WO2024046552A1 - Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility - Google Patents

Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility Download PDF

Info

Publication number
WO2024046552A1
WO2024046552A1 PCT/EP2022/074181 EP2022074181W WO2024046552A1 WO 2024046552 A1 WO2024046552 A1 WO 2024046552A1 EP 2022074181 W EP2022074181 W EP 2022074181W WO 2024046552 A1 WO2024046552 A1 WO 2024046552A1
Authority
WO
WIPO (PCT)
Prior art keywords
specific
component
type
registered
provision
Prior art date
Application number
PCT/EP2022/074181
Other languages
German (de)
French (fr)
Inventor
Anna Palmin
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/EP2022/074181 priority Critical patent/WO2024046552A1/en
Publication of WO2024046552A1 publication Critical patent/WO2024046552A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring

Definitions

  • the present invention relates to a computer-implemented method and a computer program product for setting up a new component in a technical system.
  • the present invention relates to a control system for a technical system.
  • An industrial technical system for example an LoT system (“Internet of Things”), conventionally has system components registered in a device inventory of the technical system. After configuring one of the registered system components, the respective system component is set up to carry out various actions, for example applying for certificates and communicating with other communication partners, such as other system components, in the context of the technical system.
  • LoT system Internet of Things
  • a new component (system component) is to be introduced into the technical system, it is first added to a device inventory of the technical system and registered there. Such an introduction is preferably carried out manually by a user or automatically.
  • Automated procedures include, for example, "Secure Device Provisioning” according to OPC UA Part 21 ("Open Platform Communications Unified Architecture"), the procedure for so-called “Bootstrapping a remote secure key infrastructure” (BRSKI) or the Secure Setup procedure IEC 60802 TSN-IA.
  • BRSKI remote secure key infrastructure
  • IEC 60802 TSN-IA Secure Setup procedure
  • the respective newly registered system component does not have any configuration data, such as the address of the responsible registration authority or the address of a certificate revocation list distribution point (CDP).
  • a new component before it is added to the technical system and registered in it, is preconfigured using different manufacturer and/or product family-specific tools, such as different engineering tools. It is also possible that the new component only uses its own integrated databases and/or device lists and therefore only contains selected system components that are usually added manually. This new component is then added to the device inventory of the technical system. In particular, this means that the newly added and registered system component is listed in the device inventory of the technical system, but does not have any configuration data and is not configured and therefore cannot, for example, carry out any of the various actions mentioned above.
  • one object of the present invention is to improve the setting up of new components in a technical system.
  • a computer-implemented method for setting up at least one new component in a technical system with a device inventory has the following steps: a) providing specific configuration rules for configuring a new component, b) monitoring the device inventory for an occurrence of a predetermined change, which includes registering a new component in the device inventory, c) determining, upon occurrence of the predetermined change, component data indicative of the registered new component depending on the device inventory, d) determining a specific type of configuration data and a specific provision type for the registered new component depending on the provided specific configuration rules and the determined indicative component data, and e) providing the determined specific type of configuration data in the registered new component depending on the determined specific provision type.
  • the computer-implemented method has the technical effect that, after the addition and registration of a new component in the device inventory of the technical system, for each registered new component, a uniform and automated process for loading (providing) the Depending on the registered new component, the specific type of configuration data determined is provided in the registered new component depending on the specific provision type determined for the registered new component. By loading the determined specific type of configuration data into the registered new component (system component), this is then configured. This can then communicate in the context of the technical system and carry out various actions, such as applying for application-specific certificates, validating certificates from communication partners and transmitting security events to a server, such as a syslog server. This results in the following advantages:
  • the respective registered new component is advantageously provided with only the configuration data relevant to it, i.e the specific type of configuration data determined for the registered new component. This means that when configuring the registered new component, not simply all data and thus also irrelevant data, but only the specific type of configuration data determined for the registered new component is provided in the registered new component.
  • the freely available storage space of a system component memory is thus optimized.
  • the advantage of the present method is that it is possible for different system components, which require different specific types of configuration data according to their technical functionalities and/or capabilities, to use the respective ones in different ways, i.e. depending on the specific provision type determined to load the specific type of configuration data determined for the system component into the respective system component.
  • This targeted loading or provision increases the communication security and reliability of the technical system.
  • Another advantage of the present method is that it makes a well-founded contribution to meeting the requirements of the international standard IEC 62443-3-3 regarding. of the central computer-implemented device inventory as the basis for a configuration management process.
  • the present method also meets the requirements in the Zero Trust context according to the SP-800-207 standard of the National Institute of Standards and Technology.
  • the technical system can be a system from the process industry or an automation system, such as a chemical, pharmaceutical, petrochemical system or a system from the food and beverage industry. medium industry act. This also includes all systems from the manufacturing and production industry and plants in which, for example, cars or all kinds of goods are produced. Furthermore, the technical system can also be designed as an energy generation system, such as a wind turbine, a solar system or a power plant.
  • an automation system such as a chemical, pharmaceutical, petrochemical system or a system from the food and beverage industry. medium industry act. This also includes all systems from the manufacturing and production industry and plants in which, for example, cars or all kinds of goods are produced.
  • the technical system can also be designed as an energy generation system, such as a wind turbine, a solar system or a power plant.
  • “Registering” a new component involves including the unique identification number, such as the component number or the serial number, of the new component in the device inventory.
  • the new component is “registered” in the device inventory in particular manually by a user or automatically using a tool, such as an “anomaly detection tool” or a registrar, for example in accordance with OPC UA Part 21 or BRSKI.
  • indicative component data examples include: the name, the manufacturer, the serial number, the address and/or URL of a registration authority, an IDevID certificate, a possibly existing LDevID-Generic certificate (English “Locally Significant Device Identifier-Generic -Certificate”), certificate-specific component user profiles and/or a registration method.
  • the indicative component data is determined from the device inventory, for example from information about the registered new component.
  • the term “indicative” is understood in particular to mean that the component data is specific to the respective registered new component or provides information about the registered new component.
  • Deploying includes deploying or loading the identified specific type of configuration data into the registered new component.
  • the determined specific type of configuration data is loaded into or stored in the memory of the registered new component.
  • the registered new component is configured.
  • the term “configured” is understood in particular to mean that the registered new component has received all the necessary configuration data so that it can communicate with other system components in the context of the technical system and can carry out the various actions mentioned above. Steps c) to e) of the present method are preferably used to "configure" the registered new component.
  • the method comprises: f) sending a certificate request for issuing at least one certificate for the registered new component at least depending on the specific type of configuration data provided, and g) receiving, upon successful validation of the sent certificate request, the at least an issued certificate.
  • the issued certificate is in particular designed at least as an application-specific or component-specific certificate.
  • This certificate preferably enables the registered new component to communicate and exchange data with other system components in the technical system.
  • the specific configuration rules provided have registration-specific, in particular a specific type of registration method, manufacturer-specific, component-specific and/or protocol-specific configuration rules.
  • At least the registration-specific configuration rules can be provided manually, for example by a user of the technical system, or automatically, in particular in the device inventory.
  • the specific type of registration process preferably indicates the registration process by which the new component was registered in the device inventory.
  • a certain type of registration process which automatically registers the new component in the device inventory, has, for example, an automated registration using ORC UA Part 21, BRSKI, TLS (Transport Layer Security) or "Anomaly Detection" without PoO (English). . “Proof of Originality”) on .
  • the term "without PoO” means in particular that for this particular type of registration, registration is carried out using a discovery procedure without validation of the manufacturer-specific IDevID certificate.
  • the “Anomaly Detection” registration process without PoO is particularly used when registering so-called Legacy and/or brownfield system components carried out in the technical system.
  • Manufacturer-specific configuration rules are rules that, for example, include the manufacturer of the registered new component when configuring the registered new component.
  • Component-specific configuration rules are rules that, for example, include the product name of the registered new component when configuring the registered new component.
  • component-specific configuration rules can be provided based on further product-specific information.
  • protocol-specific configuration rules are rules which, for example, include the communication protocol used, such as TLS, when configuring the registered new component.
  • the specific configuration rules are provided preconfigured and/or provided at least at a predetermined point in time during the life of the technical system.
  • the specific configuration rules are provided preconfigured, in particular, in the device inventory.
  • the term “Deploy at run time” indicates automated deployment of the specific configuration rules.
  • the automated provision of the specific configuration rules can also include provision using artificial intelligence, in particular using machine learning. Automated provisioning can also be customized using artificial intelligence.
  • an artificial intelligence can be trained or adapted to determine which registered new component is configured depending on which specific configuration rules.
  • the determination according to step d) includes assigning the registered new component to a specific component type depending on the specific configuration rules provided and the determined indicative component data, with a respective specific component type being assigned to a respective specific component type Type of configuration data is assigned, wherein the specific component type is designed at least as a first manufacturer-specific component type, as a second manufacturer-specific component type or as a system-specific component type.
  • Assigning has the advantage that for each registered new component it can be determined individually which specific component type the registered new component corresponds to. Based on the determined specific component type, it can then be determined which specific type of configuration data should be provided to the registered new component or which specific type of configuration data the registered new component requires. This advantageously ensures that Depending on the specific component type, the respective registered new component is only provided with the specific type of configuration data assigned to it and is not provided with a specific type of configuration data of another specific component type that does not correspond to the determined specific component type of the registered new one Component corresponds to . This optimizes the freely available storage space in the memory of the system component and increases the reliability of the technical system.
  • OPC UA system component does not usually contact the registration authority (RA) of the technical system directly, but in particular only via a so-called. can contact the "OPC UA Global Discovery Server" and therefore preferably does not need the address and/or URL (uniform resource locator) of the RA
  • a system component designed as an industrial edge component or network component that has a certificate can be used. Uses administrative protocol, apply for certificates directly from the RA.
  • An industrial edge component in particular therefore requires the address and/or URL of the RA and thus a specific type of configuration data which has the address and/or URL of the RA.
  • the various system components in a heterogeneous industrial IoT/OT environment are particularly set up to reach various certificate revocation list distribution points via network technology.
  • the specific types of configuration data can therefore also differ in this point. Namely, the system components For example, if it is registered by an "Anomaly Detection Tool” that validates an IDevID certificate, the certificate from the highest certification authority (Root Certification Authority (RCA)) of the technical system may not be subsequently registered loaded into the system component as a trust anchor. In this case, the trust anchor would therefore have to be provided as part of a specific type of configuration data in the system component.
  • RCA Root Certification Authority
  • the trust anchor is preferably loaded into or deployed to the asset component as part of the onboarding according to the specification. In this case, it is therefore not necessary for the trust anchor to be contained in the specific type of configuration data that is provided in the system component.
  • An example of a first manufacturer-specific component type is a network component from a specific manufacturer.
  • An example of a second manufacturer-specific component type is a controller or a control system, for example for a programmable logic controller, from a specific manufacturer.
  • An example of a system-specific component type is a network component or a controller from another manufacturer, but which has been registered in the technical system.
  • a specific provision type is designed as a first, a second or a third specific provision type, the first specific provision type being an automatic tized provision of the determined specific type of configuration data by means of an automation entity, wherein the second specific provision type has an automated provision of the determined specific type of configuration data using a specific protocol, in particular a network protocol, and wherein the third specific provision type has a manual one Providing the determined specific type of configuration data based on an input from a user of the technical system or a control system for the technical system.
  • a control system is understood to mean a computer-aided technical system that has functionalities for displaying, controlling and guiding a technical system.
  • the control system can in particular extend over a cloud that is connected to several technical systems.
  • the registered new component can also be located in the cloud. A majority of registered new components can also be distributed across several technical systems.
  • An example of an automation entity is an engineering tool, such as: B. the TIA portal (“Totally Integrated Automation Portal”), or a runtime tool such as. B. the S IMATIC Automation Tool (SAT).
  • B. the TIA portal (“Totally Integrated Automation Portal”)
  • SAT S IMATIC Automation Tool
  • the first specific provisioning type can be used.
  • the specific type of configuration data is provided in the registered new component, in particular by means of the second provision unit and preferably depending on the automation entity.
  • the specific type of configuration data loaded into the system component is preferably stored in a configuration cache of the second provision unit.
  • a specific protocol is, for example, NETCONF (Network Configuration Protocol), SOAP (Simple Object Access Protocol) or REST (Representational State Transfer).
  • JSON body JavaScript Object Notation Body
  • the second provisioning unit of the control system can access the registered new component directly via a specific or standardized protocol
  • the second specific provisioning type can be used.
  • the specific type of configuration data is provided in the registered new component, in particular by means of the second provision unit and preferably using the specific protocol.
  • the second provision unit can also be set up to signal to the user of the technical system via an output that the user has entered the specific type of configuration data by means of an input in the system component or the control system, manually or using a tool. such as an engineering tool or a runtime tool, in the system component.
  • a tool such as an engineering tool or a runtime tool
  • a user is, for example, a customer or an operator of the technical system.
  • the specific type of configuration data can be provided in the system component by means of manual input by the user using a user input device via the graphical interface of the TIA portal or directly in the second provision unit.
  • the user input device is in particular set up to receive input of the specific type of configuration data from the user.
  • step e) can be carried out using a command line tool in which the specific type of configuration data is transferred directly to the registered new component.
  • step c) further comprises:
  • a component-specific certificate is in particular an LDevID generic certificate.
  • the component-specific certificate is set up in particular automatically, for example using a registrar.
  • the component-specific certificate can be set up using a user input device which is set up to receive input from a user to set up the component-specific certificate.
  • the device inventory is designed to be computer-implemented and designed as a dedicated instance in the technical system, as part of a registration point of the technical system or in a cloud that is connected to the technical system.
  • the device inventory can be used as a dedicated instance in a control system for the technical system, or as part of the Registration point of the control system or in a cloud, which is connected to the technical system or which can be connected to the control system.
  • Information about the system components, in particular indicative component data, can either be contained directly in the device inventory or referenced from the device inventory.
  • the predetermined change further comprises a change of at least one specific type of configuration data stored in the device inventory
  • the method further comprising: h) determining, when the change occurs, at least one specific type of configuration data stored in the device inventory, at least one registered component from a plurality of components registered in the device inventory, which has the stored specific type of configuration data relating to the change, and i) updating the stored specific type of configuration data and providing the updated specific type of configuration data in the at least one determined registered component depending on the determined specific provision type for the at least one registered component.
