DE102021131410A1 - Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang - Google Patents

Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang Download PDF

Info

Publication number
DE102021131410A1
DE102021131410A1 DE102021131410.0A DE102021131410A DE102021131410A1 DE 102021131410 A1 DE102021131410 A1 DE 102021131410A1 DE 102021131410 A DE102021131410 A DE 102021131410A DE 102021131410 A1 DE102021131410 A1 DE 102021131410A1
Authority
DE
Germany
Prior art keywords
field device
user
cloud
cloud service
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021131410.0A
Other languages
English (en)
Inventor
Volker ALLGAIER
Clemens Hengstler
Marcel DIETERLE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vega Grieshaber KG
Original Assignee
Vega Grieshaber KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vega Grieshaber KG filed Critical Vega Grieshaber KG
Priority to DE102021131410.0A priority Critical patent/DE102021131410A1/de
Priority to PCT/EP2022/083667 priority patent/WO2023099474A1/de
Publication of DE102021131410A1 publication Critical patent/DE102021131410A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Feldgerät (102) der industriellen Automation, wobei das Feldgerät eine Nutzerschnittstelle (114) aufweist, die eingerichtet ist, um mit einem Nutzer zu kommunizieren, eine Cloudschnittstelle (116), die eingerichtet ist, das Feldgerät mit einem Cloudservice (105) zu verbinden, und eine Steuereinrichtung (120). Die Steuereinrichtung ist eingerichtet, für einen lokalen Nutzerzugang über die Nutzerschnittstelle Nutzerdaten über zu empfangen, die Nutzerdaten an den Cloudservice zu senden, erste Berechtigungsdaten von dem Cloudservice über die Cloudschnittstelle zu empfangen, und den Zugang zum Feldgerät in Abhängigkeit der ersten Berechtigungsdaten zu gewähren.

Description

  • Technisches Gebiet
  • Die Erfindung betrifft ein Feldgerät, z.B. einen Sensor, der industriellen Automation, ein Feldgerätenetzwerk, eine Verwendung eines Cloudgeräts zur Gewährung eines Zugangs zu einem Feldgerät und ein Verfahren zum Gewähren eines Zugangs zu einem Feldgerät in einem Feldgerätenetzwerk.
  • Stand der Technik
  • Um beispielsweise zu Service-Zwecken Zugriff auf einen industriellen Sensor in einem Sensornetzwerk zu erhalten, benötigt ein Nutzer vor Ort lediglich Zugangsdaten. Die Sicherheitsanforderungen steigen jedoch, und es werden weitere Methoden zum Prüfen und Erteilen einer Zugangsberechtigung gefordert. Eine bekannte Methode ist beispielsweise eine Authentifizierung.
  • Zusammenfassung
  • Eine Aufgabe könnte sein, ein Feldgerät mit verbessertem Nutzerzugang bereitzustellen.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen sind Gegenstand der abhängigen Ansprüche, der folgenden Beschreibung, sowie der Figuren.
  • Die beschriebenen Ausführungsformen betreffen in ähnlicher Weise das Feldgerät der industriellen Automation, das Feldgerätenetzwerk, die Verwendung eines Cloudgeräts zur Gewährung eines Zugangs zu einem Feldgerät und das Verfahren zum Gewähren eines Zugangs zu einem Feldgerät in einem Feldgerätenetzwerk. Synergieeffekte können sich aus verschiedenen Kombinationen der Ausführungsformen ergeben, obwohl sie möglicherweise nicht im Detail beschrieben werden.
  • Ferner ist zu beachten, dass alle Ausführungsformen der vorliegenden Erfindung, die ein Verfahren betreffen, in der beschriebenen Reihenfolge der Schritte ausgeführt werden können, jedoch muss dies nicht die einzige und wesentliche Reihenfolge der Schritte des Verfahrens sein. Die hier vorgestellten Verfahren können mit einer anderen Reihenfolge der offenbarten Schritte ausgeführt werden, ohne von der jeweiligen Verfahrensausführungsform abzuweichen, sofern im Folgenden nicht ausdrücklich etwas Anderes angegeben ist.
  • Fachbegriffe werden mit der dem Fachmann bekannten Bedeutung verwendet. Wenn bestimmten Begriffen eine bestimmte Bedeutung verliehen wird, werden im Folgenden Definitionen von Begriffen gegeben, in deren Zusammenhang die Begriffe verwendet werden
  • Gemäß einem ersten Aspekt wird ein Feldgerät der industriellen Automation vorgeschlagen, wobei das Feldgerät eine Nutzerschnittstelle aufweist, die eingerichtet ist, um mit einem Nutzer zu kommunizieren, eine Cloudschnittstelle, die eingerichtet ist, das Feldgerät mit einem Cloudservice zu verbinden, und eine Steuereinrichtung. Die Steuereinrichtung ist eingerichtet, für einen lokalen Nutzerzugang über die Nutzerschnittstelle Nutzerdaten über zu empfangen, die Nutzerdaten an den Cloudservice zu senden, erste Berechtigungsdaten von dem Cloudservice über die Cloudschnittstelle zu empfangen, und den Zugang zum Feldgerät in Abhängigkeit der ersten Berechtigungsdaten zu gewähren.
  • Das Feldgerät ist beispielsweise ein Sensor der Automation bzw. Automatisierung wie z.B. der Fabrik- oder Prozessautomatisierung im industriellen Umfeld. Eine Prozessautomatisierung im industriellen Umfeld kann ein Teilgebiet der Technik verstanden werden, welches alle Maßnahmen zum Betrieb von Maschinen und Anlagen ohne Mitwirkung des Menschen beinhaltet. Ein Ziel der Prozessautomatisierung ist es, das Zusammenspiel einzelner Komponenten einer Werksanlage in den Bereichen Chemie, Lebensmittel, Pharma, Erdöl, Papier, Zement, Schifffahrt oder Bergbau zu automatisieren. Hierzu können eine Vielzahl an Sensoren eingesetzt werden, welche insbesondere an die spezifischen Anforderungen der Prozessindustrie, wie bspw. mechanische Stabilität, Unempfindlichkeit gegenüber Verschmutzung, extremen Temperaturen und extremen Drücken, angepasst sind. Messwerte dieser Sensoren werden üblicherweise an eine Leitwarte übermittelt, in welcher Prozessparameter wie Füllstand, Grenzstand, Durchfluss, Druck oder Dichte überwacht und Einstellungen für die gesamte Werksanlage manuell oder automatisiert verändert werden können.
  • Ein Teilgebiet der Prozessautomatisierung im industriellen Umfeld betrifft die Logistikautomation. Mit Hilfe von Distanz- und Winkelsensoren werden im Bereich der Logistikautomation Abläufe innerhalb eines Gebäudes oder innerhalb einer einzelnen Logistikanlage automatisiert. Typische Anwendungen finden z.B. Systeme zur Logistikautomation im Bereich der Gepäck- und Frachtabfertigung an Flughäfen, im Bereich der Verkehrsüberwachung (Mautsysteme), im Handel, der Paketdistribution oder aber auch im Bereich der Gebäudesicherung (Zutrittskontrolle). Gemein ist den zuvor aufgezählten Beispielen, dass eine Präsenzerkennung in Kombination mit einer genauen Vermessung der Größe und der Lage eines Objektes von der jeweiligen Anwendungsseite gefordert wird. Hierfür können Sensoren auf Basis optischer Messverfahren mittels Laser, LED, 2D-Kameras oder 3D-Kameras, die nach dem Laufzeitprinzip (time of flight, ToF) Abstände erfassen, verwendet werden.
  • Ein weiteres Teilgebiet der Prozessautomatisierung im industriellen Umfeld betrifft die Fabrik-/Fertigungsautomation. Anwendungsfälle hierzu finden sich in den unterschiedlichsten Branchen wie Automobilherstellung, Nahrungsmittelherstellung, Pharmaindustrie oder allgemein im Bereich der Verpackung. Ziel der Fabrikautomation ist, die Herstellung von Gütern durch Maschinen, Fertigungslinien und/oder Roboter zu automatisieren, d. h. ohne Mitwirkung des Menschen ablaufen zu lassen. Die hierbei verwendeten Sensoren und spezifischen Anforderungen im Hinblick auf die Messgenauigkeit bei der Erfassung der Lage und Größe eines Objektes sind mit denen der im vorigen Beispiel der Logistikautomation vergleichbar.
