CN112817277A - 自动化技术中的工业控制系统 - Google Patents
自动化技术中的工业控制系统 Download PDFInfo
- Publication number
- CN112817277A CN112817277A CN202011266462.XA CN202011266462A CN112817277A CN 112817277 A CN112817277 A CN 112817277A CN 202011266462 A CN202011266462 A CN 202011266462A CN 112817277 A CN112817277 A CN 112817277A
- Authority
- CN
- China
- Prior art keywords
- automation
- control system
- task
- modules
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 23
- 244000035744 Hura crepitans Species 0.000 claims description 55
- 238000004891 communication Methods 0.000 claims description 30
- 238000013475 authorization Methods 0.000 claims description 15
- 230000003993 interaction Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 8
- 230000033001 locomotion Effects 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 230000001105 regulatory effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 231100000176 abortion Toxicity 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 125000000524 functional group Chemical group 0.000 description 1
- 238000003754 machining Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23317—Safe mode, secure program, environment in case of error, intrusion
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31088—Network communication between supervisor and cell, machine group
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer Security & Cryptography (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Programmable Controllers (AREA)
Abstract
本发明涉及用于减少由执行恶意软件引起的损害的自动化技术中的工业控制系统。控制系统(1)具有硬件(50),所述硬件包括至少一个处理器和至少一个存储装置(128),其中控制系统(1)适用于并且被确定用于实施来自控制技术的至少一个第一和第二任务,其中控制系统(1)被配置为使得设置和/或设立至少两个彼此隔离的执行环境,其中全部系统资源的一部分分配给每个隔离的执行环境。控制系统(1)被配置为使得设置至少两个尤其是彼此无关地可执行和/或起作用的自动化模块,其中第一任务分配给第一自动化模块并且第二任务分配给第二自动化模块,并且其中自动化模块分别在每一个隔离的执行环境中可执行和/或起作用。
Description
技术领域
本发明涉及尤其是工业自动化技术中的尤其是工业的控制系统以及涉及用于实施控制技术的多个不同功能区域的任务的工业自动化技术中的方法。本发明优选地涉及用于减少通过在工业控制系统上执行恶意软件引起的损害(Schaden)的方法和/或工业控制系统。
本发明此外涉及计算机程序,所述计算机程序包括指令,所述指令引起控制系统执行方法步骤,以及涉及计算机可读存储介质,在该计算机可读存储介质上存储有计算机程序。
背景技术
工业控制系统通常是由固件连同所属的硬件组成的整体式(monolithisch)系统。在此,整个固件功能性在内核模式(Kernelmode)下运行,并且不划分成不同的过程域(Prozessräume)。
在来自现有技术的这种整体式工业控制系统情况下,由固件错误或蓄意引起的攻击已触发的软件故障可能不利地导致总系统的异常终止(Absturz)。
发明内容
因此,本发明所基于的任务是:提供用于实施来自控制技术的多个不同功能区域的任务的工业自动化技术中的控制系统以及方法,并且此外提供用于此的计算机程序,其中由程序异常终止或由执行恶意软件引起的损害被阻止。
根据本发明,这通过独立权利要求的主题来实现。有利的实施方式和改进方案是从属权利要求的主题。
尤其是在工业自动化技术中的根据本发明的控制系统具有硬件,所述硬件包括至少一个处理器和至少一个存储装置,其中所述控制系统适用于并且被确定用于实施来自控制技术、尤其是机器控制和/或自动化设备控制的至少一个第一和第二(由控制系统待实施和/或待进行的)任务(尤其是软件任务)、优选地多个(由控制系统待实施和/或待进行的)任务(尤其是软件任务)。在此,控制系统被配置为使得设置和/或设立至少两个并且优选多个彼此隔离的执行环境,其中给每个隔离的执行环境分配全部系统资源的一部分。在此,彼此隔离的执行环境优选地分别被构成为沙盒(Sandbox)。该任务并且特别优选地每个任务优选地是与自动化过程有关的任务。
根据本发明,控制系统被配置为使得设置至少两个并且优选多个尤其是彼此无关地可执行的和/或起作用的自动化模块,其中第一任务分配给第一自动化模块,并且第二任务分配给第二自动化模块,并且其中自动化模块分别、尤其是仅仅在每一个隔离的执行环境(尤其是沙盒)中可执行和/或起作用。
在此,系统资源尤其是被理解为在(整个)控制系统和/或控制系统的一个或多个并且优选地所有硬件组件中可用的(优选地真实)系统资源。
自动化模块尤其是(分别)是(虚拟)功能模块,所述功能模块例如对(例如控制技术的)(通过控制系统)待实施的任务的功能单元进行分组或包括(也或者代表)(例如控制技术的)(通过控制系统)待实施的任务的功能单元。换句话说,可以例如分配给相似领域(功能区域)的不同任务被捆绑在(虚拟)自动化模块中。例如,可能例如为了执行自动化模块的所有任务而需要至同一硬件组件(例如HMI单元)的通信连接,使得所有这些任务优选地必须访问特定的接口。
因此提出,将来自现有技术的控制系统的整体式总系统分解为各个彼此无关地起作用的(自动化)模块。这提供以下优点:可以在独立的彼此隔离的执行环境中执行不同的功能程序单元或自动化模块或自动化模块的任务,由此在出现程序异常终止或在自动化模块内执行恶意软件时,则损害仅保持限制于该单个软件组成部分(以及在沙盒之内)。由此有利地提高总系统的弹性和系统的鲁棒性。此外,与现有技术相比,可以增加自动化控制的可用性。
(待实施的)第一任务优选地来自控制技术、尤其是机器控制的第一功能区域,而第二任务来自控制技术的第二功能区域,该第二功能区域不同于第一功能区域。
控制系统优选地适用于并且被确定用于实施优选地来自控制技术(尤其是机器控制)的多个(不同的)功能区域的多个(通过控制系统、尤其是通过处理器待执行的)(软件)任务。
优选地,每一个待实施的任务尤其是基于待实施的任务的功能区域(一一对应地)分配和/或可以分配给优选地恰好一个自动化模块。换句话说,因此由控制系统待执行或可执行的每个任务可以被分配给恰好一个自动化模块。因此,自动化模块优选地分别构成功能组或程序单元(或软件单元),其中优选地汇总控制系统的多个待实施的任务。
专有(exklusive)系统资源、尤其是专有(物理)硬件和/或操作系统资源(和/或固件资源)优选地被分配给和/或分配给每个隔离的执行环境。在此,优选地是真实系统资源而不是虚拟系统资源。仅当(每个)待实施的任务分配给和/或可分配给在隔离的执行环境(尤其是沙盒)中可执行和/或起作用的自动化模块时,该任务对(尤其是专有地)分配给隔离的执行环境(尤其是沙盒)的系统资源的访问才是可能的。这有利地导致在(自动化)模块之间的严格分离,并且有利地有助于将潜在出现的损害限制于各个软件组成部分。
换句话说,根据功能设计(Zuschnitt)在沙盒内对程序单元进行分组。在此,给每个沙盒分配专有(尤其是物理的)硬件和操作系统资源。仅当程序单元分配给沙盒时,该程序单元对这些系统资源的访问优选地才能起作用。
在此,控制技术并且优选地机器控制尤其是可以包括功能区域,所述功能区域选自以下组,所述组包括执行器的控制和/或调节(例如液压和/或气动自动化)、优选地电动机的驱动调节器(Antriebsregler)(所谓的“Drive Control(驱动控制器)”)的控制和/或调节、逻辑控制(Verknüpfungssteuerung)和/或流程控制、尤其是可编程逻辑控制(SPS,英语(Programmable Logic Control(PLC))、运动控制(Motion control)、尤其是根据预先给定的程序对(机器或自动化设备的)电动机的移动运动(Verfahrbewegungen)的控制、结合用户界面(Human Machine Interface(人机界面),HMI)提供(所有)功能等以及组合,其中所述功能尤其由(机器或自动化设备的)不同的用户组、例如操作员和/或开动者(Inbetriebnehmer)需要用以实施其任务(例如,加工程序的仿真和实施、机器或自动化设备的诊断和维护)。在此,待实施的任务可以是从所述功能区中的各个或多个功能区域中选择的任务。
