;谶@些配置偏好��,遠程訪問系統(tǒng)將自動地在適當?shù)臅r間啟用和禁用OEM入口�����,以使得OEM能夠進行其調(diào)度的機器檢查。
[0063]在相關(guān)的方面中��,OEM入口 110也可以被配置成在事件觸發(fā)的基礎(chǔ)上自動地啟用訪問���。例如,如果遠程資產(chǎn)服務(wù)器102檢測到工業(yè)資產(chǎn)114異常(例如�,基于檢測到報警標簽轉(zhuǎn)變、超過設(shè)定點的度量值等)�,則服務(wù)器可以指令適當?shù)腛EM入口 110從禁用狀態(tài)轉(zhuǎn)變到啟用狀態(tài),從而使得OEM能夠遠程地訪問工業(yè)資產(chǎn)114并且進行遠程故障解決���?;谠频倪h程訪問系統(tǒng)也可以向預(yù)指定的OEM客戶端裝置發(fā)送自動通知�����,警告OEM機器異常�,并且指示已經(jīng)啟用適當?shù)腛EM入口以允許對機器的遠程訪問。在一個或更多個實施方式中�,云基礎(chǔ)設(shè)施也可以為每個終端用戶分配基于云的存儲器,以用于存儲故障排除文檔或其他相關(guān)信息�����,包括但不限于電子圖、維護歷史等���?�?梢允沟眠@些故障排除文檔在遠程故障排除會話期間對于OEM可用����。
[0064]除了上文結(jié)合圖5描述的分析服務(wù)506之外��,云基礎(chǔ)設(shè)施502的各種實施方式可以支持利用工業(yè)資產(chǎn)114與基于云的入口之間的連接的其他類型的基于云的服務(wù)���。例如��,云基礎(chǔ)設(shè)施502可以支持文件上傳和比較服務(wù)���,其中安裝在終端用戶的裝置上的程序或配置文件(例如,控制器程序����,電機驅(qū)動配置設(shè)置等)通過遠程服務(wù)器102被上傳到云平臺,并且與已知實現(xiàn)成功操作的標準版本的程序/配置文件進行比較�。基于該比較��,系統(tǒng)可以生成推薦的編程或配置變化以用于改進資產(chǎn)的性能。
[0065]也可以使用類似的文件上傳服務(wù)來跟蹤對程序或配置文件進行的改變����。例如,可以周期性地��,根據(jù)限定的時間表��,或響應(yīng)于檢測到的事件(例如���,檢測到的異常情況或其他系統(tǒng)事件等)來上傳程序或配置文件?��;谠频姆?wù)可以將最近上傳的程序或配置文件的版本與先前上傳的版本進行比較���,以便確定是否進行了改變。云服務(wù)可以被配置成響應(yīng)于確定已經(jīng)對程序或裝置配置進行了改變來向指定人員傳遞通知�����。在一些實施方式中�����,僅在所檢測的修改沒有被預(yù)標記為已經(jīng)接收到先前授權(quán)時生成通知?����;诔绦蛏蟼骱捅容^的結(jié)果��,云服務(wù)也可以生成記錄對程序或裝置配置進行的改變的審查跟蹤(audit trail)�����。在示例實施方式中���,變化記錄中的每個條目可以包括諸如修改的性質(zhì)�����、檢測到修改的時間����、與修改關(guān)聯(lián)的用戶身份等的信息��。
[0066]云基礎(chǔ)設(shè)施502的一些實施方式也可以支持災(zāi)難恢復(fù)服務(wù)��。這種服務(wù)可以將程序和配置信息從終端用戶的工業(yè)資產(chǎn)周期性遷移到基于云的存儲器���。在裝置故障導致裝置的編程或配置文件丟失的情況下�,可以從云存儲器取回最近遷移的程序和配置數(shù)據(jù)并且重新將其安裝在裝置上。
[0067]前述示例描述了根據(jù)終端用戶入口和OEM入口的主體遠程訪問架構(gòu)���。然而��,遠程訪問架構(gòu)的一個或更多個實施方式可以支持與可能需要訪問終端用戶的工業(yè)資產(chǎn)的其他類型實體相對應(yīng)的其它入口配置����。圖7示出了便利于多個類型的用戶的訪問的基于云的架構(gòu)���。除了先前的示例中描述的終端用戶入口和OEM入口之外,云基礎(chǔ)設(shè)施502也可以支持創(chuàng)建用于系統(tǒng)集成商��、裝置銷售商���、服務(wù)供應(yīng)商或其他實體類型的遠程訪問入口 702����。與OEM入口 110類似�����,由這些其他非終端用戶入口提供的功能和遠程訪問的范圍經(jīng)受終端用戶的批準。由這些入口提供的功能可以使用上述技術(shù)單獨地來配置��,以適合需要訪問工業(yè)資產(chǎn)或機器的實體的特定要求�。
[0068]例如,系統(tǒng)集成商可以向終端用戶提供針對特定生產(chǎn)線的控制解決方案���,該特定生產(chǎn)線包括來自若干不同的裝置銷售商或OEM的多個工業(yè)資產(chǎn)(例如��,工業(yè)控制器����、HMI>電機驅(qū)動器等)��。為了在啟動之后有效地支持控制系統(tǒng)�����,系統(tǒng)集成商可以請求對包括系統(tǒng)的不同的工業(yè)資產(chǎn)集合進行遠程訪問��。因此����,一個或更多個遠程資產(chǎn)服務(wù)器102可以在終端用戶設(shè)施處與工業(yè)資產(chǎn)集成,并且系統(tǒng)集成商入口可以被配置在云架構(gòu)中���,以對系統(tǒng)集成商提供經(jīng)由遠程資產(chǎn)服務(wù)器102對資產(chǎn)的遠程訪問����。可以使用與用于創(chuàng)建OEM入口 110的技術(shù)類似的技術(shù)來創(chuàng)建系統(tǒng)集成商入口�����。然而����,由系統(tǒng)集成商入口提供的訪問的范圍可以與OEM入口 110不同。例如��,系統(tǒng)集成商入口可以提供包括給定的控制系統(tǒng)的多個資產(chǎn)的全面�、統(tǒng)一的視圖��,其中�����,資產(chǎn)可以包括來自若干不同的設(shè)備制造商或供應(yīng)商的機器或裝置��。反之����,OEM入口 110僅允許訪問由特定OEM建造的機器或裝置該OEM入口被分配至該特定OEM���。類似地,裝置銷售商入口�、服務(wù)供應(yīng)商入口以及其他入口類型可以基于每個類型的用戶所需要的訪問的合適范圍而被適當?shù)叵薅ǚ秶R虼?����,本文中描述的遠程訪問架構(gòu)提供了使得終端用戶能夠根據(jù)每方的需要將遠程訪問能力選擇性地分配給外部合作者或第三方實體的統(tǒng)一平臺��。
[0069]雖然圖7描繪了附接至每個企業(yè)裝置708的單獨的遠程資產(chǎn)服務(wù)器102�,但是遠程資產(chǎn)服務(wù)器102的一些實施方式可以被配置成將多個工業(yè)裝置708鏈接至云基礎(chǔ)設(shè)施502和入口 702。
[0070]云基礎(chǔ)設(shè)施502可以使得共享計算服務(wù)被有云能力的裝置訪問和利用��。在一個或更多個實施方式中�����,云基礎(chǔ)設(shè)施502可以是由以下裝置經(jīng)由因特網(wǎng)可訪問的公共云:該裝置具有因特網(wǎng)連接和適當授權(quán)以利用本文中所描述的遠程資產(chǎn)服務(wù)�。在一些情形中,可以由云提供商提供云基礎(chǔ)設(shè)施502作為平臺即服務(wù)(platform-as-a-service) (PaaS),并且入口 702和分析服務(wù)506可以在云基礎(chǔ)設(shè)施502上存在并執(zhí)行,作為基于云的服務(wù)�。在一些這樣的配置中,可以由連接代理104將對云基礎(chǔ)設(shè)施502的訪問以及相關(guān)聯(lián)的入口和服務(wù)作為訂購服務(wù)提供給客戶?�?商孢x地����,云基礎(chǔ)設(shè)施502可以是由工業(yè)企業(yè)在內(nèi)部操作的私有云。示例性的私有云平臺可以包括托管(host)遠程訪問服務(wù)并存在于受防火墻保護的公司網(wǎng)絡(luò)上的一組服務(wù)器����。
[0071]由云基礎(chǔ)設(shè)施502支持的其他云服務(wù)包括但不限于數(shù)據(jù)存儲、數(shù)據(jù)分析�����、控制應(yīng)用(例如�����,可以基于對近實時系統(tǒng)數(shù)據(jù)或其他因素的分析�����,生成控制指令并將控制指令經(jīng)由遠程資產(chǎn)服務(wù)器102傳遞至工業(yè)裝置708的應(yīng)用)���、遠程監(jiān)測和支持、裝置管理、資產(chǎn)性能管理�����、預(yù)測維護服務(wù)��、企業(yè)制造智能服務(wù)����、供應(yīng)鏈性能管理、通知服務(wù)或其他這樣的應(yīng)用���。如果云基礎(chǔ)設(shè)施502是基于網(wǎng)絡(luò)的云�,則位于各個工業(yè)設(shè)施704處的遠程資產(chǎn)服務(wù)器102可以經(jīng)由因特網(wǎng)(例如����,經(jīng)過終端用戶的以太網(wǎng)或WiFi網(wǎng)絡(luò),或者經(jīng)由蜂窩連接����、衛(wèi)星連接或無線電連接)與入口 702進行交互。遠程資產(chǎn)服務(wù)器還可以包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施裝置的集成部件����,例如防火墻���、路由器或交換機。
[0072]由云基礎(chǔ)設(shè)施502提供的基于云的存儲可以被容易地縮放�����,以容納由工業(yè)企業(yè)日常生成的大量的數(shù)據(jù)���。此外���,在不同的地理位置處的多個工業(yè)設(shè)施可以將它們各自的自動化數(shù)據(jù)遷移至云基礎(chǔ)設(shè)施502,以用于匯集��、整理���、集體大數(shù)據(jù)分析以及企業(yè)級報告�,而不需要在設(shè)施之間建立私有網(wǎng)絡(luò)�。在一個或更多個實施方式中,遠程資產(chǎn)服務(wù)器102可以支持智能配置能力���,使得服務(wù)器能夠在云基礎(chǔ)設(shè)施502在任何設(shè)施處安裝時自動檢測該云基礎(chǔ)設(shè)施502并與其通信�����,簡化集成��。
[0073]在一個或更多個實施方式中��,與入口配置相關(guān)的終端用戶偏好和配置信息����、云平臺中所采集的資產(chǎn)數(shù)據(jù)的組織�、以及其他這樣的偏好可以被存儲在由連接代理104維護的客戶特定清單中。
[0074]在一個或更多個實施方式中�,連接代理104可以管理云基礎(chǔ)設(shè)施的某些更高級別的連接特征。例如����,云架構(gòu)可以基于用戶針對每個入口或遠程資產(chǎn)服務(wù)器進行帶寬測量,使得針對每個供應(yīng)商(例如���,OEM����、系統(tǒng)集成商��、服務(wù)供應(yīng)商等)單獨地跟蹤對特定工業(yè)資產(chǎn)的遠程訪問���。這可以使得由連接代理相應(yīng)地分配與帶寬使用相關(guān)聯(lián)的成本��。連接代理還可以使用該帶寬跟蹤數(shù)據(jù)來確定特定供應(yīng)商是否正在使用相對于其它遠程用戶來說過量的帶寬���,并且進行適當?shù)臏y量(例如�����,限流所識別的供應(yīng)商的吞吐量���,以確保在供應(yīng)商之間公平分配帶寬)。
[0075]本文中所描述的基于云的遠程訪問架構(gòu)可以支持各種審計工具和問責工具�����。例如�,由于通過實體特定的、基于云的入口實現(xiàn)了對終端用戶的工業(yè)資產(chǎn)的遠程訪問�����,所以系統(tǒng)可以保持用于證明對資產(chǎn)的訪問的詳細記錄�����,包括資產(chǎn)被遠程訪問的時間、訪問資產(chǎn)的實體的標識(基于使用的入口和用戶標識符)����、在遠程訪問會話期間對資產(chǎn)做出的修改的記錄����、在遠程訪問會話期間在資產(chǎn)上查看了什么數(shù)據(jù)的記錄、以及其它相關(guān)信息��。該信息可以被跟蹤并自動地保持在云基礎(chǔ)設(shè)施502中或在遠程資產(chǎn)服務(wù)器102上��。在資產(chǎn)故障或突然性能惡化的情況下���,可以檢查這些記錄以確定對資產(chǎn)的最近的遠程修改是否引起故障��,并且查明對于故障的責任�����。