  • Unter Nutzerdaten sind hier Daten von einem Nutzer zu verstehen, d.h. nicht notwendigerweise oder nicht nur Daten über einen Nutzer. Im einfachsten Fall beinhalten die Nutzerddaten ein einzelnes Bit oder ein Schaltsignal. Sie können aber auch Ziffern, einen Namen und/oder ein Passwort enthalten. Der Empfang der Nutzerdaten stellt hier gleichzeitig eine Zugangsanfrage dar.
  • Eine Cloudschnittstelle ist eine Schnittstelle, z.B. eine Internetschnittstelle, zu einer Cloud, d.h. einem Netzwerk mit einer Vielzahl von Netzwerkknoten und Diensten.
  • Die Nutzerschnittstelle kann eine MMI-Schnittstelle und/oder z.B. eine Drahtlosschnittstelle zu einem Nutzergerät, beispielsweise ein Mobilfunkgerät, ein Laptop, ein proprietäres Gerät, etc., sein.
  • Ein Nutzerzugang ist die Berechtigung, das Feldgerät funktionell zu bedienen und/oder insbesondere Änderungen an dem Gerät vorzunehmen, wie z.B. das Konfigurieren oder Parametrisieren des Feldgerätes oder ein Auslesen von gespeicherten Daten, die nicht während des Betriebs regelmäßig ausgegeben werden oder ein physischer Zugang. Beispielsweise benötigt der Nutzer, hier der zweite Nutzer, einen Zugang zu Wartungszwecken.
  • Die Berechtigungsdaten sind Daten, die z.B. gemäß einer Authentifizierungsmethode übertragen werden und notwendig sind, um dem Nutzer Zugang zu dem Feldgerät zu gewähren. Das Feldgerät bzw. die Steuereinrichtung des Feldgeräts kann Berechtigungsdaten von dem Cloudservice und/oder von dem Nutzer empfangen, die unterschiedlich sein können. Erste Berechtigungsdaten sind hierein Berechtigungsdaten von dem Cloudservice über die Cloudschnittstelle an das Feldgerät und zweite Berechtigungsdaten sind Berechtigungsdaten von dem zweiten Nutzer über die Nutzerschnittstelle an das Feldgerät.
  • „Lokal“ bedeutet, dass sich der Nutzer in unmittelbarer Nähe des Feldgeräts befindet und dieses durch einen körperlichen Kontakt, z.B. durch Drücken eines Knopfes oder Berühren eines Displays, bedienen kann.
  • Oft wird zum Beispiel zu Wartungs-, oder Servicezwecken ein Zugang zu einem Feldgerät vor Ort benötigt. Das Feldgerät weist nun eine elektronische Zugangssicherung auf, die eine Authentifizierung verlangt. Die Authentifizierung wird durch eine Verbindung des Feldgeräts zu einem Cloudservice bzw. Cloud-Dienst erreicht. Ein solcher Cloudservice kann entweder vollständig automatisch arbeiten, oder er kann durch einen ersten Nutzer überwacht oder unterstützt werden. In letzterem Fall kann der erste Nutzer beispielsweise die Berechtigungsdaten freigeben, oder auch den Zugang sofort sperren, wenn eine Unregelmäßigkeit festgestellt wird.
  • Der Nutzer vor Ort, hier als „zweiter Nutzer“ bezeichnet, verwendet eine Nutzerschnittstelle, z.B. eine Mensch-Maschine-Schnittstelle (MMI) des Feldgeräts, um den Zugang zu dem Feldgerät anzufragen. Das Feldgerät sendet daraufhin eine Nachricht mit den Nutzerdaten in die Cloud, d.h. zu einem zuständigen Cloudservice, der mit ersten Berechtigungsdaten antwortet.
  • Das „Gewähren“ des Zugangs beinhaltet zwei „Stufen“. Die erste Stufe betrifft die Entscheidung des Gewährens in der Cloud und die zweite Stufe den physikalischen Zugang zu dem Feldgerät, die der Entscheidung folgt. Die jeweilige Stufe geht jeweils zweifelsfrei aus dem Kontext hervor.
  • Die Steuereinrichtung sendet und empfängt Daten. Ausdrücke wie beispielsweise „Daten werden an das Feldgerät gesendet“ oder „Daten werden von dem Feldgerät empfangen“ beinhalten, dass die Steuereinheit des Feldgeräts die Daten empfängt bzw. sendet.
  • Gemäß einer Ausführungsform enthalten die ersten Berechtigungsdaten ein Passwort oder eine Ziffernfolge, z.B. eine PIN oder eine Zufallszifferfolge.
  • Die ersten Berechtigungsdaten, die das Feldgerät aus der Cloud erhält, können aus in der Cloud gespeicherten und/oder von dem Cloudservice erzeugten Berechtigungsdaten bestehen. Die ersten Berechtigungsdaten können aber auch von einem ersten Nutzer erzeugte Daten sein, der den Cloudservice bedient. Beispielsweise können die Berechtigungsdaten ein benutzerspezifisches Passwort, eine abgespeicherte Ziffernfolge, z.B. eine PIN, oder eine Zufallsziffernfolge sein.
  • Gemäß einer Ausführungsform ist die Nutzerschnittstelle weiterhin eingerichtet, zweite Berechtigungsdaten zu empfangen, und die Steuereinrichtung ist eingerichtet, die ersten Berechtigungsdaten mit den zweiten Berechtigungsdaten abzugleichen und bei Übereinstimmung den Zugang zu gewähren.
  • Die ersten Berechtigungsdaten sendet der Cloudservice somit an das Feldgerät und/oder an ein Gerät des zweiten Nutzers wie zum Beispiel ein Smartphone. Im Falle, dass der Cloudservice die Berechtigungsdaten an das Feldgerät sendet, kann die Authentifizierung auf verschiedene Weisen durchgeführt werden. Beispielsweise enthalten die ersten Berechtigungsdaten und die zweiten, vom zweiten Nutzer eingegebenen Berechtigungsdaten ein Nutzerpasswort, das die Steuereinheit vergleicht. Die zweiten Berechtigungsdaten sind somit entsprechend beispielsweise ebenfalls ein Passwort oder eine Zufallszifferfolge, die das Feldgerät von dem zweiten Nutzer oder einem Nutzergerät, das dieser Nutzer verwendet, wie beispielsweise einem Mobilfunkgerät, einem Tablet, einem Laptop oder einem proprietären Gerät, erhält, so dass die Steuereinrichtung des Feldgeräts den Vergleich mit den ersten Berechtigungsdaten durchführen kann. Dieses Nutzergerät des zweiten Nutzers wird hierin als „zweites Nutzergerät“ bezeichnet.
  • Gemäß einer Ausführungsform ist die Steuereinrichtung ferner eingerichtet, zumindest einen Teil der ersten Berechtigungsdaten auszugeben.
  • Beispielsweise weist das Feldgerät ein Display auf, und die ersten Berechtigungsdaten, z.B. die PIN oder die Zufallsziffern, werden auf dem Display angezeigt. Der Nutzer kann daher nur auf das Feldgerät zugreifen, wenn er vor Ort ist, um das Display abzulesen, und die PIN z.B. über die Mensch-Maschine Schnittstelle, z.B. einer Tastatur oder ein berührungsempfindliches Display, eingibt. Alternativ kann die Steuereinrichtung über eine drahtlose Verbindung als Nutzerschnittstelle, z.B. über eine drahtlose Kurzdistanzverbindung, zu dem Nutzergerät des zweiten Nutzers die ersten Berechtigungsdaten senden. Das Nutzergerät zeigt die Daten an, und der Nutzer kann die am Feldgerät die angezeigten Daten eingeben. In einer weiteren Alternative gibt der Nutzer die am Feldgerät angezeigten Daten am Nutzergerät ein, das diese Daten über eine Drahtlosverbindung an das Feldgerät sendet.
  • In einer alternativen Ausführungsform kann der zweite Nutzer die zweiten Berechtigungsdaten an das Feldgerät über die Nutzerschnittstelle oder die Mensch-Maschine-Schnittstelle senden, zum Beispiel persönliche Zugangsdaten („Credentials“), also Namen und Passwort, und die Steuereinrichtung des Feldgeräts leitet die zweiten Berechtigungsdaten an den Cloudservice weiter, der die zweiten Berechtigungsdaten mit den z.B. gespeicherten ersten Berechtigungsdaten vergleicht, und eine Freigabe an das Feldgerät sendet, so dass das Feldgerät für den Zugang freigegeben ist.
  • Gemäß einer Ausführungsform ist die Steuereinrichtung ferner eingerichtet, eine Protokollierung über Aktivitäten am Feldgerät nach Gewährung des Zugangs an den Cloudservice zu senden.
  • Die Steuereinrichtung des Feldgeräts kann die Aktionen des zweiten Nutzers aufzeichnen. Beispielsweise kann es eine Logdatei speichern, die die Verbindungsdaten einschließlich den Zeitpunkten des Starts und des Endes der Verbindung, sowie beispielsweise Parameter und Konfigurationen, die geändert wurden, enthält. Die gespeicherten Daten können zu einem geeigneten Zeitpunkt in die Cloud, z.B. an den Cloudservice oder an den ersten Nutzer, gesendet werden.
  • Gemäß einer Ausführungsform ist die Steuereinrichtung ferner eingerichtet, Aktivitäten am Feldgerät über die Cloudschnittstelle in Echtzeit an den Cloudservice zu senden.
  • Im Falle einer Datenaufzeichnung ist, solange diese läuft, keine aktive Verbindung in die Cloud notwendig ist. Bei einer Echtzeitdatenübertragung ist jedoch eine solche Voraussetzung. Die Echtzeitdatenübertragung hat den Vorteil, dass der erste Nutzer die Aktivitäten überwachen kann und eventuell den Zugang sperren kann.
  • Gemäß einer Ausführungsform ist die Steuereinrichtung ferner eingerichtet, nach dem Erhalt der ersten Berechtigungsdaten dem zweiten Nutzergerät den Zugang über ein Verschlüsselungsverfahren zu gewähren.
  • Die Anfrage, d.h. die Nutzerdaten können z.B. Daten enthalten, die in eine Telefonnummer oder andere Daten umgesetzt werden, um mit dem zweiten Nutzergerät zu kommunizieren. Z.B. kann auf dem zweiten Nutzergerät eine Applikation laufen, die mit dem Feldgerät kommuniziert. Gemäß diesem Ausführungsbeispiel braucht der Nutzer keine PIN eingeben, um letztendlich den Zugang zu erhalten. Das zweite Nutzergerät ist über die Telefonnummer verifiziert und die Kommunikation zum Gewähren des Zugangs kann eine Kommunikation unter Verwendung einer Verschlüsselungsmethode sein, die z.B. auf öffentlichen und privaten Schlüsseln basiert.
  • Hinsichtlich der Kontrolle des Zugangs durch einen ersten Nutzer kann dieser ein Gerät, z.B. ein Terminal bedienen, das mit der Cloud und mit dem Cloudservice verbunden ist. In einem Beispiel kann das Terminal bzw. der mit dem Terminal verbundene Rechner ein Programm, z.B. eine Applikation aufweisen. Die Applikation kann eine Eingabemaske aufweisen, über die der erste Nutzer den Zugang des zweiten Nutzers kontrollieren und konfigurieren kann. Z.B. kann der erste Nutzer die Zeitdauer des Zugangs oder eine Start- und Endezeit eingeben, oder er kann ein Set an Parametern auswählen, auf die der zweite Nutzer zugreifen darf, etc.
  • Auch das Nutzergerät des zweiten Nutzers kann eine Applikation aufweisen. Diese Applikation kann z.B. vor der Verbindungsanfrage ein Button anzeigen, mit der der zweite Nutzer die „Remote-Freigabe“ anfordern kann. Bei Drücken dieses Buttons wird die Anforderung an die Cloud und gegebenenfalls an den ersten Nutzer weitergeleitet und dort automatisch bzw. von dem ersten Nutzer bearbeitet.
  • Gemäß einer Ausführungsform ist die Cloudschnittstelle eingerichtet, einen Tunnel über die Nutzerschnittstelle zu dem Cloudservice aufzubauen.
  • Es besteht somit die Möglichkeit, die Verbindung von dem Feldgerät zu dem Cloudservice über die Nutzerschnittstelle und das zweite Nutzergerät zu dem Cloudservice zu tunneln, so dass die Cloudschnittstelle eine getunnelte Schnittstelle sein kann, Die Bearbeitung und Rückantwort kann jedoch beispielsweise auch über eine andere Übertragungsform übertragen werden, wie zum Beispiel über eine SMS.
  • Gemäß einem weiteren Aspekt wird ein Cloudgerät, aufweisend einen Prozessor, der eingerichtet ist, einen Cloudservice zu prozessieren, vorgeschlagen, wobei der Cloudservice eingerichtet ist, Nutzerdaten von einem Feldgerät als Zugangsanfrage zu dem Feldgerät zu empfangen und als Antwort auf die Nutzerdaten erste Berechtigungsdaten an das Feldgerät zu senden.