根据本发明的控制系统优选地适用于并且被确定用于监控和/或控制和/或调节一个或多个自动化设备和/或一个或多个现场设备。根据本发明的控制系统优选地适用于并且被确定用于输出至少一个参量,所述参量表征测量和/或控制和/或调节参量或从中确定的参量,特别优选地将其馈送到通信网络中和/或借助于(控制系统的)显示装置输出(给用户)。在此,控制系统可以具有待监控的和/或待控制的和/或待调节的自动化设备和/或现场设备和/或(在自动化过程的范围中所包含的)其他硬件组件(诸如屏幕)中的一个或多个。
但是也可设想的是,控制系统(尽管)具有接口,但这些硬件组件中的单个或所有硬件组件不是控制系统的一部分(例如,在(单独的)控制系统的交付状态(Auslieferungszustand)下),其中控制系统可以经由所述接口与这些(提到的)自动化设备和/或现场设备和/或其他硬件组件连接用于交换数据。例如,HMI组件(人机交互(HumanMachine-Interaction))可以经由以太网接口与控制系统通信。附加地或可替代地,一个(或多个)驱动调节器和/或I/O模块可以借助于至少一个现场总线与控制系统连接或可连接用于通信,其优选地能够实现在参与者之间尤其是在实时条件下周期性的数据交换。
可以(分别)从以下组中选择自动化模块,所述组包括可编程逻辑控制(SPS)的(功能)区域、通信协议(Communication Stack(通信栈))的区域、HMI的区域、运动控制的区域等。与此逻辑连接的和/或(间接和/或直接)功能上相关联的任务优选地分配给各自区域。
优选地,待实施的任务不涉及控制系统的测试状态的任务。优选地,在控制系统或待控制和/或待调节和/或待监控的设备或机器的运行状态下执行待实施的任务。控制系统优选地具有多个隔离的执行环境,其中控制系统的硬件能够分散地(verteilt)和/或作为物理单元存在。
在一种有利的实施方式中,通过单独的沙盒映射每个自动化模块。因此,起作用的(自动化)模块通过各个沙盒来映射。该映射并且特别优选地这些映射优选地通过虚拟化层进行,经由所述虚拟化层特别优选地分配和/或管理权利(Rechte)和/或系统资源。例如,可以优选地(与其他自动化模块无关地)给予(单个)自动化模块对一个或多个(预先给定的)(通信)接口的访问权。
优选地,控制系统适用于并且被确定(或配置)为使得(尤其是分别不同的自动化模块的)第一任务和第二任务可以同时并且(完全)彼此无关地被实施。
在另一有利的实施方式中,对于每个自动化模块而言(尤其是不实施访问权限的情况下)仅可能的是和/或给予对分配给该自动化模块的系统资源的访问。优选地,对于每个自动化模块而言(尤其是在不实施访问权限的情况下)对分配给其他自动化模块并且特别优选地每个(einem und besonders bevorzugt jedem)其他自动化模块的系统资源的访问是不可能的。
优选地,对于每个自动化模块而言仅对文件(或各自隔离的执行环境并且尤其是各自沙盒的文件系统)的访问和/或仅对(各自)隔离的执行环境、尤其是各自沙盒的配置的访问是可能的。对于每个自动化模块而言优选地对分配给其他自动化模块(并且优选地每个其他自动化模块)的文件和/或各自隔离的执行环境(尤其是其他自动化模块的各自沙盒)的配置的访问是不可能的。从而有利地实现:例如首先仅涉及沙盒或其中执行的软件区域的恶意软件或程序异常终止不得到对其他沙盒的配置和/或文件以及其中运行的程序和任务的访问或影响。
在另一有利的实施方式中,每个自动化模块具有独立的和/或尤其是受保护的存储管理装置。在此,每个自动化模块可以具有专有地指派给该自动化模块的存储范围。优选地(尤其是经由控制系统的虚拟化层)执行存储虚拟化,所述存储虚拟化给各个沙盒(以及因此自动化模块)分别(仅)提供物理可用的(主)存储器的子集,并且特别优选地专有地来提供。每个沙盒并且因此优选地每个自动化模块优选地获得相关联的(虚拟)地址空间。
在另一有利的实施方式中,自动化模块分别和/或多个沙盒分别具有单独的过程域。
在另一有利的实施方式中,自动化模块分别具有对(总系统的)文件系统和/或硬件资源的受限视野。每个自动化模块优选地仅具有受限的视野和对硬件资源的受限的访问。每个自动化模块优选地仅具有对文件系统的受限视野,以及仅对自身沙盒的文件和配置的访问。这又有利地用于在软件组成部分故障的情况下将损害限制于各个软件组成部分。
每个自动化模块或每个任务优选地具有对给其所分配的系统资源的虚拟视野。因此,尤其是给每个程序单元在其沙盒内插入(bekommt…eingeblendet)对给其所分配的系统资源的特殊虚拟视野。