[0076]本文中所描述的遠程資產(chǎn)服務(wù)器的一個或更多個實施方式可以支持另外的數(shù)據(jù)管理特征�����,該另外的數(shù)據(jù)管理特征對終端用戶����、OEM或其他實體提供對于機器操作的有用的深入了解。例如�,圖8示出了能夠?qū)①Y產(chǎn)數(shù)據(jù)鏈接到來自本地外圍裝置的外圍數(shù)據(jù)的遠程資產(chǎn)服務(wù)器120。在本示例中��,一個或更多個本地外圍裝置802可以連接至遠程資產(chǎn)服務(wù)器102 (例如�,經(jīng)由服務(wù)器的本地裝置接口部件210)。示例性的本地外圍裝置802包括視頻攝像機��。該視頻攝像機被設(shè)置成:在操作期間記錄工業(yè)資產(chǎn)114的視頻錄像����,測量下游處理的方面(例如,溫度����、壓力等)的遙測裝置(該下游處理取決于工業(yè)資產(chǎn)114的操作),記錄與工業(yè)資產(chǎn)114的當前操作者相關(guān)聯(lián)的標識符的用戶認證裝置(例如����,讀卡器、生物測量裝置���、條形碼讀取器等)���,或其他這樣的裝置���。
[0077]在從工業(yè)資產(chǎn)114采集資產(chǎn)數(shù)據(jù)804 (例如,經(jīng)由機器網(wǎng)絡(luò)接口部件208或服務(wù)器的其他適合的輸入端口)的同時將由本地外圍裝置802生成的數(shù)據(jù)經(jīng)由本地裝置接口部件210提供至遠程資產(chǎn)服務(wù)器102�����。遠程資產(chǎn)服務(wù)器102可以將外圍數(shù)據(jù)806與資產(chǎn)數(shù)據(jù)804進行結(jié)合�,并且將該捆綁的信息作為匯集數(shù)據(jù)808提供至云平臺���,以用于存儲或遠程查看�����。在示例應(yīng)用中����,外圍數(shù)據(jù)806可以包括來自在操作期間記錄工業(yè)資產(chǎn)114的視頻錄像的視頻攝像機的視頻數(shù)據(jù)��。遠程資產(chǎn)服務(wù)器102將該視頻數(shù)據(jù)鏈接至由工業(yè)資產(chǎn)連續(xù)地采集的資產(chǎn)數(shù)據(jù)804����,使得視頻數(shù)據(jù)與資產(chǎn)數(shù)據(jù)按時間對準��。在遷移到云平臺之前���,遠程資產(chǎn)服務(wù)器102對匯集數(shù)據(jù)808進行時間標記。
[0078]在云中記錄該匯集的����、經(jīng)時間標記的數(shù)據(jù)使得查看者能夠?qū)⒅甘举Y產(chǎn)的異常操作的資產(chǎn)數(shù)據(jù)804的子集與對應(yīng)的工業(yè)資產(chǎn)114的視頻錄像相關(guān)聯(lián),以使得可以觀察到在生成異常資產(chǎn)數(shù)據(jù)時的資產(chǎn)的可視操作�����。在另一示例情形下�,可以將視頻攝像機設(shè)置成記錄監(jiān)控錄像以用于安全目的或者訪問控制目的。通過將視頻錄像與資產(chǎn)數(shù)據(jù)804相關(guān)���,用戶可以查看在資產(chǎn)數(shù)據(jù)所指示的�����、檢測到的安保事件或安全事件時誰在資產(chǎn)附近�����。
[0079]在一個或更多個實施方式中����,遠程資產(chǎn)服務(wù)器102也可以檢索存儲的視頻數(shù)據(jù)一來自云平臺或者使用本地視頻攝像機本地地存儲一并且將數(shù)據(jù)傳遞至與工業(yè)資產(chǎn)114相關(guān)聯(lián)的本地顯示器。例如��,這可以是預(yù)先記錄的用于教學目的的資產(chǎn)維修視頻�。遠程資產(chǎn)服務(wù)器102可以響應(yīng)于來自本地服務(wù)人員的請求將視頻傳遞至本地顯示器,以提供與資產(chǎn)的維護或維修有關(guān)的指導�。
[0080]圖9至圖10示出了根據(jù)主題應(yīng)用的一個或更多個實施方式的各種方法。雖然��,為了簡化說明�,將本文中示出的一個或更多個方法示出并描述為一系列動作,要明白并理解的是����,主題創(chuàng)新不限于動作的順序��,因為一些動作可以根據(jù)主題創(chuàng)新而以不同于本文中示出并描述的順序的順序發(fā)生和/或與其他動作同時發(fā)生��。例如�,本領(lǐng)域技術(shù)人員將明白并理解的是,可以將方法可替選地表示為一系列相關(guān)的狀態(tài)或事件���,例如狀態(tài)圖���。此外�,不是必須需要所有示出的動作來實現(xiàn)根據(jù)創(chuàng)新的方法����。此外,在不同的實體執(zhí)行方法的不同部分時���,交互圖可以根據(jù)主題公開內(nèi)容來表示方法或方式�����。此外����,兩個或更多個公開的示例方法可以以彼此組合的方式實現(xiàn)���,以實現(xiàn)本文中所描述的一個或更多個特征或優(yōu)點�����。
[0081]圖9示出了用于使用遠程資產(chǎn)服務(wù)器控制對工業(yè)資產(chǎn)的訪問的示例性方法900�����。最初����,在902處,遠程資產(chǎn)服務(wù)器可通信地耦接至工業(yè)資產(chǎn)����。在各種實施方式中,遠程資產(chǎn)服務(wù)器可以包括可通信地鏈接至(本地地或經(jīng)過網(wǎng)絡(luò))工業(yè)資產(chǎn)的獨立服務(wù)器裝置或其他應(yīng)用���、與工業(yè)資產(chǎn)共享機架或控制箱的機架安裝裝置或面板安裝裝置����、物理地附接至或有線連接至工業(yè)資產(chǎn)的模塊化裝置���、或者其他適合的實施方式。遠程資產(chǎn)服務(wù)器還可以被實施為網(wǎng)絡(luò)架構(gòu)裝置��,包括但不限于網(wǎng)絡(luò)交換機��、路由器��、防火墻裝置、云網(wǎng)關(guān)裝置或其他這樣的網(wǎng)絡(luò)裝置��。在一些實施方式中���,遠程資產(chǎn)服務(wù)器可以包括工業(yè)資產(chǎn)的嵌入式部件�����。遠程資產(chǎn)服務(wù)器還可以是在工廠設(shè)施內(nèi)(或者跨越多個工廠站點)在工業(yè)資產(chǎn)之間由被授權(quán)的人員攜帶的便攜裝置�,其中�,便攜裝置可以經(jīng)過無線鏈路可通信地連接至工業(yè)資產(chǎn)。
[0082]在904處����,遠程資產(chǎn)服務(wù)器可通信地耦接至與云平臺相關(guān)聯(lián)的連接代理。在906處���,將與遠程資產(chǎn)服務(wù)器相關(guān)聯(lián)的一個或更多個安全策略發(fā)送至連接代理�����,其中�����,安全策略限定對工業(yè)資產(chǎn)的遠程訪問的許可范圍����。這些安全策略包括由工業(yè)資產(chǎn)的所有者限定的企業(yè)安全策略以及由外部實體(例如,OEM)請求并且由資產(chǎn)所有者批準的遠程管理功能二者��。例如����,策略可以限定工業(yè)資產(chǎn)的哪些數(shù)據(jù)標簽可以被遠程查看或修改、哪些配置參數(shù)可以被遠程設(shè)置�、哪些用戶標識或角色將被準許遠程訪問工業(yè)資產(chǎn)等。在908處��,根據(jù)一個或更多個安全策略由遠程資產(chǎn)服務(wù)器來調(diào)控對工業(yè)資產(chǎn)的遠程訪問�,其中,通過由連接代理在云平臺中具象呈現(xiàn)的通信入口來促進遠程訪問��。
[0083]圖10示出了用于使用遠程資產(chǎn)服務(wù)器對工業(yè)資產(chǎn)的訪問進行基于角色的調(diào)控的示例方法1000�。首先,在1002處��,在遠程資產(chǎn)服務(wù)器上定義多個安全策略集合���,其中�����,多個安全策略集合與相應(yīng)的多個用戶角色(例如����,資產(chǎn)所有者�����、OEM�、系統(tǒng)集成商、裝置銷售商����、服務(wù)供應(yīng)商等)相對應(yīng)。多個安全策略集合限定對工業(yè)資產(chǎn)遠程訪問的許可范圍��。在1004處�����,在云平臺中實體化多個基于云的入口����,這些入口分別與多個安全策略集合相對應(yīng)��。在1006處���,經(jīng)由多個基于云的入口中的一個從遠程裝置接收對工業(yè)資產(chǎn)的訪問請求。在1008處�,調(diào)用與該入口相關(guān)聯(lián)的一個安全策略集合。
[0084]在1010處���,做出關(guān)于該請求是否被在步驟1008中調(diào)用的一個安全策略集合許可的確定����。例如���,該請求可以包括對于工業(yè)資產(chǎn)的特定配置參數(shù)的遠程讀和/或?qū)憴?quán)限的請求�,其可以被安全策略組明確許可或者拒絕�����。如果在步驟1010中確定請求未被安全策略組許可����,則方法進行至步驟1014,并且拒絕對工業(yè)資產(chǎn)的訪問請求?��?商孢x地,如果在步驟1010中確定請求被許可���,則方法進行至步驟1012�,在步驟1012中允許對工業(yè)資產(chǎn)的訪問請求�����。
[0085]本文中描述的實施方式�����、系統(tǒng)及部件以及其中可以執(zhí)行主題說明書中闡述的各個方面的工業(yè)控制系統(tǒng)和工業(yè)自動化環(huán)境可以包括計算機或網(wǎng)絡(luò)部件�,諸如能夠通過網(wǎng)絡(luò)交互的服務(wù)器、客戶端���、可編程邏輯控制器(PLC)�、可編程控制器�����、自動化控制器、可編程自動化控制器�����、通信模塊�、移動計算機、無線部件����、控制部件等。計算機和服務(wù)器包括一個或更多個處理器(采用電信號進行邏輯運算的電子集成電路)�����,所述處理器被配置成執(zhí)行存儲在介質(zhì)以及可移除存儲裝置中的指令����,介質(zhì)諸如為隨機存取存儲器(RAM)、只讀存儲器(ROM)�、硬盤驅(qū)動器,可移除存儲裝置可以包括記憶棒���、存儲卡��、閃存驅(qū)動器��、外部硬盤驅(qū)動吳坐
[0086]類似地�,本文中所使用的術(shù)語PLC�����、工業(yè)控制器�����、自動化控制器或可編程自動化控制器可以包括可通過多個部件��、系統(tǒng)和/或網(wǎng)絡(luò)共享的功能。作為示例�����,一個或更多個PLC可以通過網(wǎng)絡(luò)與各種網(wǎng)絡(luò)裝置通信并合作�。這實質(zhì)上可以包括經(jīng)由包括控制網(wǎng)絡(luò)��、自動化網(wǎng)絡(luò)和/或公共網(wǎng)絡(luò)的網(wǎng)絡(luò)進行通信的任何類型的控制、通信模塊����、計算機��、輸入/輸出(I/O)裝置���、傳感器、執(zhí)行器及人機接口(HMI)��。PLC還可以與各種其它裝置(諸如包括模擬的、數(shù)字的���、可編程/智能I/o模塊的I/O模塊���、其它可編程控制器���、通信模塊、傳感器�、執(zhí)行器����、輸出裝置等)通信并控制各種其它裝置��。
[0087]網(wǎng)絡(luò)可以包括諸如因特網(wǎng)���、內(nèi)聯(lián)網(wǎng)的公共網(wǎng)絡(luò)以及自動化網(wǎng)絡(luò),自動化網(wǎng)絡(luò)諸如包括設(shè)備網(wǎng)(DeviceNet)����、控制網(wǎng)(ControlNet)和以太網(wǎng)(EtherNet)/IP的控制和信息協(xié)議(CIP)網(wǎng)絡(luò))����。其它網(wǎng)絡(luò)包括以太網(wǎng)���、DH/DH+���、遠程I/O、現(xiàn)場總線��、Modbus����、Probifbus�、CAN�����、無線網(wǎng)絡(luò)�����、串行協(xié)議等。此外�,網(wǎng)絡(luò)裝置可以包括各種可能(硬件部件和/或軟件部件)�。這些包括如下部件,諸如具有虛擬局域網(wǎng)(VLAN)能力的開關(guān)�、LAN、WAN�����、代理�、網(wǎng)關(guān)����、路由器、防火墻���、虛擬私人網(wǎng)絡(luò)(VPN)裝置����、服務(wù)器、客戶端�����、計算機���、配置工具�����、監(jiān)測工具和/或其它裝置�����。
