-
Die Erfindung betrifft ein Verfahren zum rechnergestützten Aktualisieren einer Konfiguration eines Netzwerkgeräts in einem Kommunikationsnetz sowie ein entsprechendes Netzwerkgerät.
-
Eine hohe Verfügbarkeit von Kommunikationsnetzen ist in einer Vielzahl von technischen Gebieten von großer Bedeutung. Demzufolge werden z.B. in Kommunikationsnetzen für Automatisierungsanlagen Aktualisierungen der Konfiguration von Netzwerkgeräten nicht während des laufenden Betriebs der Anlage, sondern nur in geplanten Wartungsfenstern durchgeführt, um eine Unterbrechung des Betriebs der Anlage aufgrund der Aktualisierungen zu vermeiden. Dies hat jedoch den Nachteil, dass der Betrieb der Netzwerkgeräte über einen längeren Zeitraum hinweg nicht mit den neuesten Konfigurationseinstellungen durchgeführt wird, was insbesondere bei Sicherheits-Einstellungen, die zum Schutz der entsprechenden Netzwerkgeräte dienen, kritisch sein kann.
-
In der Druckschrift
DE 10 2012 212 412 A1 ist ein echtzeitfähiges Netzwerkgerät für ein Automatisierungsnetzwerk mit zwei Konfigurationsspeichern beschrieben. Ein Konfigurationsspeicher ist ein Anwendungsspeicherbereich, in dem Anwendungsdaten einer Echtzeitanwendung gespeichert werden. Der andere Konfigurationsspeicher ist ein Aktualisierungsspeicherbereich, in dem eine Aktualisierungsinformation gespeichert wird. Diese Aktualisierungsinformation wird zu einem bestimmten Aktualisierungszeitpunkt im Netzwerkgerät übernommen, indem eine Adressierungsinformation des Anwendungsspeicherbereichs geändert wird.
-
Das Verfahren der Druckschrift
DE 10 2012 212 412 A1 ermöglicht zwar einen nahtlosen Wechsel zwischen verschiedenen Konfigurationen, jedoch wird ein fehlerfreier Betrieb des Netzwerkgeräts mit der neuen Konfiguration nicht gewährleistet. Demzufolge kann es bei einer fehlerhaften neuen Konfiguration zu einer längeren Unterbrechung des Betriebs des Netzwerkgeräts kommen.
-
Aufgabe der Erfindung ist es, ein Verfahren zum rechnergestützten Aktualisieren einer Konfiguration eines Netzwerkgeräts in einem Kommunikationsnetz zu schaffen, welches einen zuverlässigen Wechsel zwischen Konfigurationen des Netzwerkgeräts ohne oder mit nur kurzzeitigen Unterbrechungen des Netzwerkbetriebs gewährleistet.
-
Diese Aufgabe wird durch die unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
-
Das erfindungsgemäße Verfahren dient zum rechnergestützten Aktualisieren einer Konfiguration eines Netzwerkgeräts in einem Kommunikationsnetz. Dabei werden die nachfolgend erläuterten Schritte a) bis c) durchgeführt.
-
In Schritt a) wird mithilfe des Netzwerkgeräts unter Aufrechterhaltung des Produktivbetriebs des Netzwerkgeräts mit einer aktuellen Konfiguration, welche basierend auf aktuellen Konfigurationsdaten eingerichtet ist, eine neue Konfiguration basierend auf neuen Konfigurationsdaten neben der aktuellen Konfiguration im Netzwerkgerät eingerichtet. Unter einem Produktivbetrieb ist dabei der reguläre Betrieb des Netzwerkgeräts im Kommunikationsnetz zu verstehen. Hiervon unterscheidet sich der Testbetrieb, der nur zu Testzwecken im Netzwerkgerät durchgeführt wird. Der Begriff des Einrichtens einer Konfiguration ist hier und im Folgenden derart zu verstehen, dass die Einrichtung der Konfiguration die durch das Netzwerkgerät bewirkte Freigabe der Konfiguration für den Betrieb (sowohl Produktivbetrieb als auch Testbetrieb) im Netzwerkgerät beinhaltet. Diese Freigabe ermöglicht den Betrieb des Netzwerkgeräts mit der eingerichteten Konfiguration, ohne dass der Betrieb tatsächlich aufgenommen werden muss.
-
In Schritt b) des erfindungsgemäßen Verfahrens führt das Netzwerkgerät einen Test der neuen (eingerichteten) Konfiguration auf ihre Funktionsfähigkeit durch, wobei während des Tests der Produktivbetrieb des Netzwerkgeräts mit der aktuellen Konfiguration oder mit der neuen Konfiguration durchgeführt wird. Mit anderen Worten wird während des Tests gewährleistet, dass der Produktivbetrieb weiterhin aufrechterhalten bleibt. Der Test kann dabei unterschiedlich ausgestaltet sein. Insbesondere kann eine Konsistenzprüfung der übertragenen Daten oder eine Überprüfung der Datenformate durchgeführt werden. Ebenso kann bestimmt werden, ob Daten, die von dem Netzwerkgerät ausgesendet werden, von einer Gegenstelle beantwortet werden. Durch einen erfolgreichen Test wird die Funktionsfähigkeit der neuen Konfiguration festgestellt, wohingegen durch einen erfolglosen Test die mangelnde Funktionsfähigkeit der neuen Konfiguration festgestellt wird.
-
In Schritt c) des erfindungsgemäßen Verfahrens setzt das Netzwerkgerät im Falle eines erfolglosen Tests den Produktivbetrieb automatisch (d.h. ohne Eingriff bzw. Bedienaktion eines Nutzers) und vorzugsweise unmittelbar nach Beendigung des erfolglosen Tests mit der aktuellen Konfiguration fort. Demgegenüber setzt das Netzwerkgerät im Falle eines erfolgreichen Tests den Produktivbetrieb automatisch oder in Reaktion auf eine Bedienaktion eines Nutzers an einer Bedieneinrichtung mit der neuen Konfiguration fort.
-
Das erfindungsgemäße Verfahren weist den Vorteil auf, dass ein Wechsel einer Konfiguration in einem Netzwerkgerät nur dann dauerhaft durchgeführt wird, wenn die neue Konfiguration fehlerfrei funktioniert. Hierdurch werden Ausfälle im Kommunikationsnetz aufgrund von fehlerhaften neuen Konfigurationen vermieden. Darüber hinaus wird der Test der neuen Konfiguration während des Produktivbetriebs des Netzwerkgeräts durchgeführt, wodurch Unterbrechungen im Betrieb des Kommunikationsnetzes vermieden werden.
-
In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der Test der neuen Konfiguration in Schritt b) in einem Testbetrieb des Netzwerkgeräts mit der neuen Konfiguration durchgeführt, wobei zeitlich parallel zum Testbetrieb der Produktivbetrieb des Netzwerkgeräts mit der aktuellen Konfiguration weiterläuft. Durch diese Variante der Erfindung wird sichergestellt, dass der Produktivbetrieb der neuen Konfiguration erst nach erfolgreichem Test aufgenommen wird. Jeglicher Produktivbetrieb mit einer fehlerhaften neuen Konfiguration wird demzufolge vermieden.
-
In einer alternativen Ausgestaltung des erfindungsgemäßen Verfahrens wird in Schritt b) der Produktivbetrieb des Netzwerkgeräts mit der neuen Konfiguration gestartet und gleichzeitig der Produktivbetrieb des Netzwerkgeräts mit der aktuellen Konfiguration ausgesetzt, wobei im gestarteten Produktivbetrieb des Netzwerkgeräts mit der neuen Konfiguration der Test der neuen Konfiguration auf ihre Funktionsfähigkeit durchgeführt wird. Bei dieser Variante der Erfindung kann es zwar zu einem kurzzeitigen Produktivbetrieb mit einer fehlerhaften Konfiguration kommen, jedoch kann das Netzwerkgerät einfacher aufgebaut sein, da ein Testbetrieb parallel zu einem Produktivbetrieb nicht mehr realisiert werden muss.
-
In einer besonders bevorzugten Variante des erfindungsgemäßen Verfahrens ist die Bedieneinrichtung, an der die Bedienaktion des Nutzers durchgeführt wird, an dem Netzgerät vorgesehen. Nichtsdestotrotz ist es auch möglich, dass es sich um eine vom Netzwerkgerät separierte Bedieneinrichtung handelt. In diesem Fall können das Netzwerkgerät und die separierte Bedieneinrichtung miteinander kommunizieren.
-
In einer weiteren Variante des erfindungsgemäßen Verfahrens werden im Falle eines erfolgreichen Tests die aktuellen Konfigurationsdaten automatisch durch das Netzwerkgerät gelöscht, wodurch Speicherplatz auf dem Netzwerkgerät freigegeben wird. Je nach Ausgestaltung kann das Löschen der aktuellen Konfigurationsdaten unmittelbar nach dem Fortsetzen des Produktivbetriebs mit der neuen Konfiguration in Schritt c) erfolgen. Nichtsdestotrotz kann das Löschen auch erst bei Ablauf einer vorgegebenen Zeitspanne nach dem Fortsetzen des Produktivbetriebs mit der neuen Konfiguration durchgeführt werden. Im letzteren Fall wird die vormals gültige Konfiguration noch einen bestimmten Zeitraum vorgehalten, so dass bei Bedarf wieder auf diese Konfiguration zurückgewechselt werden kann.
-
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens werden im Falle eines erfolgreichen Tests die aktuellen Konfigurationsdaten nicht automatisch durch das Netzwerkgerät gelöscht, d.h. sie verbleiben dauerhaft auf dem Netzwerkgerät, sofern sie nicht manuell durch einen Nutzer gelöscht werden. Demzufolge wird dauerhaft die Möglichkeit geschaffen, bei auftretenden Problemen mit der neuen Konfiguration auf die alte Konfiguration zu wechseln.
-
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird das Einrichten der neuen Konfiguration durch das Einstecken eines Moduls mit den neuen Konfigurationsdaten in das Netzwerkgerät ausgelöst. Das Einrichten kann dabei nur aus der Freigabe der Konfiguration gemäß den neuen Konfigurationsdaten für den Betrieb im Netzwerkgerät bestehen.
-
In einer weiteren Variante des erfindungsgemäßen Verfahrens erfolgt im Rahmen des Einrichtens der neuen Konfiguration eine Kommunikation des Netzwerkgeräts mit einer entfernt vom Netzwerkgerät angeordneten Kommunikationseinheit, d.h. einer Kommunikationseinheit, welche nicht direkt mechanisch an das Netzwerkgerät gekoppelt ist, sondern drahtlos oder gegebenenfalls kabelgebunden mit dem Netzwerkgerät kommuniziert. Bei dieser Variante der Erfindung kann die Konfiguration des Netzwerkgeräts durch eine weitere Kommunikationseinheit beeinflusst werden.
-
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird der Test der neuen Konfiguration in Reaktion auf eine Bedienaktion eines Nutzers an einer Bedieneinrichtung ausgeführt. Analog zu der oben beschriebenen Bedieneinrichtung kann die Bedieneinrichtung dabei am Netzwerkgerät vorgesehen sein oder es kann sich um eine vom Netzwerkgerät separierte Bedieneinrichtung handeln.
-
In einer weiteren bevorzugten Variante der Erfindung wird das Verfahren automatisch durch das Netzwerkgerät oder durch eine andere, mit dem Netzwerkgerät kommunizierende Netzwerkeinheit initiiert. Für eine automatische Initiierung des Verfahrens können z.B. mehrere Sätze von Konfigurationsdaten auf dem Netzwerkgerät vordefiniert sein. Dabei wird nach bestimmten Kriterien von der aktuell genutzten Konfiguration auf eine neue Konfiguration gewechselt. Die Kriterien können sich beispielsweise auf die Zeitdauer der genutzten Konfiguration oder die Datenmenge beziehen, die mit der Konfiguration verarbeitet wurde. Ebenso können die Kriterien ein fest definiertes Zeitintervall festlegen.
-
In einer weiteren bevorzugten Variante des erfindungsgemäßen Verfahrens werden Statusinformationen zur aktuellen und/oder neuen Konfiguration an einer Benutzerschnittstelle ausgegeben. Die Benutzerschnittstelle kann Teil des Netzwerkgeräts sein, jedoch kann sie auch eine separate, vom Netzwerkgerät getrennte Benutzerschnittstelle sein. Die Benutzerschnittstelle zur Ausgabe der Statusinformationen kann auf unterschiedliche Weise, wie z.B. über ein Display oder über LEDs, realisiert werden.
-
In einer Variante werden die Statusinformationen zusätzlich und vorzugsweise lokal (z.B. in einem zur Benutzerschnittstelle gehörigen Speicher) als Diagnosedaten gespeichert. In einer weiteren Variante, bei der das Kommunikationsnetz für eine technische Anlage (wie z.B. ein Automatisierungssystem) verwendet wird, werden diese Statusinformationen an ein Anlagenmanagementsystem übertragen, um die aktuelle Konfiguration bzw. den Wechsel auf die neue Konfiguration in der Anlagensicht widerzuspiegeln und anzuzeigen.
-
In einer bevorzugten Ausführungsform umfassen die Statusinformationen die Information, ob die aktuelle oder die neue Konfiguration im Produktivbetrieb läuft und/oder ob eine nicht im Produktivbetrieb befindliche Konfiguration, bei der es sich je nach Verfahrensstadium um die aktuelle oder die neue Konfiguration handeln kann, eingerichtet ist und/oder ob der Test der neuen Konfiguration bereits durchgeführt wurde und/oder ob der Test der neuen Konfiguration gerade durchgeführt wird und/oder ob der durchgeführte Test der neuen Konfiguration erfolgreich war.
-
In einer weiteren Variante des erfindungsgemäßen Verfahrens werden durch die aktuellen und neuen Konfigurationsdaten jeweils kryptographische Informationen und/oder Authentisierungsinformationen festgelegt, die das Netzwerkgerät zur Kommunikation im Kommunikationsnetz nutzt. Diese Informationen umfassen insbesondere ein oder mehrere Verschlüsselungsverfahren und/oder ein oder mehrere digitale Zertifikate und/oder einen oder mehrere kryptographische Schlüssel und/oder eine oder mehrere Netzwerkfilterregeln. Mit dieser Variante wird sichergestellt, dass die Mechanismen zum Schutz des Netzwerkgeräts vor Angriffen Dritter immer auf dem aktuellen Stand sind.
-
In einer besonders bevorzugten Variante des erfindungsgemäßen Verfahrens wird die Konfiguration eines Netzwerkgeräts in einem Kommunikationsnetz eines Automatisierungssystems aktualisiert. Es kann somit ein nahtloser Betrieb des Automatisierungssystems auch bei Aktualisierungen der Konfiguration von Netzwerkgeräten sichergestellt werden.
-
Das Netzwerkgerät, dessen Konfiguration im erfindungsgemäßen Verfahren aktualisiert wird, kann unterschiedlich ausgestaltet sein. Zum Beispiel kann es sich um ein Feldgerät oder ein Gateway, vorzugsweise ein VPN-Gateway, oder eine Firewall oder ein Steuergerät oder eine speicherprogrammierbare Steuerung oder ein Ein-Ausgabe-Modul handeln.
-
Neben dem oben beschriebenen Verfahren betrifft die Erfindung ein Netzwerkgerät für ein Kommunikationsnetz, wobei das Netzwerkgerät zur Durchführung des erfindungsgemäßen Verfahrens bzw. einer oder mehrerer bevorzugter Varianten des erfindungsgemäßen Verfahrens ausgestaltet ist.
-
Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beigefügten Figuren detailliert beschrieben.
-
Es zeigen:
- 1 eine schematische Darstellung eines Kommunikationsnetzes umfassend Netzwerkgeräte, deren Konfiguration basierend auf einer Ausführungsform des erfindungsgemäßen Verfahrens aktualisiert werden kann;
- 2 eine schematische Darstellung eines Netzwerkgeräts aus dem Kommunikationsnetz der 1; und
- 3 ein Flussdiagramm, welches die Aktualisierung einer Konfiguration eines Netzwerkgeräts des Kommunikationsnetzes der 1 verdeutlicht.
-
Nachfolgend wird eine Variante des erfindungsgemäßen Verfahrens anhand des in 1 dargestellten Kommunikationsnetzes NW beschrieben. Das Kommunikationsnetz umfasst ein erstes Automatisierungsnetzwerk AN1 zur Steuerung eines ersten Teils eines Automatisierungssystems sowie ein zweites Automatisierungsnetzwerk AN2 zur Steuerung eines zweiten Teils eines Automatisierungssystems. Ferner gehört zu dem Kommunikationsnetz ein Backend-Service BS, der mit den Automatisierungsnetzwerken AN1 und AN2 über ein offenes Netzwerk ON, wie z.B. das Internet, kommunizieren kann.
-
Das Automatisierungsnetzwerk AN1 umfasst mehrere Feldgeräte FD1, an welche Sensoren und Aktoren (nicht gezeigt) angeschlossen sind, um Funktionen des ersten Teils des Automatisierungssystems durchzuführen. Das Automatisierungsnetzwerk AN1 ist über ein VPN-Gateway GW1 unter Zwischenschaltung des offenen Netzwerks ON mit einem VPN-Gateway GW2 des Automatisierungsnetzwerks AN2 verbunden. Analog zum Automatisierungsnetzwerk AN1 umfasst das Automatisierungsnetzwerk AN2 neben dem VPN-Gateway GW2 Feldgeräte FD2, an welche Sensoren und Aktoren zur Durchführung von Funktionen des zweiten Teils des Automatisierungssystems angeschlossen sind. Die Feldgeräte FD1 und FD2 sowie die VPN-Gateways GW1 und GW2 stellen Ausführungsformen von Netzwerkgeräten im Sinne der Erfindung dar, d.h. deren Konfiguration kann basierend auf dem erfindungsgemäßen Verfahren aktualisiert werden.
-
In der hier beschriebenen Ausführungsform betrifft die Konfiguration der jeweiligen Netzwerkgeräte den kryptographischen Schutz von Steuerdaten und/oder Überwachungsdaten, die mittels der Netzwerkgeräte im Kommunikationsnetz NW übertragen werden. Der kryptographische Schutz kann die Integrität der übertragenen Daten und optional die Vertraulichkeit schützen. Außerdem können die Kommunikationspartner authentifiziert werden. Beispielhaft ist in 1 der kryptographische Schutz der Kommunikation zwischen zwei Feldgeräten FD1 mittels einer VPN-Verbindung dargestellt, was durch die Linie L1 verdeutlicht wird. Ferner ist der kryptographische Schutz der Kommunikation zwischen den beiden Gateways GW1 und GW2 mittels einer VPN-Verbindung dargestellt, was durch die Linie L2 verdeutlicht ist. Ferner zeigt 1 den kryptographischen Schutz der Datenübertragung zwischen einem Feldgerät FD2 und dem Backend-Service BS mittels einer VPN-Verbindung, was durch die Linie L3 verdeutlicht ist. Weiter unten wird die Aktualisierung der Konfiguration des VPN-Gateways GW1 im Zusammenhang mit der VPN-Verbindung gemäß der Linie L2 beschrieben.
-
2 zeigt beispielhaft den Aufbau eines Feldgeräts FD1 aus dem Kommunikationsnetz NW der 1. Dabei werden nur die für die Erfindung relevanten Komponenten des Feldgeräts beschrieben. Die Feldgeräte FD2 der 1 sind genauso wie das Feldgerät FD1 aufgebaut. Bis auf die Ein-Ausgabe-Einheit I/O sind die in 2 dargestellten Komponenten des Feldgeräts FD1 auch in den Gateways GW1 und GW2 der 1 realisiert. Das Feldgerät gemäß 2 umfasst eine Steuereinheit CPU, die je nach Ausgestaltung als Prozessor, Mikrocontroller, System on Chip bzw. FPGA realisiert werden kann. In der hier beschriebenen Variante ermöglicht die Steuereinheit den gleichzeitigen Betrieb des Feldgeräts mit zwei Konfigurationen. Dies kann z.B. durch eine Virtualisierung oder durch die Verwendung von mehreren Prozessorkernen erreicht werden. Ebenso kann eine solche Funktionalität über zwei separate Hardware-Systeme (im gleichen Gehäuse oder in getrennten Gehäusen) realisiert werden.
-
Neben der Steuereinheit CPU enthält das Feldgerät der 2 einen Programmspeicher in der Form eines Flash-Speichers FL, einen flüchtigen RAM-Speicher RM, eine Netzwerkschnittstelle NIF (z.B. Ethernet) sowie eine Ein-Ausgabe-Einheit I/O, an welche eine Peripherie (Sensoren, Aktoren) anschließbar ist. Darüber hinaus sind in dem Feldgerät zwei Steckplätze CON1 und CON2 zur Aufnahme von Konfigurationsmodulen CM1 bzw. CM2 vorgesehen, wobei die Konfigurationsmodule als an sich bekannte C-Plugs realisiert sind. Gemäß 2 sind in beiden Steckplätzen CON1 und CON2 die entsprechenden Konfigurationsmodule CM1 und CM2 eingesteckt. Jedes der Konfigurationsmodule enthält dabei Konfigurationsdaten, wobei das Konfigurationsmodul CM1 aktuelle Konfigurationsdaten CDc einer gerade verwendeten Konfiguration Cc enthält und das Konfigurationsmodul CM2 neue Konfigurationsdaten CDn einer neuen Konfiguration Cn enthält. Mit den neuen Konfigurationsdaten soll die Konfiguration des Netzwerkgeräts aktualisiert werden.
-
Jedem der beiden Steckplätze CON1 und CON2 ist eine Statusanzeige in der Form einer LED zugeordnet, die in verschiedenen Farben leuchten kann. Zu dem Steckplatz CON1 gehört die LED LD1 und zu dem Steckplatz CON2 die LED LD2. Durch das Einstecken der Konfigurationsmodule CM1 bzw. CM2 in die Steckplätze CON1 bzw. CON2 wird ein Einrichten der entsprechenden Konfiguration in dem Feldgerät in dem Sinne bewirkt, dass die jeweilige Konfiguration entsprechend den Konfigurationsdaten CDc bzw. CDn durch das Feldgerät für den Betrieb freigeschaltet wird, ohne dass zwangsläufig auch der Betrieb mit der entsprechenden Konfiguration aufgenommen werden muss.
-
Die dem jeweiligen Steckplatz und damit der jeweiligen Konfiguration zugeordnete LED zeigt durch ein wechselndes Blinken zwischen den Farben grün und gelb an, dass die entsprechende Konfiguration noch nicht getestet wurde. Blinkt die LED hingegen gelb, wird hierdurch angezeigt, dass gerade ein Test der Konfiguration durchgeführt wird. Ein durchgängiges Leuchten der LED in gelber Farbe zeigt demgegenüber an, dass die Konfiguration eingerichtet und erfolgreich getestet worden ist, jedoch nicht im Produktivbetrieb des Feldgeräts läuft (Standby-Zustand). Im Unterschied hierzu zeigt ein rotes durchgängiges Leuchten der jeweiligen LED an, dass der Test der entsprechenden Konfiguration zu einem Fehler geführt hat. Ferner wird durch ein grünes durchgängiges Leuchten der LED angezeigt, dass die Konfiguration gerade operativ ist, d.h. der Produktivbetrieb des Feldgeräts wird mit dieser Konfiguration durchgeführt.
-
Das Feldgerät der 2 beinhaltet ferner einen Taster SW1 und einen Taster SW2. Über die Betätigung des Tasters SW1 kann manuell ein Umschalten zwischen den Konfigurationen der beiden Konfigurationsmodule CM1 und CM2 bewirkt werden. Über die Betätigung des Tasters SW2 kann ein Test derjenigen Konfiguration veranlasst werden, welche nicht im Produktivbetrieb auf dem Feldgerät läuft.
-
Im Folgenden wird anhand von 3 die Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens anhand des Gateways GW1 aus 1 erläutert. Wenn nachfolgend auf Komponenten der 2 Bezug genommen wird, handelt es sich um Komponenten des Gateways, welche analog auch im Feldgerät der 2 vorgesehen sind, wie bereits oben erläutert wurde.
-
3 stellt den zeitlichen Ablauf einer Kommunikation dar. Es wird dabei die Aktualisierung der Konfiguration in dem Gateway GW1 beschrieben, wobei diese Konfiguration für die VPN-Verbindung (z.B. IKEv2/IPsec oder TLS) zwischen Gateway GW1 und Gateway GW2 genutzt wird. In 3 ist dabei ein Datenaustausch unter Zwischenschaltung dieser VPN-Verbindung zwischen einem Feldgerät FD1 aus dem Automatisierungsnetzwerk AN1 und einem Feldgerät FD2 aus dem Automatisierungsnetzwerk AN2 dargestellt.
-
Auf dem Gateway GW1 ist zunächst die aktuelle Konfiguration Cc verfügbar, da in dem Steckplatz CON1 ein entsprechendes Konfigurationsmodul CM1 mit aktuellen Konfigurationsdaten CDc eingesteckt ist. Basierend auf dieser aktuellen Konfiguration wird gemäß dem Abschnitt SetVPNCc eine VPN-Verbindung zwischen dem Gateway GW1 und dem Gateway GW2 aufgebaut. Dies ist in 3 schematisch durch drei Doppelpfeile P1 angedeutet. Anschließend erfolgt basierend auf der aktuellen Konfiguration Cc ein Datenaustausch zwischen dem Feldgerät FD1 und FD2 unter Zwischenschaltung der Gateways GW1 und GW2. Dies ist in 3 schematisch durch Pfeile P2 vom Feldgerät FD1 hin zum Feldgerät FD2 und durch Pfeile P3 vom Feldgerät FD2 hin zum Feldgerät FD1 angedeutet. Der Datenaustausch zwischen dem Feldgerät FD1 und FD2 ist auf der Übertragungsstrecke zwischen GW1 und GW2 kryptographisch geschützt (VPN-Verbindung zwischen GW1 und GW2, z.B. IKEv2/IPsec oder TLS), was durch den schraffierten Bereich veranschaulicht wird.
-
Der dargestellte Datenaustausch über die Pfeile P2 und P3 erfolgt im Produktivbetrieb des Gateways GW1 mit der Konfiguration Cc, wobei ein Zeitabschnitt dieses Produktivbetriebs in 1 mit Bezugszeichen ComCc bezeichnet ist. Wie bereits oben erwähnt, stellt der Produktivbetrieb den regulären Betrieb des Gateways dar. Im hier beschriebenen Ausführungsbeispiel werden dabei echte Steuer- bzw. Überwachungsdaten übertragen, welche einen technischen Effekt durch Beeinflussung von Aktoren im Automatisierungssystem bewirken.
-
Während des Produktivbetriebs mit der Konfiguration Cc wird eine neue Konfiguration Cn in dem Gateway GW1 eingerichtet, was durch das Einstecken des Konfigurationsmoduls CM2 in den Steckplatz CON2 bewirkt wird. Das Gateway GW1 ist dabei derart ausgestaltet, dass das Einrichten der neuen Konfiguration Cn keinen Effekt auf den Produktivbetrieb hat, d.h. der Produktivbetrieb wird weiter fortgesetzt. Nach Einstecken des Konfigurationsmoduls CM2 blinkt die LED LD2 zwischen grüner und gelber Farbe, wodurch angezeigt wird, dass die Konfiguration Cn noch nicht getestet ist. Demgegenüber leuchtet die LED LD1 durchgängig in grüner Farbe, da der Produktivbetrieb mit der aktuellen Konfiguration Cc durchgeführt wird.
-
Gemäß 3 betätigt ein Benutzer den Taster SW2, was durch den Pfeil Te verdeutlicht wird. Als Folge wird eine weitere VPN-Verbindung basierend auf der neuen Konfiguration Cn zwischen dem Gateway GW1 und dem Gateway GW2 aufgebaut. Dies ist in 3 durch den Abschnitt SetVPNCn und entsprechende Doppelpfeile P4 angedeutet. Über diese weitere VPN-Verbindung wird anschließend ein Testbetrieb TCn des Gateways GW1 durchgeführt. Dieser Testbetrieb wird am Gateway GW1 durch ein Blinken der LED LD2 in gelber Farbe angezeigt. Entscheidend ist dabei, dass der Produktivbetrieb mit der ursprünglichen Konfiguration Cc parallel zu dem Testbetrieb TCn mit der neuen Konfiguration aufrechterhalten bleibt, so dass es zu keiner Unterbrechung des Betriebs des Gateways und damit des Kommunikationsnetzes und des Automatisierungssystems kommt.
-
Im Rahmen des Testbetriebs TCn wird durch das Gateway GW1 ein Test der neuen Konfiguration Cn auf deren Funktionsfähigkeit durchgeführt. Dieser Test ist schematisch durch den Datenaustausch gemäß den Pfeilen P5 und P6 angedeutet. Der Test kann auf unterschiedliche Weise realisiert werden. Insbesondere kann es sich um einen rein lokalen Test des Gateways GW1 handeln, der überprüft, ob die richtigen Datenformate erzeugt werden. Ebenso kann der Test darin bestehen, dass Daten basierend auf der neuen Konfiguration, d.h. über die gemäß Cn kryptographisch geschützte VPN-Verbindung zwischen GW1 und GW2, ausgesendet werden und ermittelt wird, ob die Gegenstelle, an welche die Daten adressiert sind, durch das Rücksenden von Daten reagiert. Ist dies nicht der Fall, ist der Test nicht erfolgreich.
-
Ferner kann als Test eine Konsistenzprüfung von Daten durchgeführt werden. Dabei wird eine Datenkommunikation, insbesondere eine Steuerungskommunikation z.B. mit Profinet oder OPC UA, abhängig von der verwendeten Konfiguration (Cc oder Cn) gekennzeichnet (z.B. durch eine IP Header Extension). Dadurch kann ausgewertet werden, ob es sich um eine Testkommunikation oder die aktuelle, „scharfe“ Kommunikation im Produktivbetrieb handelt. Das Gateway kann dabei Inkonsistenzen aufgrund von Unterschieden in den Steuerdaten der beiden Konfigurationen Cc und Cn erkennen.
-
In der Ausführungsform der 3 ist der durchgeführte Test erfolgreich, d.h. die neue Konfiguration ist fehlerfrei und kann in dem Gateway GW1 verwendet werden. Der erfolgreiche Test wird am Gateway GW1 dadurch angezeigt, dass die LED LD2 nunmehr durchgängig in gelber Farbe leuchtet. Durch den weiteren Abschnitt ComCc' wird in 3 angedeutet, dass der Produktivbetrieb parallel zum Testbetrieb TCn weiterläuft. Mit anderen Worten stellt der Abschnitt ComCc' die Fortsetzung des Produktivbetriebs während des Tests der neuen Konfiguration Cn dar. Für den Produktivbetrieb ComCc' ist schematisch eine Datenübertragung zwischen den Feldgeräten FD1 und FD2 basierend auf Pfeilen P7 und P8 angedeutet.
-
In der Ausführungsform der 3 wird ein Wechsel des Produktivbetriebs auf die neue Konfiguration Cn durch die Betätigung des Tasters SW1 aus 2 ausgelöst. Alternativ besteht auch die Möglichkeit, dass das Netzwerkgerät diesen Wechsel automatisch nach einem erfolgreichen Test durchführt.
-
Die Betätigung des Tasters SW1 ist durch den Pfeil SW in 3 angedeutet. Nach Betätigung des Tasters bleibt der Testbetrieb mit der neuen Konfiguration noch kurzzeitig aufrechterhalten, wie durch den Abschnitt TCn' in 3 angedeutet ist. Innerhalb des Testbetriebs TCn' wird der Wechsel der Konfiguration dem Gateway GW2 mitgeteilt, das diesen Wechsel bestätigt. Dies wird in 3 schematisch durch die Pfeile P9 und P10 verdeutlicht.
-
Nach dem Datenaustausch gemäß den Pfeilen P9 und P10 befindet sich das Gateway GW1 im Produktivbetrieb mit der neuen Konfiguration Cn, d.h. die Steuer- und Überwachungsdaten werden nunmehr über die VPN-Verbindung gemäß der neuen Konfiguration Cn übertragen. Gleichzeitig wird ein Leuchten der LED LD2 in grüner Farbe bewirkt, wohingegen die LED LD1 nunmehr in gelber Farbe leuchtet und hierdurch den Standby-Betrieb der alten Konfiguration Cc andeutet. In der Ausführungsform der 3 wird ferner die VPN-Verbindung gemäß der alten Konfiguration Cc abgebaut, was durch den Abschnitt DisCc mit darin enthaltenen Doppelpfeilen P11 angedeutet ist. Parallel zu dem Abbau der VPN-Verbindung läuft bereits der Produktivbetrieb mit der neuen Konfiguration Cn, was durch den Abschnitt ComCn in 3 angedeutet ist. Dabei ist schematisch ein Datenaustausch zwischen den Feldgeräten FD1 und FD2 über entsprechende Pfeile P12 und P13 wiedergegeben. Da nunmehr die neue Konfiguration Cn im Produktivbetrieb auf dem Gateway GW1 läuft, kann das Konfigurationsmodul CM1 aus dem Konfigurationsstecker CON1 entfernt werden, da es für den aktuellen Betrieb des Gateways GW1 nicht mehr benötigt wird.
-
Im Vorangegangenen wurde eine Ausführungsform der Erfindung beschrieben, bei welcher der Test der neuen Konfiguration während eines Testbetriebs durchgeführt wird, der parallel zum Produktivbetrieb läuft. Nichtsdestotrotz besteht in einer weiteren Variante der Erfindung auch die Möglichkeit, dass die neue Konfiguration direkt im Produktivbetrieb getestet wird. Bei erfolglosem Test wird dann wieder auf die frühere (aktuelle) Konfiguration zurückgegangen. Diese Variante kann zwar zu einer kurzzeitigen Unterbrechung in der Netzwerkkommunikation führen, die jedoch in langzyklischen Automatisierungssystemen tragbar sein kann. Oftmals wird eine kurze Unterbrechung von z.B. maximal 1 Sekunde oder maximal 10 Sekunden als nahtlos (englisch: seamless) aus Sicht der Automatisierungsaufgabe betrachtet.
-
Die im Vorangegangen beschriebene Ausführungsform der Erfindung weist eine Reihe von Vorteilen auf. Insbesondere wird eine verlässliche und im Wesentlichen unterbrechungsfreie Aktualisierung der Konfiguration eines Netzwerkgeräts in einem Kommunikationsnetz einer Automatisierungsanlage geschaffen. Dabei wird zusätzlich auch ein Test der neuen Konfiguration durch das entsprechende Netzwerkgerät durchgeführt, wodurch ein Ausfall des Netzwerkgeräts im Falle einer fehlerhaften neuen Konfiguration vermieden wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102012212412 A1 [0003, 0004]