在另一有利的实施方式中,(分别)两个自动化模块之间的通信和/或交互可以优选地仅仅经由至少一个(附加)预先给定的接口或多个预先给定的接口进行。
这提供以下优点:即可以在不同的自动化模块之间交换数据。在自动化技术的上下文中,需要一个沙盒中的功能单元(或自动化模块)与另一沙盒中的功能单元(或自动化模块)进行通信。为此,优选地存在特殊接口,该特殊接口允许功能单元(或自动化模块)可以越过其沙盒的界限与其他功能单元(或自动化模块)交换数据。
此外,程序单元(或任务或自动化模块)丝毫不了解其自身沙盒之外的系统的结构。
在另一有利的实施方式中,两个自动化模块之间的通信和/或交互仅仅经由基于IP的网络通信和/或经由基于接口的通信层是可能的。各个功能单元之间的通信尤其是要么经由基于IP的网络通信要么经由基于接口的通信层进行,其可以优选地基于权限方案在沙盒之间建立连接。任务或自动化模块对其他隔离的执行环境(在所述其他隔离的环境中不实施任务和/或在所述其他隔离的环境中自动化模块不起作用)的硬件资源的访问在此(仅)经由所定义的接口是可能的。
在另一有利的实施方式中,控制系统被配置为使得两个自动化模块之间的通信和/或交互连接的建立包括权限检验(Berechtigungsüberprüfung)、尤其是授权(Autorisierung)和/或鉴权(Authentifizierung)的检验,并且尤其是要求被授予的访问权限。在两个自动化模块之间建立连接(用于交换数据)优选地要求确定(授予或接受的)访问权限。
在另一有利的实施方式中,控制系统被配置为使得经由接口并且优选经由每个接口来实施(访问权限或)鉴权和/或授权,应该经由所述接口在两个自动化模块之间建立通信和/或交互。
在另一有利的实施方式中,隔离的执行环境、尤其是沙盒或者自动化模块并且优选地每个隔离的执行环境、尤其是沙盒或者每个自动化模块适用于并且被确定用于进行对待实施的任务和/或自动化模块并且尤其是每个(einer und insbesondere jeder)待实施的任务和/或每个自动化模块的鉴权和/或授权。换句话说,每个沙盒基本上都具有相对于另一沙盒内的分别其他程序单元进行鉴权和/或授权的能力。鉴权和/或授权在此经由每个接口、优选地既经由基于IP的又经由基于接口的通信层来实施。
优选地,每个隔离的执行环境或每个自动化模块适用于并且被确定用于确定和/或授予和/或拒绝对其他自动化模块(或在其他沙盒中执行的任务)的访问权限。每个自动化模块或每个沙盒优选地适用于并且被确定用于给其他(不同的)沙盒的任务和/或自动化模块给予和/或拒绝关于给其分配的硬件资源的读和/或写和/或删除权。
该控制系统优选地具有实时操作系统。实时操作系统资源的一部分分别被分配给或分配给隔离的执行环境(沙盒)。
本发明的目标此外在于工业自动化技术中的尤其是工业(控制和/或调节和/或监控)方法,用于实施优选地来自控制技术、尤其是机器控制的(尤其是多个)不同的功能区域的(至少两个)任务并且优选地多个任务,所述方法包括以下步骤中的至少一个或多个步骤:
-提供至少两个并且优选地多个优选地彼此无关地可执行和/或起作用的自动化模块,所述自动化模块分别在彼此隔离的执行环境、尤其是沙盒中被执行和/或起作用,其中全部系统资源的一部分优选地专有地分配给每个隔离的执行环境。在此,第一任务分配给第一自动化模块,并且第二任务分配给第二自动化模块;
-在一个自动化模块向另一自动化模块的通信和/或交互询问的范围中,进行权限检验和/或交换权限证书。
在此,该方法可以单独地或彼此组合地配备有以上结合系统控制器所述的所有方法步骤和特征,所述方法步骤和特征因此可以被认为是单独地和组合地以及与系统控制器相结合地公开的。相反地,系统控制器优选地适用于并且被确定用于单独地或彼此组合地执行结合系统控制器所描述的方法步骤。
优选地,来自一个功能区域的所有任务分配给或被分配给同一自动化模块。因此,来自一个功能区域的所有任务优选地(仅仅)在同一隔离的执行环境中并且尤其是在同一沙盒中被执行。优选地,来自控制技术(例如机器控制)的(预先给定)多个的功能区域的所有任务分配给或被分配给恰好一个自动化模块。
该方法优选地包括将每个待实施的任务尤其是根据功能区域分配给尤其是恰好一个自动化模块。
如果任务分配给在特定的隔离的执行环境(沙盒)上起作用或在特定的隔离的执行环境(沙盒)上被执行的自动化模块,则该任务优选地仅能访问该(特定的)执行环境的系统资源。
只有在授予的访问权限之后并且尤其是在发生鉴权和/或授权之后,才优选地建立两个自动化模块(所述自动化模块分别在不同的隔离的执行环境中被执行)之间的通信和/或交互连接,所述鉴权和/或授权特别优选地(尤其是分别)通过所参与的自动化模块中的(至少)一个自动化模块来进行。
优选地,尤其是仅仅经由基于IP的网络通信和/或经由基于接口的通信层,在两个自动化模块之间(特别优选地在所有自动化模块的分别两个自动化模块之间)和/或分配给不同的自动化模块的两个任务之间进行通信和/或交互。