[0088]為了提供針對所公開的主題的各個方面的上下文�,圖11和圖12以及下面的討論意圖提供對其中可以實現(xiàn)所公開的主題的各個方面的適合的環(huán)境的簡要��、概括的描述����。
[0089]參照圖11����,用于實現(xiàn)上述主題的各個方面的示例環(huán)境1110包括計算機1112���。計算機1112包括處理單元1114����、系統(tǒng)存儲器1116及系統(tǒng)總線1118。系統(tǒng)總線1118將包括但不限于系統(tǒng)存儲器1116的系統(tǒng)部件耦接至處理單元1114。處理單元1114可以是各種可用處理器中的任何一種�。也可以采用雙微處理器和其它多處理器架構(gòu)作為處理單元1114��。
[0090]系統(tǒng)總線1118可以是若干類型的總線結(jié)構(gòu)中的任何一種��,包括使用各種可用總線架構(gòu)(包括但不限于8位總線、工業(yè)標準結(jié)構(gòu)(ISA)、微通道架構(gòu)(MSA)、擴展工業(yè)標準結(jié)構(gòu)(EISA)、智能驅(qū)動電子設(shè)備(IDE)�、VESA局部總線(VLB)���、外圍部件互聯(lián)(PCI)�����、通用串行總線(USB)��、高級圖形接口(AGP)��、個人計算機存儲卡國際協(xié)會總線(PCMCIA)以及小型計算機系統(tǒng)接口(SCSI))中的任何一種的存儲器總線或存儲器控制器�、外圍總線或外部總線和/或局部總線���。
[0091]系統(tǒng)存儲器1116包括易失性存儲器1120以及非易失性存儲器1122���。在非易失性存儲器1122中存儲有基本輸入/輸出系統(tǒng)(B1S),該基本輸入/輸出系統(tǒng)包含用以在諸如啟動期間在計算機1112中的元件之間傳送信息的基本例程�����。通過示例而非限制的方式����,非易失性存儲器1122可以包括只讀存儲器(ROM)、可編程ROM(PROM)��、電可編程ROM(EPROM)���、電可擦除PROM(EEPROM)或閃存�����。易失性存儲器1120包括充當外部高速緩沖存儲器的隨機存取存儲器(RAM)�。通過示例而非限制的方式��,RAM以多種形式可用��,諸如同步隨機存取存儲器(SRAM)���、動態(tài)隨機存取存儲器(DRAM)�、同步動態(tài)隨機存取存儲器(SDRAM)��、雙倍數(shù)據(jù)速率同步動態(tài)隨機存取存儲器(DDR SDRAM)��、增強型同步動態(tài)隨機存取存儲器(ESDRAM)���、同步鏈路動態(tài)隨機存取存儲器(SLDRAM)以及直接總線式隨機存取存儲器(DRRAM)�。
[0092]計算機1112還包括可移動的/不可移動的、易失性/非易失性計算機存儲介質(zhì)��。圖11例如示出盤存儲裝置1124����。盤存儲裝置1124包括但不限于如磁盤驅(qū)動器、軟盤驅(qū)動器��、磁帶驅(qū)動器���、Jaz驅(qū)動器���、Zip驅(qū)動器、LS-100驅(qū)動器��、閃存卡或記憶棒的裝置���。此外����,盤存儲裝置1124可以單獨地包括存儲介質(zhì)或者與其它存儲介質(zhì)結(jié)合���,其它存儲介質(zhì)包括但不限于光盤驅(qū)動器��,諸如光盤ROM裝置(⑶-ROM)�����、⑶可記錄驅(qū)動器(⑶-R驅(qū)動器)��、⑶可重寫驅(qū)動器(⑶-RW驅(qū)動器)或數(shù)字通用磁盤ROM驅(qū)動器(DVD-ROM)�。為了便于盤存儲裝置1124連接至系統(tǒng)總線1118����,通常使用可移除或不可移除的接口,諸如接口 1126����。
[0093]應(yīng)當理解的是,圖11描述了在用戶與在適當?shù)牟僮鳝h(huán)境1110中描述的基本計算機資源之間充當媒介的軟件�。這樣的軟件包括操作系統(tǒng)1128�。可以被存儲在盤存儲裝置1124或系統(tǒng)存儲器116上的操作系統(tǒng)1128用于控制和分配計算機1112的資源����。系統(tǒng)應(yīng)用1130通過存儲在系統(tǒng)存儲器1116或盤存儲裝置1124上的程序模塊1132和程序數(shù)據(jù)1134來由操作系統(tǒng)1128利用資源的管理。應(yīng)當理解的是�����,可以通過各種操作系統(tǒng)或操作系統(tǒng)的組合來實現(xiàn)主題公開內(nèi)容的一個或更多個實施方式。
[0094]用戶通過輸入裝置1136將命令或信息輸入計算機1112�����。輸入裝置1136包括但不限于指示裝置����,諸如鼠標、軌跡球�����、指示筆���、觸摸板���、鍵盤、麥克風��、操縱桿���、游戲墊���、盤式衛(wèi)星天線����、掃描儀���、TV調(diào)諧器卡、數(shù)碼照相機�����、數(shù)碼攝像機�、網(wǎng)絡(luò)攝像機等。這些和其它輸入裝置經(jīng)由接口端口 1138通過系統(tǒng)總線1118連接至處理單元1114�����。接口端口 1138包括例如串行端口�����、并行端口�����、游戲端口以及通用串行總線(USB)。輸出裝置1140使用與輸入裝置1136相同類型的端口中的一些端口���。因而�����,例如���,USB端口可以用于向計算機1112提供輸入,并且用于從計算機1112向輸出裝置1140輸出信息���。設(shè)置輸出適配器1142以表示除了輸出裝置1140以外還存在需要特殊適配器的一些輸出裝置1140��,諸如監(jiān)視器�、揚聲器��、打印機���。通過示例而非限制的方式��,輸出適配器1142包括用于提供輸出裝置1140與系統(tǒng)總線1118之間的連接方式的顯卡和聲卡�����。應(yīng)當注意的是�,其它裝置和/或裝置的系統(tǒng)(如遠程計算機1144)提供輸入能力和輸出能力二者。
[0095]計算機1112可以使用到一個或更多個遠程計算機(如遠程計算機1144)的邏輯連接來在網(wǎng)絡(luò)環(huán)境中操作�。遠程計算機1144可以是個人計算機、服務(wù)器���、路由器�、網(wǎng)絡(luò)PC���、工作站、基于微處理器的器械��、對等裝置或其它普通的網(wǎng)絡(luò)節(jié)點等����,并且通常包括與計算機1112相關(guān)描述的許多元件或所有元件。出于簡明的目的�����,僅示出了遠程計算機1144具有存儲器存儲裝置1146����。遠程計算機1144通過網(wǎng)絡(luò)接口 1148然后經(jīng)由通信連接1150物理連接地邏輯連接至計算機1112����。網(wǎng)絡(luò)接口 1148包括通信網(wǎng)絡(luò)��,例如局域網(wǎng)(LAN)和廣域網(wǎng)(WAN)��。LAN技術(shù)包括光線分布式數(shù)據(jù)接口(FDDI)�、銅分布式數(shù)據(jù)接口(⑶DI)、以太網(wǎng)/IEEE802.3�、令牌環(huán)網(wǎng)/IEEE 802.5等。WAN技術(shù)包括但不限于點對點鏈接�����、電路交換網(wǎng)(如綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)及其變型)�、分組交換網(wǎng)和數(shù)字用戶線(DSL)。
[0096]通信連接1150指代用于將網(wǎng)絡(luò)接口 1148連接至總線1118的硬件/軟件����。雖然為了示例清楚起見,通信連接1150被示為在計算機1112的內(nèi)部�����,其也可以在計算機1112的外部。僅為了示例的目的��,與網(wǎng)絡(luò)接口 1148的連接所需的硬件/軟件包括內(nèi)部技術(shù)和外部技術(shù)�����,如調(diào)制解調(diào)器(包括普通的電話級調(diào)制解調(diào)器�����、電纜調(diào)制解調(diào)器以及DSL調(diào)制解調(diào)器)�、ISDN適配器以及以太網(wǎng)卡。
[0097]圖12是可以與所公開的主題進行交互的樣本計算環(huán)境1200的示意性框圖�。樣本計算環(huán)境1200包括一個或更多個客戶端1202?����?蛻舳?202可以是硬件和/或軟件(例如線程����、處理�、計算裝置)。樣本計算環(huán)境1200還包括一個或更多個服務(wù)器1204����。服務(wù)器1204也可以是硬件和/或軟件(例如線程�、處理�����、計算裝置)���。例如�,服務(wù)器1204可以容置線程����,以通過采用本文中所描述的一個或更多個實施方式來執(zhí)行轉(zhuǎn)換?��?蛻舳?202與服務(wù)器1204之間的一個可能的通信可以是適于在兩個或更多個計算機處理之間傳輸?shù)臄?shù)據(jù)包的形式���。樣本計算環(huán)境1200包括可用于便于客戶端1202與服務(wù)器1204之間的通信的通信框架1206??蛻舳?202可操作地連接至可用于存儲客戶端1202的本地信息的一個或更多個客戶端數(shù)據(jù)存儲庫1208。類似地�����,服務(wù)器1204可操作地連接至可用于存儲服務(wù)器1204的本地信息的一個或更多個服務(wù)器數(shù)據(jù)存儲庫1210。
[0098]上述內(nèi)容包括主題創(chuàng)新的示例���。當然,不可能描述為了說明所公開的主題的部件或方法的每個可想到的組合��,但本領(lǐng)域的技術(shù)人員會認識到���,本主題創(chuàng)新的很多其它組合和置換都是可能的�。因而�����,所公開的主題意在包括落入所附權(quán)利要求的精神和范圍內(nèi)的所有這樣的替選�����、修改和變型�����。
[0099]具體地�����,關(guān)于由上述部件���、裝置�、電路�、系統(tǒng)等執(zhí)行的各種功能,用于描述這樣的部件的術(shù)語(包括涉及“器件”)除非另行指出�,否則意在對應(yīng)于執(zhí)行所述部件的特定功能的任何部件(例如,功能上等同)���,即使該部件結(jié)構(gòu)上不等同于所公開的結(jié)構(gòu)�,所公開的結(jié)構(gòu)執(zhí)行所公開的主題的本文中示出的示例性方面中的功能�。關(guān)于這點,還將認識到��,所公開的主題包括系統(tǒng)以及具有用于執(zhí)行所公開的主題的各種方法的動作和/或事件的計算機可執(zhí)行指令的計算機可讀介質(zhì)�。
[0100]此外,雖然可能僅關(guān)于若干實現(xiàn)中的一個實現(xiàn)公開了所公開的主題的特定特征���,然而�,如果對于任何給定應(yīng)用或特定應(yīng)用是期望的且有利的����,則這樣的特征可以與其它實現(xiàn)的一個或更多其它特征組合����。此外����,關(guān)于在具體說明或權(quán)利要求中使用的術(shù)語“包括”及“包含”及其變型而言,這些術(shù)語意在表示與術(shù)語“具有”相類似的方式是包容的���。
[0101]在本申請中����,詞語“示例性”用于表示用作示例�����、實例或說明�����。本文中描述為“示例性”的任何方面或設(shè)計未必被理解為相比于其它方面或設(shè)計是優(yōu)選的或有利的���。相反��,詞語“示例性”的使用意在以具體的方式呈現(xiàn)構(gòu)思����。
[0102]本文中所描述的各個方面或特征可以實現(xiàn)為使用標準編程和/或工程技術(shù)的方法�、設(shè)備或制品。本文中所使用的術(shù)語“制品”意在包括從任何計算機可讀裝置�����、載體或介質(zhì)可訪問的計算機程序���。例如�����,計算機可讀介質(zhì)可以包括但不限于磁存儲裝置(例如�����,硬盤����、軟盤�、磁條…)、光盤(例如���,致密盤(CD)�、數(shù)字多功能盤(DVD)...)、智能卡以及閃存裝置(例如��,卡��、條�、鍵驅(qū)動器…)。