  • Das Cloudgerät ist eine Hardware, z.B. ein Rechner eines Netzwerkknotens der Cloud mit einem Prozessor. Auf dem Prozessor des Cloudgeräts wird eine Software ausgeführt, die den hierin beschriebenen Cloudservice bereitstellt. Das Cloudgerät kann in Ausführungsformen gemäß z.B. einer Konfiguration oder einer Programmierung selbständig Entscheidungen über die Gewährung eines Zugangs des zweiten Nutzers zum Feldgerät treffen und/oder die Entscheidung von dem ersten Nutzer über eine Schnittstelle zu dem ersten Nutzer erhalten. Diese Schnittstelle kann somit eine Mensch-Maschine-Schnittstelle sein, bei der z.B. ein Monitor und eine Tastatur an das Cloudgerät angeschlossen ist, oder eine drahtlose oder drahtgebundene Schnittstelle zu einem weiteren Rechner in oder außerhalb der Cloud.
  • Gemäß einem weiteren Aspekt wird ein Feldgerätenetzwerk vorgeschlagen, das ein hierin beschriebenes Feldgerät und ein hierin beschriebenes Feldgerät Cloudgerät aufweist.
  • Das Feldgerätenetzwerk weist somit gemäß einer Ausführungsform ferner ein erstes Nutzergerät auf, das eingerichtet ist, Steuerbefehle eines ersten Nutzers z.B. über eine Mensch-Maschine-Schnittstelle zu erhalten, und die ersten Berechtigungsdaten in Abhängigkeit der Steuerbefehle zu erzeugen und an den Cloudservice zu senden. Der Cloudservice leitet sodann die ersten Berechtigungsdaten an das Feldgerät weiter.
  • Gemäß einer Ausführungsform weist das Feldgerätenetzwerk ferner ein zweites Nutzergerät, wie das oben und in den Figuren beschriebene zweite Nutzergerät, auf, das eingerichtet ist, Nutzerdaten eines zweiten Nutzers bereitzustellen und eine Zugangsanfrage an das Feldgerät zu senden.
  • Gemäß einem weiteren Aspekt wird ein Verfahren zum Gewähren eines Zugangs zu einem Feldgerät in einem Feldgerätenetzwerk vorgeschlagen, das die folgenden Schritte aufweist, die durch eine Steuereinheit des Feldgeräts ausgeführt werden: Empfangen von Nutzerdaten als Zugangsanfrage über eine Nutzerschnittstelle des Feldgeräts, Senden der Nutzerdaten an einen Cloudservice, Empfangen erster Berechtigungsdaten von dem Cloudservice, und Gewähren des Zugangs zu dem Feldgerät in Abhängigkeit der ersten Berechtigungsdaten.
  • Das Verfahren kann weiterhin mehrere oder alle Aktionen und Funktionalitäten aufweisen, die bezüglich des Feldgeräts und des Feldgerätenetzwerks in dieser Offenbarung beschreiben werden.
  • Gemäß einem weiteren Aspekt wird eine Verwendung eines solchen Cloudgeräts zur Gewährung eines Zugangs eines Nutzers zu einem Feldgerät vorgeschlagen.
  • Gemäß einem weiteren Aspekt wird ein Computerprogrammelement bereitgestellt, das, wenn es auf einem Prozessor eines hierin beschriebenen Feldgeräts ausgeführt wird, das Feldgerät anweist, das hierin beschriebene Verfahren durchzuführen.
  • Das Computerprogrammelement kann Teil eines Computerprogramms sein, es kann jedoch auch ein ganzes Programm für sich sein. Beispielsweise kann das Computerprogrammelement verwendet werden, um ein bereits vorhandenes Computerprogramm zu aktualisieren, um zur vorliegenden Erfindung zu gelangen.
  • Figurenliste
  • Im Folgenden werden Ausführungsbeispiele der Erfindung anhand der schematischen Zeichnungen näher erläutert. Hierbei zeigt
    • 1 ein Blockdiagramm eines Feldgerätenetzwerks mit einem Feldgerät gemäß einem ersten Beispiel;
    • 2 zeigt ein Blockdiagramm eines Feldgerätenetzwerks mit einem Feldgerät gemäß einem zweiten Beispiel;
    • 3 zeigt ein Ablaufdiagramm des Verfahrens zum Gewähren eines Zugangs zu einem Feldgerät in einem Feldgerätenetzwerk.
  • Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
  • Ausführungsbeispiele
  • 1 zeigt ein Blockdiagramm eines Feldgerätenetzwerks 100 mit einem Feldgerät 102, einem zweiten Nutzer bzw. Nutzergerät 104 sowie einem Cloudservice 105 und einem ersten Nutzer 106 bzw. Terminal 106, der bzw. das mit dem Cloudservice 105 in der Cloud 122 verbunden ist. Das Feldgerät 102 weist eine Steuereinheit 120 sowie einer Nutzerschnittstelle 114 und eine Cloudschnittstelle 116 auf. Die Nutzerschnittstelle ist in 1 als Verbindung 112 zwischen Feldgerät 102 und zweitem Nutzergerät 104 sowie dem feldgeräteseitigen Teil 114 der Nutzerschnittstelle eingezeichnet. Die Cloudschnittstelle 116, 118 ist als Verbindung 118 zwischen Feldgerät 102 und dem Cloudservice 105 sowie dem feldgeräteseitigen Teil 116 der Cloudschnittstelle eingezeichnet. Ein erstes Nutzergerät 106 ist über die Verbindung 132 mit dem Cloudgerät 115, der den Cloudservice 105 beinhaltet, verbunden.
  • Im Folgenden werden drei Beispielszenarien aufgezeigt, wie ein Nutzer 104 vor Ort, also der „zweite Nutzer“ einen Zugang zu dem Feldgerät 102 erhalten kann. Generell gilt, dass der zweite Nutzer seine Eingaben direkt über eine Mensch-Maschine-Schnittstelle am Feldgerät 102 selbst oder wie in 1 dargestellt, mit einem Nutzergerät 104 über z.B. eine Bluetooth-Verbindung oder sonstige drahtlose Kurzreichweitenverbindung tätigen kann, je nach Ausstattung des Feldgeräts 102 und des Nutzergeräts 104. Der Übersichtlichkeit halber werden in den folgenden Beispielen Eingaben als Eingaben vom zweiten Nutzer beschrieben, unabhängig davon, ob er diese am Feldgerät 102 direkt oder am Nutzergerät 104 tätigt. Das Nutzergerät 104 kann auch in einer seiner Funktionen als erweiterte Eingabeschnittstelle des Feldgeräts 102 betrachtet werden.
  • In einem ersten, sehr einfachen Beispielszenario drückt der zweite Nutzer einen Knopf z.B. am Feldgerät 102 oder einem berührungsempfindlichen Display oder seinem Nutzergerät 104. Die Steuereinheit 120 des Feldgeräts 102, das mit der Cloud 100 verbunden ist, leitet die Anfrage als Nutzerdaten an einen Cloudservice 105 weiter. Der Cloudservice 105 antwortet mit einer temporären Zufallszahl oder einer PIN als erste Berechtigungsdaten, die am Feldgerät 102 angezeigt werden. Der zweite Nutzer erfasst die PIN und tippt sie zur Bestätigung ein. Hierdurch wird sichergestellt, dass sich der Nutzer vor Ort befindet. Hierbei sind zahlreiche Varianten möglich. Beispielsweise kann der Cloudservice 105 einen QR-Code senden, den das zweite Nutzergerät 104 einscannt und eine Bestätigung zurücksendet, ohne dass der Nutzer eine Eingabe tätigen muss. In einem anderen Fall sendet das Feldgerät 102 die ersten Berechtigungsdaten an das Nutzergerät 104, welches automatisch antwortet. Dadurch, dass die Verbindung 112 eine Kurzreichweitenverbindung ist, ist dies ausreichend, um festzustellen, dass sich der zweite Nutzer vor Ort befindet. Dem Cloudservice 105 können hierbei verschiedene Aufgaben zukommen: er kann aktuelle Regeln bestimmen, z.B. ob und wie lange der Zugang freigeschaltet wird, er kann registrieren, dass sich der zweite Nutzer angemeldet hat und kann Aufzeichnungen vornehmen und beispielsweise eine Log-Datei erstellen. Ferner wäre es möglich, die Nutzeraktivitäten am Feldgerät 102 in Echtzeit zu überwachen und den Zugang zu sperren, wenn unerlaubte Aktionen am Feldgerät 102 stattfinden. Der Cloudservice 105 kann auch eine Schnittstelle 132 zu einem ersten Nutzer 106 aufweisen, der die genannten Cloudserviceaktivitäten steuert.
  • In einem zweiten Beispielszenario gibt der Nutzer seine ID ein. Die Steuereinheit 120 des Feldgeräts 102 gibt die ID als erste Nutzerdaten an den Cloudservice 105 weiter, der die ID überprüft. Zu der ID könnte nun ein Code, z.B. eine PIN abgelegt sein, die der Cloudservice 105 als erste Berechtigungsdaten an das Feldgerät 102 sendet. Das Feldgerät 102 fragt die nun die PIN von dem zweiten Nutzer ab und gewährt den Zugang bei Übereinstimmung. Auch hier übernimmt der Cloudservice 105 die Freigabe, unter der Bedingung, dass die PIN noch vom Nutzer eingegeben werden muss und im Feldgerät die Übereinstimmung erfolgreich geprüft wird. Nicht in der Cloud 122 registrierte Benutzer erhalten von vornherein keine Freigabe. Alternativ kann der Cloudservice wie im ersten Beispiel eine temporäre PIN an das Feldgerät senden.
  • In einem dritten Beispielszenario gibt der zweite Nutzer seine ID und ein Passwort als erste Nutzerdaten ein. In diesem Fall kann der Cloudservice 105, dem z.B. auch eine Nutzerverwaltung unterliegt, die Freigabe an das Feldgerät 102 senden, ohne dass eine weitere Nutzeraktion notwendig ist. Alternativ können auch die im ersten und zweiten Beispiel genannten Methoden Anwendung finden.
  • Der Cloudservice 105 kann auch (nicht in 1 dargestellt) zur 2-Faktor-Authentifizierung erste Berechtigungsdaten statt nur an das Feldgerät, auch direkt an das Nutzergerät senden. Beispielsweise ist das Nutzergerät ein Mobilfunktelefon, und der Cloudservice 105 sendet eine SMS mit zweiten Berechtigungsdaten, z.B. einer temporären PIN, an das Mobilfunktelefon, die der zweite Nutzer am Feldgerät 102 eingeben muss. Das Feldgerät 102 kann nun die vom Cloudservice empfangenen ersten Berechtigungsdaten mit den eingegebenen zweiten Berechtigungsdaten vergleichen und bei Übereinstimmung den Zugang gewähren.
  • 2 zeigt ein Blockdiagramm eines Feldgerätenetzwerks 100 mit einem Feldgerät 102, einem zweiten Nutzer bzw. zweiten Nutzergerät 104 sowie einem Cloudservice 105 und einem ersten Nutzer 106 bzw. erstem Nutzergerät 106, z.B. ein Terminal oder Rechner, der bzw. das mit dem Cloudservice 105 verbunden ist. Die Verbindung des Feldgeräts 102 zu dem Cloudservice 105 ist hier über das Nutzergerät 104 getunnelt. Das heißt, die Cloudverbindung 118, z.B. eine Internetverbindung wie z.B. eine loT-Verbindung, nutzt das Protokoll der Kurzreichweitenverbindung zwischen dem Feldgerät 102 und dem zweiten Nutzergerät 104. Alle anhand der 1 beschriebenen Beispielszenarien können auch unter Verwendung dieses Tunnels Anwendung finden.
  • 3 zeigt ein Ablaufdiagramm des Verfahrens zum Gewähren eines Zugangs zu einem Feldgerät 102 in einem Feldgerätenetzwerk 100, das folgende Schritte aufweist, die durch eine Steuereinheit 120 des Feldgeräts 102 ausgeführt werden:
    • Der erste Schritt beinhaltet das Empfangen 302 von Nutzerdaten als Zugangsanfrage über eine Nutzerschnittstelle 114 des Feldgeräts 102. Der zweite Schritt beinhaltet das Senden 304 der Nutzerdaten an einen Cloudservice 105 der dritte Schritt das Empfangen 306 erster Berechtigungsdaten von dem Cloudservice 105, und der vierte Schritt das Gewähren 308 des Zugangs zu dem Feldgerät 102 in Abhängigkeit der ersten Berechtigungsdaten.
  • Andere Variationen der offenbarten Ausführungsformen können vom Fachmann bei der Durchführung der beanspruchten Erfindung durch das Studium der Zeichnungen, der Offenbarung und der beigefügten Ansprüche verstanden und ausgeführt werden. In den Ansprüchen schließt das Wort „umfassend“ andere Elemente oder Schritte nicht aus, und der unbestimmte Artikel „ein“ oder „eine“ schließt eine Vielzahl nicht aus. Ein einzelner Prozessor oder eine andere Einheit kann die Funktionen mehrerer Gegenstände oder Schritte erfüllen, die in den Ansprüchen aufgeführt sind. Die bloße Tatsache, dass bestimmte Maßnahmen in voneinander abhängigen Ansprüchen angegeben sind, bedeutet nicht, dass eine Kombination dieser Maßnahmen nicht vorteilhaft genutzt werden kann. Bezugszeichen in den Ansprüchen sollten nicht so ausgelegt werden, dass sie den Umfang der Ansprüche begrenzen.

Claims (15)

  1. Feldgerät (102) der industriellen Automation, wobei das Feldgerät (102) eine Nutzerschnittstelle, die eingerichtet ist, um mit einem Nutzer zu kommunizieren; und eine Cloudschnittstelle, die eingerichtet ist, das Feldgerät (102) mit einem Cloudservice (105) zu verbinden, aufweist; eine Steuereinrichtung (120) die eingerichtet ist, für einen lokalen Nutzerzugang über die Nutzerschnittstelle (114) Nutzerdaten zu empfangen; die Nutzerdaten an den Cloudservice (105) zu senden; erste Berechtigungsdaten von dem Cloudservice (105) über die Cloudschnittstelle (116) zu empfangen; und den Zugang zum Feldgerät (102) in Abhängigkeit der ersten Berechtigungsdaten zu gewähren.
  2. Feldgerät (102) nach Anspruch 1, wobei die ersten Berechtigungsdaten ein Passwort oder eine Ziffernfolge enthalten.
  3. Feldgerät (102) nach einem der Ansprüche 1 oder 2, wobei die Nutzerschnittstelle (114) weiterhin eingerichtet ist, zweite Berechtigungsdaten zu empfangen, und die Steuereinrichtung (120) weiterhin eingerichtet ist, die ersten Berechtigungsdaten mit den zweiten Berechtigungsdaten abzugleichen und bei Übereinstimmung den Zugang zu gewähren.
  4. Feldgerät (102) nach einem der vorhergehenden Ansprüche, wobei die Steuereinrichtung (120) ferner eingerichtet ist, die ersten Berechtigungsdaten über die Nutzerschnittstelle (114) auszugeben.
  5. Feldgerät (102) nach einem der vorhergehenden Ansprüche, wobei die Steuereinrichtung (120) ferner eingerichtet ist, nach dem Erhalt der ersten Berechtigungsdaten einem zweiten Nutzergerät (104) den Zugang unter Verwendung eines Verschlüsselungsverfahrens zu gewähren.
  6. Feldgerät (102) nach einem der vorhergehenden Ansprüche, wobei die Steuereinrichtung (120) ferner eingerichtet ist eine Protokollierung über Aktivitäten am Feldgerät (102) nach Gewährung des Zugangs an den Cloudservice (105) zu senden.
  7. Feldgerät (102) nach einem der vorhergehenden Ansprüche, wobei die Steuereinrichtung (120) ferner eingerichtet ist, Aktivitäten am Feldgerät (102) über die Cloudschnittstelle (116) in Echtzeit an den Cloudservice (105) zu senden.
  8. Feldgerät (102) nach einem der vorhergehenden Ansprüche, wobei die Cloudschnittstelle (116) ferner eingerichtet ist, einen Tunnel über die Nutzerschnittstelle (114) zu dem Cloudservice (105) aufzubauen.
  9. Cloudgerät (115), aufweisend einen Prozessor, der eingerichtet ist, einen Cloudservice (105) zu prozessieren, wobei der Cloudservice (105) eingerichtet ist, Nutzerdaten von einem Feldgerät (102) als Zugangsanfrage zu dem Feldgerät (102) zu empfangen und als Antwort auf die Nutzerdaten erste Berechtigungsdaten an das Feldgerät (102) zu senden.
  10. Feldgerätenetzwerk (100), aufweisend ein Feldgerät (102) nach einem der Ansprüche 1 bis 8; und ein Cloudgerät (115) nach Anspruch 9.
  11. Feldgerätenetzwerk (100) nach Anspruch 10, ferner aufweisend ein erstes Nutzergerät (106), das eingerichtet ist, Steuerbefehle eines ersten Nutzers zu erhalten, und die ersten Berechtigungsdaten in Abhängigkeit der Steuerbefehle zu erzeugen und an den Cloudservice (105) zu senden.
  12. Feldgerätenetzwerk (100) nach einem der Ansprüche 10 oder 11, ferner aufweisend ein zweites Nutzergerät (104), das eingerichtet ist, Nutzerdaten eines zweiten Nutzers bereitzustellen und eine Zugangsanfrage an das Feldgerät (102) zu senden.
  13. Verfahren zum Gewähren eines Zugangs zu einem Feldgerät (102) in einem Feldgerätenetzwerk (100), aufweisend die durch eine Steuereinheit (120) des Feldgeräts (102) ausgeführten Schritte: Empfangen (302) von Nutzerdaten als Zugangsanfrage über eine Nutzerschnittstelle (114) des Feldgeräts (102); Senden (304) der Nutzerdaten an einen Cloudservice (105); Empfangen (306) erster Berechtigungsdaten von dem Cloudservice (105); Gewähren (308) des Zugangs zu dem Feldgerät (102) in Abhängigkeit der ersten Berechtigungsdaten.
  14. Verwendung eines Cloudgeräts (105) nach Anspruch 9 zur Gewährung eines Zugangs eines Nutzers zu einem Feldgerät (102).
  15. Computerprogrammelement, das, wenn es auf einem Prozessor eines Feldgeräts (102) nach einem der Ansprüche 1 bis 8 ausgeführt wird, das Feldgerät (102) anweist, das Verfahren nach Anspruch 13 durchzuführen.
DE102021131410.0A 2021-11-30 2021-11-30 Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang Pending DE102021131410A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021131410.0A DE102021131410A1 (de) 2021-11-30 2021-11-30 Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang
PCT/EP2022/083667 WO2023099474A1 (de) 2021-11-30 2022-11-29 Feldgerät, feldgerätenetzwerk und verfahren für einen nutzerzugang

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021131410.0A DE102021131410A1 (de) 2021-11-30 2021-11-30 Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang

Publications (1)

Publication Number Publication Date
DE102021131410A1 true DE102021131410A1 (de) 2023-06-01

Family

ID=84488860

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021131410.0A Pending DE102021131410A1 (de) 2021-11-30 2021-11-30 Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang

Country Status (2)

Country Link
DE (1) DE102021131410A1 (de)
WO (1) WO2023099474A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150281233A1 (en) 2014-03-26 2015-10-01 Rockwell Automation Technologies, Inc. Device authentication to facilitate secure cloud management of industrial data
DE102019106049A1 (de) 2019-03-08 2020-09-10 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation zwischen einem Feldgerät der Automatisierungstechnik und einem Endgerät sowie System zur sicheren Kommunikation zwischen einem Feldgerät und einem Endgerät

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014108162A1 (de) * 2014-06-11 2015-12-17 Endress+Hauser Process Solutions Ag Verfahren zur Bedienung eines Feldgerätes vermittels eines Bediengerätes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150281233A1 (en) 2014-03-26 2015-10-01 Rockwell Automation Technologies, Inc. Device authentication to facilitate secure cloud management of industrial data
DE102019106049A1 (de) 2019-03-08 2020-09-10 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation zwischen einem Feldgerät der Automatisierungstechnik und einem Endgerät sowie System zur sicheren Kommunikation zwischen einem Feldgerät und einem Endgerät

Also Published As

Publication number Publication date
WO2023099474A1 (de) 2023-06-08

Similar Documents

Publication Publication Date Title
EP3705955B1 (de) Verfahren zur sicheren kommunikation zwischen einem feldgerät der automatisierungstechnik und einem endgerät sowie system zur sicheren kommunikation zwischen einem feldgerät und einem endgerät
DE112013007104B4 (de) Überwachungssystem, Gebäudemanagementgerät, Überwachungsverfahren und Programm
DE102018214744B4 (de) Edge-Server und Verwaltungsserver
EP3314868B1 (de) Datenaustausch mit einem laser oder einer werkzeugmaschine
EP3582033A1 (de) Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
EP3647887B1 (de) Verfahren und vorrichtung zur weitergabe einer zugriffsinformation für einen zugriff auf ein feldgerät der prozessindustrie
EP3217694A1 (de) Vorrichtung und verfahren zum verbinden eines mobilgerätes mit einem feldgerät
DE102018129595A1 (de) Verfahren zum Identifizieren eines Feldgeräts
DE102021131410A1 (de) Feldgerät, Feldgerätenetzwerk und Verfahren für einen Nutzerzugang
EP3335199A1 (de) Verfahren und vorrichtung zur durchführung einer personenkontrolle
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
DE112020002079T5 (de) Verarbeitungsvorrichtung, Verfahren zum Sammeln von verarbeiteten Daten und Datensammlungssystem
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
WO2018114101A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und automatisierungssystem mit feldgeräten
DE102019216406B4 (de) Kommunikationssystem zum Überwachen von Prozesseinheiten
DE102019120199B4 (de) Verfahren zum Betreiben eines Feldgerätes der Prozessautomatisierungstechnik
EP3900258B1 (de) Verfahren zum überwachen der integrität eines physischen objekts
BE1030391B1 (de) Dienstleister-Kunden-Kommunikationssystem mit zentraler Datenspeicherung und -verwaltung, integriertem-synchronisiertem Zeiterfassungssystem sowie lokalen Terminals
DE102021213519A1 (de) Feldgerät, Feldgerätenetzwerk und Verfahren zum Gewähren eines Feldgerätedatenerhalts
DE112020007108T5 (de) Inhaltsverteilungssystem, Inhaltsverteilungsverfahren, und integrierte Überwachungsvorrichtung
DE102014014106A1 (de) Verfahren zur Verknüpfung von Kommunikationsendgeräten mit einer Kommunikationszentrale über wenigstens ein Weitverkehrsnetzwerk
EP3840302A1 (de) Zugriffsrechtemanagement bei technischen anlagen
EP3993317A1 (de) Messsystem, kommunikationskomponente, vorrichtung, verfahren und computerprogramm für eine kommunikationskomponente eines messsystems zum synchronisieren von zugangsdaten
DE112021002429T5 (de) System, verfahren und vorrichtung zur bereitstellung lokaler elektronischer wartung
DE112021005552T5 (de) Mehrfaktorauthentifizierung von einheiten des internets der dinge

Legal Events

Date Code Title Description
R012 Request for examination validly filed