优选地,自动化模块或分配给自动化模块的任务的(读和/或写和/或擦除)访问仅仅经由(至少一个)接口(并且尤其是仅仅在授予的访问权限的范围内)是可能的。优选地,自动化模块对分配给其他自动化模块和/或不同的任务的隔离的执行环境的系统资源的直接访问(尤其是在无访问权限情况下并且尤其是在无鉴权和/或授权情况下)是不可能的。
自动化模块并且特别优选地每个自动化模块优选地仅具有对总系统的硬件资源和/或文件系统的受限视野。给程序单元或自动化模块优选地插入对(仅仅)给其分配的系统资源的虚拟视野。
该方法优选地包括通过(单独的)沙盒对(功能)自动化模块并且特别优选地每个(eines und besonders bevorzugt jedes)(功能)自动化模块进行映射。(尤其是每个)自动化模块优选地具有独立的和受保护的存储管理装置和/或独立的过程域。
本发明的目标此外在于一种计算机程序,所述计算机程序包括指令,所述指令引起根据一种实施方式的上述控制系统执行根据一种实施方式的上述方法的方法步骤。
本发明的目标此外在于一种计算机可读存储介质,其上存储有根据一种实施方式的上述计算机程序。
本发明的目标此外在于一种工业自动化技术中的方法,用于将尤其是在如上所述的实施方式中的系统控制器扩展和/或(至少部分地)重构有至少一个附加功能区域和/或至少一个自动化模块,所述方法包括以下步骤中的至少一个步骤并且优选地每个步骤:
-创建(至少一个)(附加)沙盒用以映射(新的)自动化模块,其中(尤其是经由虚拟化层)给沙盒指派(可用)系统资源的一部分;
-将来自附加功能区域的所有待实施的任务分配给该自动化模块;
-基于权限检验和/或权限证书的交换优选地(仅仅)经由接口设立该自动化模块与其他自动化模块的通信和/或交互可能性。
附图说明
从所附的附图中得出其他优点和实施方式:
其中:
图1示出根据一种实施方式的根据本发明的控制系统的结构的示意图。
具体实施方式
图1示出根据一种实施方式的根据本发明的工业控制系统1的结构的示意图。在此,附图标记50表示工业控制系统1的(物理)硬件。附图标记60表示操作系统层60,这里是在硬件50上被执行的实时操作系统。在此,硬件具有(至少一个)处理器和至少一个存储装置。
附图标记10、20、30和40分别图解:这里与来自现有技术的整体式控制系统相比,设置多个沙盒(#1、#2、#3和#4)作为用于不同功能区域(自动化模块)的隔离的执行环境。在此,给每个沙盒10、20、30和40分配专有硬件和操作系统资源。
在此,控制系统1的功能区域或程序单元的(多个)待实施的任务被汇总在自动化模块12、22、32、42中,并且在沙盒10、20、30和40内被分组。与现有技术相比,整体式总系统被分解成各个彼此无关地起作用的自动化模块12、22、32、42,所述自动化模块由各个沙盒10、20、30和40映射(abbilden)。
沙盒10、20、30和40或自动化模块12、22、32和42的过程域在此是单独的或彼此(严格)分离的。模块此外以无关的且受保护的存储管理装置为特点。
附图标记70表示虚拟化层,经由所述虚拟化层,沙盒10、20、30和40被映射到(单个)物理硬件50和操作系统层60上。通过指向下的箭头(分别由附图标记14、24、34和44(“沙盒视野(Sandbox-View)”)表示)阐明:(自动化)模块不看到全部系统资源,而仅看到分配给其的资源(在沙盒之内的视野(Sicht))。每个沙盒或每个自动化模块仅具有受限的视野14、24、34、44和对硬件资源50的受限的访问。此外,每个自动化模块仅具有对文件系统的受限的视野,并且仅访问自身沙盒的配置以及文件。
在各个自动化模块12、22、32和42之间跨模块的(modulübergreifend)访问是不可能的。在模块之间存在严格分离。一个模块对另一模块的访问或在图1中由附图标记80表示的所谓“沙盒间(Inter-Sandbox)”通信(仅仅)经由所定义的接口是可能的。
申请人为自己保留:只要在申请资料中公开的全部特征单独地或以组合方式相对于现有技术是新的,就将所述特征要求保护为发明重要的(erfindungswesentlich)。此外指出的是,在图中也已经描述了本身可以被认为有利的特征。本领域技术人员直接认识到,在图中描述的特定特征即使在不采用来自该图的其他特征的情况下也可以是有利的。此外本领域技术人员认识到,也可以通过组合在图中所示的多个特征得出优点。
Claims (13)
1.一种工业自动化技术中的控制系统(1),所述控制系统具有硬件(50),所述硬件包括至少一个处理器和至少一个存储装置,其中所述控制系统(1)适用于并且被确定用于实施来自控制技术、尤其是机器控制的至少一个第一任务和第二任务、优选多个任务,其中所述控制系统(1)被配置为使得设置和/或设立至少两个并且优选地多个彼此隔离的执行环境、尤其是沙盒(10、20、30、40),其中全部系统资源的一部分分配给每个隔离的执行环境,其特征在于,所述控制系统(1)被配置为使得设置至少两个并且优选地多个尤其是彼此无关地可执行和/或起作用的自动化模块(12、22、32、42),其中所述第一任务分配给第一自动化模块(12、22、32、42),并且所述第二任务分配给第二自动化模块(12、22、32、42),并且其中自动化模块(12、22、32、42)分别尤其是仅仅在每一个隔离的执行环境、尤其是沙盒(10、20、30、40)中可执行和/或起作用。
2.根据权利要求1所述的控制系统(1),其特征在于,每个自动化模块(12、22、32、42)通过单独的沙盒(10、20、30、40)映射。
3.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,对于每个自动化模块而言仅对给其所分配的系统资源和/或文件和/或所述隔离的执行环境的配置的访问是可能的,并且优选地对于每个自动化模块而言对分配给其他自动化模块的系统资源和/或文件和/或所述隔离的执行环境的配置的访问是不可能的。
4.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,每个自动化模块具有独立的并且尤其是受保护的存储管理装置。
5.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,所述自动化模块分别具有单独的过程域和/或所述自动化模块分别具有对硬件资源和/或文件系统的受限视野。
6.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,两个自动化模块之间的通信和/或交互可以优选地仅仅经由至少一个预先给定的接口(80)或多个预先给定的接口(80)进行。
7.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,两个自动化模块之间的通信和/或交互仅仅经由基于IP的网络通信和/或经由基于接口的通信层是可能的。
8.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,所述控制系统(1)被配置为使得两个自动化模块之间的通信和/或交互连接的建立包括权限检验、尤其是授权和/或鉴权的检验。
9.根据前述权利要求所述的控制系统(1),其特征在于,所述控制系统(1)被配置为使得经由接口并且优选地经由每个接口来实施鉴权和/或授权,经由所述接口应该在两个自动化模块之间建立通信和/或交互。
10.根据前述权利要求中至少一项所述的控制系统(1),其特征在于,所述隔离的执行环境、尤其是沙盒(10、20、30、40)并且优选地每个隔离的执行环境、尤其是沙盒(10、20、30、40)适用于并且被确定用于对待实施的任务和/或自动化模块并且尤其是每个待实施的任务和/或每个自动化模块进行鉴权和/或授权。
11.一种工业自动化技术中的方法,用于实施优选地来自控制技术、尤其是机器控制的多个不同的功能区域的至少两个并且优选地多个任务,所述方法包括以下步骤:
-提供至少两个并且优选地多个优选地彼此无关地可执行和/或起作用的自动化模块(12、22、32、42),所述自动化模块分别在彼此隔离的执行环境、尤其是沙盒(10、20、30、40)中被执行和/或起作用,其中全部系统资源的一部分尤其是专有地分配给每个隔离的执行环境,在此,第一任务分配给第一自动化模块(12),并且第二任务分配给第二自动化模块(22);
-在一个自动化模块向另一自动化模块的通信和/或交互询问的范围中,进行权限检验和/或交换权限证书。
12.一种计算机程序,所述计算机程序包括指令,所述指令引起根据权利要求1所述的控制系统执行根据权利要求11所述的方法步骤。
13.一种计算机可读存储介质,其上存储有根据前述权利要求所述的计算机程序。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019217618.6A DE102019217618A1 (de) | 2019-11-15 | 2019-11-15 | Industrielles Steuerungssystem in der Automatisierungstechnik zur Reduktion des Schadens durch Ausführung von Schadsoftware |
DE102019217618.6 | 2019-11-15 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112817277A true CN112817277A (zh) | 2021-05-18 |
Family
ID=75853177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011266462.XA Pending CN112817277A (zh) | 2019-11-15 | 2020-11-13 | 自动化技术中的工业控制系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112817277A (zh) |
