EP4314963A1 - Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage - Google Patents

Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage

Info

Publication number
EP4314963A1
EP4314963A1 EP22728829.7A EP22728829A EP4314963A1 EP 4314963 A1 EP4314963 A1 EP 4314963A1 EP 22728829 A EP22728829 A EP 22728829A EP 4314963 A1 EP4314963 A1 EP 4314963A1
Authority
EP
European Patent Office
Prior art keywords
component
comp2
comp3
automation system
comp1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22728829.7A
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Christian Peter Feist
Axel Pfau
Stefan Pyka
Daniel Schneider
Franz Sperl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102021205483.8A external-priority patent/DE102021205483A1/de
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP4314963A1 publication Critical patent/EP4314963A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors

Definitions

  • the invention relates to a method for checking a configuration of at least one component of an automation system and an automation system with at least one component.
  • Industrial plants in particular automation plants, often have components that often have to be reconfigured.
  • the network infrastructure often changes due to the addition of new components or components with changed work tasks are used in an automation system. This can be the case in particular with flexible production, ie in Industry 4.0. It is also referred to there as “Plug and Produce”.
  • the workflow and consequently the work instructions for components can continue to change in automation systems, which makes it necessary to reconfigure the components. In the case of a new configuration of components, it is known to accept configuration data of the new configuration without checking.
  • the object of the invention is to specify an improved automation system with at least one component, the system having in particular improved operational reliability and/or data security.
  • This object of the invention is achieved with a method for testing a configuration of at least one component of an automation system with the features specified in claim 1 and with an automation system with the features specified in claim 8 .
  • Preferred developments of the invention are specified in the associated subclaims, the following descriptions and the drawing.
  • configuration data of the at least one component are checked for admissibility by means of at least one checking server that is different from the at least one component.
  • a configuration of the at least one component is therefore not checked by means of the check server provided according to the invention in such a way that the configuration data of this at least one component is only subjected to a check internally within the at least one component, but the check of the at least one component takes place by means of a test server that is different from the at least one component. Consequently, in the method according to the invention, the checking of the configuration of the at least one component is not limited solely to the checking of the at least one component limited to itself, but the test server, as part of the automation system that is different from the at least one component, can test the configuration data of the at least one component in such a way that the test server contains additional circumstances and information about the automation system that are not localized within the at least one component examination taken into account.
  • the configuration data can therefore be checked depending on a context of the at least one component in which it is embedded. This circumstance makes it possible to ensure improved operational reliability and improved data security of the automation system.
  • the configuration data are checked as a function of a current operating mode of the automation system.
  • the configuration is checked, which advantageously does not isolate at least one component, but instead the configuration is checked, the at least one component takes into account a current operating mode of the automation system.
  • the operating mode of the automation system particularly preferably not only includes an operating mode of the at least one component in isolation, but the operating mode of the automation system also relates to one or more other components of the automation system in addition to the at least one component.
  • checking the configuration of the at least one component can take context information of the overall context of the automation system into account. Taking such an overall context of the automation system into account makes it possible to detect configurations of the at least one component that are critical in terms of operational security or data security in certain operating modes and, possibly linked to these operating modes, in certain purposes, which in other operating modes or purposes with regard to operational safety and data security would not be a problem.
  • the consideration of the operating mode of the The automation system consequently allows a more comprehensive check of the configuration of the at least one component than if the first component were only checked in isolation and without any context in its configuration.
  • the configuration data can be checked as a function of a current operating mode.
  • the configuration data are checked as a function of a future operating mode of the automation system.
  • the future operating mode can be released or initiated.
  • a machine in the automation system can preferably be started up or a technical process controlled or monitored by the automation system, in particular the execution of a production step, can be started up or released depending on whether the configuration data is dependent on the current operating mode of the automation system as a permissibly checked.
  • the operating mode is productive operation and/or maintenance operation and/or test operation of the automation system.
  • the operating mode advantageously allows the operating mode of the automation system to be differentiated between productive operation and/or maintenance operation and/or test operation of the automation system.
  • Such a distinction makes it possible to allow a configuration of the at least one component in test operation with parameters that are more critical for operational and/or information security than in productive operation.
  • a maintenance operation of the automation system for example, not all configurations of the at least one component have to be permitted, because in a maintenance operation the first component does not have to be the at least one to perform all the operating functions component be enabled. Rather, the first component can remain in a maintenance configuration with a reduced range of functions compared to productive operation.
  • the operating mode advantageously specifies an automated process of the automation system, in particular an automated process from a set comprising at least a first production process and a second production process that differs from the first.
  • the automation system is suitably a production system.
  • the configuration of the at least one component can consequently be checked with regard to the automated process of the automation system, in particular as a function of the respective production process of the manufacturing system.
  • context information of the automated process of the automation system can therefore advantageously be used to check the configuration of the at least one component.
  • production processes provide relevant information for the configuration of components of automation systems:
  • production steps that require a certain temperature for production such as joining steps or forming steps, can determine temperature limits of a heating device of at least one component.
  • other production processes however, other temperature limits can be useful.
  • the consideration of the automated process of the automation system consequently allows the consideration of process-related context information that can be used to check the configuration of the at least one component.
  • the first and the second production process particularly preferably differ from one another in a product of the first and the second production process and preferably in product-related parameters of the first and the second production process.
  • the information about the product to be manufactured can represent relevant context information for a configuration of the at least one component of the automation system. For example, different tolerances in the dimensioning of components of the product can be permissible for different products, which requires different configurations of the at least one component of the automation system. Different products can also be manufactured at different temperatures, so that there are different temperature ranges or temperature intervals for the at least one component depending on the product to be manufactured. Such information can advantageously be taken into account in this development of the method according to the invention.
  • the configuration is preferably checked additionally as a function of an IT infrastructure of the automation system and/or information about the at least one component of the automation system and/or a result of a plausibility check of the configuration data of the at least one component - Name and/or a positive list (white list) for permissible configuration data of the at least one component and/or a negative list (black list) for impermissible configuration data of the at least one component and/or at least one cryptographic signature.
  • further context information of the automation system can consequently be used and taken into account for checking the configuration of the at least one component of the automation system.
  • the automation system according to the invention is designed to carry out a method according to the invention as described above.
  • the automation system according to the invention comprises at least one component with a memory with configuration data and a test server, different from the at least one component, by means of which the configuration data of the at least one component can be tested.
  • the test server is particularly preferably designed to test the configuration data.
  • the test server can therefore check the configuration data of the at least one component or the test server can provide criteria by means of which the configuration data of the at least one component can be checked, in particular by the component itself Configuration of the at least one component can be checked by means of the test server that is different from the at least one component.
  • the automation system according to the invention has the same advantages as explained above in connection with the method according to the invention.
  • it has detection means set up for detecting at least one operating mode of the automation system, which are signal-connected to the test server.
  • the checking server can consequently use the recording means provided to record at least one operating mode of the automation system and take it into account when checking the configuration of the at least one at least one component.
  • the test server for testing the at least one is particularly preferred Component designed and set up using signals from the detection means. In this way, the operating mode of the automation system can easily be taken into account when checking the configuration of the at least one component.
  • the test server is designed as a software module.
  • the first component and test server it is consequently not necessary for the first component and test server to be physically and spatially separated from one another to a certain extent.
  • the test server and the first component can be implemented as software modules that are separate from one another, with the recording means being designed in particular as an interface for data recording.
  • the test server is designed as a separate device which is not identical to the at least one component of the automation system, ie is different from the at least one component.
  • the automation system according to the invention suitably has at least one second or more further components, each with a memory with configuration data, with the automation system having the test server for checking the configuration data of the further component or components is trained.
  • the test server can consequently carry out the test of the configuration data of each of the components.
  • the additional components can be taken into account when checking the configuration data of the at least one component.
  • information can be used when checking the second or more additional components of the automation system in order to check the configuration data of the at least one component to perform.