[0103]本串請中所使用的術(shù)語“部件”�����、“系統(tǒng)”���、“平臺”�、“層”��、“控制器”�、“終端”、“站”�����、“節(jié)點”、“接口 ”意在指代與計算機有關(guān)的實體或與具有一個或更多個特定功能的操作設(shè)備有關(guān)的實體或作為其一部分的實體���,其中����,這樣的實體可以是硬件����、硬件與軟件的組合�、軟件或者執(zhí)行中的軟件。例如����,部件可以是但不限于處理器上運行的處理、處理器�����、硬盤驅(qū)動器�����、包括附接的(例如螺紋固定的或閂鎖的)或可移除的附接的固態(tài)存儲驅(qū)動器的(光存儲介質(zhì)或磁存儲介質(zhì)的)多個存儲驅(qū)動器����、對象����、可執(zhí)行的事物���、執(zhí)行的線程��、計算機可執(zhí)行程序和/或計算機�。例如��,在服務(wù)器上運行的應(yīng)用和服務(wù)器都可以是部件���。一個或更多個部件可以駐留在處理和/或執(zhí)行的線程內(nèi)����,并且部件可以被定位在一臺計算機上和/或被分布在兩個或更多個計算機之間�����。此外��,本文中描述的部件可以由具有存儲在其上的各種數(shù)據(jù)結(jié)構(gòu)的各種計算機可讀存儲介質(zhì)來執(zhí)行�����。部件可以經(jīng)由本地處理和/或遠程處理如根據(jù)具有一個或更多個數(shù)據(jù)包的信號來通信(例如,來自與本地系統(tǒng)����、分布式系統(tǒng)中的另一部件交互的一個部件的數(shù)據(jù),以及/或經(jīng)由該信號通過網(wǎng)絡(luò)如因特網(wǎng)與其他系統(tǒng)交互)���。作為另一示例�,部件可以是由機械部件提供的具有特定功能的設(shè)備���,該機械部件通過由處理器執(zhí)行的軟件或固件應(yīng)用程序所操作的電的或電子的電路來操作,其中��,處理器可以在設(shè)備內(nèi)部或設(shè)備外部并且執(zhí)行軟件或固件應(yīng)用的至少一部分��。作為再一示例��,部件可以是在沒有機械部件的情況下通過電子部件來提供特定功能的設(shè)備:電子部件可以包括在其中執(zhí)行軟件或固件的處理器�,軟件或固件至少部分地提供了電子部件的功能。作為再一示例�����,接口可以包括輸入/輸出(I/o)部件以及關(guān)聯(lián)的處理器、應(yīng)用程序或應(yīng)用程序編程接口(API)部件���。盡管前述示例指向部件的方面����,示例的方面或特征也適用于系統(tǒng)���、平臺、接口��、層����、控制器、終端等����。
[0104]本文中所使用的術(shù)語“推斷”和“推算”通常指代根據(jù)經(jīng)由事件和/或數(shù)據(jù)捕獲的一組觀察來推出或推斷系統(tǒng)、環(huán)境以及/或用戶的狀態(tài)的處理�。例如,推斷可以用于識別特定的上下文或動作����,或可以生成狀態(tài)的概率分布�����。推斷可以是概率性的����,就是說���,興趣狀態(tài)的概率分布的計算基于數(shù)據(jù)和事件的考慮��。推斷還可以指代用于由一組事件和/數(shù)據(jù)來組成高級事件的技術(shù)��。這樣的推斷導致從一組觀察到的事件和/或存儲的事件數(shù)據(jù)建造新的事件或動作���,無論事件與時間接近度有關(guān)系還是事件和數(shù)據(jù)來自一個或若干個事件和數(shù)據(jù)源����。
[0105]此外,術(shù)語“或者”意在表示包容的“或者”而不是排他的“或者”�����。就是說�����,除非另行指定或從上下文中清楚的,短語“X使用A或者B”意在表示正常的包容的置換中的任何置換����。就是說,下列實例中的任何一個實例都滿足短語“X使用A或者B”:X使用A ����;X使用B ;或X使用A與B 二者。此外����,本申請和所附權(quán)利要求中所使用的冠詞“一個”通常解釋為表示“一個或更多個”����,除非另行指定或從上下文清楚的要指向單數(shù)形式。
[0106]此外����,本文中所使用的術(shù)語“集合”將空的集合(如其中沒有任何元素的集合)排除在外。因而���,主題公開內(nèi)容中的“集合”包括一個或更多個元素或?qū)嶓w�。作為示例,控制器集合包括一個或更多個控制器�;數(shù)據(jù)資源集包括一個或更多個數(shù)據(jù)資源等。同樣地�,本文使用的術(shù)語“組”指代一個或更多個實體的集合,例如����,一組節(jié)點指代一個或更多個節(jié)點。
[0107]在系統(tǒng)方面將呈現(xiàn)各種方面或特征��,系統(tǒng)可以包括多個裝置�����、部件�、模塊等。將明白和理解的是��,各種系統(tǒng)可以包括附加裝置����、部件���、模塊等以及/或可以不包括與附圖結(jié)合討論的所有裝置�����、部件����、模塊等。還可以使用這些方法的組合���。
【權(quán)利要求】
1.一種遠程資產(chǎn)服務(wù)器�,包括: 云接口部件�,被配置成將所述遠程資產(chǎn)服務(wù)器通信地耦接至云平臺; 資產(chǎn)接口部件�����,被配置成將所述遠程資產(chǎn)服務(wù)器通信地耦接至工業(yè)資產(chǎn)���;以及 遠程管理策略部件,被配置成調(diào)控從所述云平臺對所述工業(yè)資產(chǎn)的遠程訪問�。
2.根據(jù)權(quán)利要求1所述的遠程資產(chǎn)服務(wù)器,其中����,所述遠程管理策略部件還被配置成接收用于指定一個或更多個安全策略的配置輸入�����,所述一個或更多個安全策略用于定義對所述工業(yè)資產(chǎn)的遠程訪問的允許范圍���。
3.根據(jù)權(quán)利要求2所述的遠程資產(chǎn)服務(wù)器,其中�����,所述一個或更多個安全策略包括對應(yīng)于相應(yīng)的多個實體的多個安全策略的集合��。
4.根據(jù)權(quán)利要求3所述的遠程資產(chǎn)服務(wù)器���,其中�,所述多個實體包括終端用戶����、原始設(shè)備制造商、系統(tǒng)集成商�、裝置銷售商、服務(wù)供應(yīng)商或技術(shù)支持實體中的至少一個��。
5.根據(jù)權(quán)利要求2所述的遠程資產(chǎn)服務(wù)器���,其中�����,所述云接口部件還被配置成向所述云平臺發(fā)送指令���,以基于所述一個或更多個安全策略來實例化基于云的入口。
6.根據(jù)權(quán)利要求5所述的遠程資產(chǎn)服務(wù)器�����,其中��,所述一個或更多個安全策略定義了以下中的至少一個:能夠經(jīng)由所述基于云的入口查看或修改的數(shù)據(jù)項的集合��,所述數(shù)據(jù)項的集合中的哪些能夠經(jīng)由所述基于云的入口遠程地修改���,或者調(diào)度時間��,其中�����,在所述調(diào)度時間期間內(nèi)允許所述基于云的入口訪問所述工業(yè)資產(chǎn)�����。
7.根據(jù)權(quán)利要求2所述的遠程資產(chǎn)服務(wù)器�����,其中���,所述遠程管理策略部件還被配置成接收來自實體的���、針對遠程管理功能的請求,以及響應(yīng)于接收到批準輸入而將所述遠程管理功能實施為安全策略��。
8.根據(jù)權(quán)利要求1所述的遠程資產(chǎn)服務(wù)器����,還包括本地裝置接口部件�,所述本地裝置接口部件被配置成接收來自外圍裝置的外圍數(shù)據(jù)并且將所述外圍數(shù)據(jù)與經(jīng)由所述資產(chǎn)接口部件從所述工業(yè)資產(chǎn)采集的資產(chǎn)數(shù)據(jù)進行關(guān)聯(lián)。
9.根據(jù)權(quán)利要求8所述的遠程資產(chǎn)服務(wù)器�����,還包括時間同步部件,所述時間同步部件被配置成對所述外圍數(shù)據(jù)和所述資產(chǎn)數(shù)據(jù)進行時間標記��,以有助于所述外圍數(shù)據(jù)與所述資產(chǎn)數(shù)據(jù)的同步��。
10.根據(jù)權(quán)利要求9所述的遠程資產(chǎn)服務(wù)器�����,其中�,所述外圍數(shù)據(jù)包括從視頻攝像機接收的視頻數(shù)據(jù)�����。
11.一種基于云的遠程訪問系統(tǒng),包括: 遠程資產(chǎn)服務(wù)器接口部件�����,被配置成經(jīng)由云平臺從遠程資產(chǎn)服務(wù)器接收安全策略����,其中,所述安全策略定義了對工業(yè)資產(chǎn)的遠程訪問的允許范圍����;以及 入口管理部件,被配置成基于所述安全策略生成所述云平臺中的入口�����,其中�,所述入口根據(jù)所述遠程訪問的允許范圍來調(diào)控對所述工業(yè)資產(chǎn)的遠程訪問。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中,所述入口管理部件還被配置成保持所述云平臺中的多個角色特定的入口���。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)��,其中��,所述多個角色特定的入口調(diào)控相應(yīng)的多個實體對所述工業(yè)資產(chǎn)的訪問���,以及其中,所述多個角色特定的入口執(zhí)行相應(yīng)的不同的訪問策略����。
14.根據(jù)權(quán)利要求11所述的系統(tǒng),還包括呈現(xiàn)部件�����,所述呈現(xiàn)部件被配置成基于經(jīng)由所述入口接收的數(shù)據(jù)生成遍及多個工業(yè)設(shè)施的多個工業(yè)資產(chǎn)的圖形視圖。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)�����,還包括分析部件��,所述分析部件被配置成基于經(jīng)由所述入口接收的所述數(shù)據(jù)對所述多個工業(yè)資產(chǎn)進行比較分析。
16.根據(jù)權(quán)利要求15所述的系統(tǒng)��,還包括同步部件�����,所述同步部件被配置成使經(jīng)由所述入口接收的所述數(shù)據(jù)同步����。
17.根據(jù)權(quán)利要求11所述的系統(tǒng),其中��,所述入口管理部件還被配置成跟蹤經(jīng)由所述入口對所述工業(yè)資產(chǎn)的訪問�����。
18.一種用于調(diào)控對工業(yè)資產(chǎn)的訪問的方法��,包括: 通過包括至少一個處理器的裝置接收安全策略數(shù)據(jù),所述安全策略數(shù)據(jù)定義了與工業(yè)裝置相關(guān)的遠程訪問許可�; 通過所述裝置向連接代理裝置發(fā)送指令以在云平臺上建立通信入口,其中�,所述通信入口經(jīng)由所述云平臺將遠程裝置鏈接至所述工業(yè)裝置; 通過所述裝置經(jīng)由所述通信入口接收來自所述遠程裝置的用以進行下述中的至少之一的請求:從所述工業(yè)裝置的存儲器區(qū)域讀取數(shù)據(jù)�����,或?qū)?shù)據(jù)寫入到所述工業(yè)裝置的存儲器區(qū)域���;以及 響應(yīng)于確定所述請求不違反所述遠程訪問許可而允許所述請求��。
19.根據(jù)權(quán)利要求18所述的方法��,其中 所述接收安全策略包括:接收分別對應(yīng)于多個用戶角色的多個安全策略數(shù)據(jù)的集合��,以及 所述發(fā)送包括發(fā)送多個指令以建立對應(yīng)于所述多個用戶角色的相應(yīng)的多個通信入口���。
20.根據(jù)權(quán)利要求18所述的方法,其中����,所述接收所述安全策略數(shù)據(jù)包括接收下述至少之一的定義:能夠經(jīng)由所述通信入口查看或修改的數(shù)據(jù)項的集合,所述數(shù)據(jù)項的集合中的哪些能夠經(jīng)由所述通信入口遠程地修改����,或者調(diào)度時間�,其中����,在所述調(diào)度時間期間內(nèi)允許所述通信入口訪問所述工業(yè)資產(chǎn)。
【文檔編號】G05B19/418GK104423370SQ201410458192
【公開日】2015年3月18日 申請日期:2014年9月10日 優(yōu)先權(quán)日:2013年9月10日
【發(fā)明者】大衛(wèi)·A·維斯科, 蘇吉特·昌德, 薩爾瓦托雷·T·康蒂, 賴納·赫斯梅爾, 愛德華·艾倫·希爾, 塔里爾·J·賈斯帕, 約瑟夫·艾倫·坎, 胡安·L·安森約, 小克里福德·J·懷特黑德, 約翰·斯特羅門格 申請人:洛克威爾自動控制技術(shù)股份有限公司