  • This embodiment has the advantage that steps h) and i) ensure that no outdated configuration data, but only current specific types of configuration data, are present in the registered new component as well as in the several system components registered in the device inventory.
  • a synchronization message is immediately triggered. process is triggered, which causes all registered system components that have subscribed to the change of at least one specific type of configuration data stored in the device inventory to be immediately synchronized accordingly by registering the updated specific type of configuration data depending on the determined specific provision type System components are loaded.
  • step h) is carried out in particular by comparing the specific types of configuration data loaded into the registered components and the specific types of configuration data affected as a result of the change.
  • the updated specific type of configuration data is provided in several determined registered components depending on the respective determined specific provision type for the respective registered component.
  • the second provision unit is set up to provide the updated specific type of configuration data in the at least one determined registered component depending on the determined specific provision type for the at least one registered component.
  • a monitoring unit of the control system is set up to detect the occurrence of the change.
  • the monitoring unit can then be set up to update the stored specific type of configuration data and make it available in a configuration cache of the second provision unit.
  • the second provision unit is then preferably set up to carry out the provision according to step i).
  • the at least one issued certificate of the registered new component is designed as a digital certificate, in particular as a public key certificate.
  • a digital certificate is a digital data record according to the Persons or objects (in this case registered new components, system components, machines, devices, applications and the like) and their authenticity and integrity can be checked using cryptographic methods.
  • the digital certificate contains in particular the data required for its verification.
  • the digital certificate is issued by the certification authority.
  • a certificate is at least manufacturer-specific, component-specific (system-specific) or application-specific.
  • a manufacturer-specific certificate is, for example, an IDevID certificate (English "Initial Device Identifier Certificate")
  • a component-specific or a system-specific certificate is, for example, an LDevID generic certificate
  • an application-specific certificate is, for example, an LDevID app certificate .
  • An LDevID generic certificate is applied for in particular on the basis of at least one manufacturer-specific IDevID certificate and binds the respective system component to the respective (user-specific) technical system.
  • An LDevID app certificate is preferably applied for on the basis of at least one component-specific LDevID generic certificate and is used by the respective system components in particular to ensure secure communication between the respective system components by means of communication.
  • nication protocols such as OPC UA or TLS, to build and implement.
  • a computer program product which comprises instructions which, when the program is executed by a computer, cause it to carry out the method according to the first aspect or an embodiment of the first aspect.
  • a computer program product such as B. a computer program medium
  • B. a computer program medium can be used, for example, as a storage medium, such as. B. Memory card, USB stick, CD-ROM, DVD, or in the form of a downloadable file provided or delivered from a server in a network. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.
  • a control system for a technical system in particular an automation system
  • the technical system has a device inventory.
  • the control system has: a first provisioning unit for providing specific configuration rules for configuring a new component, a monitoring unit for monitoring the device inventory for an occurrence of a predetermined change, which includes registering a new component in the device inventory, a first Determination unit for determining, when the predetermined change occurs, component data indicative of the registered new component depending on the device inventory, a second determination unit for determining a specific type of configuration data and a specific provision type for the registered new component depending on the specific fish provided Configuration rules and the determined indicative component data, and a second provisioning unit for providing the determined specific type of configuration data in the registered new component depending on the determined specific provision type.
  • the monitoring unit is in particular set up to continuously monitor the device inventory with regard to the occurrence of a predetermined change. Furthermore, the monitoring unit can be set up to receive the occurrence of the predetermined change as an event message from another unit, for example the device inventory. For example, after registering the new component, an event message “New component registered in the device inventory” can be generated and transmitted to the monitoring unit from the device inventory.
  • control system has: a sending unit for sending a certificate request for issuing at least one certificate for the registered new component at least depending on the specific type of configuration data provided, and a receiving unit for receiving, upon successful validation of the sent certificate application, of at least one issued certificate.
  • control system has: a certification body, which is set up to validate the sent certificate application and, if the sent certificate is successfully validated. request to issue at least one certificate for the registered new component.
  • the determined specific type of configuration data provided in the registered new component according to step e) or according to the second provision unit has at least the address and / or URL of the RA, so that the registered new component or a sending unit of the control system is preferably for the registered new component, can apply for a certificate from the RA.
  • the sending unit is set up to send the certificate request for the registered component to the RA using a certificate management protocol (CMP).
  • CMP certificate management protocol
  • the certificate in particular has a component-specific (LDevID Generic Certificate) or an application-specific certificate (LDevID App Certificate).
  • the RA is then preferably set up to check the certificate application sent by the sending unit depending on the device inventory and, if the check is successful, to transmit it to the certification authority.
  • the certification authority is then set up to validate the certificate application sent.
  • the receiving unit is preferably set up to provide the at least one issued certificate of the registered new component.
  • the registration office is set up in particular to store the requested and issued certificate in the device inventory.
  • the registration authority is in particular part of a PKI (Public Key Infrastructure (PKI)).
  • PKI Public Key Infrastructure
  • the guidance system preferably uses a PKI.
  • the RA is an authority in a network, for example of a technical system and/or control system, which verifies an application, for example from a control system, a registered new component, a system component or a user, for a digital certificate and the certificate Certi ficate Authority (CA) announces that it will issue this.
  • PKI Public Key Infrastructure
  • CA Certi ficate Authority
  • the first provision unit, the monitoring unit, the first investigation unit, the second investigation unit and/or the second provision unit of the control system are each as an application, in particular as a service or trained as a microservice.
  • Forming at least one of the respective units described above in this embodiment as an application has the advantage that the scalability or expandability of the control system and its respective units is improved, since the size of the control system can be flexibly changed using microservices, without to affect the provision of services.
  • the respective units of the control system can be provided as dedicated services or microservices both individually to expand the control system and/or the technical system as well as together in the context of a software ecosystem and thereby better adapted to the entire certificate management of the control system become .
  • Microservices are information technology architecture patterns in which complex applications are generated from independent processes that can communicate with each other using language-independent programming interfaces, such as APIs. Microservices enable a modular structure of applications and have the advantage that each microservice can be developed and deployed independently without affecting other microservices.
  • the application can also be designed as an application embedded in a container.
  • the container is in particular a software container which is arranged in an execution environment and in which a respective application can be executed and which is separate from other containers.
  • Applications designed as microservices or several parts of an application can also be executed independently of one another on the same hardware in a container. A group of applications can also run on different individual containers.
  • the respective unit for example the first provision unit or the first determination unit, can also be implemented in terms of hardware or from a combination of hardware and/or software elements.
  • the respective unit can be designed as a device or as part of a device, for example as a computer or as a microprocessor.
  • the respective unit can be designed as a computer program product, as a function, as a routine, as part of a program code, as the application or as an executable object.
  • control system has: a control device that is set up to control at least the first provision unit, the monitoring unit, the first determination unit, the second determination unit and/or the second provision unit of the control system.
  • control device By means of the control device, an automated process for setting up the at least one new component in the control system is advantageously carried out.
  • the control device is set up to control the respective units of the control system in such a way that provision by means of the first provision unit, monitoring by means of the monitoring unit, determination by means of the first determination unit, determination by means of the second determination unit and provision by means of the second provision unit in a fully automated manner without human intervention ) User can be carried out in order to set up at least the new component fully automatically.
  • control system is designed in particular as a cluster on which the respective units of the control system are designed as a respective application embedded in a container in a respective execution environment and are controlled and executed there in particular by means of the control device.
  • This has the advantage that the respective units can be executed separately on different system components of the control system or in the cloud and, in particular, are not tied to the different system components.
  • a cluster or a software cluster or computer network refers to a number of networked software applications and/or their associated computers.
  • the at least one new registered component is designed as a system component, wherein the system component is designed as a machine, such as a machine tool or a robot, as a field device, for example an edge device, a programmable logic controller, a sensor or a Actuator and/or as a network component, such as a network switch, a firewall component or an industrial PC, is designed.
  • a machine such as a machine tool or a robot
  • a field device for example an edge device, a programmable logic controller, a sensor or a Actuator
  • a network component such as a network switch, a firewall component or an industrial PC
  • a new component then registered in the device inventory is in particular a system component of the technical system.
  • a system component can also be individual measuring transducers for sensors or control devices for actuators of the technical system.
  • a system component can also be a combination of several such components Be measuring transducers or control devices, for example a motor, a reactor, a pump or a valve system.
  • Higher-level devices such as an automation device, an operator station server or a decentralized peripheral are also included under the term “system component”.
  • An automation device is a technical device that is used to implement automation. This can be, for example, a programmable logic controller (field device) that represents a higher-level control function for lower-level controllers.
  • the system component can also be designed as a local data processing unit of an industrial LoT device.
  • the control device can be set up to control at least one system component of the plurality of system components.
  • Fig. 1 shows a schematic block diagram of an exemplary embodiment of a control system for a technical system
  • Fig. 2 shows a schematic flow diagram of one
  • Fig. 1 shows a schematic block diagram of an exemplary embodiment of a control system 100 for a technical system 1, such as an automation system.
  • the technical system 1 has the control system 100 in FIG.
  • the control system 100 has several (registered) new components 10, 30.
  • a new component 10, 30 is designed as a field device in FIG. 1.
  • the new component 10, 30 can be designed as a network component, such as a network switch, a firewall component or an industrial PC.
  • the control system 100 has a first provision unit 15, a monitoring unit 16, a first determination unit 17, a second determination unit 18 and a second provision unit 19.
  • the (registered) new component 10 has a transmitting unit 21 and a receiving unit 22.
  • the control system 100 has the transmitting unit 21 and the receiving unit 22 (not shown).
  • the technical system 1 has a device inventory 20, which is part of the control system 100 in FIG. 1 and which is designed to be computer-implemented in FIG.
  • the control system 100 also has a control device 40.
  • the units 15 - 19, the device inventory 20, the new components 10, 30 are connected in FIG. 1 to the control device 40 for transmitting data (not shown).
  • the first provision unit 15 is set up to provide specific configuration rules for configuring a new component 10 (see step S 100 of FIG. 2).
  • the specific configuration rules provided have registration-specific, manufacturer-specific, component-specific and/or protocol-specific configuration rules.
  • the specific configuration rules are provided preconfigured. Alternatively or additionally, the specific configuration rules are provided at least at a predetermined time during the running time of the technical system 1.
  • the monitoring unit 16 is set up to monitor the device inventory 20 with regard to the occurrence of a predetermined change, which includes registering a new component 10 in the device inventory 20 (see step S 101 of FIG. 2). For this purpose, the monitoring unit 16 is connected to the device inventory 20.
  • the first determination unit 17 is set up to determine, when the predetermined change occurs, component data iKOMP indicative of the registered new component 10 depending on the device inventory 20 (see step S 102 of FIG. 2).
  • the first determination unit 17 is connected to the device inventory 20.
  • the first determination unit 17 is set up to set up at least one component-specific certificate depending on the registered new component 10 in the device inventory 20 after the predetermined change has occurred.
  • the second determination unit 18 is then set up to determine a specific type of configuration data and a specific provision type Type1, Type2, Type3 for the registered new component 10 depending on the specific configuration rules provided and the determined indicative component data iKOMP (see step S 103 of FIG. 2).
  • the first investigation Unit 17 is set up to transmit the determined indicative component data iKOMP to the second determination unit 18, which is indicated by an arrow between the first and second determination units 17, 18 in FIG. 1 is shown.
  • the second determination unit 18 is connected to the first provision unit 15 for obtaining the provided specific configuration rules.
  • the determination according to the second determination unit 18 involves assigning the registered new component 10 to a specific component type depending on the specific configuration rules provided and the determined indicative component data.
  • a respective specific type of configuration data is assigned to a respective specific component type.
  • a specific component type is designed at least as a first manufacturer-specific component type, as a second manufacturer-specific component type or as a system-specific component type.
  • the second provision unit 19 is then set up to provide the determined specific type of configuration data in the registered new component 10 depending on the determined specific provision type Type1, Type2, Type3 (see step S 104 of FIG. 2). Furthermore, the second provision unit 19 is connected to the second determination unit 18 for obtaining the determined specific type of configuration data and the specific provision type Type1, Type2, Type3. The second provision unit 19 is also shown in FIG. 1 connected to the monitoring unit 16 for exchanging data.
  • a specific provision type is designed as a first, a second or a third specific provision type Type1, Type2, Type3.
  • the first specific provision type Typl has an automated provision of the determined specific type of configuration data using an automation entity 23.
  • the second specific provision type Type2 has an automated provision of the determined specific type of configuration data using a specific protocol P.
  • the third specific provision type Type3 has a manual provision of the determined specific type of configuration data based on an input from a user of the control system 100.
  • the first, second and third specific deployment types Type1, Type2, Type3 are shown in FIG. 1 each shown with different arrows, which are each formed indirectly by the second provision unit 19 either via the automation entity 23, the protocol P or the user user to the registered new component 10.
  • the sending unit 21 is set up to send a certificate request CSR for issuing at least one certificate GERT for the registered new component 10, at least depending on the specific type of configuration data provided (see step S 105 of FIG. 2).
  • a certification body CA of the control system 100 is then set up to validate the sent certificate request CSR and, if the sent certificate request CSR is successfully validated, to issue at least one GERT certificate for the registered new component 10.
  • the at least one issued certificate GERT of the registered new component 10 is shown in FIG. 1 designed as a digital public key certificate.
  • the receiving unit 22 is then set up to receive the at least one issued certificate GERT (see step S106 of FIG. 2).
  • the predetermined change may further comprise a change of at least one specific type of configuration data stored in the device inventory 20.
  • the monitoring unit 16 is set up to, when a change occurs at least one specific type of configuration data stored in the device inventory 20, at least one registered component 10 from a plurality of components 10, 30 registered in the device inventory 20, which contains the stored specific type of configuration data concerning the change has to be determined (see step S107 of FIG. 2).
  • an update unit is set up to update the stored specific type of configuration data and the updated specific type of configuration data in the at least one determined registered component 10 depending on the determined specific provision type Type1, Type2, Type3 for the at least one registered one To provide component 10 (see step S108 of FIG. 2).
  • the first provisioning unit 15, the monitoring unit 16, the first determination unit 17, the second determination unit 18 and/or the second provisioning unit 19 are each as an application, in particular as a microservice , educated.
  • control device 40 is set up to control at least the first provision unit 15, the monitoring unit 16, the first determination unit 17, the second determination unit 18 and/or the second provision unit 19 of the control system 100.
  • Fig. 2 shows a flow chart showing the steps of the method for setting up a new component 10, 30 (see Fig. 1) according to an exemplary embodiment.
  • the Method includes steps S100 to S108.
  • the respective method steps S100 to S108 have already been explained with reference to FIG. 1, which is why the method steps S100 to S108 are not described again to avoid repetition.

Abstract

The invention relates to a computer-implemented method for setting up at least one new component in a technical facility with a device inventory. The computer-implemented method comprises the following steps: a) providing specific configuration rules for configuring a new component, b) monitoring the device inventory with regard to the occurrence of a predefined change that indicates the registration of a new component in the device inventory, c) if the predefined change occurs, determining component data indicative of the registered new component depending on the device inventory, d) determining a specific type of configuration data and a specific provision type for the registered new component depending on the provided specific configuration rules and the determined indicative component data, and e) providing the determined specific type of configuration data in the registered new component depending on the determined specific provision type.

Description

Beschreibung Description
Computer-implementiertes Verfahren zum Einrichten einer neuen Komponente in einer technischen Anlage und Leitsystem für eine technische Anlage Computer-implemented method for setting up a new component in a technical system and control system for a technical system
Die vorliegende Erfindung betrifft ein computer-implementiertes Verfahren und ein Computerprogrammprodukt zum Einrichten einer neuen Komponente in einer technischen Anlage. Darüber hinaus betrifft die vorliegende Erfindung ein Leitsystem für eine technische Anlage. The present invention relates to a computer-implemented method and a computer program product for setting up a new component in a technical system. In addition, the present invention relates to a control system for a technical system.
Eine industrielle technische Anlage, beispielsweise eine loT- Anlage (engl. "Internet of Things") , weist herkömmlicherweise in einem Geräteinventar der technischen Anlage registrierte Anlagenkomponenten auf. Nach einer Konfiguration einer der registrierten Anlagenkomponenten ist die jeweilige Anlagenkomponente dazu eingerichtet, verschiedene Aktionen auszuführen, beispielsweise Zertifikate zu beantragen und im Kontext der technischen Anlage mit anderen Kommunikationspartnern, wie weiteren Anlagenkomponenten, zu kommunizieren. An industrial technical system, for example an LoT system (“Internet of Things”), conventionally has system components registered in a device inventory of the technical system. After configuring one of the registered system components, the respective system component is set up to carry out various actions, for example applying for certificates and communicating with other communication partners, such as other system components, in the context of the technical system.
Wenn eine neue Komponente (Anlagenkomponente) in die technische Anlage eingebracht werden soll, wird diese insbesondere zuerst zu einem Geräteinventar der technischen Anlage hinzugefügt und in diesem registriert. Ein solches Einbringen wird vorzugsweise manuell durch einen Benutzer oder automatisiert vorgenommen. Automatisierte Verfahren sind beispielsweise das "Secure Device Provisioning" nach OPC UA Part 21 (engl. "Open Platform Communications Unified Architecture") , das Verfahren zum sog. "Bootstrapping a remote secure key infrastructure" (BRSKI) oder das Secure Setup-Verfahren nach IEC 60802 TSN-IA. Derartige automatisierte Verfahren führen in der Regel im Zuge der Registrierung der neuen Komponente eine Validierung der Identität der neuen Komponente einschließlich der Verifikation der herstellerspezifischen Zertifikate, beispielsweise der "Initial Device Identifier"- Zertifikate ( IDevID-Zertif ikate) , durch. Zu diesem Zeitpunkt verfügt die j eweilige neu registrierte Anlagenkomponente j edoch über keine Konfigurationsdaten, wie beispielsweise die Adresse der zuständigen Registrierungsstelle oder die Adresse eines Zerti f ikatssperrlisten-Ver- teilungs-punktes ( engl . "Certi ficate Revocation List Distribution Point ( CDP ) " ) . If a new component (system component) is to be introduced into the technical system, it is first added to a device inventory of the technical system and registered there. Such an introduction is preferably carried out manually by a user or automatically. Automated procedures include, for example, "Secure Device Provisioning" according to OPC UA Part 21 ("Open Platform Communications Unified Architecture"), the procedure for so-called "Bootstrapping a remote secure key infrastructure" (BRSKI) or the Secure Setup procedure IEC 60802 TSN-IA. In the course of registering the new component, such automated procedures usually carry out a validation of the identity of the new component, including the verification of the manufacturer-specific certificates, for example the "Initial Device Identifier" certificates (IDevID certificates). However, at this point in time, the respective newly registered system component does not have any configuration data, such as the address of the responsible registration authority or the address of a certificate revocation list distribution point (CDP). ).
Außerdem kann es sein, dass eine neue Komponente , bevor sie der technischen Anlage hinzugefügt wird und in dieser registriert wird, durch unterschiedliche hersteiler- und/oder produktfamilienspezi fische Werkzeuge , wie unterschiedliche Engineering-Tools , vorkonfiguriert wird . Zudem ist es möglich, dass die neue Komponente nur eigene integrierte Datenbanken und/oder Gerätelisten nutzt und somit nur ausgewählte Anlagenkomponenten, die in der Regel manuell hinzugefügt werden, enthält . Anschließend wird diese neue Komponente dann zu dem Geräteinventar der technischen Anlage hinzugefügt . Dies führt insbesondere dazu, dass die neu hinzugefügte und registrierte Anlagenkomponente zwar im Geräteinventar der technischen Anlage auf geführt ist , j edoch über keine Konfigurationsdaten verfügt und nicht konfiguriert ist und somit beispielsweise keine der obigen verschiedenen Aktionen aus führen kann . In addition, it may be that a new component, before it is added to the technical system and registered in it, is preconfigured using different manufacturer and/or product family-specific tools, such as different engineering tools. It is also possible that the new component only uses its own integrated databases and/or device lists and therefore only contains selected system components that are usually added manually. This new component is then added to the device inventory of the technical system. In particular, this means that the newly added and registered system component is listed in the device inventory of the technical system, but does not have any configuration data and is not configured and therefore cannot, for example, carry out any of the various actions mentioned above.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, das Einrichten einer neuen Komponenten in einer technischen Anlage zu verbessern . Against this background, one object of the present invention is to improve the setting up of new components in a technical system.
Gemäß einem ersten Aspekt wird ein computer-implementiertes Verfahren zum Einrichten zumindest einer neuen Komponente in einer technischen Anlage mit einem Geräteinventar vorgeschlagen . Das Verfahren weist die folgenden Schritte auf : a ) Bereitstellen von spezi fischen Konfigurationsregeln zum Konfigurieren einer neuen Komponente , b ) Überwachen des Geräteinventars hinsichtlich eines Auftretens einer vorbestimmten Änderung, welche ein Registrieren einer neuen Komponente in dem Geräteinventar aufweist , c ) Ermitteln, bei Auftreten der vorbestimmten Änderung, von für die registrierte neue Komponente indikativen Komponentendaten in Abhängigkeit des Geräteinventars , d) Ermitteln eines spezi fischen Typs von Konfigurationsdaten und eines spezi fischen Bereitstellungstyps für die registrierte neue Komponente in Abhängigkeit der bereitgestellten spezi fischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten, und e ) Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten in der registrierten neuen Komponente in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps . According to a first aspect, a computer-implemented method for setting up at least one new component in a technical system with a device inventory is proposed. The method has the following steps: a) providing specific configuration rules for configuring a new component, b) monitoring the device inventory for an occurrence of a predetermined change, which includes registering a new component in the device inventory, c) determining, upon occurrence of the predetermined change, component data indicative of the registered new component depending on the device inventory, d) determining a specific type of configuration data and a specific provision type for the registered new component depending on the provided specific configuration rules and the determined indicative component data, and e) providing the determined specific type of configuration data in the registered new component depending on the determined specific provision type.
Das computer-implementierte Verfahren gemäß dem ersten Aspekt hat den technischen Ef fekt , dass , nach der Hinzufügung und Registrierung einer neuen Komponente in dem Geräteinventar der technischen Anlage , für j ede registrierte neue Komponente , ein einheitlicher und automatisierter Ablauf zum Hineinladen (Bereitstellen) des in Abhängigkeit der registrierten neuen Komponente ermittelten spezi fischen Typs von Konfigurationsdaten in die registrierte neue Komponente in Abhängigkeit des für die registrierte neue Komponente ermittelten spezi fischen Bereitstellungstyps bereitgestellt wird . Durch das Hineinladen des ermittelten spezi fischen Typs von Konfigurationsdaten in die registrierte neue Komponente (Anlagenkomponente ) ist diese dann konfiguriert . Anschließend kann diese im Kontext der technischen Anlage kommuni zieren und verschiedene Aktionen, wie beispielsweise applikationsspezifische Zerti fikate beantragen, Zerti fikate der Kommunikationspartner validieren und Security-Events an einen Server, wie beispielsweise einen Syslog-Server , übermitteln, durchführen . Hieraus resultieren die nachfolgenden Vorteile : The computer-implemented method according to the first aspect has the technical effect that, after the addition and registration of a new component in the device inventory of the technical system, for each registered new component, a uniform and automated process for loading (providing) the Depending on the registered new component, the specific type of configuration data determined is provided in the registered new component depending on the specific provision type determined for the registered new component. By loading the determined specific type of configuration data into the registered new component (system component), this is then configured. This can then communicate in the context of the technical system and carry out various actions, such as applying for application-specific certificates, validating certificates from communication partners and transmitting security events to a server, such as a syslog server. This results in the following advantages:
Da für j ede registrierte neue Komponente individuell der spezi fische Typ von Konfigurationsdaten und der spezi fische Bereitstellungstyp ermittelt wird, werden der j eweiligen registrierten neuen Komponente in vorteilhafter Weise ausschließlich die für sie relevanten Konfigurationsdaten, also den für die registrierte neue Komponente ermittelten spezifischen Typ von Konfigurationsdaten, bereitgestellt . Dies führt dazu, dass bei der Konfiguration der registrierten neuen Komponente nicht einfach alle Daten und somit auch unrelevante Daten, sondern ausschließlich der für die registrierte neue Komponente ermittelte spezi fische Typ von Konfigurationsdaten in der registrierten neuen Komponente bereitgestellt wird . Somit wird der frei verfügbare Speicherplatz eines Speichers der Anlagenkomponente optimiert . Since the specific type of configuration data and the specific provision type are determined individually for each registered new component, the respective registered new component is advantageously provided with only the configuration data relevant to it, i.e the specific type of configuration data determined for the registered new component. This means that when configuring the registered new component, not simply all data and thus also irrelevant data, but only the specific type of configuration data determined for the registered new component is provided in the registered new component. The freely available storage space of a system component memory is thus optimized.
Infolgedessen ist an dem vorliegenden Verfahren vorteilhaft , dass es für unterschiedliche Anlagenkomponenten, die gemäß deren technischen Funktionalitäten und/oder Fähigkeiten unterschiedliche spezi fische Typen von Konfigurationsdaten benötigen, ermöglicht wird, über verschiedene Wege , also in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps , den j eweiligen für die Anlagenkomponente ermittelten spezi fischen Typ von Konfigurationsdaten in die j eweilige Anlagenkomponente hineinzuladen . Dieses gezielte Hineinladen oder Bereitstellen erhöht die Kommunikationssicherheit und - Zuverlässigkeit der technischen Anlage . As a result, the advantage of the present method is that it is possible for different system components, which require different specific types of configuration data according to their technical functionalities and/or capabilities, to use the respective ones in different ways, i.e. depending on the specific provision type determined to load the specific type of configuration data determined for the system component into the respective system component. This targeted loading or provision increases the communication security and reliability of the technical system.
Ein weiterer Vorteil des vorliegenden Verfahrens ist , dass dieses einen fundierten Beitrag zur Erfüllung der Anforderung der internationalen Norm IEC 62443-3-3 bzgl . des zentralen computer-implementierten Geräteinventars als Basis für einen Konfigurationsverwaltungsprozess leistet . Darüber hinaus erfüllt das vorliegende Verfahren auch die Anforderungen im Zero Trust-Kontext gemäß der Norm SP- 800-207 des National Institute of Standards and Technology . Another advantage of the present method is that it makes a well-founded contribution to meeting the requirements of the international standard IEC 62443-3-3 regarding. of the central computer-implemented device inventory as the basis for a configuration management process. In addition, the present method also meets the requirements in the Zero Trust context according to the SP-800-207 standard of the National Institute of Standards and Technology.
Unter dem Begri f f "Einrichten" können auch die Begri f fe "Aufnehmen" oder "Einbringen" verstanden werden . The term “set up” can also be understood to mean the terms “accept” or “introduce”.
Bei der technischen Anlage kann es sich um eine Anlage aus der Prozessindustrie oder um eine Automatisierungsanlage , wie beispielsweise eine chemische , pharmazeutische , petrochemische Anlage oder eine Anlage aus der Nahrungs- und Genuss- mittelindustrie handeln. Hiermit umfasst sind auch jegliche Anlagen aus der Fertigungs- und Produktionsindustrie und Werke, in denen z.B. Autos oder Güter aller Art produziert werden. Ferner kann die technische Anlage auch als eine Energieerzeugungsanlage, wie beispielsweise ein Windrad, eine Solaranlage oder ein Kraftwerk, ausgebildet sein. The technical system can be a system from the process industry or an automation system, such as a chemical, pharmaceutical, petrochemical system or a system from the food and beverage industry. medium industry act. This also includes all systems from the manufacturing and production industry and plants in which, for example, cars or all kinds of goods are produced. Furthermore, the technical system can also be designed as an energy generation system, such as a wind turbine, a solar system or a power plant.
Ein "Registrieren" einer neuen Komponente weist eine Aufnahme der eindeutigen Identifikationsnummer, wie beispielsweise der Komponentennummer oder der Seriennummer, der neuen Komponente in das Geräteinventar auf. Das "Registrieren" der neuen Komponente in dem Geräteinventar erfolgt insbesondere manuell durch einen Benutzer oder automatisiert unter Verwendung eines Tools, wie z.B. eines "Anomaly Detection-Tools" oder eines Registrars, beispielsweise gemäß OPC UA Part 21 oder BRSKI . “Registering” a new component involves including the unique identification number, such as the component number or the serial number, of the new component in the device inventory. The new component is “registered” in the device inventory in particular manually by a user or automatically using a tool, such as an “anomaly detection tool” or a registrar, for example in accordance with OPC UA Part 21 or BRSKI.
Beispiele für indikative Komponentendaten sind: der Name, der Hersteller, die Seriennummer, die Adresse und/oder URL einer Registrierungsstelle, ein IDevID-Zertif ikat , ein ggf. vorhandenes LDevID-Generic-Zertif ikat (engl. "Locally Significant Device Identifier-Generic-Certificate") , zertifikatsspezifische Komponente-Benutzer-Profile und/oder eine Registrierungsmethode. Insbesondere werden die indikativen Komponentendaten aus dem Geräteinventar ermittelt, beispielsweise aus Informationen über die registrierte neue Komponente. Examples of indicative component data are: the name, the manufacturer, the serial number, the address and/or URL of a registration authority, an IDevID certificate, a possibly existing LDevID-Generic certificate (English "Locally Significant Device Identifier-Generic -Certificate"), certificate-specific component user profiles and/or a registration method. In particular, the indicative component data is determined from the device inventory, for example from information about the registered new component.
Unter dem Begriff "indikativ" wird insbesondere verstanden, dass die Komponentendaten spezifisch für die jeweilige registrierte neue Komponente sind oder Informationen über die registrierte neue Komponente angeben. The term “indicative” is understood in particular to mean that the component data is specific to the respective registered new component or provides information about the registered new component.
Das Bereitstellen weist ein Deployment oder ein Hineinladen des ermittelten spezifischen Typs von Konfigurationsdaten in die registrierte neue Komponente auf. Vorzugsweise wird der ermittelte spezifische Typ von Konfigurationsdaten in den Speicher der registrierten neuen Komponente hineingeladen oder dort abgespeichert. Nach dem Bereitstellen gemäß Schritt e) ist die registrierte neue Komponente konfiguriert. Unter dem Begriff "konfiguriert" wird insbesondere verstanden, dass die registrierte neue Komponente alle erforderlichen Konfigurationsdaten erhalten hat, damit diese im Kontext der technischen Anlage mit anderen Anlagenkomponenten kommunizieren kann und die oben erwähnten verschiedenen Aktionen durchführen kann. Die Schritte c) bis e) des vorliegenden Verfahrens dienen vorzugsweise zum "Konfigurieren" der registrierten neuen Komponente. Deploying includes deploying or loading the identified specific type of configuration data into the registered new component. Preferably, the determined specific type of configuration data is loaded into or stored in the memory of the registered new component. After deploying according to step e) the registered new component is configured. The term “configured” is understood in particular to mean that the registered new component has received all the necessary configuration data so that it can communicate with other system components in the context of the technical system and can carry out the various actions mentioned above. Steps c) to e) of the present method are preferably used to "configure" the registered new component.
Gemäß einer Aus führungs form weist das Verfahren auf: f) Senden eines Zertifikatsantrags zum Ausstellen zumindest eines Zertifikats für die registrierte neue Komponente zumindest in Abhängigkeit des bereitgestellten spezifischen Typs von Konfigurationsdaten, und g) Empfangen, bei einer erfolgreichen Validierung des gesendeten Zertifikatsantrags, des zumindest einen ausgestellten Zertifikats. According to one embodiment, the method comprises: f) sending a certificate request for issuing at least one certificate for the registered new component at least depending on the specific type of configuration data provided, and g) receiving, upon successful validation of the sent certificate request, the at least an issued certificate.
Das ausgestellte Zertifikat ist insbesondere zumindest als ein applikationsspezifisches oder komponentenspezifisches Zertifikat ausgebildet. Mittels diesem Zertifikat wird es der registrierten neuen Komponente vorzugsweise ermöglicht, nun mit anderen Anlagenkomponenten in der technischen Anlage zu kommunizieren und Daten auszutauschen. The issued certificate is in particular designed at least as an application-specific or component-specific certificate. This certificate preferably enables the registered new component to communicate and exchange data with other system components in the technical system.
Gemäß einer weiteren Aus führungs form weisen die bereitgestellten spezifischen Konfigurationsregeln registrierungsspezifische, insbesondere einen bestimmten Typ eines Registrierungsverfahrens, herstellerspezifische, komponentenspezifische und/oder protokollspezifische Konfigurationsregeln auf . According to a further embodiment, the specific configuration rules provided have registration-specific, in particular a specific type of registration method, manufacturer-specific, component-specific and/or protocol-specific configuration rules.
Zumindest die registrierungsspezifischen Konfigurationsregeln können manuell, beispielsweise durch einen Benutzer der technischen Anlage, oder automatisiert, insbesondere in dem Geräteinventar, bereitgestellt werden. Der bestimmte Typ eines Registrierungsverfahrens gibt vorzugsweise dasj enige Registrierungsverfahren an, mittels welchem die neue Komponente in dem Geräteinventar registriert wurde . At least the registration-specific configuration rules can be provided manually, for example by a user of the technical system, or automatically, in particular in the device inventory. The specific type of registration process preferably indicates the registration process by which the new component was registered in the device inventory.
Ein bestimmter Typ eines Registrierungsverfahrens , welches automatisiert die neue Komponente in dem Geräteinventar registriert , weist beispielsweise eine automatisierte Registrierung unter Verwendung von ORC UA Part 21 , BRSKI , TLS ( engl . " Transport Layer Security" ) oder "Anomaly Detection" ohne PoO ( engl . " Proof of Originality" ) auf . Der Begri f f "ohne PoO" bedeutet insbesondere , dass bei diesem bestimmten Typ von Registrierung eine Registrierung mittels eines Dis- covery-Verf ährens ohne Validierung des herstellerspezi fischen IDevID-Zerti f ikats vorgenommen wird . Das Registrierungsverfahren "Anomaly Detection" ohne PoO wird insbesondere bei der Registrierung von sog . Legacy- und/oder Brownf ield-Anlagen- komponenten in der technischen Anlage durchgeführt . A certain type of registration process, which automatically registers the new component in the device inventory, has, for example, an automated registration using ORC UA Part 21, BRSKI, TLS (Transport Layer Security) or "Anomaly Detection" without PoO (English). . “Proof of Originality”) on . The term "without PoO" means in particular that for this particular type of registration, registration is carried out using a discovery procedure without validation of the manufacturer-specific IDevID certificate. The “Anomaly Detection” registration process without PoO is particularly used when registering so-called Legacy and/or brownfield system components carried out in the technical system.
Herstellerspezi fische Konfigurationsregeln sind Regeln, welche beim Konfigurieren der registrierten neuen Komponente beispielsweise den Hersteller der registrierten neuen Komponente einbeziehen . Manufacturer-specific configuration rules are rules that, for example, include the manufacturer of the registered new component when configuring the registered new component.
Komponentenspezi fische Konfigurationsregeln sind Regeln, welche beim Konfigurieren der registrierten neuen Komponente beispielsweise den Produktnamen der registrierten neuen Komponente einbeziehen . Zudem können komponentenspezi fische Konfigurationsregeln auf Basis von weiteren produktspezi fischen Informationen bereitgestellt werden . Component-specific configuration rules are rules that, for example, include the product name of the registered new component when configuring the registered new component. In addition, component-specific configuration rules can be provided based on further product-specific information.
Beispiele für protokollspezi fische Konfigurationsregeln sind Regeln, welche beim Konfigurieren der registrierten neuen Komponente beispielsweise das verwendete Kommunikationsprotokoll , wie TLS , einbeziehen . Examples of protocol-specific configuration rules are rules which, for example, include the communication protocol used, such as TLS, when configuring the registered new component.
Gemäß einer weiteren Aus führungs form werden die spezi fischen Konfigurationsregeln vorkonfiguriert bereitgestellt und/oder zur Lauf zeit der technischen Anlage zu zumindest einem vorbestimmten Zeitpunkt bereitgestellt . According to a further embodiment, the specific configuration rules are provided preconfigured and/or provided at least at a predetermined point in time during the life of the technical system.
Die spezi fischen Konfigurationsregeln werden insbesondere in dem Geräteinventar vorkonfiguriert bereitgestellt . Der Ausdruck " Zur Lauf zeit bereitstellen" weist ein automatisiertes Bereitstellen der spezi fischen Konfigurationsregeln auf . Auch kann das automatisierte Bereitstellen der spezi fischen Konfigurationsregeln ein Bereitstellen mittels einer künstlichen Intelligenz , insbesondere mittels maschinellem Lernen, aufweisen . Das automatisierte Bereitstellen kann mittels der künstlichen Intelligenz auch angepasst werden . Hierbei kann eine künstliche Intelligenz dahingehend trainiert oder angepasst werden, welche registrierte neue Komponente in Abhängigkeit welcher spezi fischen Konfigurationsregeln konfiguriert wird . The specific configuration rules are provided preconfigured, in particular, in the device inventory. The term “Deploy at run time” indicates automated deployment of the specific configuration rules. The automated provision of the specific configuration rules can also include provision using artificial intelligence, in particular using machine learning. Automated provisioning can also be customized using artificial intelligence. Here, an artificial intelligence can be trained or adapted to determine which registered new component is configured depending on which specific configuration rules.
Gemäß einer weiteren Aus führungs form weist das Ermitteln gemäß Schritt d) ein Zuordnen der registrierten neuen Komponente in Abhängigkeit der bereitgestellten spezi fischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten zu einem spezi fischen Komponententyp auf , wobei einem j eweiligen spezi fischen Komponententyp ein j eweiliger spezi fischer Typ von Konfigurationsdaten zugeordnet wird, wobei der spezi fische Komponententyp zumindest als ein erster herstellerspezi fischer Komponententyp, als ein zweiter herstellerspezi fischer Komponententyp oder als ein anlagenspezi fischer Komponententyp ausgebildet wird . According to a further embodiment, the determination according to step d) includes assigning the registered new component to a specific component type depending on the specific configuration rules provided and the determined indicative component data, with a respective specific component type being assigned to a respective specific component type Type of configuration data is assigned, wherein the specific component type is designed at least as a first manufacturer-specific component type, as a second manufacturer-specific component type or as a system-specific component type.
Das Zuordnen hat den Vorteil , dass für j ede registrierte neue Komponente individuell ermittelt werden kann, welchem spezifischen Komponententyp die registrierte neue Komponente entspricht . Auf Basis des ermittelten spezi fischen Komponententyps kann dann ermittelt werden, welcher spezi fische Typ von Konfigurationsdaten der registrierten neuen Komponente bereitgestellt werden soll oder welchen spezi fischen Typ von Konfigurationsdaten die registrierte neue Komponente benötigt . Somit wird in vorteilhafter Weise sichergestellt , dass in Abhängigkeit des spezi fischen Komponententyps , die j eweilige registrierte neue Komponente nur den dazu zugeordneten spezi fischen Typ von Konfigurationsdaten bereitgestellt bekommt und eben keinen spezi fischen Typ von Konfigurationsdaten eines anderen spezi fischen Komponententyps bereitgestellt bekommt , welcher nicht dem ermittelten spezi fischen Komponententyp der registrierten neuen Komponente entspricht . Somit wird der frei verfügbare Speicherplatz des Speichers der Anlagenkomponente optimiert und die Zuverlässigkeit der technischen Anlage erhöht . Assigning has the advantage that for each registered new component it can be determined individually which specific component type the registered new component corresponds to. Based on the determined specific component type, it can then be determined which specific type of configuration data should be provided to the registered new component or which specific type of configuration data the registered new component requires. This advantageously ensures that Depending on the specific component type, the respective registered new component is only provided with the specific type of configuration data assigned to it and is not provided with a specific type of configuration data of another specific component type that does not correspond to the determined specific component type of the registered new one Component corresponds to . This optimizes the freely available storage space in the memory of the system component and increases the reliability of the technical system.
Diese " Individualisierung" der spezi fischen Typen von Konfigurationsdaten wird insbesondere deshalb durchgeführt , da unterschiedliche Anlagenkomponenten gemäß deren technischen Funktionalitäten und/oder Fähigkeiten unterschiedliche spezi fische Typen von Konfigurationsdaten benötigen . This “individualization” of the specific types of configuration data is carried out in particular because different system components require different specific types of configuration data depending on their technical functionalities and/or capabilities.
Während eine OPC UA- Anlagenkomponente beispielsweise die Registrierungsstelle ( engl . "Registration Authority (RA) " ) der technischen Anlage in der Regel nicht direkt , sondern insbesondere nur über einen sog . "OPC UA Global Discovery Server" kontaktieren kann und somit die Adresse und/oder URL ( engl . "Uni form Resource Locator" ) der RA vorzugsweise nicht benötigt , kann eine als Industrial Edge-Komponente oder Netzwerkkomponente ausgebildete Anlagenkomponente , die ein Zerti fikats-Verwaltungsprotokoll nutzt , Zerti fikate direkt bei der RA beantragen . Somit benötigt insbesondere eine Industrial Edge-Komponente die Adresse und/oder URL der RA und damit einen spezi fischen Typ von Konfigurationsdaten, welcher die Adresse und/oder URL der RA aufweist . While an OPC UA system component, for example, does not usually contact the registration authority (RA) of the technical system directly, but in particular only via a so-called. can contact the "OPC UA Global Discovery Server" and therefore preferably does not need the address and/or URL (uniform resource locator) of the RA, a system component designed as an industrial edge component or network component that has a certificate can be used. Uses administrative protocol, apply for certificates directly from the RA. An industrial edge component in particular therefore requires the address and/or URL of the RA and thus a specific type of configuration data which has the address and/or URL of the RA.
Darüber hinaus sind die verschiedenen Anlagenkomponenten in einer heterogenen industriellen IoT-/OT-Umgebung ( engl . "Operational Technology" ) insbesondere dazu eingerichtet , verschiedene Zerti f ikatssperrlisten-Verteilungspunkte netzwerktechnisch zu erreichen . Somit können die spezi fischen Typen von Konfigurationsdaten auch in diesem Punkt voneinander abweichen . Werden die Anlagenkomponenten nämlich beispielsweise durch ein "Anomaly Detection-Tool" registriert , welches die Validierung eines IDevID-Zerti f ikats durchführt , wird anschließend möglicherweise nicht das Zerti fikat der obersten Zerti fi zierungsstelle ( engl . "Root Certi fication Authority (RCA) " ) der technischen Anlage als Vertrauensanker in die Anlagenkomponente geladen . Somit müsste in diesem Fall der Vertrauensanker als Bestandteil eines spezi fischen Typs von Konfigurationsdaten in der Anlagenkomponente bereitgestellt werden . In addition, the various system components in a heterogeneous industrial IoT/OT environment (English "Operational Technology") are particularly set up to reach various certificate revocation list distribution points via network technology. The specific types of configuration data can therefore also differ in this point. Namely, the system components For example, if it is registered by an "Anomaly Detection Tool" that validates an IDevID certificate, the certificate from the highest certification authority (Root Certification Authority (RCA)) of the technical system may not be subsequently registered loaded into the system component as a trust anchor. In this case, the trust anchor would therefore have to be provided as part of a specific type of configuration data in the system component.
Wenn andererseits eine Anlagenkomponente durch ein Secure Device Onboarding-Tool (wie z . B . BRSKI-Registrar ) in dem Geräteinventar registriert wird, wird der Vertrauensanker im Rahmen des spezi fikationsgemäßen Onboardings vorzugsweise in die Anlagenkomponente geladen oder auf dieser bereitgestellt . In diesem Fall ist es somit nicht erforderlich, dass der Vertrauensanker in dem spezi fischen Typ von Konfigurationsdaten enthalten sein muss , welche in der Anlagenkomponente bereitgestellt werden . On the other hand, if an asset component is registered in the device inventory through a secure device onboarding tool (such as BRSKI Registrar), the trust anchor is preferably loaded into or deployed to the asset component as part of the onboarding according to the specification. In this case, it is therefore not necessary for the trust anchor to be contained in the specific type of configuration data that is provided in the system component.
Ein Beispiel für einen ersten herstellerspezi fischen Komponententyp ist eine Netzwerkkomponente eines bestimmten Herstellers . An example of a first manufacturer-specific component type is a network component from a specific manufacturer.
Ein Beispiel für einen zweiten herstellerspezi fischen Komponententyp ist eine Steuerung oder ein Steuerungssystem, beispielsweise für eine speicherprogrammierbare Steuerung, eines bestimmten Herstellers . An example of a second manufacturer-specific component type is a controller or a control system, for example for a programmable logic controller, from a specific manufacturer.
Ein Beispiel für einen anlagenspezi fischen Komponententyp ist eine Netzwerkkomponente oder eine Steuerung eines anderen Herstellers , welche aber in der technischen Anlage registriert wurde . An example of a system-specific component type is a network component or a controller from another manufacturer, but which has been registered in the technical system.
Gemäß einer weiteren Aus führungs form wird ein spezi fischer Bereitstellungstyp als ein erster, als ein zweiter oder als ein dritter spezi fischer Bereitstellungstyp ausgebildet , wobei der erste spezi fische Bereitstellungstyp ein automa- tisiertes Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten mittels einer Automatisierungsentität aufweist , wobei der zweite spezi fische Bereitstellungstyp ein automatisiertes Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten anhand eines bestimmten Protokolls , insbesondere eines Netzwerkprotokolls , aufweist , und wobei der dritte spezi fische Bereitstellungstyp ein manuelles Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten anhand einer Eingabe eines Benutzers der technischen Anlage oder eines Leitsystems für die technische Anlage aufweist . According to a further embodiment, a specific provision type is designed as a first, a second or a third specific provision type, the first specific provision type being an automatic tized provision of the determined specific type of configuration data by means of an automation entity, wherein the second specific provision type has an automated provision of the determined specific type of configuration data using a specific protocol, in particular a network protocol, and wherein the third specific provision type has a manual one Providing the determined specific type of configuration data based on an input from a user of the technical system or a control system for the technical system.
Unter einem Leitsystem wird vorliegend ein computergestütztes technisches System verstanden, das Funktionalitäten zum Anzeigen, Steuern und Leiten einer technischen Anlage aufweist . Das Leitsystem kann sich insbesondere über eine Cloud erstrecken, die mit mehreren technischen Anlagen verbunden ist . Hierbei kann die registrierte neue Komponente auch in der Cloud angeordnet sein . Eine Mehrzahl von registrierten neuen Komponenten kann sich auch über mehrere technische Anlagen verteilen . In the present case, a control system is understood to mean a computer-aided technical system that has functionalities for displaying, controlling and guiding a technical system. The control system can in particular extend over a cloud that is connected to several technical systems. The registered new component can also be located in the cloud. A majority of registered new components can also be distributed across several technical systems.
Eine Automatisierungsentität ist beispielsweise ein Engi- neering-Tool , wie z . B . das TIA-Portal ( engl . " Totally Integrated Automation Portal" ) , oder ein Runtime-Tool , wie z . B . das S IMATIC Automation Tool ( SAT ) . An example of an automation entity is an engineering tool, such as: B. the TIA portal (“Totally Integrated Automation Portal”), or a runtime tool such as. B. the S IMATIC Automation Tool (SAT).
Falls eine Schnittstelle , wie eine API ( engl . "Application Programming Interface" ) , insbesondere zwischen einer zweiten Bereitstellungs-Einheit des Leitsystems und der Automatisierungsentität vorhanden ist , kann der erste spezi fische Bereitstellungstyp angewendet werden . Dabei wird gemäß Schritt e ) , insbesondere mittels der zweiten Bereitstellungs-Einheit und vorzugsweise in Abhängigkeit der Automatisierungsentität , der spezi fische Typ von Konfigurationsdaten in der registrierten neuen Komponente bereitgestellt . Bevorzugt wird der in die Anlagenkomponente hineingeladene spezi fische Typ von Konfigurationsdaten in einem Konfigurations-Cache der zweiten Bereitstellungs-Einheit gespeichert . If an interface, such as an API (application programming interface), is present, in particular between a second provisioning unit of the control system and the automation entity, the first specific provisioning type can be used. According to step e), the specific type of configuration data is provided in the registered new component, in particular by means of the second provision unit and preferably depending on the automation entity. The specific type of configuration data loaded into the system component is preferably stored in a configuration cache of the second provision unit.
Ein bestimmtes Protokoll ist beispielsweise NETCONF ( engl . "Network Configuration Protocol" ) , SOAP ( engl . " Simple Obj ect Access Protocol" ) oder REST ( engl . " Representational State Trans fer" ) . A specific protocol is, for example, NETCONF (Network Configuration Protocol), SOAP (Simple Object Access Protocol) or REST (Representational State Transfer).
Beispielsweise wird zur Anwendung des zweiten spezi fischen Bereitstellungstyps die Bereitstellung gemäß Schritt e ) , insbesondere mittels der zweiten Bereitstellungs-Einheit , in Abhängigkeit eines für die Bereitstellung der registrierten neuen Komponente erstellten JSON-Body ( engl . " JavaScript Obj ect Notation-Body" ) durchgeführt . For example, to use the second specific provision type, the provision according to step e), in particular by means of the second provision unit, depending on a JSON body (JavaScript Object Notation Body) created for the provision of the registered new component. carried out .
Falls die zweite Bereitstellungs-Einheit des Leitsystems über ein bestimmtes oder genormtes Protokoll direkt auf die registrierte neue Komponente zugrei fen kann, kann der zweite spezi fische Bereitstellungstyp angewendet werden . Dabei wird gemäß Schritt e ) , insbesondere mittels der zweiten Bereitstellungs-Einheit und vorzugsweise anhand des bestimmten Protokolls , der spezi fische Typ von Konfigurationsdaten in der registrierten neuen Komponente bereitgestellt . If the second provisioning unit of the control system can access the registered new component directly via a specific or standardized protocol, the second specific provisioning type can be used. According to step e), the specific type of configuration data is provided in the registered new component, in particular by means of the second provision unit and preferably using the specific protocol.
Die zweite Bereitstellungs-Einheit kann auch dazu eingerichtet sein, über eine Ausgabe an den Benutzer der technischen Anlage , diesem zu signalisieren, dass der Benutzer den spezi fischen Typ von Konfigurationsdaten mittels einer Eingabe in der Anlagenkomponente oder des Leitsystems , manuell oder mittels eines Tools , wie beispielsweise einem Engineer- ing-Tool oder einem Runtime-Tool , in der Anlagenkomponente bereitstellen soll . The second provision unit can also be set up to signal to the user of the technical system via an output that the user has entered the specific type of configuration data by means of an input in the system component or the control system, manually or using a tool. such as an engineering tool or a runtime tool, in the system component.
Ein Benutzer ist beispielsweise ein Kunde oder ein Betreiber der technischen Anlage . Beispielsweise kann das Bereitstellen des spezi fischen Typs von Konfigurationsdaten in der Anlagenkomponente mittels der manuellen Eingabe durch den Benutzer mittels einer Benutzereingabeeinrichtung über die grafische Oberfläche des TIA- Portals oder direkt in der zweiten Bereitstellungs-Einheit erfolgen . Hierbei ist die Benutzereingabeeinrichtung insbesondere dazu eingerichtet , eine Eingabe des spezi fischen Typs von Konfigurationsdaten von dem Benutzer zu empfangen . A user is, for example, a customer or an operator of the technical system. For example, the specific type of configuration data can be provided in the system component by means of manual input by the user using a user input device via the graphical interface of the TIA portal or directly in the second provision unit. Here, the user input device is in particular set up to receive input of the specific type of configuration data from the user.
Alternativ kann das Bereitstellen gemäß Schritt e ) unter Verwendung eines Kommandozeilen-Tools , bei welchem der spezi fische Typ von Konfigurationsdaten direkt an die registrierte neue Komponente übertragen wird, erfolgen . Alternatively, the provision according to step e) can be carried out using a command line tool in which the specific type of configuration data is transferred directly to the registered new component.
Gemäß einer weiteren Aus führungs form weist der Schritt c ) ferner auf : According to a further embodiment, step c) further comprises:
Einrichten, nachdem die vorbestimmte Änderung aufgetreten ist , zumindest eines komponentenspezi fischen Zerti fikats in Abhängigkeit der registrierten neuen Komponente in dem Geräteinventar . Setting up, after the predetermined change has occurred, at least one component-specific certificate depending on the registered new component in the device inventory.
Ein komponentenspezi fisches Zerti fikat ist insbesondere ein LDevID-Generic-Zerti f ikat . Das Einrichten des komponentenspezi fischen Zerti fikats erfolgt insbesondere automatisiert , beispielsweise mittels eines Registrars . Alternativ kann das Einrichten des komponentenspezi fischen Zerti fikats mittels einer Benutzereingabeeinrichtung erfolgen, welche dazu eingerichtet ist , eine Eingabe eines Benutzers zum Einrichten des komponentenspezi fischen Zerti fikats zu empfangen . A component-specific certificate is in particular an LDevID generic certificate. The component-specific certificate is set up in particular automatically, for example using a registrar. Alternatively, the component-specific certificate can be set up using a user input device which is set up to receive input from a user to set up the component-specific certificate.
Gemäß einer weiteren Aus führungs form wird das Geräteinventar computer-implementiert ausgebildet und als eine dedi zierte Instanz in der technischen Anlage , als Teil einer Registrierungsstelle der technischen Anlage oder in einer Cloud, welche mit der technischen Anlage verbunden ist , ausgebildet . According to a further embodiment, the device inventory is designed to be computer-implemented and designed as a dedicated instance in the technical system, as part of a registration point of the technical system or in a cloud that is connected to the technical system.
Das Geräteinventar kann als eine dedi zierte Instanz in einem Leitsystem für die technische Anlage , oder als Teil der Registrierungsstelle des Leitsystems oder in einer Cloud, welche mit der technischen Anlage verbunden ist oder welche mit dem Leitsystem verbunden sein kann, ausgebildet sein . Informationen über die Anlagenkomponenten, insbesondere indikative Komponentendaten, können entweder direkt im Geräteinventar enthalten sein oder aus dem Geräteinventar heraus referenziert werden . The device inventory can be used as a dedicated instance in a control system for the technical system, or as part of the Registration point of the control system or in a cloud, which is connected to the technical system or which can be connected to the control system. Information about the system components, in particular indicative component data, can either be contained directly in the device inventory or referenced from the device inventory.
Gemäß einer weiteren Aus führungs form weist die vorbestimmte Änderung ferner eine Änderung zumindest eines im Geräteinventar abgespeicherten spezi fischen Typs von Konfigurationsdaten auf , wobei das Verfahren ferner aufweist : h) Ermitteln, bei Auftreten der Änderung zumindest eines im Geräteinventar abgespeicherten spezi fischen Typs von Konfigurationsdaten, zumindest einer registrierten Komponente aus mehreren in dem Geräteinventar registrierten Komponenten, welche den abgespeicherten spezi fischen Typ von Konfigurationsdaten betref fend die Änderung aufweist , und i ) Aktualisieren des abgespeicherten spezi fischen Typs von Konfigurationsdaten und Bereitstellen des aktualisierten spezi fischen Typs von Konfigurationsdaten in der zumindest einen ermittelten registrierten Komponente in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps für die zumindest eine registrierte Komponente . According to a further embodiment, the predetermined change further comprises a change of at least one specific type of configuration data stored in the device inventory, the method further comprising: h) determining, when the change occurs, at least one specific type of configuration data stored in the device inventory, at least one registered component from a plurality of components registered in the device inventory, which has the stored specific type of configuration data relating to the change, and i) updating the stored specific type of configuration data and providing the updated specific type of configuration data in the at least one determined registered component depending on the determined specific provision type for the at least one registered component.
Diese Aus führungs form hat den Vorteil , dass durch die Schritte h) und i ) sichergestellt wird, dass keine veralteten Konfigurationsdaten, sondern ausschließlich aktuelle spezifische Typen von Konfigurationsdaten in der registrierten neuen Komponente sowie in den mehreren in dem Geräteinventar registrierten Anlagenkomponenten vorhanden sind . Zudem wird in vorteilhafter Weise sichergestellt , dass bereits beim Bereitstellen gemäß Schritt e ) der ermittelte spezi fische Typ von Konfigurationsdaten aktuell und nicht veraltet ist und nur der aktuelle ermittelte spezi fische Typ von Konfigurationsdaten gemäß Schritt e ) in der registrierten neuen Komponente bereitgestellt wird . Somit wird insbesondere , falls die Änderung auftritt , sofort ein Synchronisierungs- vorgang ausgelöst , welcher bewirkt , dass alle registrierten Anlagenkomponenten, welche die Änderung zumindest eines im Geräteinventar abgespeicherten spezi fischen Typs von Konfigurationsdaten abonniert haben, sofort entsprechend synchronisiert werden, indem der aktualisierte spezi fische Typ von Konfigurationsdaten in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps in diese registrierten Anlagenkomponenten geladen wird . This embodiment has the advantage that steps h) and i) ensure that no outdated configuration data, but only current specific types of configuration data, are present in the registered new component as well as in the several system components registered in the device inventory. In addition, it is advantageously ensured that when providing according to step e), the determined specific type of configuration data is current and not out of date and only the currently determined specific type of configuration data according to step e) is provided in the registered new component. In particular, if the change occurs, a synchronization message is immediately triggered. process is triggered, which causes all registered system components that have subscribed to the change of at least one specific type of configuration data stored in the device inventory to be immediately synchronized accordingly by registering the updated specific type of configuration data depending on the determined specific provision type System components are loaded.
Das Ermitteln gemäß Schritt h) erfolgt insbesondere durch einen Abgleich der in die registrierten Komponenten geladenen spezi fischen Typen von Konfigurationsdaten und der infolge der Änderung betrof fenen spezi fischen Typen von Konfigurationsdaten . The determination according to step h) is carried out in particular by comparing the specific types of configuration data loaded into the registered components and the specific types of configuration data affected as a result of the change.
Vorzugsweise erfolgt das Bereitstellen des aktualisierten spezi fischen Typs von Konfigurationsdaten in mehreren ermittelten registrierten Komponenten in Abhängigkeit des j eweiligen ermittelten spezi fischen Bereitstellungstyps für die j eweilige registrierte Komponente . Preferably, the updated specific type of configuration data is provided in several determined registered components depending on the respective determined specific provision type for the respective registered component.
Beispielsweise ist die zweite Bereitstellungs-Einheit dazu eingerichtet , den aktualisierten spezi fischen Typ von Konfigurationsdaten in der zumindest einen ermittelten registrierten Komponente in Abhängigkeit des ermittelten spezifischen Bereitstellungstyps für die zumindest eine registrierte Komponente bereitzustellen . For example, the second provision unit is set up to provide the updated specific type of configuration data in the at least one determined registered component depending on the determined specific provision type for the at least one registered component.
Insbesondere ist eine Überwachungs-Einheit des Leitsystems dazu eingerichtet , das Auftreten der Änderung zu erkennen . Bei Auftreten der Änderung kann die Überwachungs-Einheit dann dazu eingerichtet sein, den abgespeicherten spezi fischen Typ von Konfigurationsdaten zu aktualisieren und in einem Konfigurations-Cache der zweiten Bereitstellungs-Einheit bereitzustellen . Die zweite Bereitstellungs-Einheit ist anschließend vorzugsweise dazu eingerichtet , das Bereitstellen gemäß Schritt i ) durchzuführen . Gemäß einer weiteren Aus führungs form wird das zumindest eine ausgestellte Zertifikat der registrierten neuen Komponente als ein digitales Zertifikat, insbesondere als ein Public- Key-Zertif ikat , ausgebildet. In particular, a monitoring unit of the control system is set up to detect the occurrence of the change. When the change occurs, the monitoring unit can then be set up to update the stored specific type of configuration data and make it available in a configuration cache of the second provision unit. The second provision unit is then preferably set up to carry out the provision according to step i). According to a further embodiment, the at least one issued certificate of the registered new component is designed as a digital certificate, in particular as a public key certificate.
Ein digitales Zertifikat ist ein digitaler Datensatz nach dem X .509-Standard (RFC 5280) der "ITU Telecommunication Standardization Sector (ITU-T)" oder aber nach einem Standard der "Internet Engineering Task Force (IETF)", der bestimmte Eigenschaften von Personen oder Objekten (in diesem Fall von registrierten neuen Komponenten, Anlagenkomponenten, Maschinen, Geräten, Applikationen und dergleichen) bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten. Das digitale Zertifikat wird durch die Zertifizierungsstelle ausgestellt . A digital certificate is a digital data record according to the Persons or objects (in this case registered new components, system components, machines, devices, applications and the like) and their authenticity and integrity can be checked using cryptographic methods. The digital certificate contains in particular the data required for its verification. The digital certificate is issued by the certification authority.
Ein Zertifikat ist zumindest herstellerspezifisch, komponentenspezifisch (anlagenspezifisch) oder applikationsspezifisch ausgebildet. Ein herstellerspezifisches Zertifikat ist beispielsweise ein IDevID-Zertif ikat (engl. "Initial Device Identifier-Certificate") , ein komponentenspezifisches oder ein anlagenspezifisches Zertifikat ist beispielsweise ein LDevID-Generic-Zertif ikat und ein applikationsspezifisches Zertifikat ist beispielsweise ein LDevID-App-Zertif ikat . A certificate is at least manufacturer-specific, component-specific (system-specific) or application-specific. A manufacturer-specific certificate is, for example, an IDevID certificate (English "Initial Device Identifier Certificate"), a component-specific or a system-specific certificate is, for example, an LDevID generic certificate and an application-specific certificate is, for example, an LDevID app certificate .
Ein LDevID-Generic-Zertif ikat wird insbesondere auf Basis zumindest eines herstellerspezifischen IDevID-Zertif ikats beantragt und bindet die jeweilige Anlagenkomponente an die jeweilige (benutzerspezifische) technische Anlage. An LDevID generic certificate is applied for in particular on the basis of at least one manufacturer-specific IDevID certificate and binds the respective system component to the respective (user-specific) technical system.
Ein LDevID-App-Zertif ikat wird vorzugsweise auf Basis zumindest eines komponentenspezifischen LDevID-Generic-Zertif ikats beantragt und wird von den jeweiligen Anlagenkomponenten insbesondere dazu verwendet, eine sichere Kommunikation zwischen den jeweiligen Anlagenkomponenten mittels Kommu- nikationsprotokollen, wie OPC UA oder TLS , auf zubauen und zu realisieren . An LDevID app certificate is preferably applied for on the basis of at least one component-specific LDevID generic certificate and is used by the respective system components in particular to ensure secure communication between the respective system components by means of communication. nication protocols, such as OPC UA or TLS, to build and implement.
Gemäß einem zweiten Aspekt wird ein Computerprogrammprodukt vorgeschlagen, welches Befehle umfasst , die bei der Aus führung des Programms durch einen Computer diesen veranlassen, das Verfahren gemäß dem ersten Aspekt oder einer Aus führungsform des ersten Aspekts aus zuführen . According to a second aspect, a computer program product is proposed which comprises instructions which, when the program is executed by a computer, cause it to carry out the method according to the first aspect or an embodiment of the first aspect.
Ein Computerprogrammprodukt , wie z . B . ein Computerprogramm- Mittel , kann beispielsweise als Speichermedium, wie z . B . Speicherkarte , USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden . Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen . A computer program product, such as B. a computer program medium, can be used, for example, as a storage medium, such as. B. Memory card, USB stick, CD-ROM, DVD, or in the form of a downloadable file provided or delivered from a server in a network. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.
Gemäß einem dritten Aspekt wird ein Leitsystem für eine technische Anlage , insbesondere eine Automatisierungsanlage , vorgeschlagen . Die technische Anlage weist ein Geräteinventar auf . Das Leitsystem weist auf : eine erste Bereitstellungs-Einheit zum Bereitstellen von spezi fischen Konfigurationsregeln zum Konfigurieren einer neuen Komponente , eine Überwachungs-Einheit zum Überwachen des Geräteinventars hinsichtlich eines Auftretens einer vorbestimmten Änderung, welche ein Registrieren einer neuen Komponente in dem Geräteinventar aufweist , eine erste Ermittlungs-Einheit zum Ermitteln, bei Auftreten der vorbestimmten Änderung, von für die registrierte neue Komponente indikativen Komponentendaten in Abhängigkeit des Geräteinventars , eine zweite Ermittlungs-Einheit zum Ermitteln eines spezi fischen Typs von Konfigurationsdaten und eines spezi fischen Bereitstellungstyps für die registrierte neue Komponente in Abhängigkeit der bereitgestellten spezi fischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten, und eine zweite Bereitstellungs-Einheit zum Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten in der registrierten neuen Komponente in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps . According to a third aspect, a control system for a technical system, in particular an automation system, is proposed. The technical system has a device inventory. The control system has: a first provisioning unit for providing specific configuration rules for configuring a new component, a monitoring unit for monitoring the device inventory for an occurrence of a predetermined change, which includes registering a new component in the device inventory, a first Determination unit for determining, when the predetermined change occurs, component data indicative of the registered new component depending on the device inventory, a second determination unit for determining a specific type of configuration data and a specific provision type for the registered new component depending on the specific fish provided Configuration rules and the determined indicative component data, and a second provisioning unit for providing the determined specific type of configuration data in the registered new component depending on the determined specific provision type.
Die für das vorgeschlagene Verfahren gemäß dem ersten Aspekt beschriebenen Aus führungs formen und Merkmale gelten für das vorgeschlagene Leitsystem gemäß dem dritten Aspekt entsprechend . The embodiments and features described for the proposed method according to the first aspect apply accordingly to the proposed control system according to the third aspect.
Die Überwachungs-Einheit ist insbesondere dazu eingerichtet , das Geräteinventar kontinuierlich hinsichtlich eines Auftretens einer vorbestimmten Änderung zu überwachen . Ferner kann die Überwachungs-Einheit dazu eingerichtet sein, das Auftreten der vorbestimmten Änderung als eine Event-Nachricht von einer anderen Einheit , beispielsweise dem Geräteinventar, übermittelt zu bekommen . Beispielweise kann nach einem Registrieren der neuen Komponente eine Event-Nachricht "Neue Komponente im Geräteinventar registriert" erzeugt werden und an die Überwachungs-Einheit von dem Geräteinventar übertragen werden . The monitoring unit is in particular set up to continuously monitor the device inventory with regard to the occurrence of a predetermined change. Furthermore, the monitoring unit can be set up to receive the occurrence of the predetermined change as an event message from another unit, for example the device inventory. For example, after registering the new component, an event message “New component registered in the device inventory” can be generated and transmitted to the monitoring unit from the device inventory.
Gemäß einer weiteren Aus führungs form weist das Leitsystem auf : eine Sende-Einheit zum Senden eines Zerti fikatsantrags zum Ausstellen zumindest eines Zerti fikats für die registrierte neue Komponente zumindest in Abhängigkeit des bereitgestellten spezi fischen Typs von Konfigurationsdaten, und eine Empfangs-Einheit zum Empfangen, bei einer erfolgreichen Validierung des gesendeten Zerti fikatsantrags , des zumindest einen ausgestellten Zerti fikats . According to a further embodiment, the control system has: a sending unit for sending a certificate request for issuing at least one certificate for the registered new component at least depending on the specific type of configuration data provided, and a receiving unit for receiving, upon successful validation of the sent certificate application, of at least one issued certificate.
Gemäß einer weiteren Aus führungs form weist das Leitsystem auf : eine Zerti fi zierungsstelle , welche dazu eingerichtet ist , den gesendeten Zerti fikatsantrag zu validieren und bei einer erfolgreichen Validierung des gesendeten Zerti fikats- antrags, das zumindest eine Zertifikat für die registrierte neue Komponente auszustellen. According to a further embodiment, the control system has: a certification body, which is set up to validate the sent certificate application and, if the sent certificate is successfully validated. request to issue at least one certificate for the registered new component.
Der in der registrierten neuen Komponente bereitgestellte ermittelte spezifische Typ von Konfigurationsdaten gemäß Schritt e) oder gemäß der zweiten Bereitstellungs-Einheit weist zumindest die Adresse und/oder URL der RA auf, damit die registrierte neue Komponente oder eine Sende-Einheit des Leitsystems vorzugsweise für die registrierte neue Komponente, ein Zertifikat bei der RA beantragen kann. The determined specific type of configuration data provided in the registered new component according to step e) or according to the second provision unit has at least the address and / or URL of the RA, so that the registered new component or a sending unit of the control system is preferably for the registered new component, can apply for a certificate from the RA.
Insbesondere ist die Sende-Einheit dazu eingerichtet, für die registrierte Komponente unter Verwendung eines Zertifikats- Verwaltungsprotokolls (engl. "Certificate Management Protocol (CMP)") den Zertifikatsantrag an die RA zu senden. Das Zertifikat weist insbesondere ein komponentenspezifisches (LDevID-Generic-Zertif ikat ) oder ein applikationsspezifisches Zertifikat (LDevID-App-Zertif ikat ) auf. In particular, the sending unit is set up to send the certificate request for the registered component to the RA using a certificate management protocol (CMP). The certificate in particular has a component-specific (LDevID Generic Certificate) or an application-specific certificate (LDevID App Certificate).
Anschließend ist die RA vorzugsweise dazu eingerichtet, den von der Sende-Einheit gesendeten Zertifikatsantrag in Abhängigkeit des Geräteinventars zu prüfen und diesen im Falle einer erfolgreichen Prüfung an die Zertifizierungsstelle zu übertragen. The RA is then preferably set up to check the certificate application sent by the sending unit depending on the device inventory and, if the check is successful, to transmit it to the certification authority.
Im Anschluss ist die Zertifizierungsstelle insbesondere dazu eingerichtet, den gesendeten Zertifikatsantrag zu validieren. The certification authority is then set up to validate the certificate application sent.
Die Empfangs-Einheit ist vorzugsweise dazu eingerichtet, das zumindest eine ausgestellte Zertifikat der registrierten neuen Komponente bereitzustellen. The receiving unit is preferably set up to provide the at least one issued certificate of the registered new component.
Darüber hinaus ist die Registrierungsstelle insbesondere dazu eingerichtet, dass beantragte und ausgestellte Zertifikat in dem Geräteinventar abzuspeichern. In addition, the registration office is set up in particular to store the requested and issued certificate in the device inventory.
Die Registrierungsstelle (RA) ist insbesondere Teil einer PKI (engl. "Public-Key-Inf rastructure (PKI)") . Das Leitsystem verwendet vorzugsweise eine PKI . Die RA ist eine Autorität in einem Netzwerk, beispielsweise aus technischer Anlage und/oder Leitsystem, die einen Antrag, beispielsweise von einem Leitsystem, einer registrierten neuen Komponente , einer Anlagenkomponente oder einem Benutzer, für ein digitales Zerti fikat veri fi ziert und der Zerti fi zierungsstelle ( engl . "Certi ficate Authority ( CA) " ) mitteilt , dieses aus zustellen . The registration authority (RA) is in particular part of a PKI (Public Key Infrastructure (PKI)). The guidance system preferably uses a PKI. The RA is an authority in a network, for example of a technical system and/or control system, which verifies an application, for example from a control system, a registered new component, a system component or a user, for a digital certificate and the certificate Certi ficate Authority (CA) announces that it will issue this.
Gemäß einer weiteren Aus führungs form ist die erste Bereitstellungs-Einheit , die Überwachungs-Einheit , die erste Ermittlungs-Einheit , die zweite Ermittlungs-Einheit und/oder die zweite Bereitstellungs-Einheit des Leitsystems j eweils als eine Anwendung, insbesondere als ein Service oder als ein Mikroservice , ausgebildet . According to a further embodiment, the first provision unit, the monitoring unit, the first investigation unit, the second investigation unit and/or the second provision unit of the control system are each as an application, in particular as a service or trained as a microservice.
Die Ausbildung zumindest einer der obigen in dieser Aus führungs form beschriebenen j eweiligen Einheiten als eine Anwendung hat den Vorteil , dass sich die Skalierbarkeit oder Erweiterbarkeit des Leitsystems und dessen j eweiliger Einheiten verbessert , da sich die Größe des Leitsystems mittels Mikroservices flexibel ändern lässt , ohne die Bereitstellung von Services zu beeinträchtigen . Mit anderen Worten können die j eweiligen Einheiten des Leitsystems als dedi zierte Services oder Mikroservices sowohl einzeln zur Erweiterung des Leitsystems und/oder der technischen Anlage als auch gemeinsam im Kontext eines Software-Ökosystems bereitgestellt werden und dadurch an das gesamte Zerti fikatsmanagement des Leitsystems besser angepasst werden . Forming at least one of the respective units described above in this embodiment as an application has the advantage that the scalability or expandability of the control system and its respective units is improved, since the size of the control system can be flexibly changed using microservices, without to affect the provision of services. In other words, the respective units of the control system can be provided as dedicated services or microservices both individually to expand the control system and/or the technical system as well as together in the context of a software ecosystem and thereby better adapted to the entire certificate management of the control system become .
Mikroservices sind Architekturmuster der Inf ormationstechnik, bei denen komplexe Anwendungen aus unabhängigen Prozessen generiert werden, die untereinander mit sprachunabhängigen Programmierschnittstellen, wie beispielsweise API s , kommunizieren können . Mikroservices ermöglichen einen modularen Aufbau von Anwendungen und haben den Vorteil , dass j eder Mikroservice unabhängig entwickelt und bereitgestellt werden kann, ohne dass dies Auswirkungen auf andere Mikroservices hat . Die Anwendung kann auch als eine in einem Container eingebettete Anwendung ausgebildet sein . Der Container ist insbesondere ein Software-Container, welcher in einer Aus führungsumgebung angeordnet ist , und in welchem eine j eweilige Anwendung aus führbar ist , und welcher von anderen Containern getrennt ist . In einem Container können auch als Mikroservices ausgebildete Anwendungen oder mehrere Teile einer Anwendung auf derselben Hardware unabhängig voneinander ausgeführt werden . Auch kann eine Gruppe von Anwendungen auf unterschiedlichen einzelnen Containern ausgeführt werden . Microservices are information technology architecture patterns in which complex applications are generated from independent processes that can communicate with each other using language-independent programming interfaces, such as APIs. Microservices enable a modular structure of applications and have the advantage that each microservice can be developed and deployed independently without affecting other microservices. The application can also be designed as an application embedded in a container. The container is in particular a software container which is arranged in an execution environment and in which a respective application can be executed and which is separate from other containers. Applications designed as microservices or several parts of an application can also be executed independently of one another on the same hardware in a container. A group of applications can also run on different individual containers.
Die j eweilige Einheit , zum Beispiel die erste Bereitstellungs-Einheit oder die erste Ermittlungs-Einheit , kann aber auch hardwaretechnisch oder aus einer Kombination von hardwaretechnischen und/oder auch softwaretechnischen Elementen implementiert sein . Bei einer hardwaretechnischen Implementierung kann die j eweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor, ausgebildet sein . Bei einer softwaretechnischen Implementierung kann die j eweilige Einheit als Computerprogrammprodukt , als eine Funktion, als eine Routine , als Teil eines Programmcodes , als die Anwendung oder als aus führbares Obj ekt ausgebildet sein . The respective unit, for example the first provision unit or the first determination unit, can also be implemented in terms of hardware or from a combination of hardware and/or software elements. In the case of a hardware implementation, the respective unit can be designed as a device or as part of a device, for example as a computer or as a microprocessor. In the case of a software implementation, the respective unit can be designed as a computer program product, as a function, as a routine, as part of a program code, as the application or as an executable object.
Gemäß einer weiteren Aus führungs form weist das Leitsystem auf : eine Steuereinrichtung, die dazu eingerichtet ist , zumindest die erste Bereitstellungs-Einheit , die Überwachungs-Einheit , die erste Ermittlungs-Einheit , die zweite Ermittlungs-Einheit und/oder die zweite Bereitstellungs- Einheit des Leitsystems anzusteuern . According to a further embodiment, the control system has: a control device that is set up to control at least the first provision unit, the monitoring unit, the first determination unit, the second determination unit and/or the second provision unit of the control system.
Mittels der Steuereinrichtung wird in vorteilhafter Weise ein automatisierter Ablauf zum Einrichten der zumindest einen neuen Komponente in dem Leitsystem durchgeführt . By means of the control device, an automated process for setting up the at least one new component in the control system is advantageously carried out.
Hierbei ist die Steuereinrichtung dazu eingerichtet , die j eweiligen Einheiten des Leitsystems derart anzusteuern, dass ein Bereitstellen mittels der ersten Bereitstellungs-Einheit , ein Überwachen mittels der Überwachungs-Einheit , ein Ermitteln mittels der ersten Ermittlungs-Einheit , ein Ermitteln mittels der zweiten Ermittlungs-Einheit und ein Bereitstellen mittels der zweiten Bereitstellungs-Einheit vollautomatisiert ohne Eingrei fen eines (menschlichen) Benutzers durchgeführt werden, um so vollautomatisiert das Einrichten zumindest der neuen Komponente durchzuführen . The control device is set up to control the respective units of the control system in such a way that provision by means of the first provision unit, monitoring by means of the monitoring unit, determination by means of the first determination unit, determination by means of the second determination unit and provision by means of the second provision unit in a fully automated manner without human intervention ) User can be carried out in order to set up at least the new component fully automatically.
In einer Aus führungs form ist das Leitsystem insbesondere als ein Cluster ausgebildet , auf welchem die j eweiligen Einheiten des Leitsystems als eine j eweilige in einem Container eingebettete Anwendung in einer j eweiligen Aus führungsumgebung ausgebildet sind und dort insbesondere mittels der Steuereinrichtung gesteuert und ausgeführt werden . Dies hat den Vorteil , dass die j eweiligen Einheiten auf verschiedenen Anlagenkomponenten des Leitsystems oder in der Cloud separat ausgeführt werden können und zudem insbesondere auch nicht an die verschiedenen Anlagenkomponenten gebunden sind . Ein Cluster oder ein Software-Cluster oder auch Rechnerverbund bezeichnet eine Anzahl von vernetzten Software-Anwendungen und/oder deren zugehörigen Computern . In one embodiment, the control system is designed in particular as a cluster on which the respective units of the control system are designed as a respective application embedded in a container in a respective execution environment and are controlled and executed there in particular by means of the control device. This has the advantage that the respective units can be executed separately on different system components of the control system or in the cloud and, in particular, are not tied to the different system components. A cluster or a software cluster or computer network refers to a number of networked software applications and/or their associated computers.
Gemäß einer weiteren Aus führungs form ist die zumindest eine neue registrierte Komponente als eine Anlagenkomponente ausgebildet , wobei die Anlagenkomponente als eine Maschine , wie eine Werkzeugmaschine oder ein Roboter, als ein Feldgerät , beispielsweise ein Edge-Device , eine Speicherprogrammierbare Steuerung, ein Sensor oder ein Aktor und/oder als eine Netzwerkkomponente , wie ein Netzwerk-Switch, eine Firewall- Komponente oder ein Industrial-PC, ausgebildet ist . According to a further embodiment, the at least one new registered component is designed as a system component, wherein the system component is designed as a machine, such as a machine tool or a robot, as a field device, for example an edge device, a programmable logic controller, a sensor or a Actuator and/or as a network component, such as a network switch, a firewall component or an industrial PC, is designed.
Eine dann in dem Geräteinventar registrierte neue Komponente ist insbesondere eine Anlagenkomponente der technischen Anlage . Bei einer Anlagenkomponente kann es sich ferner um einzelne Messumformer für Sensoren oder Steuergeräte für Aktoren der technischen Anlage handeln . Eine Anlagenkomponente kann aber auch ein Zusammenschluss mehrerer solcher Messumformer oder Steuergeräte sein, beispielsweise ein Motor, ein Reaktor, eine Pumpe oder ein Ventilsystem . Übergeordnete Geräte wie ein Automatisierungsgerät , ein Operator Station Server oder eine dezentrale Periphere sind ebenfalls unter dem Begri f f "Anlagenkomponente" zu fassen . Ein Automatisierungsgerät ist dabei ein technisches Gerät , das zur Realisierung einer Automatisierung benutzt wird . Es kann sich dabei beispielsweise um eine speicherprogrammierbare Steuerung ( Feldgerät ) handeln, die eine übergeordnete Steuerungs funktion für untergeordnete Steuerungen darstellt . Die Anlagenkomponente kann ferner als eine lokale Datenverarbeitungseinheit ( engl . "Local-Data-Processing Engine" ) eines industriellen loT-Geräts ausgebildet sein . Zudem kann die Steuereinrichtung dazu eingerichtet sein, zumindest eine Anlagenkomponente der Mehrzahl von Anlagenkomponenten anzusteuern . A new component then registered in the device inventory is in particular a system component of the technical system. A system component can also be individual measuring transducers for sensors or control devices for actuators of the technical system. A system component can also be a combination of several such components Be measuring transducers or control devices, for example a motor, a reactor, a pump or a valve system. Higher-level devices such as an automation device, an operator station server or a decentralized peripheral are also included under the term “system component”. An automation device is a technical device that is used to implement automation. This can be, for example, a programmable logic controller (field device) that represents a higher-level control function for lower-level controllers. The system component can also be designed as a local data processing unit of an industrial LoT device. In addition, the control device can be set up to control at least one system component of the plurality of system components.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht expli zit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Aus führungsbeispiele beschriebenen Merkmale oder Aus führungs formen . Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der j eweiligen Grundform der Erfindung hinzufügen . Further possible implementations of the invention also include combinations of features or embodiments described above or below with regard to the exemplary embodiments that are not explicitly mentioned. The person skilled in the art will also add individual aspects as improvements or additions to the respective basic form of the invention.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Aus führungsbeispiele der Erfindung . Im Weiteren wird die Erfindung anhand von bevorzugten Aus führungs formen unter Bezugnahme auf die beigelegten Figuren näher erläutert . Further advantageous refinements and aspects of the invention are the subject of the subclaims and the exemplary embodiments of the invention described below. The invention is further explained in more detail using preferred embodiments with reference to the accompanying figures.
Fig . 1 zeigt ein schematisches Blockdiagramm eines Aus führungsbeispiels eines Leitsystems für eine technische Anlage ; und Fig. 1 shows a schematic block diagram of an exemplary embodiment of a control system for a technical system; and
Fig . 2 zeigt ein schematisches Ablauf diagramm einesFig. 2 shows a schematic flow diagram of one
Verfahrens zum Einrichten einer neuen Komponente . In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. Procedure for setting up a new component. In the figures, identical or functionally identical elements have been given the same reference numbers unless otherwise stated.
Fig. 1 zeigt ein schematisches Blockdiagramm eines Ausführungsbeispiels eines Leitsystems 100 für eine technische Anlage 1, wie eine Automatisierungsanlage. Die technische Anlage 1 weist in der Fig. 1 das Leitsystem 100 auf. Wie in Fig. 1 dargestellt, weist das Leitsystem 100 mehrere (registrierte) neue Komponenten 10, 30 auf. Eine neue Komponente 10, 30 ist in der Fig. 1 als ein Feldgerät ausgebildet. Alternativ kann die neue Komponente 10, 30 als eine Netzwerkkomponente, wie ein Netzwerk-Switch, eine Firewall-Komponente oder ein Industrial-PC, ausgebildet sein. Fig. 1 shows a schematic block diagram of an exemplary embodiment of a control system 100 for a technical system 1, such as an automation system. The technical system 1 has the control system 100 in FIG. As shown in Fig. 1, the control system 100 has several (registered) new components 10, 30. A new component 10, 30 is designed as a field device in FIG. 1. Alternatively, the new component 10, 30 can be designed as a network component, such as a network switch, a firewall component or an industrial PC.
Darüber hinaus sind Verweise auf die Verfahrensschritte S100 bis S108 von Fig. 2, die ein schematisches Ablauf diagramm eines Ausführungsbeispiels eines Verfahrens zum Einrichten einer neuen Komponente zeigt, in den folgenden Erläuterungen zu Fig. 1 in Klammern mit angegeben. In addition, references to method steps S100 to S108 of FIG. 2, which shows a schematic flow diagram of an exemplary embodiment of a method for setting up a new component, are given in brackets in the following explanations for FIG. 1.
Das Leitsystem 100 weist in Fig. 1 eine erste Bereitstellungs-Einheit 15, eine Überwachungs-Einheit 16, eine erste Ermittlungs-Einheit 17, eine zweite Ermittlungs-Einheit 18 und eine zweite Bereitstellungs-Einheit 19 auf. In der Fig. 1 weist die (registrierte) neue Komponente 10 eine Sende- Einheit 21 und eine Empfangs-Einheit 22 auf. Alternativ weist das Leitsystem 100 die Sende-Einheit 21 und die Empfangs- Einheit 22 auf (nicht dargestellt) . Darüber hinaus weist die technische Anlage 1 ein Geräteinventar 20 auf, welches in der Fig. 1 Teil des Leitsystems 100 ist und welches in der Fig. 1 computer-implementiert ausgebildet ist. Auch weist das Leitsystem 100 eine Steuereinrichtung 40 auf. Die Einheiten 15 - 19, das Geräteinventar 20, die neuen Komponenten 10, 30 sind in der Fig. 1 mit der Steuereinrichtung 40 zum Übertragen von Daten verbunden (nicht dargestellt) . Die erste Bereitstellungs-Einheit 15 ist zum Bereitstellen von spezi fischen Konfigurationsregeln zum Konfigurieren einer neuen Komponente 10 eingerichtet ( siehe Schritt S 100 der Fig . 2 ) . Dabei weisen die bereitgestellten spezi fischen Konfigurationsregeln registrierungsspezi fische , herstellerspezi fische , komponentenspezi fische und/oder protokollspezi fische Konfigurationsregeln auf . Darüber hinaus werden die spezi fischen Konfigurationsregeln vorkonfiguriert bereitgestellt . Alternativ oder zusätzlich werden die spezi fischen Konfigurationsregeln zur Lauf zeit der technischen Anlage 1 zu zumindest einem vorbestimmten Zeitpunkt bereitgestellt . In FIG. 1, the control system 100 has a first provision unit 15, a monitoring unit 16, a first determination unit 17, a second determination unit 18 and a second provision unit 19. In Fig. 1, the (registered) new component 10 has a transmitting unit 21 and a receiving unit 22. Alternatively, the control system 100 has the transmitting unit 21 and the receiving unit 22 (not shown). In addition, the technical system 1 has a device inventory 20, which is part of the control system 100 in FIG. 1 and which is designed to be computer-implemented in FIG. The control system 100 also has a control device 40. The units 15 - 19, the device inventory 20, the new components 10, 30 are connected in FIG. 1 to the control device 40 for transmitting data (not shown). The first provision unit 15 is set up to provide specific configuration rules for configuring a new component 10 (see step S 100 of FIG. 2). The specific configuration rules provided have registration-specific, manufacturer-specific, component-specific and/or protocol-specific configuration rules. In addition, the specific configuration rules are provided preconfigured. Alternatively or additionally, the specific configuration rules are provided at least at a predetermined time during the running time of the technical system 1.
Weiterhin ist die Überwachungs-Einheit 16 zum Überwachen des Geräteinventars 20 hinsichtlich eines Auftretens einer vorbestimmten Änderung, welche ein Registrieren einer neuen Komponente 10 in dem Geräteinventar 20 aufweist , eingerichtet ( siehe Schritt S 101 der Fig . 2 ) . Hierzu ist die Überwachungs- Einheit 16 mit dem Geräteinventar 20 verbunden . Furthermore, the monitoring unit 16 is set up to monitor the device inventory 20 with regard to the occurrence of a predetermined change, which includes registering a new component 10 in the device inventory 20 (see step S 101 of FIG. 2). For this purpose, the monitoring unit 16 is connected to the device inventory 20.
Dann ist die erste Ermittlungs-Einheit 17 zum Ermitteln, bei Auftreten der vorbestimmten Änderung, von für die registrierte neue Komponente 10 indikativen Komponentendaten iKOMP in Abhängigkeit des Geräteinventars 20 eingerichtet ( siehe Schritt S 102 der Fig . 2 ) . Hier ist die erste Ermittlungs- Einheit 17 mit dem Geräteinventar 20 verbunden . Ferner ist die erste Ermittlungs-Einheit 17 dazu eingerichtet , nachdem die vorbestimmte Änderung aufgetreten ist , zumindest ein komponentenspezi fisches Zerti fikat in Abhängigkeit der registrierten neuen Komponente 10 in dem Geräteinventar 20 einzurichten . Then the first determination unit 17 is set up to determine, when the predetermined change occurs, component data iKOMP indicative of the registered new component 10 depending on the device inventory 20 (see step S 102 of FIG. 2). Here the first determination unit 17 is connected to the device inventory 20. Furthermore, the first determination unit 17 is set up to set up at least one component-specific certificate depending on the registered new component 10 in the device inventory 20 after the predetermined change has occurred.
Anschließend ist die zweite Ermittlungs-Einheit 18 zum Ermitteln eines spezi fischen Typs von Konfigurationsdaten und eines spezi fischen Bereitstellungstyps Typl , Typ2 , Typ3 für die registrierte neue Komponente 10 in Abhängigkeit der bereitgestellten spezi fischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten iKOMP eingerichtet ( siehe Schritt S 103 der Fig . 2 ) . Die erste Ermittlungs- Einheit 17 ist zum Übertragen der ermittelten indikativen Komponentendaten iKOMP zu der zweiten Ermittlungs-Einheit 18 eingerichtet , was mittels eines Pfeils zwischen der ersten und der zweiten Ermittlungs-Einheit 17 , 18 in Fig . 1 dargestellt ist . Ferner ist die zweite Ermittlungs-Einheit 18 mit der ersten Bereitstellungs-Einheit 15 zum Erhalten der bereitgestellten spezi fischen Konfigurationsregeln verbunden . The second determination unit 18 is then set up to determine a specific type of configuration data and a specific provision type Type1, Type2, Type3 for the registered new component 10 depending on the specific configuration rules provided and the determined indicative component data iKOMP (see step S 103 of FIG. 2). The first investigation Unit 17 is set up to transmit the determined indicative component data iKOMP to the second determination unit 18, which is indicated by an arrow between the first and second determination units 17, 18 in FIG. 1 is shown. Furthermore, the second determination unit 18 is connected to the first provision unit 15 for obtaining the provided specific configuration rules.
Das Ermitteln gemäß der zweiten Ermittlungs-Einheit 18 weist ein Zuordnen der registrierten neuen Komponente 10 in Abhängigkeit der bereitgestellten spezi fischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten zu einem spezi fischen Komponententyp auf . Hierbei wird einem j eweiligen spezi fischen Komponententyp ein j eweiliger spezifischer Typ von Konfigurationsdaten zugeordnet . Ein spezi fischer Komponententyp wird zumindest als ein erster herstellerspezi fischer Komponententyp, als ein zweiter herstellerspezi fischer Komponententyp oder als ein anlagenspezifischer Komponententyp ausgebildet . The determination according to the second determination unit 18 involves assigning the registered new component 10 to a specific component type depending on the specific configuration rules provided and the determined indicative component data. A respective specific type of configuration data is assigned to a respective specific component type. A specific component type is designed at least as a first manufacturer-specific component type, as a second manufacturer-specific component type or as a system-specific component type.
Danach ist die zweite Bereitstellungs-Einheit 19 zum Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten in der registrierten neuen Komponente 10 in Abhängigkeit des ermittelten spezi fischen Bereitstellungstyps Typl , Typ2 , Typ3 eingerichtet ( siehe Schritt S 104 der Fig . 2 ) . Ferner ist die zweite Bereitstellungs-Einheit 19 mit der zweiten Ermittlungs-Einheit 18 zum Erhalten des ermittelten spezi fischen Typs von Konfigurationsdaten und des spezi fischen Bereitstellungstyps Typl , Typ2 , Typ3 verbunden . Auch ist die zweite Bereitstellungs-Einheit 19 in der Fig . 1 mit der Überwachungs-Einheit 16 zum Austauschen von Daten verbunden . The second provision unit 19 is then set up to provide the determined specific type of configuration data in the registered new component 10 depending on the determined specific provision type Type1, Type2, Type3 (see step S 104 of FIG. 2). Furthermore, the second provision unit 19 is connected to the second determination unit 18 for obtaining the determined specific type of configuration data and the specific provision type Type1, Type2, Type3. The second provision unit 19 is also shown in FIG. 1 connected to the monitoring unit 16 for exchanging data.
Ein spezi fischer Bereitstellungstyp wird als ein erster, als ein zweiter oder als ein dritter spezi fischer Bereitstellungstyp Typl , Typ2 , Typ3 ausgebildet . Der erste spezi fische Bereitstellungstyp Typl weist ein automatisiertes Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten mittels einer Automatisierungsentität 23 auf . A specific provision type is designed as a first, a second or a third specific provision type Type1, Type2, Type3. The first specific provision type Typl has an automated provision of the determined specific type of configuration data using an automation entity 23.
Weiterhin weist der zweite spezi fische Bereitstellungstyp Typ2 ein automatisiertes Bereitstellen des ermittelten spezifischen Typs von Konfigurationsdaten anhand eines bestimmten Protokolls P auf . Ferner weist der dritte spezi fische Bereitstellungstyp Typ3 ein manuelles Bereitstellen des ermittelten spezi fischen Typs von Konfigurationsdaten anhand einer Eingabe eines Benutzers User des Leitsystems 100 auf . Furthermore, the second specific provision type Type2 has an automated provision of the determined specific type of configuration data using a specific protocol P. Furthermore, the third specific provision type Type3 has a manual provision of the determined specific type of configuration data based on an input from a user of the control system 100.
Der erste , zweite und dritte spezi fische Bereitstellungstyp Typl , Typ2 , Typ3 ist in der Fig . 1 j eweils mit unterschiedlichen Pfeilen dargestellt , welche j eweils mittelbar von der zweiten Bereitstellungs-Einheit 19 entweder über die Automatisierungsentität 23 , das Protokoll P oder den Benutzer User zu der registrierten neuen Komponente 10 ausgebildet sind . The first, second and third specific deployment types Type1, Type2, Type3 are shown in FIG. 1 each shown with different arrows, which are each formed indirectly by the second provision unit 19 either via the automation entity 23, the protocol P or the user user to the registered new component 10.
Darüber hinaus ist die Sende-Einheit 21 zum Senden eines Zerti fikatsantrags CSR zum Ausstellen zumindest eines Zerti fikats GERT für die registrierte neue Komponente 10 zumindest in Abhängigkeit des bereitgestellten spezi fischen Typs von Konfigurationsdaten eingerichtet ( siehe Schritt S 105 der Fig . 2 ) . In addition, the sending unit 21 is set up to send a certificate request CSR for issuing at least one certificate GERT for the registered new component 10, at least depending on the specific type of configuration data provided (see step S 105 of FIG. 2).
Anschließend ist eine Zerti fi zierungsstelle CA des Leitsystems 100 dazu eingerichtet , den gesendeten Zerti fikatsantrag CSR zu validieren und bei einer erfolgreichen Validierung des gesendeten Zerti fikatsantrags CSR, das zumindest eine Zertifikat GERT für die registrierte neue Komponente 10 aus zustellen . Das zumindest eine ausgestellte Zerti fikat GERT der registrierten neuen Komponente 10 ist in der Fig . 1 als ein digitales Public-Key-Zerti f ikat ausgebildet . Danach ist die Empfangs-Einheit 22 zum Empfangen des zumindest einen ausgestellten Zerti fikats GERT eingerichtet ( siehe Schritt S106 der Fig . 2 ) . Zudem kann die vorbestimmte Änderung ferner eine Änderung zumindest eines im Geräteinventar 20 abgespeicherten spezifischen Typs von Konfigurationsdaten aufweisen. A certification body CA of the control system 100 is then set up to validate the sent certificate request CSR and, if the sent certificate request CSR is successfully validated, to issue at least one GERT certificate for the registered new component 10. The at least one issued certificate GERT of the registered new component 10 is shown in FIG. 1 designed as a digital public key certificate. The receiving unit 22 is then set up to receive the at least one issued certificate GERT (see step S106 of FIG. 2). In addition, the predetermined change may further comprise a change of at least one specific type of configuration data stored in the device inventory 20.
Hierbei ist insbesondere die Überwachungs-Einheit 16 dazu eingerichtet, bei Auftreten der Änderung zumindest eines im Geräteinventar 20 abgespeicherten spezifischen Typs von Konfigurationsdaten, zumindest eine registrierte Komponente 10 aus mehreren in dem Geräteinventar 20 registrierten Komponenten 10, 30, welche den abgespeicherten spezifischen Typ von Konfigurationsdaten betreffend die Änderung aufweist, zu ermitteln (siehe Schritt S107 der Fig. 2) . In particular, the monitoring unit 16 is set up to, when a change occurs at least one specific type of configuration data stored in the device inventory 20, at least one registered component 10 from a plurality of components 10, 30 registered in the device inventory 20, which contains the stored specific type of configuration data concerning the change has to be determined (see step S107 of FIG. 2).
Danach ist eine nicht dargestellte Aktualisierungs-Einheit dazu eingerichtet, den abgespeicherten spezifischen Typ von Konfigurationsdaten zu aktualisieren und den aktualisierten spezifischen Typ von Konfigurationsdaten in der zumindest einen ermittelten registrierten Komponente 10 in Abhängigkeit des ermittelten spezifischen Bereitstellungstyps Typl, Typ2, Typ3 für die zumindest eine registrierte Komponente 10 bereitzustellen (siehe Schritt S108 der Fig. 2) . Thereafter, an update unit, not shown, is set up to update the stored specific type of configuration data and the updated specific type of configuration data in the at least one determined registered component 10 depending on the determined specific provision type Type1, Type2, Type3 for the at least one registered one To provide component 10 (see step S108 of FIG. 2).
In der Fig. 1 ist die erste Bereitstellungs-Einheit 15, die Überwachungs-Einheit 16, die erste Ermittlungs-Einheit 17, die zweite Ermittlungs-Einheit 18 und/oder die zweite Bereitstellungs-Einheit 19 jeweils als eine Anwendung, insbesondere als ein Mikroservice, ausgebildet. 1, the first provisioning unit 15, the monitoring unit 16, the first determination unit 17, the second determination unit 18 and/or the second provisioning unit 19 are each as an application, in particular as a microservice , educated.
Darüber hinaus ist die Steuereinrichtung 40 dazu eingerichtet, zumindest die erste Bereitstellungs-Einheit 15, die Überwachungs-Einheit 16, die erste Ermittlungs-Einheit 17, die zweite Ermittlungs-Einheit 18 und/oder die zweite Bereitstellungs-Einheit 19 des Leitsystems 100 anzusteuern. In addition, the control device 40 is set up to control at least the first provision unit 15, the monitoring unit 16, the first determination unit 17, the second determination unit 18 and/or the second provision unit 19 of the control system 100.
Fig. 2 zeigt ein Ablauf diagramm, welches die Schritte des Verfahrens zum Einrichten einer neuen Komponente 10, 30 (siehe Fig. 1) gemäß eines Ausführungsbeispiels zeigt. Das Verfahren umfasst die Schritte S100 bis S108. Die jeweiligen Verfahrensschritte S100 bis S108 wurden bereits anhand von Fig. 1 erläutert, weshalb zur Vermeidung von Wiederholungen die Verfahrensschritte S100 bis S108 nicht nochmals beschrieben werden. Fig. 2 shows a flow chart showing the steps of the method for setting up a new component 10, 30 (see Fig. 1) according to an exemplary embodiment. The Method includes steps S100 to S108. The respective method steps S100 to S108 have already been explained with reference to FIG. 1, which is why the method steps S100 to S108 are not described again to avoid repetition.
Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described using exemplary embodiments, it can be modified in many ways.
Bezugs zeichenliste reference character list
1 technische Anlage 1 technical facility
10 neue Komponente (Anlagenkomponente )10 new component (system component)
15 erste Bereitstellungs-Einheit 15 first deployment unit
16 die Überwachungs-Einheit 16 the monitoring unit
17 erste Ermittlungs-Einheit 17 first investigation unit
18 zweite Ermittlungs-Einheit 18 second investigation unit
19 zweite Bereitstellungs-Einheit19 second deployment unit
20 Geräteinventar 20 Device Inventory
21 Sende-Einheit 21 transmitter unit
22 Empfangs-Einheit 22 reception unit
23 Automatisierungsentität 23 Automation entity
30 neue Komponente (Anlagenkomponente )30 new components (system components)
40 Steuereinrichtung 40 control device
100 Leitsystem 100 guidance system
CA Zerti fi zierungsstelle CA certification body
GERT Zerti fikat GERT certificate
CSR Zerti fikatsantrag iKOMP indikative Komponentendaten CSR certificate application iKOMP indicative component data
P Protokoll P protocol
5100 Verfahrensschritt 5100 procedural step
5101 Verfahrensschritt 5101 Procedural step
5102 Verfahrensschritt 5102 Procedural step
5103 Verfahrensschritt 5103 Procedural step
5104 Verfahrensschritt 5104 Procedural step
5105 Verfahrensschritt 5105 Procedural step
5106 Verfahrensschritt 5106 Procedural step
5107 Verfahrensschritt 5107 Procedural step
5108 Verfahrensschritt 5108 Procedural step
Typl erster Bereitstellungstyp Typl first deployment type
Typ2 zweiter Bereitstellungstyp Type2 second deployment type
Typ3 dritter Bereitstellungstyp Type3 third deployment type
User Benutzer User User

Claims

Patentansprüche Patent claims
1. Computer-implementiertes Verfahren zum Einrichten zumindest einer neuen Komponente (10) in einer technischen Anlage (1) mit einem Geräteinventar (20) , mit den Schritten: a) Bereitstellen (S100) von spezifischen Konfigurationsregeln zum Konfigurieren einer neuen Komponente (10) , b) Überwachen (S101) des Geräteinventars (20) hinsichtlich eines Auftretens einer vorbestimmten Änderung, welche ein Registrieren einer neuen Komponente (10) in dem Geräteinventar (20) aufweist, c) Ermitteln (S102) , bei Auftreten der vorbestimmten Änderung, von für die registrierte neue Komponente (10) indikativen Komponentendaten (iKOMP) in Abhängigkeit des Geräteinventars (20) , d) Ermitteln (S103) eines spezifischen Typs von Konfigurationsdaten und eines spezifischen Bereitstellungstyps (Typl, Typ2, Typ3) für die registrierte neue Komponente (10) in Abhängigkeit der bereitgestellten spezifischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten (iKOMP) , und e) Bereitstellen (S104) des ermittelten spezifischen Typs von Konfigurationsdaten in der registrierten neuen Komponente (10) in Abhängigkeit des ermittelten spezifischen Bereitstellungstyps (Typl, Typ2, Typ3) . 1. Computer-implemented method for setting up at least one new component (10) in a technical system (1) with a device inventory (20), with the steps: a) Providing (S100) specific configuration rules for configuring a new component (10) , b) monitoring (S101) of the device inventory (20) with regard to the occurrence of a predetermined change, which includes registering a new component (10) in the device inventory (20), c) determining (S102) when the predetermined change occurs for the registered new component (10) indicative component data (iKOMP) depending on the device inventory (20), d) determining (S103) a specific type of configuration data and a specific provision type (Typl, Type2, Type3) for the registered new component (10 ) depending on the specific configuration rules provided and the determined indicative component data (iKOMP), and e) providing (S104) the determined specific type of configuration data in the registered new component (10) depending on the determined specific provision type (Typl, Type2, Type3) .
2. Verfahren nach Anspruch 1, gekennzeichnet durch: f) Senden (S105) eines Zertifikatsantrags (CSR) zum Ausstellen zumindest eines Zertifikats (GERT) für die registrierte neue Komponente (10) zumindest in Abhängigkeit des bereitgestellten spezifischen Typs von Konfigurationsdaten, und g) Empfangen ( S 106 ) , bei einer erfolgreichen Validierung des gesendeten Zertifikatsantrags (CSR) , des zumindest einen ausgestellten Zertifikats (GERT) . 2. The method according to claim 1, characterized by: f) sending (S105) a certificate request (CSR) for issuing at least one certificate (GERT) for the registered new component (10) at least depending on the specific type of configuration data provided, and g) Receive (S 106), upon successful validation of the sent certificate request (CSR), of the at least one issued certificate (GERT).
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die bereitgestellten spezifischen Konfigurationsregeln registrierungsspezifische, insbesondere einen bestimmten Typ eines Registrierungsverfahrens, herstellerspezifische, komponentenspezifische und/oder protokollspezifische Konfigurationsregeln aufweisen. 3. Method according to claim 1 or 2, characterized in that the specific configuration rules provided have registration-specific, in particular a specific type of registration procedure, manufacturer-specific, component-specific and / or protocol-specific configuration rules.
4. Verfahren nach einem der Ansprüche 1 - 3, dadurch gekennzeichnet, dass die spezifischen Konfigurationsregeln vorkonfiguriert bereitgestellt werden und/oder zur Laufzeit der technischen Anlage (1) zu zumindest einem vorbestimmten Zeitpunkt bereitgestellt werden. 4. The method according to any one of claims 1 - 3, characterized in that the specific configuration rules are provided preconfigured and / or are provided at least at a predetermined time during the runtime of the technical system (1).
5. Verfahren nach einem der Ansprüche 1 - 4, dadurch gekennzeichnet, dass das Ermitteln (S103) gemäß Schritt d) ein Zuordnen der registrierten neuen Komponente (10) in Abhängigkeit der bereitgestellten spezifischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten zu einem spezifischen Komponententyp aufweist, wobei einem jeweiligen spezifischen Komponententyp ein jeweiliger spezifischer Typ von Konfigurationsdaten zugeordnet wird, wobei der spezifische Komponententyp zumindest als ein erster herstellerspezifischer Komponententyp, als ein zweiter herstellerspezifischer Komponententyp oder als ein anlagenspezifischer Komponententyp ausgebildet wird. 5. The method according to any one of claims 1 - 4, characterized in that the determination (S103) according to step d) comprises assigning the registered new component (10) to a specific component type depending on the specific configuration rules provided and the determined indicative component data, wherein a respective specific type of configuration data is assigned to a respective specific component type, wherein the specific component type is designed at least as a first manufacturer-specific component type, as a second manufacturer-specific component type or as a system-specific component type.
6. Verfahren nach einem der Ansprüche 1 - 5, dadurch gekennzeichnet, dass ein spezifischer Bereitstellungstyp als ein erster, als ein zweiter oder als ein dritter spezifischer Bereitstellungstyp (Typl, Typ2, Typ3) ausgebildet wird, wobei der erste spezifische Bereitstellungstyp (Typl) ein automatisiertes Bereitstellen des ermittelten spezifischen Typs von Konfigurationsdaten mittels einer Automatisierungsentität (23) aufweist, wobei der zweite spezifische Bereitstellungstyp (Typ2) ein automatisiertes Bereitstellen des ermittelten spezifischen Typs von Konfigurationsdaten anhand eines bestimmten Protokolls (P) , insbesondere eines Netzwerkprotokolls, aufweist, und wobei der dritte spezifische Bereitstellungstyp (Typ3) ein manuelles Bereitstellen des ermittelten spezifischen Typs von Konfigurationsdaten anhand einer Eingabe eines Benutzers (User) der technischen Anlage (1) oder eines Leitsystems (100) für die technische Anlage (1) aufweist. 6. The method according to any one of claims 1 - 5, characterized in that a specific provision type is designed as a first, as a second or as a third specific provision type (Typl, Type2, Type3), the first specific provision type (Typl). automated provision of the determined specific type of configuration data by means of an automation entity (23), wherein the second specific provision type (Type2) includes automated provision of the determined specific type of configuration data based on a specific protocol (P), in particular a network protocol, and wherein the third specific provision type (Type3) involves manual provision of the determined specific type of configuration data based on an input from a user of the technical system (1) or a control system (100) for the technical system (1).
7. Verfahren nach einem der Ansprüche 1 - 6, dadurch gekennzeichnet, dass der Schritt c) (S102) ferner aufweist: 7. The method according to any one of claims 1 - 6, characterized in that step c) (S102) further comprises:
Einrichten, nachdem die vorbestimmte Änderung aufgetreten ist, zumindest eines komponentenspezifischen Zertifikats in Abhängigkeit der registrierten neuen Komponente (10) in dem Geräteinventar (20) . After the predetermined change has occurred, setting up at least one component-specific certificate depending on the registered new component (10) in the device inventory (20).
8. Verfahren nach einem der Ansprüche 1 - 7, dadurch gekennzeichnet, dass das Geräteinventar (20) computer-implementiert ausgebildet wird und als eine dedizierte Instanz in der technischen Anlage (1) , als Teil einer Registrierungsstelle der technischen Anlage (1) oder in einer Cloud, welche mit der technischen Anlage (1) verbunden ist, ausgebildet wird. 8. The method according to any one of claims 1 - 7, characterized in that the device inventory (20) is designed to be computer-implemented and as a dedicated instance in the technical system (1), as part of a registration point of the technical system (1) or in a cloud which is connected to the technical system (1).
9. Verfahren nach einem der Ansprüche 1 - 8, dadurch gekennzeichnet, dass die vorbestimmte Änderung ferner eine Änderung zumindest eines im Geräteinventar (20) abgespeicherten spezifischen Typs von Konfigurationsdaten aufweist, wobei das Verfahren ferner aufweist: h) Ermitteln (S107) , bei Auftreten der Änderung zumindest eines im Geräteinventar (20) abgespeicherten spezifischen Typs von Konfigurationsdaten, zumindest einer registrierten Komponente (10) aus mehreren in dem Geräteinventar (20) registrierten Komponenten (10, 30) , welche den abgespeicherten spezifischen Typ von Konfigurationsdaten betreffend die Änderung aufweist, und i) Aktualisieren (S108) des abgespeicherten spezifischen Typs von Konfigurationsdaten und Bereitstellen des aktualisierten spezifischen Typs von Konfigurationsdaten in der zumindest einen ermittelten registrierten Komponente (10) in Abhängigkeit des ermittelten spezifischen Bereitstellungstyps (Typl, Typ2, Typ3) für die zumindest eine registrierte Komponente (10) . 9. The method according to any one of claims 1 - 8, characterized in that the predetermined change further comprises a change of at least one specific type of configuration data stored in the device inventory (20), the method further comprising: h) determining (S107) when it occurs the change of at least one specific type of configuration data stored in the device inventory (20), at least one registered component (10) from several components (10, 30) registered in the device inventory (20), which has the stored specific type of configuration data relating to the change, and i) updating (S108) the stored specific type of configuration data and providing the updated specific type of configuration data in the at least one determined registered component (10) depending on the determined specific provision type (Typl, Type2, Type3) for the at least one registered component ( 10).
10. Verfahren nach einem der Ansprüche 2 - 9, dadurch gekennzeichnet, dass das zumindest eine ausgestellte Zertifikat (GERT) der registrierten neuen Komponente (10) als ein digitales Zertifikat, insbesondere als ein Public-Key-Zertif ikat , ausgebildet wird. 10. The method according to any one of claims 2 - 9, characterized in that the at least one issued certificate (GERT) of the registered new component (10) is designed as a digital certificate, in particular as a public key certificate.
11. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren nach einem der Ansprüche 1 - 10 auszuführen . 11. Computer program product, comprising commands which, when the program is executed by a computer, cause it to carry out the method according to one of claims 1-10.
12. Leitsystem (100) für eine technische Anlage (1) , insbesondere eine Automatisierungsanlage, wobei die technische Anlage (1) ein Geräteinventar (20) aufweist, wobei das Leitsystem (100) aufweist: eine erste Bereitstellungs-Einheit (15) zum Bereitstellen von spezifischen Konfigurationsregeln zum Konfigurieren einer neuen Komponente (10) , eine Überwachungs-Einheit (16) zum Überwachen des Geräteinventars (20) hinsichtlich eines Auftretens einer vorbestimmten Änderung, welche ein Registrieren einer neuen Komponente (10) in dem Geräteinventar (20) aufweist, eine erste Ermittlungs-Einheit (17) zum Ermitteln, bei Auftreten der vorbestimmten Änderung, von für die registrierte neue Komponente (10) indikativen Komponentendaten (iKOMP) in Abhängigkeit des Geräteinventars (20) , eine zweite Ermittlungs-Einheit (18) zum Ermitteln eines spezifischen Typs von Konfigurationsdaten und eines spezifischen Bereitstellungstyps (Typl, Typ2, Typ3) für die registrierte neue Komponente (10) in Abhängigkeit der be- reitgestellten spezifischen Konfigurationsregeln und der ermittelten indikativen Komponentendaten (iKOMP) , und eine zweite Bereitstellungs-Einheit (19) zum Bereitstellen des ermittelten spezifischen Typs von Konfigurationsdaten in der registrierten neuen Komponente (10) in Abhängigkeit des ermittelten spezifischen Bereitstellungstyps (Typl, Typ2, Typ3) . 12. Control system (100) for a technical system (1), in particular an automation system, wherein the technical system (1) has a device inventory (20), the control system (100) having: a first provision unit (15) for providing of specific configuration rules for configuring a new component (10), a monitoring unit (16) for monitoring the device inventory (20) with regard to the occurrence of a predetermined change, which comprises registering a new component (10) in the device inventory (20), a first determination unit (17) for determining, when the predetermined change occurs, component data (iKOMP) indicative of the registered new component (10) depending on the device inventory (20), a second determination unit (18) for determining a specific type of configuration data and a specific deployment type (Typl, Type2, Type3) for the registered new component (10) depending on the specific configuration rules provided and the determined indicative component data (iKOMP), and a second provision unit (19) for providing the determined specific type of configuration data in the registered new component (10) depending on the specific deployment type determined (Typl, Type2, Type3).
13. Leitsystem nach Anspruch 12, gekennzeichnet durch: eine Sende-Einheit (21) zum Senden eines Zertifikatsantrags (CSR) zum Ausstellen zumindest eines Zertifikats (GERT) für die registrierte neue Komponente (10) zumindest in Abhängigkeit des bereitgestellten spezifischen Typs von Konfigurationsdaten, und eine Empfangs-Einheit (22) zum Empfangen, bei einer erfolgreichen Validierung des gesendeten Zertifikatsantrags (CSR) , des zumindest einen ausgestellten Zertifikats (GERT) . 13. Control system according to claim 12, characterized by: a sending unit (21) for sending a certificate request (CSR) for issuing at least one certificate (GERT) for the registered new component (10) at least depending on the specific type of configuration data provided, and a receiving unit (22) for receiving, upon successful validation of the sent certificate request (CSR), the at least one issued certificate (GERT).
14. Leitsystem nach Anspruch 13, gekennzeichnet durch: eine Zertifizierungsstelle (CA) , welche dazu eingerichtet ist, den gesendeten Zertifikatsantrag (CSR) zu validieren und bei einer erfolgreichen Validierung des gesendeten Zertifikatsantrags (CSR) das zumindest eine Zertifikat (GERT) für die registrierte neue Komponente (10) auszustellen. 14. Control system according to claim 13, characterized by: a certification authority (CA), which is set up to validate the sent certificate request (CSR) and, if the sent certificate request (CSR) is successfully validated, the at least one certificate (GERT) for the registered to issue a new component (10).
15. Leitsystem nach einem der Ansprüche 12 - 14, dadurch gekennzeichnet, dass die erste Bereitstellungs-Einheit (15) , die Überwachungs-Einheit (16) , die erste Ermittlungs-Einheit (17) , die zweite Ermittlungs-Einheit (18) und/oder die zweite Bereitstellungs-Einheit (19) des Leitsystems (100) jeweils als eine Anwendung, insbesondere als ein Service oder als ein Mikroservice, ausgebildet ist. 15. Control system according to one of claims 12 - 14, characterized in that the first provision unit (15), the monitoring unit (16), the first determination unit (17), the second determination unit (18) and / or the second provision unit (19) of the control system (100) is each designed as an application, in particular as a service or as a microservice.
16. Leitsystem nach einem der Ansprüche 12 - 15, gekennzeichnet durch: eine Steuereinrichtung (40) , die dazu eingerichtet ist, zumindest die erste Bereitstellungs-Einheit (15) , die Überwachungs-Einheit (16) , die erste Ermittlungs-Einheit (17) , die zweite Ermittlungs-Einheit (18) und/oder die zweite16. Control system according to one of claims 12 - 15, characterized by: a control device (40) which is set up to control at least the first provision unit (15), the monitoring unit (16), the first determination unit (17), the second determination unit (18) and /or the second
Bereitstellungs-Einheit (19) des Leitsystems (100) anzusteuern . To control the provision unit (19) of the control system (100).
17. Leitsystem nach einem der Ansprüche 12 - 16, dadurch gekennzeichnet, dass zumindest eine neue registrierte Komponente (10) als eine Anlagenkomponente ausgebildet ist, wobei die Anlagenkomponente als eine Maschine, wie eine Werkzeugmaschine oder ein Roboter, als ein Feldgerät, beispielsweise ein Edge- Device, eine Speicherprogrammierbare Steuerung, ein Sensor oder ein Aktor und/oder als eine Netzwerkkomponente, wie ein Netzwerk-Switch, eine Firewall-Komponente oder ein Indus- trial-PC, ausgebildet ist. 17. Control system according to one of claims 12 - 16, characterized in that at least one new registered component (10) is designed as a system component, the system component being a machine, such as a machine tool or a robot, as a field device, for example an Edge - Device, a programmable logic controller, a sensor or an actuator and/or as a network component, such as a network switch, a firewall component or an industrial PC.
PCT/EP2022/074181 2022-08-31 2022-08-31 Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility WO2024046552A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2022/074181 WO2024046552A1 (en) 2022-08-31 2022-08-31 Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2022/074181 WO2024046552A1 (en) 2022-08-31 2022-08-31 Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility

Publications (1)

Publication Number Publication Date
WO2024046552A1 true WO2024046552A1 (en) 2024-03-07

Family

ID=83361054

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/074181 WO2024046552A1 (en) 2022-08-31 2022-08-31 Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility

Country Status (1)

Country Link
WO (1) WO2024046552A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120216042A1 (en) * 2006-07-20 2012-08-23 Research In Motion Limited System and Method for Provisioning Device Certificates
US20180137261A1 (en) * 2016-11-14 2018-05-17 INTEGRITY Security Services, Inc. Secure provisioning and management of devices
US20210258153A1 (en) * 2017-03-03 2021-08-19 Verizon Patent And Licensing Inc. Network-based device registration for content distribution platforms

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120216042A1 (en) * 2006-07-20 2012-08-23 Research In Motion Limited System and Method for Provisioning Device Certificates
US20180137261A1 (en) * 2016-11-14 2018-05-17 INTEGRITY Security Services, Inc. Secure provisioning and management of devices
US20210258153A1 (en) * 2017-03-03 2021-08-19 Verizon Patent And Licensing Inc. Network-based device registration for content distribution platforms

Similar Documents

Publication Publication Date Title
DE102011081804B4 (en) Method and system for providing device-specific operator data, which are bound to an authentication credential, for an automation device of an automation system
EP3264208B1 (en) Method for updating process objects in an engineering system
DE112005001044T5 (en) Service-oriented architecture for process control
DE102007046572A1 (en) Flexible input / output devices for use in process control systems
EP3177973B1 (en) Method for operating security control and automation network having such security control
EP3565221B1 (en) Method for registering device names assigned to industrial automation devices or communication devices in a name service system and control component
DE102018008674A1 (en) Automation device with integrated network analysis and cloud connection
EP3605253A1 (en) Automated public key infrastructure initialisation
WO2013135807A1 (en) Control device for controlling safety-critical processes in an automated plant and method for parameterizing the control device
EP3624413A1 (en) Automated certificate management for automation installations
EP3985532B1 (en) Certificate management for technical systems
WO2024046552A1 (en) Computer-implemented method for setting up a new component in a technical facility and control system for a technical facility
WO2012028366A1 (en) Method for ensuring proper functioning of an automation system
EP1496664A2 (en) System, method and security module for securing the access of a user to at least one automation component of an automation system
EP3762845B1 (en) Project-related certificate management
WO2022013371A1 (en) Field device and method for integrating a field device
DE102020118958A1 (en) Field device and method of integrating a field device
EP3796107A1 (en) Control system and method for certificate management
DE102019216527A1 (en) DEVICE, SYSTEM AND METHOD FOR DETECTING THE CONDITION OF INTEGRITY OF A DEVICE
EP3993339B1 (en) Certificate management in a technical system
LU102517B1 (en) Method for integrating a number of I/O modules connected to an I/O station into a data transmission, a station head for carrying out such a method and a system with such a station head
EP4254233A1 (en) Method and system for secure execution of control applications, host
LU500646B1 (en) Technique for providing diagnostic functionality for a programmable logic controller based application
EP4333362A1 (en) Control system for a technical installation and computer-implemented method for disabling a component of an installation
EP3944108A1 (en) Revocation of certificates in a technical system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22772853

Country of ref document: EP

Kind code of ref document: A1