  • information from the at least one component can also be used to check configuration data from the second or more additional components.
  • the automation system according to the invention is suitably a production system.
  • the invention is explained in more detail below with reference to an exemplary embodiment given in the drawing.
  • 1 shows a first exemplary embodiment of a production system according to the invention with three production components and a test server for executing the method according to the invention for testing a configuration, schematically in a schematic diagram, and FIG - Corresponding production plant with three production components and a test server for executing a further exemplary embodiment of the method according to the invention for testing the configuration, schematically in a basic sketch.
  • the production plant MAN is used to manufacture a product in the form of a control unit with a tailor-made geometry.
  • a printed circuit board with an angled geometry is equipped with a first component COMP1.
  • the printed circuit boards have a shape made up of flat parts that are not aligned or coplanar with one another, but the shape is made up of their flat sides arranged at 45 degree angles to one another Built up flat parts.
  • the assembled circuit board is thermally connected to a housing part by means of a second component COMP2, hot-glued in the exemplary embodiment shown.
  • the housing part is connected to other housing parts to form a housing provided with the printed circuit board.
  • the three components COMP1, COMP2, COMP3 are configured using a configurator CONFIG.
  • the CONFIG configurator is a software tool that does not belong to the MAN production facility and is set up for configuring the components COMP1, COMP2, COMP3.
  • the configurator CONFIG loads configuration data NECO into the components COMP1, COMP2, COMP3 in a configuration step CONF.
  • the configurator CONFIG can also be a separate device or a user who manually loads configuration data NECO into the components COMP1, COMP2, COMP3 by means of a configuration step CONF. i.e.
  • the configurator CONFIG transmits configuration data NECO to the components COMP1, COMP2, COMP3.
  • the components COMP1, COMP2, COMP3 initially hold the configuration data NECO in a temporary evaluation memory which is used to check the configuration data NECO and from which the configuration data are transferred to a configuration data memory of the components COMP1, COMP2, COMP3 after the check has been carried out. long, in which they serve to configure the components COMP1, COMP2, COMP3.
  • the components COMP1, COMP2, COMP3 are configured, for example, when the manufacturing plant MAN is set up for the first time or when a production sequence of the manufacturing plant is changed.
  • the production process is changed in particular when a new, tailor-made product is manufactured with the MAN production system, since the components COMP1, COMP2, COMP3 are then also regularly adapted with regard to their work tasks and consequently new NECO configuration data are required for the adapted work tasks.
  • a new configuration of the components COMP1, COMP2, COMP3 is regularly required when the MAN production system is switched from the productive state to a maintenance state, since the components COMP1, COMP2, COMP3 in the maintenance state have an additional self-test functionality with which a status diagnosis of the components COMP1, COMP2, COMP3 is possible.
  • the MAN production facility also has a test state in which various functions of the individual components COMP1, COMP2, COMP3 are tested. In the test state, the components COMP1, COMP2, COMP3 are provided with additional functionalities for test purposes that are not, or at least not all, required in the productive state of the MAN production facility.
  • the components COMP1, COMP2, COMP3 are configured in the production plant MAN using the configurator CONFIG.
  • the MAN production facility also has a check server CHESER, which checks the configuration of the components COMP1, COMP2, COMP3.
  • the test server CHESER is signal-connected to each of the components COMP1, COMP2, COMP3 and is in communication with the components COMP1, COMP2, COMP3.
  • the test server CHESER has read access to the newly received configuration data NECO in the evaluation data memory of the components COMP1, COMP2, COMP3. To do this, the test server CHESER checks whether the configuration data NECO, which the components COMP1, COMP2, COMP3 receive from the configurator CONFIG, are permissible.
  • the CHESER test server is signal-connected to a controller (not shown explicitly in the drawing) of the MAN production facility.
  • the CHESER test server receives the information from the control what operating mode the system is in.
  • the operating mode of the MAN production plant can be the productive state, the maintenance state or the test state.
  • the test server CHESER now checks the configuration data NECO of the components COMP1, COMP2, COMP3 of the configurator depending on this operating mode of the MAN production facility.
  • the components COMP1, COMP2, COMP3 only finally accept the NECO configuration data for configuration if the test server CHESER confirms the NECO configuration data as permissible. This check is undertaken with each new configuration of the components COMP1, COMP2, COMP3.
  • the test server CHESER subjects the configuration data NECO of the components COMP1, COMP2, COMP3 to a test CHAPP based on context information relating to the respective product which the manufacturing plant MAN is currently manufacturing.
  • the test server CHESER can obtain the geometric data required for testing the recording space, for example from the spatial instructions for equipping the printed circuit board of the first component COMP1, and in this respect use the configuration of the component COMP2 as the context for the test CHAPP.
  • the hot-gluing of the printed circuit board to the housing part must not cause such a large temperature input into the printed circuit board that electronic components with which the first component COMP1 is fitted on the printed circuit board are impaired in their function or destroyed as a result of the temperature input. be disturbed. Consequently, the temperature requirements of the components of the printed circuit board specify a temperature range within which the printed circuit board may be hot-glued to the housing part using the second component COMP2.
  • the permissible temperature range of the second component COMP2 is derived by the test server CHESER from the assembly instructions for the first component and used to check the configuration data NECO CHAPP of the second component COMP2.
  • the test server CHESER includes a memory for each of the components COMP1, COMP2, COMP3 with a list in the form of a white list for permissible configuration data, which is additionally compared with the configuration data NECO of the components COMP1, COMP2, COMP3. Only if the configuration data NECO of the components COMP1, COMP2, COMP3 are also included in the whitelist, the configuration data NECO are judged as permissible by the test server CHESER.
  • the configuration data NECO can also be compared with hash values of configuration data NECO contained in a whitelist instead of a direct comparison with the whitelist.
  • the test server CHESER can have a memory with a blacklist of configuration data, with which the configuration data NECO of the components COMP1, COMP2, COMP3 are compared. If the NECO configuration data appears on the blacklist, the NECO configuration data is not assessed as permissible.
  • the test server CHESER is an independent device in the form of a computer, which is brought into the MAN production plant exclusively for the test CHAPP of configuration data NECO.
  • the test server CHESER can be implemented as a software module in further exemplary embodiments that are not specifically shown, a component of a further system integrated in the MAN production plant, for example as a component of a MES (Manufacturing Execution System) or a SCADA system.
  • the communication of the components COMP1, COMP2, COMP3 with the test server CHESER is cryptographically protected in the exemplary embodiment shown, for example by means of a security protocol in the form of TLS or IPsec/IKEv2, or the transmitted messages are protected via S/MIME, XML protection (XML Integrity, XML Encryption) or JSON protection (JSON Web Encryption, JSON Web Signature) cryptographically protected.
  • a security protocol in the form of TLS or IPsec/IKEv2
  • JSON protection JSON Web Encryption, JSON Web Signature
  • the test server CHESER includes the following additional criteria in its test CHAPP for the admissibility of the configuration data NECO: information about the respective components COMP1, COMP2, COMP3 themselves and/or knowledge about the IT -Infrastructure of the MAN production plant and/or knowledge of permissible configurations of the MAN production plant and/or released versions of software installed on the components COMP1, COMP2, COMP3.
  • the check server CHESER can also set and check specific conditions for the integrity and authenticity of the NECO configuration data. This includes, for example, checking a cryptographic MAC value or a signature of the configuration data NECO or of the configurator CONFIG: only if the MAC value or the signature of the configurator CONFIG is valid is the configuration either accepted or for a content check CHAPP of the confi- guration data NECO approved. It is also possible to proceed in such a way that certain configurations are permitted or forbidden, depending on the place from which a signature was created.
  • the components COMP1, COMP2, COMP3 are then not authorized to accept the NECO configuration data.
  • the check CHAPP of the NECO configuration data using the check server CHESER can also be carried out in such a way that the check server CHESER transmits more detailed information about the check result to the components COMP1, COMP2, COMP3, for example which parts of the NECO configuration data are correct and which are incorrect or impermissible or to what extent the NECO configuration data deviate from the fully permissible NECO configuration data.
  • the test server CHESER informs other systems/components, which can then react accordingly to the test result.
  • the components COMP1, COMP2, COMP3 can behave differently: In the simplest case, the components COMP1, COMP2, COMP3 are allowed to start if the configuration data NECO as a result of the CHAPP check by the check server CHESER as valid or the starting of the components COMP1, COMP2, COMP3 is prevented if the configuration data NECO are judged as not valid by the test server CHESER.
  • the components COMP1, COMP2, COMP3 can also enable or prohibit certain functionalities of the respective components COMP1, COMP2, COMP3, in particular based on a fine-grained result, the components COMP1, COMP2, COMP3 can also allow or prohibit specific functionalities of the components COMP1, COMP2, COMP3 in more detail.
  • the check CHAPP is carried out using the test server CHESER, but not by it itself.
  • the test server CHESER Rather, it determines the test criteria and transmits these test criteria to the components COMP1, COMP2, COMP3 for the test, in which the test server loads the test criteria into the components COMP1, COMP2, COMP3 using a load process LOARUL and does not carry out the test itself.
  • the reactions of the components COMP1, COMP2, COMP3 to the test result are analogous to those for the first variant.
  • the components COMP1, COMP2, COMP3 differentiate between simple configuration data NECO, which can be checked locally on the component COMP1, COMP2, COMP3, for example a configuration of the company's own hardware.
  • configuration data NECO which are critical for the operational reliability of the MAN production plant, are passed on to the test server CHESER by the components COMP1, COMP2, COMP3 and the test is carried out by the test server CHESER.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Bei dem Verfahren zur Prüfung einer Konfiguration mindestens einer Komponente einer Automatisierungsanlage werden Konfigurationsdaten der mindestens eine Komponente mittels mindestens einen, von der mindestens eine Komponente verschiedenen, Prüfservers auf eine Zulässigkeit geprüft. Die Automatisierungsanlage ist zur Ausführung eines solchen Verfahrens ausgebildet und umfasst zumindest eine Komponente mit einem Speicher mit Konfigurationsdaten und mindestens einen, von der mindestens eine Komponente verschiedenen, Prüfserver, bei welcher der mindestens eine Prüfserver zur Prüfung der Konfigurationsdaten ausgebildet ist.

Description

Beschreibung Verfahren zur Prüfung einer Konfiguration mindestens einer Komponente einer Automatisierungsanlage und Automatisierungs- anlage Die Erfindung betrifft ein Verfahren zur Prüfung einer Konfi- guration mindestens einer Komponente einer Automatisierungs- anlage sowie eine Automatisierungsanlage mit mindestens einer Komponente. Industrieanlagen, insbesondere Automatisierungsanlagen, wei- sen häufig Komponenten auf, die oft neu konfiguriert werden müssen. Denn häufig ändert sich beispielsweise die Netzwerk- Infrastruktur wegen der Hinzunahme neuer Komponenten oder es werden Komponenten mit geänderten Arbeitsaufgaben in einer Automatisierungsanlage eingesetzt. Dies kann insbesondere bei einer flexiblen Produktion, d.h. in der Industrie 4.0, der Fall sein. Es wird dort auch als „Plug-and-Produce“ bezeich- net. Es können sich in Automatisierungsanlagen weiterhin der Arbeits-ablauf und demzufolge die Arbeitsanweisungen für Kom- ponenten ändern, was eine neue Konfiguration der Komponenten erforder-lich macht. Es ist bekannt, bei einer neuen Konfiguration von Komponenten Konfigurationsdaten der neuen Konfiguration ohne Prüfung zu übernehmen. Eine solche Übernahme von Konfigurationsdaten für neue Konfigurationen von Komponenten birgt jedoch ein großes Risiko für Automatisierungsanlagen. Denn fehlerhafte oder durch einen Angreifer manipulierte Konfigurationsdaten auch nur weniger Komponenten können zu einem Fehlverhalten der ge- samten Automatisierungsanlage führen, was im Extremfall den Ausfall der gesamten Automatisierungsanlage und/oder die Zer- störung einzelner oder sämtlicher Komponenten der Automati- sierungsanlage zu Folge hat. Zudem können auch sensible Daten bei einer fehlerhaften oder durch Angreifer manipulierten Konfiguration von Komponenten abfließen oder gezielt abge- schöpft werden. Es ist daher Aufgabe der Erfindung, ein verbessertes Verfah- ren zur Prüfung einer Konfiguration einer Komponente einer Automatisierungsanlage anzugeben, welches insbesondere eine verbesserte Betriebs- und/oder Informationssicherheit, insbe- sondere hinsichtlich einer Authentizität und Integrität von Daten, der Automatisierungsanlage ermöglicht. Ferner ist es Aufgabe der Erfindung, eine verbesserte Automatisierungsanla- ge mit mindestes einer Komponente anzugeben, wobei die Anlage insbesondere eine verbesserte Betriebssicherheit und/oder Da- tensicherheit aufweist. Diese Aufgabe der Erfindung wird mit einem Verfahren zur Prü- fung einer Konfiguration mindestens einer Komponente einer Automatisierungsanlage mit den in Anspruch 1 angegebenen Merkmalen sowie mit einer Automatisierungsanlage mit den in Anspruch 8 angegebenen Merkmalen gelöst. Bevorzugte Weiter- bildungen der Erfindung sind in den zugehörigen Unteransprü- chen, der nachfolgenden Beschreibungen und der Zeichnung an- gegeben. Bei dem erfindungsgemäßen Verfahren zur Prüfung einer Konfi- guration mindestens einer Komponente einer Automatisierungs- anlage werden Konfigurationsdaten der mindestens eine Kompo- nente mittels mindestens eines, von der mindestens eine Kom- ponente verschiedenen, Prüfservers auf eine Zulässigkeit ge- prüft. Mittels des erfindungsgemäß vorgesehenen Prüfservers wird al- so eine Konfiguration der mindestens eine Komponente nicht derart geprüft, dass die Konfigurationsdaten dieser mindes- tens eine Komponente lediglich intern innerhalb der mindes- tens eine Komponente einer Prüfung unterzogen werden, sondern die Prüfung der mindestens einen Komponente erfolgt mittels eines von der mindestens einen Komponente verschiedenen Prüfservers. Bei dem erfindungsgemäßen Verfahren ist folglich die Prüfung der Konfiguration der mindestens einen Komponente nicht allein auf die Prüfung der mindestens einen Komponente selbst beschränkt, sondern der Prüfserver kann als von der mindestens einen Komponente verschiedener Bestandteil der Au- tomatisierungsanlage die Konfigurationsdaten der mindestens einen Komponente derart prüfen, dass der Prüfserver weitere Umstände und Informationen der Automatisierungsanlage, welche nicht innerhalb der mindestens einen Komponente lokalisiert sind, in der Prüfung mit berücksichtigt. Die Konfigurations- daten können also abhängig von einem Kontext der mindestens eine Komponente, in dem sie eingebettet ist, geprüft werden. Dieser Umstand erlaub es, eine verbesserte Betriebssicherheit und eine verbesserte Datensicherheit der Automatisierungsan- lage sicherzustellen. In einer bevorzugten Weiterbildung des erfindungsgemäßen Ver- fahrens werden die Konfigurationsdaten abhängig von einem ge- genwärtigen Betriebsmodus der Automatisierungsanlage geprüft. In dieser Weiterbildung der Erfindung erfolgt die Prüfung der Konfiguration, der mindestens eine Komponente vorteilhaft nicht isoliert, sondern die Prüfung der Konfiguration, der mindestens eine Komponente berücksichtigt einen gegenwärtigen Betriebsmodus der Automatisierungsanlage. Besonders bevorzugt umfasst in dieser Weiterbildung der Erfindung der Betriebsmo- dus der Automatisierungsanlage nicht isoliert allein einen Betriebsmodus der mindestens eine Komponente, sondern der Be- triebsmodus der Automatisierungsanlage betrifft neben der mindestens eine Komponente zusätzlich eine oder mehrere wei- tere Komponenten der Automatisierungsanlage. Auf diese Weise kann die Prüfung der Konfiguration, der mindestens einen Kom- ponente Kontextinformationen des Gesamtkontextes der Automa- tisierungsanlage berücksichtigen. Eine Berücksichtigung eines solchen Gesamtkontextes der Automatisierungsanlage erlaubt es, betriebssicherheitskritische oder datensicherheitskriti- sche Konfigurationen der mindestens eine Komponente in be- stimmten Betriebsmodi und, gegebenenfalls verknüpft mit die- sen Betriebsmodi, in bestimmten Einsatzzwecken zu erfassen, welche in anderen Betriebsmodi oder Einsatzzwecken hinsicht- lich der Betriebssicherheit und der Datensicherheit unproble- matisch wären. Die Berücksichtigung des Betriebsmodus der Au- tomatisierungsanlage erlaubt folglich eine umfassendere Prü- fung der Konfiguration der mindestens einen Komponente als wenn die erste Komponente lediglich isoliert und ohne jeden Kontext in ihrer Konfiguration geprüft werden würde. In der vorgenannten Weiterbildung des erfindungsgemäßen Ver- fahrens können die Konfigurationsdaten abhängig von einem ge- genwärtigen Betriebsmodus geprüft werden. In einer hierzu zu- sätzlich oder alternativ hinzutretenden und ebenfalls vor- teilhaften Weiterbildung der Erfindung werden die Konfigura- tionsdaten abhängig von einem zukünftigen Betriebsmodus der Automatisierungsanlage geprüft. In dieser Weiterbildung der Erfindung kann der zukünftige Betriebsmodus freigegeben oder angestoßen werden. So kann vorzugsweise ein Hochlauf einer Maschine der Automatisierungsanlage oder ein Hochlauf eines durch die Automatisierungsanlage gesteuerten oder überwachten technischen Prozesses, insbesondere die Durchführung eines Fertigungsschritts, abhängig davon freigegeben oder angesto- ßen werden, ob die Konfigurationsdaten abhängig von dem ge- genwärtigen Betriebsmodus der Automatisierungsanlage als zu- lässig überprüft werden. In einer bevorzugten Weiterbildung des erfindungsgemäßen Ver- fahrens ist der Betriebsmodus ein Produktivbetrieb und/oder einen Wartungsbetrieb und/oder einen Testbetrieb der Automa- tisierungsanlage. Der Betriebsmodus erlaubt in dieser Weiter- bildung also vorteilhaft eine Unterscheidung des Betriebsmo- dus der Automatisierungsanlage in einen Produktivbetrieb und/oder einen Wartungsbetrieb und/oder einen Testbetrieb der Automatisierungsanlage. Eine solche Unterscheidung ermöglicht es, eine Konfiguration der mindestens eine Komponente in ei- nem Testbetrieb mit für die Betriebs- und/oder Informations- sicherheit kritischeren Parametern zuzulassen als in einem Produktivbetrieb. Umgekehrt müssen etwa in einem Wartungsbe- trieb der Automatisierungsanlage nicht sämtliche Konfigurati- onen der mindestens eine Komponente zugelassen werden, denn in einem Wartungsbetrieb muss die erste Komponente nicht zur Ausführung sämtlicher Betriebsfunktionen der mindestens eine Komponente befähigt sein. Vielmehr kann die erste Komponente in einer Wartungskonfiguration mit einem verringerten Funkti- onsumfang verglichen mit dem Produktivbetrieb verbleiben. Al- ternativ oder zusätzlich können wartungsrelevante Funktionen der mindestens eine Komponente in einem Wartungsbetrieb der Automatisierungsanlage durch die Konfiguration ermöglicht sein, welche im Produktivbetrieb der Automatisierungsanlage nicht erforderlich oder sogar betriebssicherheitskritisch oder datensicherheitskritisch sind. Vorteilhaft gibt bei dem Verfahren gemäß einer vorteilhaften Weiterbildung der Erfindung der Betriebsmodus einen automati- sierten Prozess der Automatisierungsanlage an, insbesondere einen automatisierten Prozess aus einer Menge umfassend min- destens einen ersten Produktionsprozess und einen zweiten, vom ersten verschiedenen, Produktionsprozess. Geeigneterweise ist in dieser Weiterbildung der Erfindung die Automatisie- rungsanlage eine Fertigungsanlage. In dieser Weiterbildung der Erfindung kann folglich die Konfiguration der mindestens eine Komponente hinsichtlich des automatisierten Prozesses der Automatisierungsanlage, insbesondere abhängig von dem je- weiligen Produktionsprozess der Fertigungsanlage, geprüft werden. In dieser Weiterbildung können daher vorteilhaft Kon- textinformationen des automatisierten Prozesses der Automati- sierungsanlage zur Prüfung der Konfiguration der mindestens einen Komponente genutzt werden. Insbesondere Produktionspro- zesse liefern für die Konfiguration von Komponenten von Auto- matisierungsanlagen relevante Informationen: So können insbe- sondere Fertigungsschritte, welche eine bestimmte Temperatur zur Fertigung erfordern, etwa Fügeschritte oder Umformschrit- te, Temperaturgrenzen einer Heizeinrichtung der mindestens eine Komponente bedingen. In anderen Produktionsprozessen können jedoch andere Temperaturgrenzen sinnvoll sein. In die- ser Weiterbildung der Erfindung erlaubt folglich die Berück- sichtigung des automatisierten Prozesses der Automatisie- rungsanlage die Berücksichtigung einer prozessbedingten Kon- textinformation, die zur Prüfung der Konfiguration der min- destens einen Komponente herangezogen werden kann. Besonders bevorzugt unterscheiden sich der erste und der zweite Produktionsprozess voneinander in einem Produkt des ersten und des zweiten Produktionsprozesses und vorzugsweise in produktbedingten Parametern des ersten und des zweiten Produktionsprozesses. Insbesondere bei der Produktion von Produkten kann die Information über das zu fertigende Produkt eine relevante Kontextinformation für eine Konfiguration der mindestens einen Komponente der Automatisierungsanlage dar- stellen. So können beispielsweise für unterschiedliche Pro- dukte unterschiedliche Toleranzen in der Bemaßung von Be- standteilen des Produktes zulässig sein, was unterschiedliche Konfigurationen der mindestens eine Komponente der Automati- sierungsanlage bedingt. Auch können unterschiedliche Produkte jeweils bei unterschiedlichen Temperaturen gefertigt werden, sodass unterschiedliche Temperaturspannen oder Temperaturin- tervalle für die mindestens eine Komponente abhängig von dem zu fertigenden Produkt bestehen. Solche Informationen lassen sich in dieser Weiterbildung des erfindungsgemäßen Verfahrens vorteilhaft berücksichtigen. Vorzugsweise erfolgt bei dem erfindungsgemäßen Verfahren die Prüfung der Konfiguration zusätzlich abhängig von einer IT- Infrastruktur der Automatisierungsanlage und/oder einer In- formation über die mindestens eine Komponente der Automati- sierungsanlage und/oder einem Ergebnis einer Plausibilitäts- prüfung der Konfigurationsdaten der mindestens einen Kompo- nente und/oder einer Positivliste (White List) für zulässige Konfigurationsdaten der mindestens einen Komponente und/oder einer Negativliste (Black List) für unzulässige Konfigurati- onsdaten der mindestens einen Komponente und/oder mindestens einer kryptografischen Signatur. In dieser Weiterbildung der Erfindung können folglich weitere Kontextinformationen der Automatisierungsanlage für die Prüfung der Konfiguration der mindestens eine Komponente der Automatisierungsanlage heran- gezogen und berücksichtigt werden. Die erfindungsgemäße Automatisierungsanlage ist zur Ausfüh- rung eines erfindungsgemäßen Verfahrens wie vorhergehend be- schrieben ausgebildet. Die erfindungsgemäße Automatisierungs- anlage umfasst mindestens eine Komponente mit einem Speicher mit Konfigurationsdaten und einen, von der mindestens eine Komponente verschiedenen, Prüfserver, mittels welchem die Konfigurationsdaten der mindestens eine Komponente prüfbar sind. Besonders bevorzugt ist bei der erfindungsgemäßen Auto- matisierungsanlage der Prüfserver zur Prüfung der Konfigura- tionsdaten ausgebildet. Bei der erfindungsgemäßen Automati- sierungsanlage kann der Prüfserver folglich die Konfigurati- onsdaten der mindestens eine Komponente prüfen oder der Prüfserver kann Kriterien bereitstellen, mittels welchen die Konfigurationsdaten der mindestens eine Komponente prüfbar sind, insbesondere durch die Komponente selbst. Mittels der erfindungsgemäßen Automatisierungsanlage ist folglich die Konfiguration der mindestens eine Komponente mittels des von der mindestens eine Komponente verschiedenen Prüfservers prüfbar. Mittels des erfindungsgemäß vorgesehen Prüfservers können folglich Kontextinformationen der Automatisierungsan- lage leicht bei der Prüfung der Konfiguration der mindestens einen Komponente berücksichtigt werden. Es bestehen bei der erfindungsgemäßen Automatisierungsanlage dieselben Vorteile wie bereits im Zusammenhang mit dem erfindungsgemäßen Verfah- ren zuvor erläutert. In einer vorteilhaften Weiterbildung der erfindungsgemäßen Automatisierungsanlage weist diese zur Erfassung mindestens eines Betriebsmodus der Automatisierungsanlage eingerichtete Erfassungsmittel auf, welche mit dem Prüfserver signalverbun- den sind. Mittels der vorgesehenen Erfassungsmittel kann der Prüfserver folglich mindesten einen Betriebsmodus der Automa- tisierungsanlage erfassen und bei der Prüfung der Konfigura- tion der mindestens einen mindestens einen Komponente berück- sichtigen. Besonders bevorzugt ist bei der erfindungsgemäßen Automati- sierungsanlage der Prüfserver zur Prüfung der mindestens eine Komponente unter Heranziehung von Signalen der Erfassungsmit- tel ausgebildet und eingerichtet. Auf diese Weise ist folg- lich eine Berücksichtigung des Betriebsmodus der Automatisie- rungsanlage bei der Prüfung der Konfiguration der mindestens eine Komponente leicht möglich. In einer bevorzugten Weiterbildung der erfindungsgemäßen Au- tomatisierungsanlage ist der Prüfserver als Softwaremodul ausgebildet. In dieser Weiterbildung der Erfindung ist es folglich nicht erforderlich, dass erste Komponente und Prüfs- erver gewissermaßen physikalisch und räumlich voneinander ge- trennt sind. Der Prüfserver und die erste Komponente können als voneinander getrennte Softwaremodule realisiert sein, wo- bei die Erfassungsmittel insbesondere als Schnittstelle zur Datenerfassung ausgebildet sind. In einer alternativen und ebenfalls vorteilhaften Weiterbil- dung der erfindungsgemäßen Automatisierungsanlage ist der Prüfserver als separates Gerät ausgebildet, welches mit der mindestens eine Komponente der Automatisierungsanlage nicht identisch, d. h. von der mindestens eine Komponente verschie- den, ist. Geeigneterweise weist die Automatisierungsanlage gemäß der Erfindung zusätzlich zur mindestens eine Komponente mindes- tens eine zweite oder mehrere weitere Komponenten mit je ei- nem Speicher mit Konfigurationsdaten auf, wobei bei der Auto- matisierungsanlage der Prüfserver zur Prüfung der Konfigura- tionsdaten der weiteren Komponente oder Komponenten ausgebil- det ist. In dieser Weiterbildung der Erfindung kann folglich der Prüfserver die Prüfung der Konfigurationsdaten von jeder der Komponenten durchführen. In dieser Weiterbildung der Er- findung können die weiteren Komponenten bei der Prüfung der Konfigurationsdaten der mindestens eine Komponente berück- sichtigt werden. Genau so können Informationen bei der Prü- fung der zweiten oder der mehreren zusätzlichen Komponenten der Automatisierungsanlage herangezogen werden, um die Prü- fung der Konfigurationsdaten der mindestens einen Komponente durchzuführen. Umgekehrt können auch Informationen der min- destens eine Komponente zur Prüfung von Konfigurationsdaten der zweiten oder der mehreren zusätzlichen Komponenten heran- gezogen werden. In diesem Falle lassen sich folglich die wei- teren Komponenten als Quelle für zusätzliche Kontextinforma- tionen bei der Prüfung der Konfigurationsdaten heranziehen. Geeigneterweise ist die erfindungsgemäße Automatisierungsan- lage eine Fertigungsanlage. Nachfolgend wird die Erfindung anhand eines in der Zeichnung angegebenen Ausführungsbeispiels näher erläutert. Es zeigen: Fig. 1 ein erstes Ausführungsbeispiel einer erfindungsge- mäßen Fertigungsanlage mit drei Fertigungskomponen-ten und einem Prüfserver zur Ausführung des erfin-dungsgemäßen Ver- fahrens zur Prüfung einer Konfigu-ration schematisch in einer Prinzipskizze sowie Fig. 2 ein weiteres Ausführungsbeispiel einer erfindungs- gemäßen Fertigungsanlage mit drei Fertigungskompo-nenten und einem Prüfserver zur Ausführung eines weiteren Ausführungs- beispiels des erfindungsgemäßen Verfahrens zur Prüfung der Konfiguration schema-tisch in einer Prinzipskizze. Die in Fig. 1 dargestellte erfindungsgemäße Anlage ist eine automatisierte Fertigungsanlange MAN und kann alternativ auch als Automatisierungsanlage bezeichnet werden, die zur Ferti- gung eines Produkts ausgebildet ist. Im dargestellten Ausführungsbeispiel dient die Fertigungsan- lage MAN zur Fertigung eines Produkts in Gestalt eines Steu- ergeräts mit maßgeschneiderter Geometrie. Dazu wird mit einer ersten Komponente COMP1 eine Leiterplatte mit einer verwin- kelten Geometrie bestückt. Die Leiterplatten weisen eine Ge- stalt auf, die aus nicht zueinander fluchtend oder koplanar angeordneten Flachteilen besteht, sondern die Gestalt ist aus in 45-Grad-Winkeln ihrer Flachseiten zueinander angeordneten Flachteilen aufgebaut. Mittels einer zweiten Komponente COMP2 wird die bestückte Leiterplatte mit einem Gehäuseteil ther- misch verbunden, im dargestellten Ausführungsbeispiel heißge- klebt. Mittels einer dritten Komponente COMP3 wird das Gehäu- seteil mit weiteren Gehäuseteilen zu einem mit der Leiter- platte versehenen Gehäuse verbunden. Bei der Fertigungsanlage MAN werden die drei Komponenten COMP1, COMP2, COMP3 mittels eines Konfigurators CONFIG konfi- guriert. Der Konfigurator CONFIG ist ein nicht zur Ferti- gungsanlage MAN gehöriges Softwarewerkzeug, welches zur Kon- figuration der Komponenten COMP1, COMP2, COMP3 eingerichtet ist. Dazu lädt der Konfigurator CONFIG Konfigurationsdaten NECO in einem Konfigurationsschritt CONF in die Komponenten COMP1, COMP2, COMP3 ein. Alternativ kann der Konfigurator CONFIG auch ein separates Gerät oder ein Nutzer sein, der ma- nuell Konfigurationsdaten NECO mittels eines Konfigurations- schritts CONF in die Komponenten COMP1, COMP2, COMP3 einlädt. D. h. der Konfigurator CONFIG überträgt Konfigurationsdaten NECO an die Komponenten COMP1, COMP2, COMP3. Die Komponenten COMP1, COMP2, COMP3 halten die Konfigurationsdaten NECO zu- nächst in einem vorläufigen Evaluationsspeicher, der der Prü- fung der Konfigurationsdaten NECO dient und von welchem die Konfigurationsdaten nach erfolgter Prüfung in einen Konfigu- rationsdatenspeicher der Komponenten COMP1, COMP2, COMP3 ge- langen, in welchen sie zur Konfiguration der Komponenten COMP1, COMP2, COMP3 dienen. Die Konfiguration der Komponenten COMP1, COMP2, COMP3 erfolgt beispielsweise bei der erstmali- gen Einrichtung der Fertigungsanlage MAN oder aber bei einer Änderung eines Produktionsablaufs der Fertigungsanlage. Der Produktionsablauf wird insbesondere dann geändert, wenn ein neues, maßgeschneidertes Produkt mit der Fertigungsanlage MAN gefertigt wird, da dann auch die Komponenten COMP1, COMP2, COMP3 regelmäßig hinsichtlich ihrer Arbeitsaufgaben angepasst werden und demzufolge für die angepassten Arbeitsaufgaben neue Konfigurationsdaten NECO erfordern. Zudem ist regelmäßig eine neue Konfiguration der Komponenten COMP1, COMP2, COMP3 erforderlich, wenn die Fertigungsanlage MAN vom Produktivzustand in einen Wartungszustand versetzt wird, da die Komponenten COMP1, COMP2, COMP3 im Wartungszu- stand zum einen eine zusätzliche Selbsttestfunktionalität aufweisen, mit denen eine Zustandsdiagnose der Komponenten COMP1, COMP2, COMP3 möglich ist. Zudem sind bei den Komponen- ten COMP1, COMP2, COMP3 Produktivfunktionen gesperrt, da im Wartungszustand eine Fertigung eines Produkts nicht beabsich- tigt ist und etwa eine Bestückung ohne zuvor an die erste Komponente COMP1 übergebene Leiterplatte zu einer Fehlfunkti- on bis hin zur Zerstörung der ersten Komponente COMP1 führt. Ferner weist die Fertigungsanlage MAN zudem einen Testzustand auf, in welchem verschiedene Funktionen der einzelnen Kompo- nenten COMP1, COMP2, COMP3 getestet werden. Im Testzustand werden die Komponenten COMP1, COMP2, COMP3 mit zusätzlichen Funktionalitäten zu Testzwecken versehen, die im Produktivzu- stand der Fertigungsanlage MAN nicht oder zumindest nicht sämtlich benötigt werden. Die Komponenten COMP1, COMP2, COMP3 werden bei der Ferti- gungsanlage MAN mittels des Konfigurators CONFIG konfigu- riert. Die Fertigungsanlage MAN weist zusätzlich einen Prüfs- erver CHESER auf, der die Konfiguration der Komponenten COMP1, COMP2, COMP3 prüft. Dazu ist der Prüfserver CHESER mit jeder der Komponenten COMP1, COMP2, COMP3 signalverbunden und steht in Kommunikation mit den Komponenten COMP1, COMP2, COMP3. Der Prüfserver CHESER verfügt über einen Lesezugriff auf die neu eingegangenen Konfigurationsdaten NECO im Evalua- tionsdatenspeicher der Komponenten COMP1, COMP2, COMP3. Dazu prüft der Prüfserver CHESER, ob die Konfigurationsdaten NECO, die die Komponenten COMP1, COMP2, COMP3 vom Konfigura- tor CONFIG erhalten, zulässig sind. Der Prüfserver CHESER ist dazu mit einer Steuerung (nicht explizit in der Zeichnung dargestellt) der Fertigungsanlage MAN signalverbunden. Der Prüfserver CHESER erhält von der Steuerung die Information, in welchem Betriebsmodus sich die Anlage befindet. Der Be- triebsmodus der Fertigungsanlage MAN kann der Produktivzu- stand, der Wartungszustand oder der Testzustand sein. Der Prüfserver CHESER prüft nun die Konfigurationsdaten NECO der Komponenten COMP1, COMP2, COMP3 des Konfigurators abhängig von diesem Betriebsmodus der Fertigungsanlage MAN. Die Komponenten COMP1, COMP2, COMP3 übernehmen die Konfigura- tionsdaten NECO nur dann endgültig zur Konfiguration, wenn der Prüfserver CHESER die Konfigurationsdaten NECO als zuläs- sig bestätigt. Diese Prüfung wird bei jeder neuen Konfigura- tion der Komponenten COMP1, COMP2, COMP3 unternommen. Zusätzlich unterzieht der Prüfserver CHESER die Konfigurati- onsdaten NECO der Komponenten COMP1, COMP2, COMP3 einer Prü- fung CHAPP anhand von Kontextinformationen bezüglich des je- weiligen Produkts, welches die Fertigungsanlage MAN gegenwär- tig fertigt. So erfordert ein Produkt in Gestalt eines Steu- ergeräts mit maßgeschneiderter Geometrie wie oben beschrieben andere Konfigurationsdaten NECO als ein anderes Produkt. Denn die verwinkelte Geometrie der Leiterplatte erfordert einen größeren Aufnahmeraum für die Aufnahme der Leiterplatte durch die zweite Komponente COMP2 zur Verbindung mit einem Gehäuse- teil als eine Leiterplatte mit einer einfachen planaren Ge- stalt. Folglich muss die zweite Komponente COMP2 mit Konfigu- rationsdaten NECO eingerichtet sein, die einen solchen größe- ren Aufnahmeraum in der Konfiguration vorsehen. Der Prüfser- ver CHESER kann die für die Prüfung des Aufnahmeraums erfor- derlichen geometrischen Daten etwa den räumlichen Anweisungen zur Bestückung der Leiterplatte der ersten Komponente COMP1 entnehmen und insoweit als Kontext für die Prüfung CHAPP der Konfiguration der Komponente COMP2 heranziehen. Ferner darf das Heißkleben der Leiterplatte an den Gehäuse- teil keinen derart großen Temperatureintrag in die Leiter- platte bedingen, dass elektronische Bauteile, mit welchen die erste Komponente COMP1 die Leiterplatte bestückt, infolge des Temperatureintrages in ihrer Funktion beeinträchtig oder zer- stört werden. Folglich legen die Temperaturanforderungen der Bauteile der Leiterplatte eine Temperaturspanne fest, mit welcher das Heißkleben der Leiterplatte an den Gehäuseteil mittels der zweiten Komponente COMP2 erfolgen darf. Die zu- lässige Temperaturspanne der zweiten Komponente COMP2 wird dabei von dem Prüfserver CHESER von den Bestückungsanweisun- gen der ersten Komponente abgeleitet und zur Prüfung CHAPP der Konfigurationsdaten NECO der zweiten Komponente COMP2 herangezogen. Zusätzlich umfasst der Prüfserver CHESER für jede der Kompo- nenten COMP1, COMP2, COMP3 einen Speicher mit einer Liste in Form einer Whitelist für zulässige Konfigurationsdaten, die zusätzlich mit den Konfigurationsdaten NECO der Komponenten COMP1, COMP2, COMP3 verglichen wird. Nur wenn die Konfigura- tionsdaten NECO der Komponenten COMP1, COMP2, COMP3 auch in der Whitelist enthalten sind, werden die Konfigurationsdaten NECO vom Prüfserver CHESER als zulässig beurteilt. Dabei kön- nen in weiteren, nicht eigens dargestellten Ausführungsbei- spielen die Konfigurationsdaten NECO auch mit Hashwerten von in einer Whitelist enthaltenen Konfigurationsdaten NECO ver- glichen werden anstelle eines direkten Vergleichs mit der Whitelist. In weiteren, nicht eigens gezeigten Ausführungs- beispielen kann der Prüfserver CHESER einen Speicher mit ei- ner Blacklist von Konfigurationsdaten aufweisen, mit welchen die Konfigurationsdaten NECO der Komponenten COMP1, COMP2, COMP3 verglichen werden. Tauchen die Konfigurationsdaten NECO auf der Blacklist auf, so werden die Konfigurationsdaten NECO nicht als zulässig beurteilt. Der Prüfserver CHESER ist im dargestellten Ausführungsbei- spiel ein eigenständiges Gerät in Gestalt eines Computers, der ausschließlich für die Prüfung CHAPP von Konfigurations- daten NECO in die Fertigungsanlage MAN eingebracht wird. Der Prüfserver CHESER kann in weiteren, nicht eigens dargestell- ten Ausführungsbeispielen als Softwaremodul ein Bestandteil eines in der Fertigungsanlage MAN integrierten weiteren Sys- tems implementiert sein, beispielsweise als Bestandteil eines MES (engl. = „Manufacturing Execution System“) oder eines SCADA-Systems sein. Die Kommunikation der Komponenten COMP1, COMP2, COMP3 mit dem Prüfserver CHESER ist im dargestellten Ausführungsbeispiel kryptographisch geschützt, beispielsweise mittels eines Si- cherheitsprotokolls in Form von TLS oder IPsec/IKEv2, oder die übertragenen Nachrichten sind über S/MIME, XML-Schutz (XML Integrity, XML Encryption) oder JSON-Schutz (JSON Web Encryption, JSON Web Signature) kryptographisch geschützt. Im in Fig. 1 dargestellten Ausführungsbeispiel treffen die Komponenten COMP1, COMP2, COMP3 nicht selbst Entscheidung über zulässige Änderungen von Konfigurationen, sondern die Konfiguration wird jeweils nur dann übernommen, wenn die Kon- figuration vom Prüfserver CHESER als zulässig eingestuft, d. h. genehmigt, ist. Der Prüfserver CHESER bezieht in weiteren, nicht eigens dar- gestellten Ausführungsbeispielen folgende weitere Kriterien in seine Prüfung CHAPP zur Zulässigkeit der Konfigurationsda- ten NECO mit ein: Informationen über die jeweiligen Komponen- ten COMP1, COMP2, COMP3 selbst und/oder Kenntnisse über die IT-Infrastruktur der Fertigungsanlage MAN und/oder Kenntnisse über zulässige Projektierungen der Fertigungsanlage MAN und/oder freigegebene Versionsstände einer auf den Komponen- ten COMP1, COMP2, COMP3 installierten Software. Der Prüfserver CHESER kann unabhängig von den detaillierten inhaltlichen Prüfungen oder Plausibilitätsprüfungen der zu- lässigen Konfigurationsdaten NECO zusätzlich konkrete Bedin- gungen an die Integrität und Authentizität der Konfigurati- onsdaten NECO stellen und prüfen. Hierzu gehören beispiels- weise die Prüfung eines kryptographischen MAC-Wertes oder ei- ner Signatur der Konfigurationsdaten NECO oder des Konfigura- tors CONFIG: Nur wenn der MAC-Wert oder die Signatur des Kon- figurators CONFIG gültig ist, wird die Konfiguration entweder akzeptiert oder für eine inhaltliche Prüfung CHAPP der Konfi- gurationsdaten NECO zugelassen. Dabei kann auch derart vorge- gangen werden, dass, je nachdem von welcher Stelle eine Sig- natur erstellt wurde, bestimmte Konfigurationen erlaubt oder verboten sind. Die Reaktion des Prüfservers CHESER auf fehlerhafte Konfigu- rationsdaten NECO einschließlich Fehler bei der Authentizi- tätsprüfung der Konfigurationsdaten NECO erfolgt im darge- stellten Ausführungsbeispiel mittels einer Information einer unterbleibenden Freigabe der Konfigurationsdaten NECO durch den Prüfserver CHESER. Die Komponenten COMP1, COMP2, COMP3 sind danach nicht zur Übernahme der Konfigurationsdaten NECO berechtigt. Alternativ oder zusätzlich kann die Prüfung CHAPP der Konfi- gurationsdaten NECO mittels des Prüfservers CHESER auch der- art erfolgen, dass der Prüfserver CHESER den Komponenten COMP1, COMP2, COMP3 eine detailliertere Auskunft über das Prüfergebnis übermittelt, beispielsweise welche Teile der Konfigurationsdaten NECO korrekt sind und welche fehlerhaft oder unzulässig sind oder wie stark die Konfigurationsdaten NECO von vollständig zulässigen Konfigurationsdaten NECO ab- weichen. In einem weiteren Ausführungsbeispiel informiert der Prüfserver CHESER weitere Systeme/Komponenten, die dann ent- sprechend auf das Prüfergebnis reagieren können. Abhängig von der Prüfung CHAPP des Prüfservers CHESER können sich die Komponenten COMP1, COMP2, COMP3 unterschiedlich ver- halten: Im einfachsten Fall wird das Starten der Komponente COMP1, COMP2, COMP3 erlaubt, wenn die Konfigurationsdaten NECO infolge der Prüfung CHAPP durch den Prüfserver CHESER als zulässig gelten oder das Starten der Komponenten COMP1, COMP2, COMP3 wird verhindert, wenn die Konfigurationsdaten NECO vom Prüfserver CHESER als nicht zulässig beurteilt wer- den. Anhand des Ergebnisses der Prüfung CHAPP des Prüfservers CHE- SER können die Komponenten COMP1, COMP2, COMP3 auch be- stimmte Funktionalitäten der jeweiligen Komponenten COMP1, COMP2, COMP3 freischalten oder verbieten, insbesondere anhand eines feingranularen Ergebnisses können die Komponenten COMP1, COMP2, COMP3 auch detaillierter bestimmte Funktionali- täten der Komponenten COMP1, COMP2, COMP3 erlauben oder ver- bieten. In einem weiteren, in Fig. 2 dargestellten, Ausführungsbei- spiel, welches im Übrigen dem ersten Ausführungsbeispiel ent- spricht, wird die Prüfung CHAPP zwar mittels des Prüfservers CHESER durchgeführt, nicht aber durch diesen selbst. In die- sem Ausführungsbeispiel legt der Prüfserver CHESER vielmehr die Prüfkriterien fest und übermittelt diese Prüfkriterien den Komponenten COMP1, COMP2, COMP3 für die Prüfung, in dem der Prüfserver die Prüfkriterien in die Komponenten COMP1, COMP2, COMP3 mittels eines Ladeprozesses LOARUL einlädt und führt die Prüfung aber nicht selbst durch. Die Reaktionen der Komponenten COMP1, COMP2, COMP3 auf das Prüfergebnis sind analog derjenigen zur ersten Variante. In einem weiteren, nicht eigens dargestellten Ausführungsbei- spiel unterscheiden die Komponenten COMP1, COMP2, COMP3 zwi- schen einfachen Konfigurationsdaten NECO, die lokal auf der Komponente COMP1, COMP2, COMP3 geprüft werden können, etwa eine Konfiguration der eigenen Hardware. Konfigurationsdaten NECO hingegen, welche kritisch für die Betriebssicherheit der Fertigungsanlage MAN sind, werden hingegen von den Komponen- ten COMP1, COMP2, COMP3 jeweils an den Prüfserver CHESER wei- tergereicht und die Prüfung erfolgt durch den Prüfserver CHE- SER.

Claims

Ansprüche
1. Verfahren zur Prüfung (CHAPP) einer Konfiguration min- destens einer Komponente (COMP1, COMP2, COMP3) einer Automa- tisierungsanlage (MAN), bei welchem
Konfigurationsdaten (NECO) der mindestens eine Komponen- te (COMP1, COMP2, COMP3) mittels eines, von der mindestens eine Komponente (COMP1, COMP2, COMP3) verschiedenen, Prüfser- vers (CHESER) auf eine Zulässigkeit geprüft werden.
2. Verfahren nach Anspruch 1, bei welchem die Konfigurati- onsdaten (NECO) in Abhängigkeit von einem gegenwärtigen Be- triebsmodus der Automatisierungsanlage (MAN) geprüft werden.
3. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem der Betriebsmodus ein Produktivbetrieb und/oder ein Wartungsbetrieb und/oder ein Testbetrieb ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem der Betriebsmodus einen automatisierten Prozess der Automatisierungsanlage (MAN) angibt, insbesondere einen Pro- zess aus einer Menge eines ersten Produktionsprozesses oder eines zweiten, vom ersten verschiedenen, Produktionsprozess.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem mindestens der erste und der zweite Produktions- prozess sich voneinander in einem Produkt von erstem und zweitem Produktionsprozesse und vorzugsweise zudem in pro- duktbedingten Parametern des ersten und zweiten Produkti- onsprozesses unterscheiden.
6. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Prüfung (CHAPP) der Konfiguration zusätzlich ab- hängig von einer IT-Infrastruktur der Automatisierungsanlage (MAN) und/oder einer Information über die mindestens eine Komponente (COMP1, COMP2, COMP3) der Automatisierungsanlage (MAN) und/oder einem Ergebnis einer Plausibilitätsprüfung der Konfigu- rationsdaten (NECO) der mindestens einen Komponente (COMP1, COMP2, COMP3) und/oder einer Whitelist für zulässige Konfigurationsdaten (NECO) der mindestens einen Komponente (COMP1, COMP2, COMP3) und/oder einer Blacklist für unzulässige Konfigurationsdaten (NECO) der mindestens einen Komponente (COMP1, COMP2, COMP3) und/oder mindestens einer kryptographischen Signatur erfolgt.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Automatisierungsanlage zusätzlich zur mindestens einen Komponente (COMP1, COMP2, COMP3) mindestens eine zweite oder mehrere Komponenten (COMP2, COMP3) aufweist und bei wel- chem mittels des mindestens einen PrüfServers (CHESER) Konfi- gurationsdaten (NECO) der zweiten oder der mehreren Kompo- nenten (COMP2, COMP3) einer Prüfung auf eine Zulässigkeit un- terzogen werden und bei welchem Informationen bei der Prüfung der zweiten oder der mehreren zusätzlichen Komponenten (COMP2, COMP3) der Automatisierungsanlage herangezogen wer- den, wenn die Konfigurationsdaten der mindestens einen Kompo- nente (COMP1, COMP2, COMP3) geprüft werden.
8. Automatisierungsanlage, ausgebildet zur Ausführung eines Verfahrens nach einem der vorhergehenden Ansprüche, umfas- send mindestens eine Komponente (COMP1, COMP2, COMP3) mit ei- nem Speicher mit Konfigurationsdaten (NECO) und einen, von der mindestens eine Komponente (COMP1, COMP2, COMP3) ver- schiedenen, PrüfServer (CHESER), mittels welchem die Prüfda- ten (NECO) der mindestens eine Komponente (COMP1, COMP2,
COMP3) prüfbar sind.
9. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, umfassend zusätzlich Erfassungsmittel, welche zur Erfassung mindestens eines Betriebsmodus der Automatisie- rungsanlage (MAN) eingerichtet sind und welche mit dem Prüfs- erver (CHESER) signalverbunden sind.
10. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, bei welcher der PrüfServer (CHESER) zur Prüfung
(CHAPP) der Konfiguration der mindestens eine Komponente (COMP1, COMP2, COMP3) heranziehend Signale der Erfassungs- mittel ausgebildet und eingerichtet ist.
11. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, bei welcher der PrüfServer (CHESER) als Software- modul ausgebildet ist.
12. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, bei welcher der PrüfServer (CHESER) als separates Gerät ausgebildet ist.
13. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, welche zusätzlich zur mindestens eine Komponente (COMP1, COMP2, COMP3) mindestens eine zweite oder mehrere Komponenten (COMP2, COMP3) mit je einem Speicher mit Kon- figurationsdaten (NECO) aufweist und bei welcher der min- destens eine PrüfServer (CHESER) zur Prüfung der Konfigu- rationsdaten (NECO) der zweiten oder der mehreren Kompo- nenten (COMP2, COMP3) ausgebildet ist.
14. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, bei welcher Informationen bei der Prüfung der zwei- ten oder der mehreren zusätzlichen Komponenten (COMP2, COMP3) der Automatisierungsanlage heranziehbar sind, um die Prüfung der Konfigurationsdaten der mindestens einen Komponente durchzuführen.
15. Automatisierungsanlage nach einem der vorhergehenden An- sprüche, welche eine Fertigungsanlage (MAN) ist.
EP22728829.7A 2021-05-28 2022-05-11 Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage Pending EP4314963A1 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102021205483.8A DE102021205483A1 (de) 2021-05-28 2021-05-28 Verfahren zur Prüfung einer Konfiguration mindestens einer Komponente einer Automatisierungsanlage und Automatisierungsanlage
EP21184487.3A EP4095629A1 (de) 2021-05-28 2021-07-08 Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage
PCT/EP2022/062817 WO2022248230A1 (de) 2021-05-28 2022-05-11 Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage

Publications (1)

Publication Number Publication Date
EP4314963A1 true EP4314963A1 (de) 2024-02-07

Family

ID=81984598

Family Applications (1)

Application Number Title Priority Date Filing Date
EP22728829.7A Pending EP4314963A1 (de) 2021-05-28 2022-05-11 Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage

Country Status (2)

Country Link
EP (1) EP4314963A1 (de)
WO (1) WO2022248230A1 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2204704B1 (de) * 2008-12-31 2013-01-30 Siemens Aktiengesellschaft Verfahren zum Betrieb eines mehrere vernetzte Rechnereinheiten umfassenden industriellen Automatisierungsystems und industrielles Automatisierungsystem
DE102013205051A1 (de) * 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
US9563180B2 (en) * 2014-02-28 2017-02-07 Rockwell Automation Technologies, Inc. Configuration-enabled motor drive safety

Also Published As

Publication number Publication date
WO2022248230A1 (de) 2022-12-01

Similar Documents

Publication Publication Date Title
DE102017116139A1 (de) Flottenmanagementsystem für tragbare Wartungswerkzeuge
WO2008096006A1 (de) Verfahren und system zur ermittlung von zuverlässigkeitsparametern einer technischen anlage
DE102010037740A1 (de) Integriertes Unified-Threat-Management für ein Prozesssteuersystem
DE102008060011A1 (de) Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
EP3437297A1 (de) Verfahren und integritätsprüfsystem zur rückwirkungsfreien integritätsüberwachung
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
DE102017111928A1 (de) Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik
EP3745217B1 (de) Vorrichtung zum überwachen einer datenverarbeitung und - übertragung in einem sicherheitssystems
EP3907569A1 (de) Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode
DE102018118243A1 (de) Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine
EP2718773A1 (de) Simulationssystem, verfahren zur durchführung einer simulation, leitsystem und computerprogrammprodukt
AT516652B1 (de) Formgebungsanlage
EP3707878A1 (de) Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
WO2022248230A1 (de) Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage
DE112017005360T5 (de) Produktherstellungssystem, malware-erkennungssystem, produktherstellungsverfahren und malware-erkennungsverfahren
EP4095629A1 (de) Verfahren zur prüfung einer konfiguration mindestens einer komponente einer automatisierungsanlage und automatisierungsanlage
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP4025965B1 (de) Integritätsüberwachungssystem und verfahren zum betreiben eines integritätsüberwachungssystems sowie eine integritätsüberwachungseinheit
DE102016202749A1 (de) Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
WO2022258412A1 (de) Fahrzeugdatenkommunikationssystem zur übermittlung von fahrzeugdaten
DE10330191A1 (de) System bzw. Verfahren zur Freigabe freigabebedürftigter Softwareprogramme
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
DE102020124837A1 (de) Whitelisting für hart-kommunikationen in einem prozesssteuerungssystem

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20231023

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)