DE (1) | DE102019217618A1 (zh) |
-
2019
- 2019-11-15 DE DE102019217618.6A patent/DE102019217618A1/de active Pending
-
2020
- 2020-11-13 CN CN202011266462.XA patent/CN112817277A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
DE102019217618A1 (de) | 2021-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220198047A1 (en) | Process Control Software Security Architecture Based On Least Privileges | |
EP3566400B1 (en) | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof | |
CN110083129B (zh) | 工业控制器模块、实现其安全性的方法和计算机可读介质 | |
US8683004B2 (en) | Apparatus for controlling a machine | |
CN107272549B (zh) | 控制装置、控制方法以及记录介质 | |
JP7366691B2 (ja) | システムオンチップ及びシステムオンチップを動作させるための方法 | |
US20210397700A1 (en) | Method and apparatus for isolating sensitive untrusted program code on mobile device | |
CN104412182B (zh) | 维护机器的系统和方法 | |
CN102763046B (zh) | 可编程控制器 | |
US11582189B2 (en) | Method for filtering communication data arriving via a communication connection, in a data processing device, data processing device and motor vehicle | |
US20130160143A1 (en) | Processing machine with access control via computer network | |
CN112817277A (zh) | 自动化技术中的工业控制系统 | |
WO2006054401A1 (ja) | フィールド機器及びこれを用いたシステム | |
CN110574343B (zh) | 用于保护车辆安全系统的操作系统的方法和半导体电路 | |
CN111108451A (zh) | 工业控制系统 | |
EP3509004A1 (en) | Adaption of mac policies in industrial devices | |
US11841698B2 (en) | Arrangement and method for secure execution of an automation program in a cloud computing environment | |
CN114981736A (zh) | 控制系统、中继装置以及访问管理程序 | |
JP7113021B2 (ja) | IoTコンピュータシステム並びにそのようなIoTコンピュータシステム及び外部システムを有する装置 | |
WO2012111117A1 (ja) | プログラマブルロジックコントローラ、およびプログラマブルロジックコントローラのパスワード保存方法 | |
WO2022190526A1 (ja) | 制御システムおよびその制御方法 | |
JP7244527B2 (ja) | ストレージリソースの安全な共用 | |
US20230367910A1 (en) | System for providing a plurality of functions for a device, in particular for a vehicle | |
CN107294980B (zh) | 一种虚拟机网络接入分层控制方法 | |
CN113642050B (zh) | 自配置加密硬盘及其配置方法、系统及系统的启动方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |