DE102019127787A1 - Selbstüberprüfende Automatisierungskomponente - Google Patents

Selbstüberprüfende Automatisierungskomponente Download PDF

Info

Publication number
DE102019127787A1
DE102019127787A1 DE102019127787.6A DE102019127787A DE102019127787A1 DE 102019127787 A1 DE102019127787 A1 DE 102019127787A1 DE 102019127787 A DE102019127787 A DE 102019127787A DE 102019127787 A1 DE102019127787 A1 DE 102019127787A1
Authority
DE
Germany
Prior art keywords
automation component
reference values
data memory
communication channel
parameter values
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019127787.6A
Other languages
English (en)
Inventor
Michael Kuhl
Damian Schlager
Claudia Nowak
Eric BIRGEL
Johannes Sprenger
Mirko Brcic
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Wetzer GmbH and Co KG
Original Assignee
Endress and Hauser Wetzer GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Wetzer GmbH and Co KG filed Critical Endress and Hauser Wetzer GmbH and Co KG
Priority to DE102019127787.6A priority Critical patent/DE102019127787A1/de
Publication of DE102019127787A1 publication Critical patent/DE102019127787A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23199Reference value, setpoint for regulator

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft eine Automatisierungskomponente (AK1, AK2, ..., AKn), aufweisend:- Eine erste Funktionseinheit (FE1), umfassend einen ersten Datenspeicher (DS1), eine erste Ausführungseinheit (AE1) und eine erste Kommunikationsschnittstelle (KS1),wobei in dem ersten Datenspeicher (DS1) Parameterwerte (PA) der Automatisierungskomponente (AK1, AK2, ..., AKn) gespeichert sind;- Eine zweite Funktionseinheit (FE2), umfassend einen zweiten Datenspeicher (DS2), eine zweite Ausführungseinheit (AE2) und eine zweite Kommunikationsschnittstelle (KS2) zum Etablieren eines zweiten, zum ersten Kommunikationskanal separaten Kommunikationskanals,wobei in dem zweiten Datenspeicher (DS1) erste Referenzwerte (RF1) abgelegt sind, welche erste Referenzwerte (RF1) zu einem ersten Zeitpunkt (t1) erstellt und gespeichert werden und auf den zum ersten Zeitpunkt (t1) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerten (PA) basieren,wobei die zweite Ausführungseinheit (AE2) dazu ausgestaltet ist, eine Änderung der Parameterwerte (PA) durch einen Abgleich der ersten Referenzwerte (RF1) mit den aktuellen Parameterwerten (PA) zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten (AK1, AK2, ..., AKn) und/oder eine übergeordnete Einheit (ÜE) auszugeben.

Description

  • Die Erfindung betrifft eine Automatisierungskomponente.
  • Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen der Automatisierungstechnik zum Einsatz kommen. In der Prozessautomatisierung ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Sensoreinheiten. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktorsysteme verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
  • In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
  • Zur Bedienung der Feldgeräte sind entsprechende Bedienprogramme (Bedientools) notwendig, die auf den übergeordneten Einheiten entweder eigenständig ablaufen (Endress+Hauser FieldCare, Pactware, AMS Fisher-Rosemount, PDM Siemens) oder aber auch in Leitsystem-Anwendungen (Siemens PCS7, ABB Symphony, Emerson Delta V) integriert sind. Ebenso ist es möglich, die Bedienprogramme auf einem mobilen Bediengerät auszuführen, um die Feldgeräte mittels dieser zu bedienen.
  • Im Rahmen dieser Anmeldung werden alle feldnahen Geräte, also die Feldgeräte, die übergeordneten Einheiten (bspw. Steuerungen), Bedieneinheiten und sonstige Geräte, wie beispielsweise Server, etc., als Automatisierungskomponenten bezeichnet.
  • Heutzutage existieren verschiedene Methoden, um einen unbefugten Zugriff auf Automatisierungskomponenten zu verhindern. Durch einen unbefugten Zugriff kann auf Vor Ort wird beispielsweise eine Passworteingabe zur Authentifizierung eines Bedieners verlangt, wenn mittels einer Anzeige-/Bedieneinheit der Automatisierungskomponente auf diese zugegriffen werden soll.
  • Sollte dennoch ein Zugriff erfolgen, so können unbefugte Änderungen an den Einstellungen, insbesondere der Parametrierung, einer Automatisierungskomponente beispielsweise extern detektiert werden. Auch ist es möglich, die Automatisierungskomponenten mit separaten Security Chips auszustatten, beispielsweise mit einem TPM-(„Trusted Platform Module“)-Chip.
  • Die bekannten Lösungen weisen jedoch diverse Nachteile auf. Die Überwachung ist häufig nur oberflächlich, so dass diverse Manipulationen nicht detektiert werden können. Auch ist die Überwachung nicht individuell für die verschiedenen Typen von Automatisierungskomponenten ausgelegt. Über die Lebensdauer einer Automatisierungskomponente erfolgt häufig keine Anpassung der Überwachung, bzw. ist diese nicht nachverfolgbar. Ebenso erfolgt häufig keine Vernetzung zwischen den verschiedenen Automatisierungskomponenten hinsichtlich der Überwachung, so dass auf eine Manipulation nur lokal reagiert wird.
  • Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, eine Automatisierungskomponente vorzustellen, welche eine Selbstüberwachung hinsichtlich Identifizierung und Prävention von Angriffen auf Feldebene ermöglicht.
  • Die Aufgabe wird durch eine Automatisierungskomponente gemäß Anspruch 1 gelöst.
  • Erfindungsgemäß weist die Automatisierungskomponente auf:
    • - Eine erste Funktionseinheit, umfassend einen ersten Datenspeicher, eine erste Ausführungseinheit und eine erste Kommunikationsschnittstelle, wobei in dem Datenspeicher Parameterwerte der Automatisierungskomponente gespeichert sind, wobei die erste Funktionseinheit dazu ausgestaltet ist, eine Funktionalität der Automatisierungskomponente auf Basis der Parameterwerte durchzuführen, und wobei die erste Kommunikationsschnittstelle ausgestaltet ist, einen ersten Kommunikationskanal zu etablieren und Daten bezüglich der Funktionalität über den Kommunikationskanal auszugeben;
    • - Eine zweite Funktionseinheit, umfassend einen zweiten Datenspeicher, eine zweite Ausführungseinheit und eine zweite Kommunikationsschnittstelle zum Etablieren eines zweiten, zum ersten Kommunikationskanal separaten Kommuni kationskanals, wobei in dem zweiten Datenspeicher erste Referenzwerte abgelegt sind, welche erste Referenzwerte zu einem ersten Zeitpunkt erstellt und gespeichert werden und auf den zum ersten Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten basieren, wobei die zweite Ausführungseinheit dazu ausgestaltet ist, eine Änderung der Parameterwerte durch einen Abgleich der ersten Referenzwerte mit den aktuellen Parameterwerten zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten und/oder eine übergeordnete Einheit auszugeben.
  • Die erfindungsgemäße Automatisierungskomponente ist derart ausgestaltet, dass diese einen Selbsttest bezüglich erfolgter unerlaubter Manipulationen durchführen kann. Dazu prüft die Ausführungseinheit der zweiten Funktionseinheit zu festgelegten oder regelmäßigen Zeitpunkten, oder auf Anfrage, die Parameter der Automatisierungskomponente auf eine Veränderung. Hierzu sind in einem Datenspeicher der zweiten Funktionseinheit Referenzwerte zu den Parametern der Automatisierungskomponente gespeichert.
  • Die Referenzwerte sind zu einem vorbestimmten Zeitpunkt auf Basis der Parameter erstellt worden, insbesondere bei der Produktion oder der Inbetriebnahme der Automatisierungskomponente. Wird im Zusammenhang mit dem Abgleich eine Änderung der Parameter gegenüber den Referenzwerten festgestellt, so ist dies auf eine unautorisierte Änderung zurückzuführen. Insbesondere kann diese Änderung über den ersten Kommunikationskanal erfolgt sein. Als Konsequenz generiert die Automatisierungskomponente ein Alarmsignal, das über den zweiten Kommunikationskanals ausgesendet wird, wodurch ein potentieller Angreifer dieses nicht abfangen kann.
  • Es kann vorgesehen sein, dass zusätzlich zu der Generierung und Aussendung des Alarmsignals eine weitere Maßnahme getroffen wird. Beispielsweise besteht diese in einem Blockieren aller Kommunikationsanfragen zu der Automatisierungskomponente oder in einem Wechsel der Automatisierungskomponente in einen Notmodus, in welchem beispielsweise nur eine Grundfunktionalität der Automatisierungskomponente ausgeführt wird.
  • Parameter sind Einstellungen der Automatisierungskomponente, die deren Funktionalität über Zuweisung von Parameterwerten definieren. Automatisierungskomponenten weisen je nach Typ bis zu hunderte verschiedene Parameter auf.
  • Die Funktionseinheiten können als Hardware in der Automatisierungskomponente verbaut sein, beispielsweise als Elektronikeinheit. Es kann aber auch vorgesehen sein, dass eine der Funktionseinheiten als Hardware realisiert wird, während die andere Funktionseinheit virtuell in der hardwarebasierten Funktionseinheit ausgeführt wird.
  • Ausführungseinheiten sind beispielsweise Mikroprozessoren oder ASICs. Datenspeicher sind insbesondere nichtflüchtige Datenspeicher, beispielsweise halbleiterbasierte Datenspeicher wie EPROMs oder Flash-Speicher.
  • Die erste Kommunikationsschnittstelle erlaubt die Verbindung der Automatisierungskomponente an das Kommunikationsnetzwerk der Anlage, in welcher die Automatisierungskomponente vorgesehen ist. Insbesondere ist dieses ein Feldbus oder ein ethernetbasierte Kommunikationsnetzwerk.
  • Mittels der zweiten Kommunikationsschnittstelle wird ein zum ersten Kommunikationskanal unabhängiger zweiter Kommunikationskanal über ein weiteres Kommunikationsnetzwerk etabliert. Dieses kann drahtgebunden ausgestaltet sein, beispielsweise auf Ethernetbasis oder drahtlos ausgestaltet sein, beispielsweise nach den Funkstandards WiFi oder Bluetooth.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgestaltet ist, zu weiteren Zeitpunkten weitere Referenzwerte zu erstellen und in dem zweiten Datenspeicher abzulegen, wobei die weiteren Referenzwerte auf den zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten basieren, und wobei die zweite Ausführungseinheit dazu ausgestaltet ist, eine Änderung der Parameterwerte durch einen Abgleich der jeweilig neuesten Referenzwerte mit den aktuellen Parameterwerten zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal auszugeben. Die zweite Ausführungseinheit prüft eine Änderung an den Parametern also immer gegenüber der neuesten Version der Referenzwerte. Die weiteren Zeitpunkte sind beispielsweise Zeitpunkte, an denen Security-Audits durchgeführt werden oder bei denen eine Wartung oder Rekalibrierung vorgenommen wird. Änderungen an den Parametern sind also nur dann möglich, wenn eine neue Version der Referenzwerte erstellt wird, welche die neuen Parameter abbildet.
  • Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgelegt ist, die zweiten Referenzwerte zusätzlich zu den ersten Referenzwerten in dem zweiten Datenspeicher zu speichern und die ersten Referenzwerte nicht mit den weiteren Referenzwerten zu ersetzen. Auf diese Art und Weise ist einer Nachverfolgung der Historie der Referenzwerte über den Lebenszyklus der Automatisierungskomponente ermöglicht.
  • Gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgestaltet ist, das Erstellen und Speichern der ersten Referenzwerte und/oder der weiteren Referenzwerte nur dann durchzuführen, wenn ein Benutzer sich zu dem jeweiligen Zeitpunkt gültig gegenüber der Automatisierungskomponente über den zweiten Kommunikationskanal authentifiziert. Beispielsweise authentifiziert sich der Bediener per Passworteingabe oder über ein biometrisches Merkmal über eine Bedieneinheit. Änderungen an den Parametern sind daher nur authentifiziert möglich.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass der zweite Datenspeicher Informationen zu Authentifizierungsmerkmalen des Benutzers enthält.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die ersten Referenzwerte, bzw. die weiteren Referenzwerte Kopien der zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten sind.
  • Gemäß einer vorteilhaften alternativen Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die ersten Referenzwerte, bzw. die weiteren Referenzwerte durch zumindest eine Prüfsumme gebildet werden, beispielsweise eine CRC-Prüfsumme oder ein Hashwert, wobei die zweite Ausführungseinheit ausgestaltet ist, die Prüfsumme über die zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten zu bilden. Es können neben Hashwerten oder CRC-Prüfsummen auch weitere gängige Methoden zum Bilden von Prüfsummen verwendet werden. Zum Abgleich wird die Prüfsumme der aktuell in der ersten Speichereinheit gespeicherten Parameter gebildet und mit der zumindest einen aktuellen Prüfsumme des zweiten Datenspeichers verglichen. Weichen diese voneinander ab, so sind die Parameter verändert worden.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit ausgestaltet ist, die Prüfsumme über die jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerte und zusätzlich die vor dem jeweiligen Zeitpunkt in dem zweiten Datenspeicher abgelegten Referenzwerten zu bilden. Dadurch wird die Historie der Parameter in die Prüfsumme miteinbezogen.
  • Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die erste und/oder die zweite Ausführungseinheit dazu ausgestaltet ist, bei Empfang eines Alarmsignals einer weiteren Automatisierungskomponente über den zweiten Kommunikationskanals eine Aktion auszuführen. Hierdurch kann eine Automatisierungskomponente weitere Automatisierungskomponenten auf die erfolgte Manipulation hinweisen, so dass diese selbst Maßnahmen ergreifen können, beispielsweise vorbereitende Maßnahmen.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass als Aktion eine der folgenden ausgeführt wird:
    • - Aussenden eines eigenen Alarmsignals über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten und/die übergeordnete Einheit;
    • - Ausschalten der Automatisierungskomponente;
    • - Blockieren des Datenverkehrs über den ersten Kommunikationskanal;
    • - Abgleichen der aktuellen Parameterwerte mit den Referenzwerten;
    • - Auffordern eines Bedieners zum Auslösen einer Aktion.
  • Gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit zusätzlich dazu ausgestaltet ist, den Ressourcenverbrauch der ersten Funktionseinheit und/oder die Kommunikation der ersten Funktionseinheit über den ersten Kommunikationskanal zu überwachen und das Alarmsignal zusätzlich dann auszugeben, falls Auffälligkeiten im Ressourcenverbrauch, bzw. in der Kommunikation der ersten Funktionseinheit über den ersten Kommunikationskanal, festgestellt werden. So kann ein Angriff detektiert werden, beispielsweise eine (D)DDoS-((„Distributed) Denial of Service“)-Attacke, ohne dass Parameter verändert worden sind.
  • Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente ein Feldgerät der Automatisierungstechnik ist. Beispiele für solche Feldgeräte sind bereits im einleitenden Teil der Beschreibung aufgeführt worden. Beispiele für eine Funktionalität von Feldgeräten, bei welcher Daten erzeugt und ausgegeben werden sind beispielsweise Messvorgänge, bei denen physikalische Messwerte von Prozessgrößen erfasst werden, ein Erfassen von Aktorstellgrößen, oder, im Falle eines Gateways, eine Konversion von Messwerten von einem ersten Protokoll in ein zweites Protokoll.
  • Gemäß einer alternativen vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente eine Systemkomponente eines Netzwerks ist. Beispielsweise handelt es sich hier um eine Steuerung oder einen verwaltenden Server. Ein Beispiel einer Funktionalität einer solchen Systemkomponente ist beispielsweise ein zyklisches Abfragen von Daten der Feldgeräte über das Kommunikationsnetzwerk der Anlage.
  • Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen
    • 1: ein Ausführungsbeispiel einer erfindungsgemäßen Automatisierungskomponente;
    • 2: eine schematische Darstellung des Lebenszyklus einer erfindungsgemäßen Automatisierungskomponente, wobei zu dezidierten Zeitpunkten Referenzwerte erstellt werden; und
    • 3: eine schematische Darstellung eines Zusammenspiels mehrerer erfindungsgemäßer Automatisierungskomponenten bei erfolgter Detektion einer Manipulation, bzw. eines Angriffs.
  • 1 zeigt eine schematische Abbildung einer erfindungsgemäßen Automatisierungskomponente AK. Diese ist im vorliegenden Fall ein Feldgerät mit einer Sensoreinheit zum Erfassen einer physikalischen Messgröße eines verfahrenstechnischen Prozesses. Die Automatisierungskomponente weist eine erste Funktionseinheit FE1 in Form einer Elektronikschaltung auf, welche über eine erste Ausführungseinheit AE1 in Form eines Mikrocontrollers und über einen ersten Datenspeicher DS1 in Form eines EPROMs verfügt.
  • In dem ersten Datenspeicher D1 ist eine Vielzahl von Parametern mit zugehörigen Parameterwerten PA gespeichert, welche eine Funktionalität der Automatisierungskomponente AK1 steuern, bzw. definieren. Konkret handelt es sich bei der Funktionalität beispielsweise um die Messfunktion der Automatisierungskomponente. Die Parameter definieren über die Parameterwerte PA hierbei beispielsweise einen Wertebereich, eine Linearisierung und/oder eine Messfreq uenz.
  • Die erzeugten Messwerte werden von einer ersten Kommunikationsschnittstelle KS1 über einen ersten Kommunikationskanal an ein Kommunikationsnetzwerk ausgegeben und beispielsweise an einer Steuereinheit übermittelt.
  • Zum Schutz vor unbefugten Zugriffen über den ersten Kommunikationskanals und dadurch mithergehenden Manipulationen an den Parametern der Automatisierungskomponente AK1 weist diese eine zweite Funktionseinheit FE2 auf. Diese kann analog zu der ersten Funktionseinheit FE1 ausgestaltet sein. Alternativ ist diese eine virtuelle Funktionseinheit und wird von der ersten Funktionseinheit FE1 ausgeführt. Die zweite Funktionseinheit weist eine zweite Kommunikationsschnittstelle KS2 zum Etablieren eines zweiten Kommunikationskanals, einen zweiten Datenspeicher DS2 und eine zweite Ausführungseinheit AE2 auf.
  • In der Speichereinheit SP2 der zweiten Funktionseinheit sind Referenzwerte RF1, ..., RFn gespeichert. Diese Referenzwerte RF1, ..., RFn werde im Laufe des Lebenszyklus t der Automatisierungskomponente auf Basis der Parameterwerte PA erstellt.
  • In 2 ist der Lebenszyklus t der Automatisierungskomponente AK1 und die Zeitpunkte t1, t2, ..., tn der Erstellung der Referenzwerte RF1, ..., RFn abgebildet. Zeitpunkt t1 entspricht dem Zeitpunkt der Produktion der Automatisierungskomponente AK1. Während der Produktion wird eine Automatisierungskomponente erstmals parametriert, d.h., den Parametern werden erstmals Parameterwerte PA zugewiesen. Die zweite Ausführungseinheit AE2 liest die Parameterwerte PA aus und bildet eine oder mehrere Checksummen, welche die Referenzwerte RF1 bilden.
  • Der Zeitpunkt t2 entspricht dem Zeitpunkt der Inbetriebnahme der Automatisierungskomponente AK1. Zu diesem Zeitpunkt t2 wird die Automatisierungskomponente AK erneut parametriert. Aus den neuen Parameterwerten PA werden durch Checksummenberechnung neue Referenzwerte RF2 gebildet. Die älteren Referenzwerte RF1 bleiben jeweils erhalten.
  • Dieser Vorgang kann sich viele Male im Laufe des Lebenszyklus t der Automatisierungskomponente AK1 wiederholen. Letztmalig wird die Automatisierungskomponente im vorliegenden Beispiel bei Zeitpunkt tn reparametriert, beispielsweise im Rahmen eines Security-Audits, und neue Referenzwerte RFn gebildet. Die älteren Referenzwerte RF1, RF2 bleiben jeweils erhalten.
  • Bei jeder Parameteränderung und somit jeder Neuberechnung der Referenzwerte RF1, RF2, ..., RFn wird eine Authentifizierung des Bedieners über den zweiten Kommunikationskanal verlangt.
  • Zum Detektieren, ob dennoch unerlaubte Änderungen an den Parametern vorgenommen worden sind, und somit ein unerlaubter Zugriff erfolgt ist (1), gleicht die zweite Ausführungseinheit AE2 zu regelmäßigen oder festgelegten Zeitpunkten die aktuell in der ersten Speichereinheit befindlichen Parameterwerte PA mit den aktuellen Referenzwerten ab (2). Dieser Vorgang ist in 3 veranschaulicht. Im vorliegenden Fall wird in eine Prüfsumme der aktuellen Parameterwerte PA erstellt.
  • Im vorliegenden Fall wurden Parameterwerte verändert. Nach der Detektion der Änderung führt die Automatisierungskomponente AK1 eine oder mehrere Funktionen aus (3). Im vorliegenden Fall stoppt die Automatisierungskomponente AK1 jegliche Kommunikation über den ersten Kommunikationskanal und sendet über den zweiten Kommunikationskanal ein Alarmsignal aus (4). Das Alarmsignal wird an eine übergeordnete Einheit ÜE, welche den Anlagenbetreiber informiert, und an eine weitere Automatisierungskomponenten AK2 übermittelt.
  • Nach Empfang des Alarmsignals führt die weiteren Automatisierungskomponenten AK2 selbst eine oder mehrere Aktionen aus: Als erste Aktion führt die Automatisierungskomponente AK2 selbst einen Abgleich ihrer aktuellen Parameterwerte mit ihre Referenzwerten durch (5a). Als zweite Aktion leitet die Automatisierungskomponente AK2 das Alarmsignal an eine weitere Automatisierungskomponente AKn weiter (5b). Diese weitere Automatisierungskomponente AKn führt dann selbst die Aktionen durch (5a, 5b).
  • Auf diese Art und Weise ermöglicht die erfindungsgemäße Automatisierungskomponente nicht nur eine selbstständige Überprüfung auf Manipulation, sondern auch ein Alarmsystem für ein Netzwerk aus erfindungsgemäßen Automatisierungskomponenten.
  • Bezugszeichenliste
    • 1, 2, 3, 4, 5
    Verfahrensschritte
    AK1, AK2, ..., AKn
    Automatisierungskomponenten
    DS1, DS2
    erster und zweiter Datenspeicher
    FE1, FE2
    erste und zweite Funktionseinheit
    KS1, KS2
    erste und zweite Kommunikationsschnittstelle
    PA
    Parameterwerte
    RF1, RF2, RFn
    Referenzwerte
    t1, t2, tn
    Zeitpunkte
    t
    Lebenszyklus
    ÜE
    Übergeordnete Einheit

Claims (13)

  1. Automatisierungskomponente (AK1, AK2, ..., AKn), aufweisend: - Eine erste Funktionseinheit (FE1), umfassend einen ersten Datenspeicher (DS1), eine erste Ausführungseinheit (AE1) und eine erste Kommunikationsschnittstelle (KS1), wobei in dem ersten Datenspeicher (DS1) Parameterwerte (PA) der Automatisierungskomponente (AK1, AK2, ..., AKn) gespeichert sind, wobei die erste Funktionseinheit (FE1) dazu ausgestaltet ist, zumindest eine Funktionalität der Automatisierungskomponente (AK1, AK2, ..., AKn) auf Basis der Parameterwerte (PA) durchzuführen, und wobei die erste Kommunikationsschnittstelle (KS1) ausgestaltet ist, einen ersten Kommunikationskanal zu etablieren und Daten bezüglich der Funktionalität über den Kommunikationskanal auszugeben; - Eine zweite Funktionseinheit (FE2), umfassend einen zweiten Datenspeicher (DS2), eine zweite Ausführungseinheit (AE2) und eine zweite Kommunikationsschnittstelle (KS2) zum Etablieren eines zweiten, zum ersten Kommunikationskanal separaten Kommunikationskanals, wobei in dem zweiten Datenspeicher (DS2) erste Referenzwerte (RF1) abgelegt sind, welche erste Referenzwerte (RF1) zu einem ersten Zeitpunkt (t1) erstellt und gespeichert werden und auf den zum ersten Zeitpunkt (t1) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerten (PA) basieren, wobei die zweite Ausführungseinheit (AE2) dazu ausgestaltet ist, eine Änderung der Parameterwerte (PA) durch einen Abgleich der ersten Referenzwerte (RF1) mit den aktuellen Parameterwerten (PA) zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten (AK1, AK2, ..., AKn) und/oder eine übergeordnete Einheit (ÜE) auszugeben.
  2. Automatisierungskomponente nach Anspruch 1, wobei die zweite Ausführungseinheit (AE2) dazu ausgestaltet ist, zu weiteren Zeitpunkten (t2, tn) weitere Referenzwerte (RF2, RFn) zu erstellen und in dem zweiten Datenspeicher (DS2) abzulegen, wobei die weiteren Referenzwerte (RF2, RFn) auf den zum jeweiligen Zeitpunkt (t2, tn) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerten (PA) basieren, und wobei die zweite Ausführungseinheit (AE2) dazu ausgestaltet ist, eine Änderung der Parameterwerte (PA) durch einen Abgleich der jeweilig neuesten Referenzwerte (RF2, RFn) mit den aktuellen Parameterwerten (PA) zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal auszugeben.
  3. Automatisierungskomponente nach Anspruch 2, wobei die zweite Ausführungseinheit (AE2) dazu ausgelegt ist, die weiteren Referenzwerte (RF2, RFn) zusätzlich zu den ersten Referenzwerten (RF1) in dem zweiten Datenspeicher (DS2) zu speichern und die ersten Referenzwerte (RF1) nicht mit den weiteren Referenzwerten (RF2, RFn) zu ersetzen.
  4. Automatisierungskomponente nach Anspruch 2 oder 3, wobei die zweite Ausführungseinheit (AE2) dazu ausgestaltet ist, das Erstellen und Speichern der ersten Referenzwerte (RF1) und/oder der weiteren Referenzwerte (RF2, RFn) nur dann durchzuführen, wenn ein Benutzer sich zu dem jeweiligen Zeitpunkt (t1, t2, tn) gültig gegenüber der Automatisierungskomponente (AK1, AK2, ..., AKn) über den zweiten Kommunikationskanal authentifiziert.
  5. Automatisierungskomponente nach Anspruch 4, wobei der zweite Datenspeicher (DS2) Informationen zu Authentifizierungsmerkmalen des Benutzers enthält.
  6. Automatisierungskomponente nach zumindest einem der vorherigen Ansprüche, wobei die ersten Referenzwerte (RF1), bzw. die weiteren Referenzwerte (RF2, RFn) Kopien der zum jeweiligen Zeitpunkt (t1, t2, tn) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerten (PA) sind.
  7. Automatisierungskomponente nach zumindest einem der Ansprüche 1 bis 5, wobei die ersten Referenzwerte (RF1), bzw. die weiteren Referenzwerte (RF2, RFn) durch zumindest eine Prüfsumme gebildet werden, beispielsweise eine CRC-Prüfsumme oder ein Hashwert, wobei die zweite Ausführungseinheit (AE2) ausgestaltet ist, die Prüfsumme über die zum jeweiligen Zeitpunkt (t1, t2, tn) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerten (PA) zu bilden.
  8. Automatisierungskomponente nach Anspruch 6, wobei die zweite Ausführungseinheit (AE2) ausgestaltet ist, die Prüfsumme über die jeweiligen Zeitpunkt (t1, t2, tn) in dem ersten Datenspeicher (DS1) gespeicherten Parameterwerte (PA) und zusätzlich die vor dem jeweiligen Zeitpunkt (t1, t2, tn) in dem zweiten Datenspeicher (DS2) abgelegten Referenzwerten (RF1, RF2) zu bilden.
  9. Automatisierungskomponente nach zumindest einem der vorherigen Ansprüche, wobei die erste und/oder die zweite Ausführungseinheit (AE1, AE2) dazu ausgestaltet ist, bei Empfang eines Alarmsignals einer weiteren Automatisierungskomponente (AK1, AK2, ..., AKn) über den zweiten Kommunikationskanals eine Aktion auszuführen.
  10. Automatisierungskomponente nach Anspruch 9, wobei als Aktion eine der folgenden ausgeführt wird: - Aussenden eines eigenen Alarmsignals über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten (AK1, AK2, ..., AKn) und/die übergeordnete Einheit ÜE); - Ausschalten der Automatisierungskomponente (AK1, AK2, ..., AKn); - Blockieren des Datenverkehrs über den ersten Kommunikationskanal; - Abgleichen der aktuellen Parameterwerte (PA) mit den Referenzwerten (RF1, RF2, RFn); - Auffordern eines Bedieners zum Auslösen einer Aktion.
  11. Automatisierungskomponente nach zumindest einem der vorherigen Ansprüche, wobei die zweite Ausführungseinheit (AE2) zusätzlich dazu ausgestaltet ist, den Ressourcenverbrauch der ersten Funktionseinheit (FE1) und/oder die Kommunikation der ersten Funktionseinheit (FE1) über den ersten Kommunikationskanal zu überwachen und das Alarmsignal zusätzlich dann auszugeben, falls Auffälligkeiten im Ressourcenverbrauch, bzw. in der Kommunikation der ersten Funktionseinheit (FE1) über den ersten Kommunikationskanal, festgestellt werden.
  12. Automatisierungskomponente nach zumindest einem der vorherigen Ansprüche, wobei die Automatisierungskomponente (AK1, AK2, ..., AKn) ein Feldgerät der Automatisierungstechnik ist.
  13. Automatisierungskomponente nach zumindest einem der Ansprüche 1 bis 11, wobei die Automatisierungskomponente (AK1, AK2, ..., AKn) eine Systemkomponente eines Netzwerks ist.
DE102019127787.6A 2019-10-15 2019-10-15 Selbstüberprüfende Automatisierungskomponente Pending DE102019127787A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019127787.6A DE102019127787A1 (de) 2019-10-15 2019-10-15 Selbstüberprüfende Automatisierungskomponente

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019127787.6A DE102019127787A1 (de) 2019-10-15 2019-10-15 Selbstüberprüfende Automatisierungskomponente

Publications (1)

Publication Number Publication Date
DE102019127787A1 true DE102019127787A1 (de) 2021-04-15

Family

ID=75155312

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019127787.6A Pending DE102019127787A1 (de) 2019-10-15 2019-10-15 Selbstüberprüfende Automatisierungskomponente

Country Status (1)

Country Link
DE (1) DE102019127787A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005060902A1 (de) * 2005-12-20 2007-06-28 Robert Bosch Gmbh Steuergerät für eine Maschine
DE102017118963A1 (de) * 2017-08-18 2019-02-21 Endress+Hauser Process Solutions Ag Vorrichtung und Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005060902A1 (de) * 2005-12-20 2007-06-28 Robert Bosch Gmbh Steuergerät für eine Maschine
DE102017118963A1 (de) * 2017-08-18 2019-02-21 Endress+Hauser Process Solutions Ag Vorrichtung und Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente

Similar Documents

Publication Publication Date Title
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
WO2018059855A1 (de) Verfahren zum manipulationssicheren speichern von daten eines feldgeräts
DE102011083984A1 (de) Verfahren zur Sicherstellung des autorisierten Zugriffs auf ein Feldgerät der Automatisierungstechnik
DE102018008674A1 (de) Automatisierungsgerät mit integrierter Netzwerk-Analyse und Cloud-Anbindung
DE102012109348A1 (de) Verfahren zum sicheren Bedienen eines Feldgerätes
EP3391611B1 (de) Zugangsschlüssel für ein feldgerät
WO2020069815A1 (de) Aggregatorvorrichtung für einen vereinheitlichten zugriff auf eine mehrzahl von netzwerksegmenten eines feldbussystems
DE102017205832A1 (de) Verfahren zum Parametrieren eines Feldgeräts sowie parametrierbares Feldgerät
DE102016107045B4 (de) Verfahren und System zum sicheren Konfigurieren eines Feldgeräts der Prozessautomatisierung
WO2012028367A1 (de) System zur kommunikation von mehreren clients mit mehreren feldgeräten in der automatisierungstechnik
DE102019127787A1 (de) Selbstüberprüfende Automatisierungskomponente
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
WO2012028366A1 (de) Verfahren zur sicherstellung der korrekten funktionsweise einer automatisierungsanlage
DE102005063085A1 (de) Verfahren zum sicheren Bedienen eines Feldgerätes der Prozessautomatisierungstechnik
WO2021121962A1 (de) Übertragung von sicherheitseinstellungen zwischen einem ersten und einem zweiten feldgerät der automatisierungstechnik
EP3993339B1 (de) Zertifikatsmanagement in einer technischen anlage
DE102017123222A1 (de) Verfahren zum Betreiben einer Anlage der Automatisierungstechnik
WO2024132417A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
DE102022103950A1 (de) Verfahren zum Überprüfen der Originalität einer Firmware eines Feldgeräts der Automatisierungstechnik
EP4243343A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle
DE102022133650A1 (de) System und Verfahren zum Zugriff einer Bedieneinheit auf zumindest ein Feldgerät
DE102022130426A1 (de) Verfahren und System zum Dokumentieren von Logbuchdaten von einem oder mehreren ersten Feldgeräten
EP4199414A1 (de) Leitsystem für eine technische anlage und computerimplementierter überwachungsdienst
EP4333363A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle

Legal Events

Date Code Title Description
R163 Identified publications notified
R082 Change of representative

Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE