-
Die Erfindung betrifft eine Automatisierungskomponente.
-
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen der Automatisierungstechnik zum Einsatz kommen. In der Prozessautomatisierung ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Sensoreinheiten. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktorsysteme verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
-
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
-
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
-
Zur Bedienung der Feldgeräte sind entsprechende Bedienprogramme (Bedientools) notwendig, die auf den übergeordneten Einheiten entweder eigenständig ablaufen (Endress+Hauser FieldCare, Pactware, AMS Fisher-Rosemount, PDM Siemens) oder aber auch in Leitsystem-Anwendungen (Siemens PCS7, ABB Symphony, Emerson Delta V) integriert sind. Ebenso ist es möglich, die Bedienprogramme auf einem mobilen Bediengerät auszuführen, um die Feldgeräte mittels dieser zu bedienen.
-
Im Rahmen dieser Anmeldung werden alle feldnahen Geräte, also die Feldgeräte, die übergeordneten Einheiten (bspw. Steuerungen), Bedieneinheiten und sonstige Geräte, wie beispielsweise Server, etc., als Automatisierungskomponenten bezeichnet.
-
Heutzutage existieren verschiedene Methoden, um einen unbefugten Zugriff auf Automatisierungskomponenten zu verhindern. Durch einen unbefugten Zugriff kann auf Vor Ort wird beispielsweise eine Passworteingabe zur Authentifizierung eines Bedieners verlangt, wenn mittels einer Anzeige-/Bedieneinheit der Automatisierungskomponente auf diese zugegriffen werden soll.
-
Sollte dennoch ein Zugriff erfolgen, so können unbefugte Änderungen an den Einstellungen, insbesondere der Parametrierung, einer Automatisierungskomponente beispielsweise extern detektiert werden. Auch ist es möglich, die Automatisierungskomponenten mit separaten Security Chips auszustatten, beispielsweise mit einem TPM-(„Trusted Platform Module“)-Chip.
-
Die bekannten Lösungen weisen jedoch diverse Nachteile auf. Die Überwachung ist häufig nur oberflächlich, so dass diverse Manipulationen nicht detektiert werden können. Auch ist die Überwachung nicht individuell für die verschiedenen Typen von Automatisierungskomponenten ausgelegt. Über die Lebensdauer einer Automatisierungskomponente erfolgt häufig keine Anpassung der Überwachung, bzw. ist diese nicht nachverfolgbar. Ebenso erfolgt häufig keine Vernetzung zwischen den verschiedenen Automatisierungskomponenten hinsichtlich der Überwachung, so dass auf eine Manipulation nur lokal reagiert wird.
-
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, eine Automatisierungskomponente vorzustellen, welche eine Selbstüberwachung hinsichtlich Identifizierung und Prävention von Angriffen auf Feldebene ermöglicht.
-
Die Aufgabe wird durch eine Automatisierungskomponente gemäß Anspruch 1 gelöst.
-
Erfindungsgemäß weist die Automatisierungskomponente auf:
- - Eine erste Funktionseinheit, umfassend einen ersten Datenspeicher, eine erste Ausführungseinheit und eine erste Kommunikationsschnittstelle,
wobei in dem Datenspeicher Parameterwerte der Automatisierungskomponente gespeichert sind,
wobei die erste Funktionseinheit dazu ausgestaltet ist, eine Funktionalität der Automatisierungskomponente auf Basis der Parameterwerte durchzuführen, und
wobei die erste Kommunikationsschnittstelle ausgestaltet ist, einen ersten Kommunikationskanal zu etablieren und Daten bezüglich der Funktionalität über den Kommunikationskanal auszugeben;
- - Eine zweite Funktionseinheit, umfassend einen zweiten Datenspeicher, eine zweite Ausführungseinheit und eine zweite Kommunikationsschnittstelle zum Etablieren eines zweiten, zum ersten Kommunikationskanal separaten Kommuni kationskanals,
wobei in dem zweiten Datenspeicher erste Referenzwerte abgelegt sind, welche erste Referenzwerte zu einem ersten Zeitpunkt erstellt und gespeichert werden und auf den zum ersten Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten basieren,
wobei die zweite Ausführungseinheit dazu ausgestaltet ist, eine Änderung der Parameterwerte durch einen Abgleich der ersten Referenzwerte mit den aktuellen Parameterwerten zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten und/oder eine übergeordnete Einheit auszugeben.
-
Die erfindungsgemäße Automatisierungskomponente ist derart ausgestaltet, dass diese einen Selbsttest bezüglich erfolgter unerlaubter Manipulationen durchführen kann. Dazu prüft die Ausführungseinheit der zweiten Funktionseinheit zu festgelegten oder regelmäßigen Zeitpunkten, oder auf Anfrage, die Parameter der Automatisierungskomponente auf eine Veränderung. Hierzu sind in einem Datenspeicher der zweiten Funktionseinheit Referenzwerte zu den Parametern der Automatisierungskomponente gespeichert.
-
Die Referenzwerte sind zu einem vorbestimmten Zeitpunkt auf Basis der Parameter erstellt worden, insbesondere bei der Produktion oder der Inbetriebnahme der Automatisierungskomponente. Wird im Zusammenhang mit dem Abgleich eine Änderung der Parameter gegenüber den Referenzwerten festgestellt, so ist dies auf eine unautorisierte Änderung zurückzuführen. Insbesondere kann diese Änderung über den ersten Kommunikationskanal erfolgt sein. Als Konsequenz generiert die Automatisierungskomponente ein Alarmsignal, das über den zweiten Kommunikationskanals ausgesendet wird, wodurch ein potentieller Angreifer dieses nicht abfangen kann.
-
Es kann vorgesehen sein, dass zusätzlich zu der Generierung und Aussendung des Alarmsignals eine weitere Maßnahme getroffen wird. Beispielsweise besteht diese in einem Blockieren aller Kommunikationsanfragen zu der Automatisierungskomponente oder in einem Wechsel der Automatisierungskomponente in einen Notmodus, in welchem beispielsweise nur eine Grundfunktionalität der Automatisierungskomponente ausgeführt wird.
-
Parameter sind Einstellungen der Automatisierungskomponente, die deren Funktionalität über Zuweisung von Parameterwerten definieren. Automatisierungskomponenten weisen je nach Typ bis zu hunderte verschiedene Parameter auf.
-
Die Funktionseinheiten können als Hardware in der Automatisierungskomponente verbaut sein, beispielsweise als Elektronikeinheit. Es kann aber auch vorgesehen sein, dass eine der Funktionseinheiten als Hardware realisiert wird, während die andere Funktionseinheit virtuell in der hardwarebasierten Funktionseinheit ausgeführt wird.
-
Ausführungseinheiten sind beispielsweise Mikroprozessoren oder ASICs. Datenspeicher sind insbesondere nichtflüchtige Datenspeicher, beispielsweise halbleiterbasierte Datenspeicher wie EPROMs oder Flash-Speicher.
-
Die erste Kommunikationsschnittstelle erlaubt die Verbindung der Automatisierungskomponente an das Kommunikationsnetzwerk der Anlage, in welcher die Automatisierungskomponente vorgesehen ist. Insbesondere ist dieses ein Feldbus oder ein ethernetbasierte Kommunikationsnetzwerk.
-
Mittels der zweiten Kommunikationsschnittstelle wird ein zum ersten Kommunikationskanal unabhängiger zweiter Kommunikationskanal über ein weiteres Kommunikationsnetzwerk etabliert. Dieses kann drahtgebunden ausgestaltet sein, beispielsweise auf Ethernetbasis oder drahtlos ausgestaltet sein, beispielsweise nach den Funkstandards WiFi oder Bluetooth.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgestaltet ist, zu weiteren Zeitpunkten weitere Referenzwerte zu erstellen und in dem zweiten Datenspeicher abzulegen, wobei die weiteren Referenzwerte auf den zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten basieren, und wobei die zweite Ausführungseinheit dazu ausgestaltet ist, eine Änderung der Parameterwerte durch einen Abgleich der jeweilig neuesten Referenzwerte mit den aktuellen Parameterwerten zu detektieren und im Falle einer detektierten Änderung ein Alarmsignal über den zweiten Kommunikationskanal auszugeben. Die zweite Ausführungseinheit prüft eine Änderung an den Parametern also immer gegenüber der neuesten Version der Referenzwerte. Die weiteren Zeitpunkte sind beispielsweise Zeitpunkte, an denen Security-Audits durchgeführt werden oder bei denen eine Wartung oder Rekalibrierung vorgenommen wird. Änderungen an den Parametern sind also nur dann möglich, wenn eine neue Version der Referenzwerte erstellt wird, welche die neuen Parameter abbildet.
-
Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgelegt ist, die zweiten Referenzwerte zusätzlich zu den ersten Referenzwerten in dem zweiten Datenspeicher zu speichern und die ersten Referenzwerte nicht mit den weiteren Referenzwerten zu ersetzen. Auf diese Art und Weise ist einer Nachverfolgung der Historie der Referenzwerte über den Lebenszyklus der Automatisierungskomponente ermöglicht.
-
Gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit dazu ausgestaltet ist, das Erstellen und Speichern der ersten Referenzwerte und/oder der weiteren Referenzwerte nur dann durchzuführen, wenn ein Benutzer sich zu dem jeweiligen Zeitpunkt gültig gegenüber der Automatisierungskomponente über den zweiten Kommunikationskanal authentifiziert. Beispielsweise authentifiziert sich der Bediener per Passworteingabe oder über ein biometrisches Merkmal über eine Bedieneinheit. Änderungen an den Parametern sind daher nur authentifiziert möglich.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass der zweite Datenspeicher Informationen zu Authentifizierungsmerkmalen des Benutzers enthält.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die ersten Referenzwerte, bzw. die weiteren Referenzwerte Kopien der zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten sind.
-
Gemäß einer vorteilhaften alternativen Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die ersten Referenzwerte, bzw. die weiteren Referenzwerte durch zumindest eine Prüfsumme gebildet werden, beispielsweise eine CRC-Prüfsumme oder ein Hashwert, wobei die zweite Ausführungseinheit ausgestaltet ist, die Prüfsumme über die zum jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerten zu bilden. Es können neben Hashwerten oder CRC-Prüfsummen auch weitere gängige Methoden zum Bilden von Prüfsummen verwendet werden. Zum Abgleich wird die Prüfsumme der aktuell in der ersten Speichereinheit gespeicherten Parameter gebildet und mit der zumindest einen aktuellen Prüfsumme des zweiten Datenspeichers verglichen. Weichen diese voneinander ab, so sind die Parameter verändert worden.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit ausgestaltet ist, die Prüfsumme über die jeweiligen Zeitpunkt in dem ersten Datenspeicher gespeicherten Parameterwerte und zusätzlich die vor dem jeweiligen Zeitpunkt in dem zweiten Datenspeicher abgelegten Referenzwerten zu bilden. Dadurch wird die Historie der Parameter in die Prüfsumme miteinbezogen.
-
Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die erste und/oder die zweite Ausführungseinheit dazu ausgestaltet ist, bei Empfang eines Alarmsignals einer weiteren Automatisierungskomponente über den zweiten Kommunikationskanals eine Aktion auszuführen. Hierdurch kann eine Automatisierungskomponente weitere Automatisierungskomponenten auf die erfolgte Manipulation hinweisen, so dass diese selbst Maßnahmen ergreifen können, beispielsweise vorbereitende Maßnahmen.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass als Aktion eine der folgenden ausgeführt wird:
- - Aussenden eines eigenen Alarmsignals über den zweiten Kommunikationskanal an weitere Automatisierungskomponenten und/die übergeordnete Einheit;
- - Ausschalten der Automatisierungskomponente;
- - Blockieren des Datenverkehrs über den ersten Kommunikationskanal;
- - Abgleichen der aktuellen Parameterwerte mit den Referenzwerten;
- - Auffordern eines Bedieners zum Auslösen einer Aktion.
-
Gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die zweite Ausführungseinheit zusätzlich dazu ausgestaltet ist, den Ressourcenverbrauch der ersten Funktionseinheit und/oder die Kommunikation der ersten Funktionseinheit über den ersten Kommunikationskanal zu überwachen und das Alarmsignal zusätzlich dann auszugeben, falls Auffälligkeiten im Ressourcenverbrauch, bzw. in der Kommunikation der ersten Funktionseinheit über den ersten Kommunikationskanal, festgestellt werden. So kann ein Angriff detektiert werden, beispielsweise eine (D)DDoS-((„Distributed) Denial of Service“)-Attacke, ohne dass Parameter verändert worden sind.
-
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente ein Feldgerät der Automatisierungstechnik ist. Beispiele für solche Feldgeräte sind bereits im einleitenden Teil der Beschreibung aufgeführt worden. Beispiele für eine Funktionalität von Feldgeräten, bei welcher Daten erzeugt und ausgegeben werden sind beispielsweise Messvorgänge, bei denen physikalische Messwerte von Prozessgrößen erfasst werden, ein Erfassen von Aktorstellgrößen, oder, im Falle eines Gateways, eine Konversion von Messwerten von einem ersten Protokoll in ein zweites Protokoll.
-
Gemäß einer alternativen vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente eine Systemkomponente eines Netzwerks ist. Beispielsweise handelt es sich hier um eine Steuerung oder einen verwaltenden Server. Ein Beispiel einer Funktionalität einer solchen Systemkomponente ist beispielsweise ein zyklisches Abfragen von Daten der Feldgeräte über das Kommunikationsnetzwerk der Anlage.
-
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen
- 1: ein Ausführungsbeispiel einer erfindungsgemäßen Automatisierungskomponente;
- 2: eine schematische Darstellung des Lebenszyklus einer erfindungsgemäßen Automatisierungskomponente, wobei zu dezidierten Zeitpunkten Referenzwerte erstellt werden; und
- 3: eine schematische Darstellung eines Zusammenspiels mehrerer erfindungsgemäßer Automatisierungskomponenten bei erfolgter Detektion einer Manipulation, bzw. eines Angriffs.
-
1 zeigt eine schematische Abbildung einer erfindungsgemäßen Automatisierungskomponente AK. Diese ist im vorliegenden Fall ein Feldgerät mit einer Sensoreinheit zum Erfassen einer physikalischen Messgröße eines verfahrenstechnischen Prozesses. Die Automatisierungskomponente weist eine erste Funktionseinheit FE1 in Form einer Elektronikschaltung auf, welche über eine erste Ausführungseinheit AE1 in Form eines Mikrocontrollers und über einen ersten Datenspeicher DS1 in Form eines EPROMs verfügt.
-
In dem ersten Datenspeicher D1 ist eine Vielzahl von Parametern mit zugehörigen Parameterwerten PA gespeichert, welche eine Funktionalität der Automatisierungskomponente AK1 steuern, bzw. definieren. Konkret handelt es sich bei der Funktionalität beispielsweise um die Messfunktion der Automatisierungskomponente. Die Parameter definieren über die Parameterwerte PA hierbei beispielsweise einen Wertebereich, eine Linearisierung und/oder eine Messfreq uenz.
-
Die erzeugten Messwerte werden von einer ersten Kommunikationsschnittstelle KS1 über einen ersten Kommunikationskanal an ein Kommunikationsnetzwerk ausgegeben und beispielsweise an einer Steuereinheit übermittelt.
-
Zum Schutz vor unbefugten Zugriffen über den ersten Kommunikationskanals und dadurch mithergehenden Manipulationen an den Parametern der Automatisierungskomponente AK1 weist diese eine zweite Funktionseinheit FE2 auf. Diese kann analog zu der ersten Funktionseinheit FE1 ausgestaltet sein. Alternativ ist diese eine virtuelle Funktionseinheit und wird von der ersten Funktionseinheit FE1 ausgeführt. Die zweite Funktionseinheit weist eine zweite Kommunikationsschnittstelle KS2 zum Etablieren eines zweiten Kommunikationskanals, einen zweiten Datenspeicher DS2 und eine zweite Ausführungseinheit AE2 auf.
-
In der Speichereinheit SP2 der zweiten Funktionseinheit sind Referenzwerte RF1, ..., RFn gespeichert. Diese Referenzwerte RF1, ..., RFn werde im Laufe des Lebenszyklus t der Automatisierungskomponente auf Basis der Parameterwerte PA erstellt.
-
In 2 ist der Lebenszyklus t der Automatisierungskomponente AK1 und die Zeitpunkte t1, t2, ..., tn der Erstellung der Referenzwerte RF1, ..., RFn abgebildet. Zeitpunkt t1 entspricht dem Zeitpunkt der Produktion der Automatisierungskomponente AK1. Während der Produktion wird eine Automatisierungskomponente erstmals parametriert, d.h., den Parametern werden erstmals Parameterwerte PA zugewiesen. Die zweite Ausführungseinheit AE2 liest die Parameterwerte PA aus und bildet eine oder mehrere Checksummen, welche die Referenzwerte RF1 bilden.
-
Der Zeitpunkt t2 entspricht dem Zeitpunkt der Inbetriebnahme der Automatisierungskomponente AK1. Zu diesem Zeitpunkt t2 wird die Automatisierungskomponente AK erneut parametriert. Aus den neuen Parameterwerten PA werden durch Checksummenberechnung neue Referenzwerte RF2 gebildet. Die älteren Referenzwerte RF1 bleiben jeweils erhalten.
-
Dieser Vorgang kann sich viele Male im Laufe des Lebenszyklus t der Automatisierungskomponente AK1 wiederholen. Letztmalig wird die Automatisierungskomponente im vorliegenden Beispiel bei Zeitpunkt tn reparametriert, beispielsweise im Rahmen eines Security-Audits, und neue Referenzwerte RFn gebildet. Die älteren Referenzwerte RF1, RF2 bleiben jeweils erhalten.
-
Bei jeder Parameteränderung und somit jeder Neuberechnung der Referenzwerte RF1, RF2, ..., RFn wird eine Authentifizierung des Bedieners über den zweiten Kommunikationskanal verlangt.
-
Zum Detektieren, ob dennoch unerlaubte Änderungen an den Parametern vorgenommen worden sind, und somit ein unerlaubter Zugriff erfolgt ist (1), gleicht die zweite Ausführungseinheit AE2 zu regelmäßigen oder festgelegten Zeitpunkten die aktuell in der ersten Speichereinheit befindlichen Parameterwerte PA mit den aktuellen Referenzwerten ab (2). Dieser Vorgang ist in 3 veranschaulicht. Im vorliegenden Fall wird in eine Prüfsumme der aktuellen Parameterwerte PA erstellt.
-
Im vorliegenden Fall wurden Parameterwerte verändert. Nach der Detektion der Änderung führt die Automatisierungskomponente AK1 eine oder mehrere Funktionen aus (3). Im vorliegenden Fall stoppt die Automatisierungskomponente AK1 jegliche Kommunikation über den ersten Kommunikationskanal und sendet über den zweiten Kommunikationskanal ein Alarmsignal aus (4). Das Alarmsignal wird an eine übergeordnete Einheit ÜE, welche den Anlagenbetreiber informiert, und an eine weitere Automatisierungskomponenten AK2 übermittelt.
-
Nach Empfang des Alarmsignals führt die weiteren Automatisierungskomponenten AK2 selbst eine oder mehrere Aktionen aus: Als erste Aktion führt die Automatisierungskomponente AK2 selbst einen Abgleich ihrer aktuellen Parameterwerte mit ihre Referenzwerten durch (5a). Als zweite Aktion leitet die Automatisierungskomponente AK2 das Alarmsignal an eine weitere Automatisierungskomponente AKn weiter (5b). Diese weitere Automatisierungskomponente AKn führt dann selbst die Aktionen durch (5a, 5b).
-
Auf diese Art und Weise ermöglicht die erfindungsgemäße Automatisierungskomponente nicht nur eine selbstständige Überprüfung auf Manipulation, sondern auch ein Alarmsystem für ein Netzwerk aus erfindungsgemäßen Automatisierungskomponenten.
-
Bezugszeichenliste
-
- 1, 2, 3, 4, 5
- Verfahrensschritte
- AK1, AK2, ..., AKn
- Automatisierungskomponenten
- DS1, DS2
- erster und zweiter Datenspeicher
- FE1, FE2
- erste und zweite Funktionseinheit
- KS1, KS2
- erste und zweite Kommunikationsschnittstelle
- PA
- Parameterwerte
- RF1, RF2, RFn
- Referenzwerte
- t1, t2, tn
- Zeitpunkte
- t
- Lebenszyklus
- ÜE
- Übergeordnete Einheit