WO2011082863A1 - Method and device for monitoring a production control computer - Google Patents

Method and device for monitoring a production control computer Download PDF

Info

Publication number
WO2011082863A1
WO2011082863A1 PCT/EP2010/066971 EP2010066971W WO2011082863A1 WO 2011082863 A1 WO2011082863 A1 WO 2011082863A1 EP 2010066971 W EP2010066971 W EP 2010066971W WO 2011082863 A1 WO2011082863 A1 WO 2011082863A1
Authority
WO
WIPO (PCT)
Prior art keywords
production control
control computer
production
security check
unit
Prior art date
Application number
PCT/EP2010/066971
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2011082863A1 publication Critical patent/WO2011082863A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Definitions

  • the invention relates to a method and a device for monitoring at least one production control computer for the production of products.
  • Production control computers can be used to carry out production control operations in which any products are industrially manufactured.
  • a production control computer can control, for example, a manufacturing ⁇ unit, which has actuators and sensors.
  • the production control computer outputs control signals to the production unit which control the actuators of the production unit and receives measuring or sensor signals from the sensors of the production unit from the production unit.
  • the production control computer is connected via a network with the production unit and performs promptly or in real time ⁇ a production control process for the production of products or objects.
  • the articles or products may be any products, for example mechanical articles, such as components, or chemical products, such as tablets, powdered or liquid products.
  • a faulty production control process can also endanger the safety of employees of the manufacturer and above all of customers of the products.
  • a faulty production control process can cause actuators of the production unit to endanger workers in the area of the production unit.
  • a faulty production control process can lead to errors in the products that causes damage to the purchaser of the product. If, for example, the production process involves the production of medicaments or tablets, a faulty production control process can lead to an erroneous dosage of substances within the product, which can lead to health problems for the end user who uses the medicament.
  • An error in the control of the production control process by the production control computer may arise due to an erroneous configuration setting of the production control computer, wherein such a configurati ⁇ onsrise can be caused either unintentionally or due to an attack by a malicious third party. Furthermore, a faulty production control operation may be caused by an intended or unintended Beeinflus ⁇ solution of the communication of the production control computer, with the manufacturing unit controlled by it. If errors occur, the so-called safety patches for the control program of the production control computer, if these errors are noticed, can be used to correct the program errors. However, erroneous production processes may go unnoticed for a long time, so that the defective products can reach the customer and cause damage there.
  • the invention provides a method for monitoring at least one production control computer
  • a process performed by the production control computer production control process for the preparation of products at least one security check is performed which verifies whether the production control computer during the production control process in a integrity state befin ⁇ det.
  • the security check is carried out directly by evaluating configuration data of the production control computer.
  • the security check takes place indirectly by observing a communication behavior of the production control computer.
  • the security check is carried out by a security checking unit which is contained in the production control computer or integrated therein.
  • the security check is performed by a security check unit, which is connected to the production control computer, for example via a network.
  • the communication behavior of the production control computer is monitored on the basis of input signals to the production control computer and / or on the basis of output signals which are output by the production control computer subsequently by the security verification unit ⁇ enhanced.
  • the input and / or output signals of the production control computer are detected without feedback and transmitted to ei ⁇ NEN second identically implemented production control computer, the security check ⁇ unit the security check directly by evaluating configuration data of the second production Control computer o- indirectly performed by observing a communication behavior of the second production control computer.
  • the second identically implemented production control computer receives the detected input and / or output signals of the monitored production control computer synchronously with a signal delay time.
  • the second identical implemented Pro ⁇ production control computer receives the detected input and / or output signals of the monitored production control computer asynchronously, for example, after completion of the production control process.
  • the detected input and / or output signals of the production control computer are recorded, for example on a data medium.
  • the second production control computer is constructed physically identical to the monitored production control computer.
  • the second production control computer is virtually identical to the production control computer implemented on a server or computer.
  • a direct security check by the security verification unit is carried out by these accesses reference ⁇ data to verify whether the production- control computer is in an integrity configuration state during the production control process.
  • the security check unit compares the configuration data of the production control computer, and / or the second production-control computer with the reference data to verify whether the production control computer is during the production control process in a integrity confi ⁇ gurationsSullivan ,
  • the configuration data of the production control computer are copied into the second production control computer before the security check.
  • the configuration data indicate a configuration state of at least one software component implemented in the production control computer.
  • the configuration data are calculated duroh test ⁇ sums of the respective software components formed.
  • the configuration data are formed by version numbers of the respective software components.
  • the configuration data are formed by configuration settings in at least one configuration file of the production control computer.
  • an error treatment if the Disposerprü ⁇ tion shows that the production control computer is not in an integer configuration state during the production control process takes place.
  • this error handling includes the issuing of an alarm message.
  • the fault handling includes halting the manufacturing process for manufacturing the products by the manufacturing unit.
  • the error handling includes an increase in Qua formality examination at the Herge by the manufacturing process ⁇ products presented.
  • the error handling comprises sending an error notification to a production management system.
  • the error handling comprises writing an error message in one or more data carriers which accompany the manufactured products.
  • the security check takes place before the production process for the production of the products.
  • the security check takes place during the production process for the production of the products. In a further embodiment of the method according to the invention, the security check takes place after the production process for the production of the products.
  • the invention further provides a system for producing products having at least one production control computer which carries out a production control process for the manufacture of products, wherein for the production control process a security check is performed by a security check unit which verifies whether the production - Control computer is in an integer state during the production control process.
  • the security check unit performs the Secure ⁇ standardized testing directly by evaluating configuration data of the production control computer.
  • the security check unit performs the Safe ⁇ standardize on test indirectly by observing a communication behavior of the production control computer.
  • a signal branching unit recorded on and / or off ⁇ reproduction signal of the monitored production control computer retroactive ⁇ kung free and transmits these branched input and / or from ⁇ display signals to a second identical deployed production control computer, wherein theappelüberismesein - is the security check directly by evaluating
  • Configuration data of the second production control computer o- indirectly carried out by observing a communication behavior of the second production control computer.
  • the second production control computer is physically constructed identical to the monitored production control computer.
  • the second production control computer is implemented virtually identically to the monitored production control computer on a server or computer.
  • the invention further provides a security check unit for executing a security check on a production control computer which performs a production control operation for manufacturing products, the security check unit for executing the security check verifying whether the production control computer is in an inte during the production process State is.
  • the security check is carried out directly by evaluating configuration data of the monitored production control computer.
  • the security check unit of the invention the security ⁇ test is carried out indirectly by observing a Merge-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coupled-Coup Language
  • this is contained in the production control computer or integrated therein.
  • the security checking unit is connected to the production control computer via a network.
  • the invention further provides a production control computer that includes a security verification unit that performs a security check on the production control computer, wherein the security verification unit is configured to perform a security check.
  • the security check verifies whether the production control computer is in an integer state during a production control process, in particular in an integer configuration state.
  • the invention further provides a monitoring production control computer, wherein the monitoring production control computer, the input and / or output signals or the configuration data of a monitored production control computer are supplied and wherein the monitoring production control computer identical to the monitored production control computer is constructed,
  • a security check unit connected to the monitor production control computer checks whether the monitor production control computer is in an integer state during a production control operation of the monitored production control computer.
  • FIG. 1 is a block diagram of a possible embodiment ⁇ example of a system according to the invention with egg ⁇ nem monitored production control computer according to the invention;
  • FIGS. 2A, 2B are diagrams illustrating possible embodiments of a system according to the invention with egg ⁇ nem monitored production control computer.
  • FIG. 3 shows a flow chart for illustrating an embodiment of the method according to the invention for monitoring a production control computer; a further flow chart for illustrating an embodiment of the method according to the invention for monitoring a production control computer;
  • Figure 5 is a block diagram illustrating a wide ⁇ ren possible embodiment of the system according OF INVENTION ⁇ dung with a monitored production control computer.
  • Figure 6 is a further block diagram illustrating ei ⁇ ner possible embodiment of a system according to the invention with a monitored production- control computer.
  • Fig. 7 is a diagram illustrating a possible embodiment of the system according to the invention with a monitored production control computer.
  • FIG. 1 shows an example of a system 1 which contains a monitored production control computer 5 according to the invention.
  • the production system 1 shown in FIG. 1 contains two production cells FZ1, FZ2 for the production of devices or products or intermediates.
  • each of the two manufacturing cells FZ1, FZ2 has a local bus to which a plurality of units are connected.
  • the production cell FZ1 has a local bus 2-1 which is connected to an industrial network 3, to which various manufacturing ⁇ cells FZ are connected.
  • FIG. 1 shows an example of a system 1 which contains a monitored production control computer 5 according to the invention.
  • the production system 1 shown in FIG. 1 contains two production cells FZ1, FZ2 for the production of devices or products or intermediates.
  • each of the two manufacturing cells FZ1, FZ2 has a local bus to which a plurality of units are connected.
  • the production cell FZ1 has a local bus 2-1 which is connected to an industrial network 3, to which various manufacturing ⁇ cells FZ are connected.
  • FIG. 1 shows an example
  • a robot arm 4, a production control computer or a production control computer module 5 for controlling the robot arm 4 and a security checking unit 6 are connected to the local bus 2-1 of the production cell FZ1, which shows the integrity of the production Control module 5 during the production control process or during the control of the robot arm 4 monitors by verifying whether the production control computer 5 is in an integer state during the production control process.
  • the two- te manufacturing cell FZ2 has in the example shown in FIG. 1, a welding machine 6 as a production unit, which is connected via a local bus 2-2 with a control computer 7. In the example shown in FIG. 1, the second manufacturing cell FZ2 has no safety checking unit.
  • the industrial network 3 is connected via a firewall 8 with another network, such as an office network 9, to which also a computer 10 is connected.
  • a production server 11 is provided, which may be part of a production management system.
  • This production server 11 is connected to the industrial network 3.
  • the industrial network 3 has a WLAN access point 12, which communicates with a maintenance computer or a maintenance device 13 via a wireless interface.
  • the production control computer 5 controls the production process of the production unit 4 within the manufacturing cell FZ1. During this production control process over the local
  • Bus 2-1 of the manufacturing cell 1 is carried out by the safety ⁇ checking unit 6, which is also connected to the local bus 2-1, a security check, whether the production control computer 5 during the production control process in an integer state, especially in a integer configuration state, is located.
  • the secure ⁇ standardized checking unit 6 verifies whether the producti on ⁇ control computer 5 is during the production control process in a state of integrity, and this can be done directly or indirectly.
  • the security check is performed by the security verification unit 6 by evaluating configuration data of the production control computer 5 during the production control process.
  • the configuration data comprise configuration parameters tion, for example a configurable temperature threshold, a target rotational speed of a robot arm at the end of 4 ⁇ be strengthened tool such as a milling head (not shown) or a trajectory along which the robot arm 4 under controlled le of the production control computer 5 is performed. They may further comprise operating software and / or control instructions of the production control computer 5.
  • the security check is carried out by the security transfer unit 6 indirectly by observing a communication behavior of the production control computer 5, for example by observing the signals on the loka ⁇ len control bus 2-1.
  • the security checking unit 6 is connected to the production control computer 5 via a local bus 2-1 or via a network.
  • the security verification unit 6 may also be located within the production control computer 5 or integrated therein.
  • the security checking unit 6 is connected to the monitored production control computer 5 and the production unit 4 via a local bus 2-1.
  • the production control computer 5 may be located elsewhere in the production system.
  • the security checking unit 6 is not connected to the local bus 2-1 but to the industrial network. 3
  • the security checking unit 6 through the firewall 8 ge ⁇ separates from the industrial network 3 in the office network 9 is provided.
  • control signals to actuators of the Ferti ⁇ supply unit 4 are transferred control operation in real time for controlling the production- and sensor data from sensors in the production unit 4 in real time to the production- control computer 5, for example via a local bus, transmitted back.
  • the security check by evaluation of the configuration data of the production control computer does not take place 5. If theracüber Introductionsein- standardize 6 in the production control computer 5 is integrated, this can be done, for example, that the Configu ⁇ rationsggi of the production control computer 5 for safety ⁇ verification unit 6, which then evaluates the copied configuration data.
  • the security checking unit 6 accesses from reference data is to verifizie ⁇ ren whether the production control computer 5 was during the production control process in a configuration access integrity.
  • the security check unit 6 ver ⁇ resembles preferably the reference data with the Configu ⁇ rationswill of the production control computer 5 to ⁇ grace to verifi whether the production control computer 5 state during the production control process in a Code of configuration is.
  • the reference data necessary for the comparison may, for example, be located in a database to which the security checking unit 6 has access.
  • the verification of the configuration data by comparison with the reference data can be performed in a possible embodiment of the security verification unit 6 in real time ⁇ the.
  • the compared with the reference data configuration data may include different data, in particular Kon ⁇ figuration data indicating a configuration state of at least one implementier- th in the production control computer 5 software component.
  • soft ⁇ ware component may be an application software component but also an operating system software component such as a driver software component han ⁇ spindles.
  • the configuration data a calculated checksum of the respective soft ware ⁇ component.
  • a checksum is calculated for the respective component and Softwarekom ⁇ ver ⁇ matched with reference data to determine whether the production- Control computer 56 is in an integer state.
  • the configuration data may include version numbers of the software components implemented on the production control computer 5.
  • the configuration data can also have configuration entries in at least one configuration file of the production control computer 5.
  • the security check unit 6 detects the confi guration ⁇ of the production control computer 5 by imaging a data or image of the configuration of the control computer 5 production- and subtracting ver ⁇ is similar to the reference data. For example, and the result is transferred to the security check ⁇ unit 6 via a command-line interface checksums of operating systems and / or application program files and configuration files calculated net.
  • a data copy of the configuration settings can be loaded onto the security check unit 6, for example in the form of a virtual machine image.
  • the check result of the security check can be transmitted from the security check unit 6 to the monitored production control computer 5, which in one possible embodiment can associate the received check results of the manufactured or produced items or products with a production batch.
  • the production control computer 5 writes the test result into a data medium which accompanies the manufactured products. Examples of play may be a production batch, have about a group of components produced on a disk that slides ⁇ the production lot during the production process be, wherein the production control computer 5 writes the strigergeb ⁇ nis in this disk or memory.
  • each manufactured product or article may have its own recordable data medium or memory in which the production control computer 5 writes the respective test result.
  • FIG. 2A shows possible variants of a erfindungsge ⁇ MAESSEN production system with a monitored production control computer 5.
  • configuration data are stored in a memory or a konfiguration ⁇ onsdatei the production control computer 5, the by An external security check unit 6 is verified to determine whether the production control computer 5 is in an integer state during a production control operation in which a production unit 4 is controlled.
  • Fig. 2A configuration data are stored in a memory or a konfiguration ⁇ onsdatei the production control computer 5
  • An external security check unit 6 is verified to determine whether the production control computer 5 is in an integer state during a production control operation in which a production unit 4 is controlled.
  • the trainer undergraduateprü- is flash unit 6 is not in the production control computer 5 are integrated, but also for example via a network with the Pro ⁇ production control computer 5 is connected.
  • the security verification unit 6 is integrated in the production control computer and performs the security check locally by verifying whether the production control computer 5 is in an integer state during the production control process.
  • Fig. 3, 4 show different embodiments of the inventive method for monitoring at least one Pro ⁇ production control computer 5.
  • Fig. 3 shows a variant embodiment, wherein the monitoring takes place after completion of the manufacturing process or the manufacture ⁇ lungsvorganges.
  • the production process is started by the production control computer 5.
  • step S3-1 of production- control operation is carried out by the production control computer 5 emits a o- the plurality of control commands for the production unit 4, and optionally emp ⁇ intercepts sensor signals from the production unit 4, and evaluates them.
  • control computer configuration information or configuration data are determined by the security verification unit 6 in the exemplary embodiment illustrated in FIG. 3 in a step S3-3.
  • an analysis or a Auswer ⁇ processing the determined control computer configuration data, for example by comparison with reference configuration data.
  • step S3-5 checking unit 6 is determined by the security whether a deviation Zvi ⁇ rule the determined control computer configuration data and the reference configuration data or not.
  • S3-6 the products or articles produced during the production control procedure are marked as "board", for example, in a single step. This can mare ⁇ hen, for example, by a production server 11 will be notified accordingly, wherein the production server 11 egg ⁇ may form NEN part of a production management system.
  • Al ⁇ ternatively can be done the label of the potentially faulty products by the negative test result is written in a disk that accompanied the products produced during the production process is found in step S3-5 vice versa no deviation between the Configu. ⁇ tion data of the production control computer 5 and the reference configuration data found are in a
  • Step S3-7 marked the products manufactured in the production process or manufacturing process as error-free, for example by reporting this to the production server 11 or writes a corresponding message to the corresponding data medium.
  • the process ends in step S3-8.
  • Fig. 4 shows a flow diagram of an alternative variant of the inventive method for monitoring a production control computer 5.
  • a Si ⁇ cherheitsüber phenomenon occurs during the execution of the production process.
  • the production control computer 5 starts the production control process.
  • step S4-1 to carry out the Steuerauf ⁇ pick up with production control computer 5 is performed by these examples play control commands to the production unit 4 outputs.
  • step S4-2 a determination of control computer configuration data by the security check unit 6 takes place.
  • step S4-3 the determined control computer configuration data is analyzed by the security checking unit 6 and evaluated, and this is done at ⁇ example by comparison with reference configuration data to which the security verification unit 6 has access.
  • step S4-4 the security verification unit 6 checks whether there is a deviation between the reference configuration data and the determined control computer configuration data. If this is the case, for example, in step S4-5 a cancellation of the control task by the security check unit 6 can be initiated and the production process is stopped. In a further step S4-6 then the previously produced production batch or the previously produced and manufactured products can be marked as defective. Conversely, if the check in step S4-4 shows that no deviation between the reference renz configuration data and the determined control computer configuration data of the production control computer 5 have occurred during the production process, it is checked in step S4-7 whether the production control process, the respective production batch is completed or not.
  • step S4-1 If the per ⁇ dutechnischsvorgang for the production batch in which a lot ⁇ number of products or objects can be produced, not completed, the process returns to step S4-1 and the production control computer 5 is the next control command for the production- Control process to the manufacturing unit 4 from. If the production control process for the production batch is completed, in a step S4-8 the produced or manufactured articles or products are marked as free of defects. The process ends in step S4-9.
  • An advantage of the procedure illustrated in FIG. 4 is that a production process for producing a production batch at the first occurring deviation can be aborted in step S4-5, so that not more defective and possibly defective products are not integrated into one State production control computer can be produced. This can avoid a waste of resources.
  • Further variants of the method according to the invention for monitoring a production control computer 5 are possible.
  • the monitoring or safety check can be carried out before, during or after the production process for the production of the products.
  • the security check does not have to take place directly by evaluating configuration data of the production control computer 5, but can also be done indirectly by observing a communication behavior of the production control computer 5.
  • Fig. 5 shows another embodiment of a production system 1 ⁇ tion with a monitored production control computer 5.
  • the safety ⁇ check is carried out indirectly by observing a communication Behavior of the production control computer 5.
  • the production ⁇ system 1 in the embodiment of Fig. 5 has Minim ⁇ least a signal branching unit 14, detects the input and / or from ⁇ reproduction signals of the production control computer 5 without feedback and identically implemented to a second Production control computer 5 'transmits.
  • the signal branching unit 14 is located between the production control computer 5 and a production unit 4 controlled by the production control computer 5.
  • the branched input and / or output signals may be control signals and Act sensor signals.
  • the identical implemented second production control computer 5 'thus receives the same input or output signals like the watched over ⁇ production control computer 5.
  • Fig. 6 shows a specific embodiment of the OF INVENTION ⁇ to the invention system with a monitored production- control computer 5.
  • the production control computer 5 a CPU 5A, a program memory 5B, in particular a hard disk or read-only memory, a working memory 5C and one
  • the input / output unit 5D of the production control computer 5 is connected at ⁇ example via a local bus with a manufacturing unit 4, which has actuators A and sensors S. Furthermore, the input / output unit 5D of the production- control computer 5 a communication interface, wherein ⁇ game as a serial interface with a network, which may be connected to the case shown in Fig. 1 Industrial network 3.
  • the signal branching unit 14 detects on and / or
  • Output signals of the production control computer 5 reaction ⁇ freely, for example by means of a transparent detection unit TCU (transparent capturing unit), by picking up on the local bus 2 between the input / output unit 5D and the controlled manufacturing unit 4 signals or exchanged.
  • the tapped signals can be buffered by the transparent detection unit 14A in a local buffer 14B of the branch unit 14.
  • From a communication unit 14C of the integrated Abzweigein- optionally intermediately ⁇ cherten branched signals are then transmitted to an input / output unit 5D 'of the monitoring production control computer 5' transmitted.
  • the monitoring production control computer 5 ' can be constructed physically and identically to the production control computer 5. As shown in FIG.
  • the second production control computer 5 ' also has a CPU 5 ⁇ ', a program memory 5B ', a main memory 5C on.
  • configuration data of the monitored production control computer 5 can be copied, for example via a sepa ⁇ rate interface.
  • the monitoring production control computer 5 ' is effectively a duplicated production control computer, which is supplied with the same input signals as the monitored production control computer 5 and generates the same output signals or control signals.
  • the duplicated production control computer 5 ' is monitored by the security check unit 6 for its integrity status.
  • the Si ⁇ cherheitsübertechniktechnik 6 checks whether or not the duplicated or monitoring production control computer is 5 'non-manipulated during the production process.
  • the security check unit 6 receives a reference data memory 6A for storing reference data and a comparison unit and test unit 6B that the ge Boulevard ⁇ th reference data with the configuration data of the production- control computer 5 'compares. These configuration data can be read from the memories 5B ', 5C of the monitoring production control computer 5'.
  • the signal monitoring unit 6, if the Pro ⁇ dutechnischs Kunststoffvorgang performed by the monitored production- control computer 5 in a state of integrity is the WOR or not.
  • the duplicated or monitored production control computer 5 ' can be implemented in hardware as shown in FIG. 6 and constructed physically identically to the monitored production control computer 5.
  • the monitoring production control computer 5 ' may be a virtual control computer, that is to say a
  • Control computer that runs as a virtual machine on a hypervisor, for example on a PC or a server.
  • An error handling may include, for example, issuing an alarm signal.
  • the security checking unit 6 can issue a fault notification to a production management system.
  • the security verification unit 6 can initiate the writing of a fault message in one or more data carriers accompanying the manufactured products.
  • the products produced can each be provided individually or as a group with a memory module or an RFID chip.
  • the batch of the product concerned may be suitable terbehandelt wei ⁇ , for example, as a committee, or it can make additional checks to quality assurance.
  • the production process can also be discontinued directly or a change in a fail-safe state, eg by generation of an emergency off signal.
  • the monitoring production control computer 5 'receives input signals, apart from a signal delay, at the same time as the monitored production control computer or synchronously with the monitored production control computer.
  • the second production control computer 5 receives the input or output signals asynchronously. Since the second moni ⁇ toring production control computer 5 'is the same constraints as the first to be monitored production control computer 5 is set off, can be Runaway ⁇ leads to him without interfering or influencing the production process security checks, such as a virus scanner, a security monitoring of critical Memory areas as well as monitoring whether the operating system files of the monitoring production control computer 5 'are modified.
  • security checks such as a virus scanner, a security monitoring of critical Memory areas as well as monitoring whether the operating system files of the monitoring production control computer 5 'are modified.
  • the first production control computer 5 is applied twice with the same input signals, once carried out in real operation and the other Time in a simulated operation without real production. If a critical state is detected during the security check, then in one possible embodiment the production control computer 5 or the production process is transferred or run in a safe operating mode so that no risk occurs in the real production system.
  • the data image for the second production control computer 5 'or the configuration data are preferably identical to the data image for the first production control computer.
  • the data image or the withdrawn configuration data can be modified by additionally installing the data image of a virus scanner, a personal firewall or an intrusion detection system. It is possible that even within the runtime environment of the second production control computer, a security problem can be detected. Furthermore, it is possible that one or more Si ⁇ cherheitspatches example image operating system updates are in- stalled on the second production control computer 5 '. In a further variant two Da ⁇ tenimages or configuration data copies a second and optionally a third computer in addition to the detected signals is applied to be generated.
  • a data image can be identical for ⁇ game as to the production of the first control computer and the other data image as described above can be modified.
  • operating system updates or application patches can be installed in the second virtual production control computer to thereby formality the influence of new patches or updates on the general functionalities in rea ⁇ len production plant parallel to the first computer of the to observe the first production control computer 5. After a defined test time, the updates or patches can then be made in a maintenance or maintenance phase on the first production control computer 5.
  • the platform has given hardware-based security means, for example TPM, the s mecanicszeittician an initialization, for example, when you boot the first Pro ⁇ production control computer 5 for possible amendments ⁇ conclusions investigated and the result transmitted as an Integrity Check Value ICV to the second production control computer.
  • the second production control computer 5 can then also compare the test result ICV with a last stored ICV test result and, in the event of deviations, bring the first production control computer 5 into a safe state. In one possible variant, this check using Integrity Check Values ICV can also be repeated during operation.
  • Fig. 7 is a diagram for explaining the operation of the inventive method for monitoring at least one production-control computer 5.
  • three production processes oradosvor ⁇ transitions are performed.
  • test results are determined by the safety checking unit 6.
  • These security check results are assigned to a production step.
  • a time window is determined at which the production control operations are performed.
  • a modified time window can also be determined, for example by taking into account by a period of time before and after the production process is carried out, for example one minute, one hour or one day. It can then be examined, whether present in the produced for a producti ⁇ onshim or a production lot in the used time window, a negative test result.
  • the products produced or the entire production batch can be marked as defective or potentially defective.
  • a start time and an end time can be determined or determined.
  • the test interval for ⁇ sen production control process extends into this game examples to a relevant for the production task time ⁇ space.
  • a real-time, real-time critical production control computer 5 can be subjected to two security analyzes with the aid of a virtual double, without disturbing the operative operation of the production control computer 5.
  • the inventive device or the inventive system for monitoring the integrity of a production control computer 5 is suitable for any production or production of objects or products.
  • the products may be material objects but also to intangible Jacobstän ⁇ en, such as files or the like.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Factory Administration (AREA)

Abstract

The invention relates to a system for the secure production of products having at least one production control computer (5) which carries out a production control process for producing products, wherein a security examination takes place by security examination unit (6) for the production control process which verifies whether the production control computer is in a state of integrity.

Description

Beschreibung description
Verfahren und Vorrichtung zum Überwachen eines Produktion- Steuerrechners Method and device for monitoring a production control computer
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung mindestens eines Produktion-Steuerrechners zur Herstellung von Produkten. Produktion-Steuerrechner können zur Durchführung von Produktion-Steuervorgängen eingesetzt werden, bei denen beliebige Produkte bzw. Gegenstände industriell gefertigt werden. Ein Produktion-Steuerrechner kann beispielsweise eine Fertigungs¬ einheit steuern, die über Aktoren und Sensoren verfügt. Dabei gibt der Produktion-Steuerrechner Steuersignale an die Fertigungseinheit ab, welche die Aktoren der Fertigungseinheit steuern und empfängt von der Fertigungseinheit Mess- bzw. Sensorsignale von den Sensoren der Fertigungseinheit. Der Produktion-Steuerrechner ist dabei über ein Netzwerk mit der Fertigungseinheit verbunden und führt zeitnah oder in Echt¬ zeit einen Produktion-Steuervorgang zur Herstellung von Produkten bzw. Gegenständen durch. Bei den Gegenständen bzw. Produkten kann es sich um beliebige Produkte handeln, beispielsweise mechanische Gegenstände, wie Bauteile, oder che- mische Produkte, wie beispielsweise Tabletten, pulverförmige oder flüssige Produkte. The invention relates to a method and a device for monitoring at least one production control computer for the production of products. Production control computers can be used to carry out production control operations in which any products are industrially manufactured. A production control computer can control, for example, a manufacturing ¬ unit, which has actuators and sensors. In this case, the production control computer outputs control signals to the production unit which control the actuators of the production unit and receives measuring or sensor signals from the sensors of the production unit from the production unit. The production control computer is connected via a network with the production unit and performs promptly or in real time ¬ a production control process for the production of products or objects. The articles or products may be any products, for example mechanical articles, such as components, or chemical products, such as tablets, powdered or liquid products.
Tritt in einem Steuerprogramm des Produktion-Steuerrechners ein Fehler auf, führt dies zu einem fehlerhaften Produktion- Steuervorgang und schließlich zu fehlerhaft hergestelltenIf an error occurs in a control program of the production control computer, this leads to a faulty production control process and finally to incorrectly produced
Produkten. Darüber hinaus kann ein fehlerhafter Produktion- Steuervorgang auch die Sicherheit von Mitarbeitern des Herstellers und vor allem auch von Abnehmern der Produkte gefährden. Beispielsweise kann ein fehlerhafter Produktion- Steuervorgang dazu führen, dass Aktoren der Fertigungseinheit im Bereich der Fertigungseinheit befindlichen Arbeiter gefährden. Weiterhin kann ein fehlerhafter Produktion- Steuervorgang zu Fehlern bei den Produkten führen, die bei dem Abnehmer des Produktes einen Schaden verursacht. Besteht beispielsweise der Produktionsvorgang in der Herstellung von Medikamenten bzw. Tabletten, kann ein fehlerhafter Produktion-Steuervorgang zu einer fehlerhaften Dosierung von Substan- zen innerhalb des Produktes führen, der beim Endabnehmer, der das Medikament einnimmt, zu Gesundheitsschäden führen kann. Products. In addition, a faulty production control process can also endanger the safety of employees of the manufacturer and above all of customers of the products. For example, a faulty production control process can cause actuators of the production unit to endanger workers in the area of the production unit. Furthermore, a faulty production control process can lead to errors in the products that causes damage to the purchaser of the product. If, for example, the production process involves the production of medicaments or tablets, a faulty production control process can lead to an erroneous dosage of substances within the product, which can lead to health problems for the end user who uses the medicament.
Ein Fehler bei der Steuerung des Produktion-Steuervorgangs durch den Produktion-Steuerrechner kann aufgrund einer feh- lerhaften Konfigurationseinstellung des Produktion- Steuerrechners entstehen, wobei ein derartiger Konfigurati¬ onsfehler sowohl unabsichtlich hervorgerufen werden kann oder auch infolge eines Angriffs durch einen böswilligen Dritten. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang durch eine beabsichtigte oder nicht beabsichtigte Beeinflus¬ sung der Kommunikation des Produktion-Steuerrechners mit der von ihm gesteuerten Fertigungseinheit entstehen. Beim Auftreten von Fehlern kann man für das Steuerprogramm des Produktion-Steuerrechners, sofern diese Fehler bemerkt werden, soge- nannte Sicherheitspatches zur Behebung der Programmfehler einspielen. Allerdings bleiben fehlerhafte Produktionsvorgänge unter Umständen für eine längere Zeit unbemerkt, so dass die fehlerhaften Produkte bis zu dem Kunden gelangen und dort Schäden hervorrufen können. Gegenüber Angriffen durch Dritte besteht bisher nur die Möglichkeit, einen Produktion- Steuerrechner in einem geschlossenen abgeschotteten Netzwerk zu betreiben. Allerdings müssen auch derart abgeschottete Netzwerke gewartet werden, wobei Wartungsgeräte bzw. War¬ tungsrechner an das Netzwerk angeschlossen werden, die unter Umständen eine schadhafte Software bzw. einen Virus oder der¬ gleichen aufweisen. An error in the control of the production control process by the production control computer may arise due to an erroneous configuration setting of the production control computer, wherein such a configurati ¬ onsfehler can be caused either unintentionally or due to an attack by a malicious third party. Furthermore, a faulty production control operation may be caused by an intended or unintended Beeinflus ¬ solution of the communication of the production control computer, with the manufacturing unit controlled by it. If errors occur, the so-called safety patches for the control program of the production control computer, if these errors are noticed, can be used to correct the program errors. However, erroneous production processes may go unnoticed for a long time, so that the defective products can reach the customer and cause damage there. As far as attacks by third parties are concerned, it is only possible to operate a production control computer in a closed, isolated network. However, such insular networks need to be maintained, said maintenance devices or War ¬ performance computers are connected to the network, which may comprise a malicious software or a virus or the ¬ same.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Überwachen eines Produkti- on-Steuerrechners zu schaffen, bei der die Sicherheit gegen¬ über fehlerhaften Produktion-Steuervorgängen erhöht wird. Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst. It is therefore an object of the present invention to provide a method and a device for monitoring a production control computer, in which the security against ¬ over faulty production control operations is increased. This object is achieved by a method having the features specified in claim 1.
Die Erfindung schafft ein Verfahren zum Überwachen mindestens eines Produktion-Steuerrechners, The invention provides a method for monitoring at least one production control computer,
wobei zu einem durch den Produktion-Steuerrechner durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befin¬ det . wherein a process performed by the production control computer production control process for the preparation of products at least one security check is performed which verifies whether the production control computer during the production control process in a integrity state befin ¬ det.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion- Steuerrechners . In one possible embodiment of the method according to the invention, the security check is carried out directly by evaluating configuration data of the production control computer.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion- Steuerrechners . In an alternative embodiment of the method according to the invention, the security check takes place indirectly by observing a communication behavior of the production control computer.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Si- cherheitsüberprüfungseinheit , die in dem Produktion- Steuerrechner enthalten bzw. darin integriert ist. In one possible embodiment of the method according to the invention, the security check is carried out by a security checking unit which is contained in the production control computer or integrated therein.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Si- cherheitsüberprüfungseinheit , die mit dem Produktion- Steuerrechner, beispielsweise über ein Netzwerk, verbunden ist . In an alternative embodiment of the method according to the invention, the security check is performed by a security check unit, which is connected to the production control computer, for example via a network.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das Kommunikationsverhalten des Produktion- Steuerrechners anhand von Eingabesignalen an den Produktion- Steuerrechner und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner abgegeben werden, beobachtet und anschließend durch die Sicherheitsüberprüfungseinheit ausge¬ wertet . In one possible embodiment of the method according to the invention, the communication behavior of the production control computer is monitored on the basis of input signals to the production control computer and / or on the basis of output signals which are output by the production control computer subsequently by the security verification unit ¬ enhanced.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Eingabe- und/oder Ausgabesignale des Produktion-Steuerrechners rückwirkungsfrei erfasst und an ei¬ nen zweiten identisch implementierten Produktion- Steuerrechner übertragen, wobei die Sicherheitsüberprüfungs¬ einheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners o- der indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt. In one possible embodiment of the method according to the invention, the input and / or output signals of the production control computer are detected without feedback and transmitted to ei ¬ NEN second identically implemented production control computer, the security check ¬ unit the security check directly by evaluating configuration data of the second production Control computer o- indirectly performed by observing a communication behavior of the second production control computer.
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion- Steuerrechner die erfassten Ein- und/oder Ausgabesignale der überwachten Produktion-Steuerrechners synchron mit einer Sig- nal1aufzeitVerzögerung . In one embodiment of the inventive method, the second identically implemented production control computer receives the detected input and / or output signals of the monitored production control computer synchronously with a signal delay time.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Pro¬ duktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale des überwachten Produktion-Steuerrechners asynchron, beispielsweise nach Abschluss des Produktion-Steuervorganges. In an alternative embodiment of the inventive method, the second identical implemented Pro ¬ production control computer receives the detected input and / or output signals of the monitored production control computer asynchronously, for example, after completion of the production control process.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners aufgezeichnet, beispielsweise auf einem Datenträger. In one possible embodiment of the method according to the invention, the detected input and / or output signals of the production control computer are recorded, for example on a data medium.
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut. In one embodiment of the method according to the invention, the second production control computer is constructed physically identical to the monitored production control computer.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner virtuell identisch zu dem Produktion-Steuerrechner auf einem Server oder Rechner implementiert. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine direkte Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit, indem diese auf Referenz¬ daten zugreift, um zu verifizieren, ob sich der Produktion- Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. In an alternative embodiment of the method according to the invention, the second production control computer is virtually identical to the production control computer implemented on a server or computer. In a possible embodiment of the inventive method a direct security check by the security verification unit is carried out by these accesses reference ¬ data to verify whether the production- control computer is in an integrity configuration state during the production control process.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens vergleicht die Sicherheitsüberprüfungseinheit die Konfigurationsdaten des Produktion-Steuerrechners und/oder des zweiten Produktion-Steuerrechners mit den Referenzdaten, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfi¬ gurationszustand befindet. In a possible embodiment of the inventive method the security check unit compares the configuration data of the production control computer, and / or the second production-control computer with the reference data to verify whether the production control computer is during the production control process in a integrity confi ¬ gurationszustand ,
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten des Produktion- Steuerrechners in den zweiten Produktion-Steuerrechner vor der Sicherheitsüberprüfung kopiert. In one possible embodiment of the method according to the invention, the configuration data of the production control computer are copied into the second production control computer before the security check.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens geben die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion- Steuerrechner implementierten Softwarekomponente an. In one possible embodiment of the method according to the invention, the configuration data indicate a configuration state of at least one software component implemented in the production control computer.
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten duroh berechnete Prüf¬ summen der jeweiligen Softwarekomponenten gebildet . In a further embodiment of the inventive method, the configuration data are calculated duroh test ¬ sums of the respective software components formed.
Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet. In a further embodiment of the method according to the invention, the configuration data are formed by version numbers of the respective software components.
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Konfigurationseinstel- lungen in mindestens einer Konfigurationsdatei des Produkti- onssteuerrechners gebildet. Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine Fehlerbehandlung, falls die Sicherheitsüberprü¬ fung ergibt, dass der Produktion-Steuerrechner nicht in einem integeren Konfigurationszustand während des Produktion- Steuervorganges ist. In one embodiment of the method according to the invention, the configuration data are formed by configuration settings in at least one configuration file of the production control computer. In one embodiment of the method according to the invention, an error treatment, if the Sicherheitüberprü ¬ tion shows that the production control computer is not in an integer configuration state during the production control process takes place.
Diese Fehlerbehandlung umfasst bei einer möglichen Ausführungsform das Abgeben einer Alarmmeldung. In one possible embodiment, this error handling includes the issuing of an alarm message.
Bei einer weiteren Ausführungsform umfasst die Fehlerbehand lung das Anhalten des Herstellungsprozesses zur Herstellung der Produkte durch die Fertigungseinheit. In another embodiment, the fault handling includes halting the manufacturing process for manufacturing the products by the manufacturing unit.
Bei einer weiteren Ausführungsform des erfindungsgemäßen Ver fahrens umfasst die Fehlerbehandlung eine Steigerung der Qua litätsprüfung bei den durch den Herstellungsprozess herge¬ stellten Produkten. In another embodiment of the proceedings according to the invention, the error handling includes an increase in Qua formality examination at the Herge by the manufacturing process ¬ products presented.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens umfasst die Fehlerbehandlung das Senden einer Fehlerbenachrichtigung an ein Produktionsmanagementsys- tem. In another possible embodiment of the method according to the invention, the error handling comprises sending an error notification to a production management system.
Bei einer weiteren möglichen Ausführungsform des erfindungs gemäßen Verfahrens umfasst die Fehlerbehandlung das Einschreiben einer Fehlernachricht in einen oder in mehrere Da tenträger, die die hergestellten Produkte begleiten. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung vor dem Herstellungsprozess zur Herstellung der Produkte. In a further possible embodiment of the inventive method, the error handling comprises writing an error message in one or more data carriers which accompany the manufactured products. In one possible embodiment of the method according to the invention, the security check takes place before the production process for the production of the products.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung während des Herstellungsprozesses zur Herstellung der Produkte. Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung nach dem Herstel- lungsprozess zur Herstellung der Produkte. Die Erfindung schafft ferner ein System zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner, der einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungsein- heit erfolgt, welche verifiziert, ob sich der Produktion- Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet. In an alternative embodiment of the method according to the invention, the security check takes place during the production process for the production of the products. In a further embodiment of the method according to the invention, the security check takes place after the production process for the production of the products. The invention further provides a system for producing products having at least one production control computer which carries out a production control process for the manufacture of products, wherein for the production control process a security check is performed by a security check unit which verifies whether the production - Control computer is in an integer state during the production control process.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicher¬ heitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners durch. In one possible embodiment of the system according to the invention the security check unit performs the Secure ¬ standardized testing directly by evaluating configuration data of the production control computer.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicher¬ heitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners durch. In an alternative embodiment of the system the security check unit performs the Safe ¬ standardize on test indirectly by observing a communication behavior of the production control computer.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems erfasst eine Signalabzweigeinheit Ein- und/oder Aus¬ gabesignal des überwachten Produktion-Steuerrechners rückwir¬ kungsfrei und überträgt diese abgezweigten Ein- und/oder Aus¬ gabesignale an einen zweiten identisch implementierten Produktion-Steuerrechner, wobei die Sicherheitsüberprüfungsein- heit die Sicherheitsüberprüfung direkt durch Auswerten vonIn one possible embodiment of the system according to the invention, a signal branching unit recorded on and / or off ¬ reproduction signal of the monitored production control computer retroactive ¬ kung free and transmits these branched input and / or from ¬ display signals to a second identical deployed production control computer, wherein the Sicherheitsüberprüfungsein - is the security check directly by evaluating
Konfigurationsdaten des zweiten Produktion-Steuerrechners o- der indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt. Bei einer möglichen Ausführungsform des erfindungsgemäßenConfiguration data of the second production control computer o- indirectly carried out by observing a communication behavior of the second production control computer. In a possible embodiment of the invention
Systems ist der zweite Produktion-Steuerrechners physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut . Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechner virtuell i- dentisch zu dem überwachten Produktion-Steuerrechner auf einem Server oder Rechner implementiert. Systems, the second production control computer is physically constructed identical to the monitored production control computer. In an alternative embodiment of the system according to the invention, the second production control computer is implemented virtually identically to the monitored production control computer on a server or computer.
Die Erfindung schafft ferner eine Sicherheitsüberprüfungsein heit zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner, welcher einen Produktion- Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion- Steuerrechner während des Produktionsvorganges in einem inte geren Zustand befindet. The invention further provides a security check unit for executing a security check on a production control computer which performs a production control operation for manufacturing products, the security check unit for executing the security check verifying whether the production control computer is in an inte during the production process State is.
Bei einer Ausführungsform der erfindungsgemäßen Sicherheits- Überprüfungseinheit erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des überwachten Pro- duktion-Steuerrechners . In one embodiment of the security checking unit according to the invention, the security check is carried out directly by evaluating configuration data of the monitored production control computer.
Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüber¬ prüfung indirekt durch Beobachten eines Kommunikationsverhal¬ tens des überwachten Produktion-Steuerrechners. In an alternative embodiment, the security check unit of the invention the security ¬ test is carried out indirectly by observing a Kommunikationsverhal ¬ least the monitored production control computer.
Bei einer Ausführungsform der erfindungsgemäßen Sicherheits- Überprüfungseinheit ist diese in dem Produktion-Steuerrechner enthalten bzw. darin integriert Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist die Sicherheitsüberprü- fungseinheit mit dem Produktion-Steuerrechner über ein Netzwerk verbunden. Die Erfindung schafft ferner einen Produktion-Steuerrechner, der eine Sicherheitsüberprüfungseinheit enthält, welche eine Sicherheitsüberprüfung bei dem Produktion-Steuerrechner durchführt, wobei die Sicherheitsüberprüfungseinheit zur Aus- führung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während eines Produktion- Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet. In an embodiment of the security checking unit according to the invention, this is contained in the production control computer or integrated therein. In an alternative embodiment of the security checking unit according to the invention, the security checking unit is connected to the production control computer via a network. The invention further provides a production control computer that includes a security verification unit that performs a security check on the production control computer, wherein the security verification unit is configured to perform a security check. The security check verifies whether the production control computer is in an integer state during a production control process, in particular in an integer configuration state.
Die Erfindung schafft ferner einen Überwachungs-Produktion- Steuerrechner, wobei dem Überwachungs-Produktion- Steuerrechner die Ein- und/oder Ausgabesignale oder die Konfigurationsdaten eines überwachten Produktion-Steuerrechners zugeführt werden und wobei der Überwachungs-Produktion- Steuerrechner identisch zu dem überwachten Produktion- Steuerrechner aufgebaut ist, The invention further provides a monitoring production control computer, wherein the monitoring production control computer, the input and / or output signals or the configuration data of a monitored production control computer are supplied and wherein the monitoring production control computer identical to the monitored production control computer is constructed,
wobei eine mit dem Überwachungs-Produktion-Steuerrechner verbundene Sicherheitsüberprüfungseinheit überprüft, ob sich der Überwachungs-Produktion-Steuerrechner während eines Produktion-Steuervorganges des überwachten Produktion-Steuerrechners in einem integeren Zustand befindet. wherein a security check unit connected to the monitor production control computer checks whether the monitor production control computer is in an integer state during a production control operation of the monitored production control computer.
Im Weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Überwachen eines Produktion-Steuerrechners unter Bezugnahme auf die bei¬ gefügten Figuren erläutert. In further embodiments of the inventive method and the inventive system for monitoring a production control computer with reference to the figures illustrated at ¬ be joined.
Es zeigen: Show it:
Fig. 1 ein Blockschaltbild eines möglichen Ausführungs¬ beispiels eines erfindungsgemäßen Systems mit ei¬ nem überwachten Produktion-Steuerrechner gemäß der Erfindung; 1 is a block diagram of a possible embodiment ¬ example of a system according to the invention with egg ¬ nem monitored production control computer according to the invention;
Fig. 2A, 2B Diagramme zur Darstellung möglicher Ausführungsbeispiele eines erfindungsgemäßen Systems mit ei¬ nem überwachten Produktion-Steuerrechner; 2A, 2B are diagrams illustrating possible embodiments of a system according to the invention with egg ¬ nem monitored production control computer.
Fig. 3 ein Ablaufdiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners; ein weiteres Ablaufdiagramm zur Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners; Fig. 5 ein Blockschaltbild zur Darstellung eines weite¬ ren möglichen Ausführungsbeispiels eines erfin¬ dungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner; Fig. 6 ein weiteres Blockschaltbild zur Darstellung ei¬ ner möglichen Ausführungsform eines erfindungsgemäßen Systems mit einem überwachten Produktion- Steuerrechner ; Fig. 7 ein Diagramm zur Darstellung einer möglichen Ausführungsvariante des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner. 3 shows a flow chart for illustrating an embodiment of the method according to the invention for monitoring a production control computer; a further flow chart for illustrating an embodiment of the method according to the invention for monitoring a production control computer; Figure 5 is a block diagram illustrating a wide ¬ ren possible embodiment of the system according OF INVENTION ¬ dung with a monitored production control computer. Figure 6 is a further block diagram illustrating ei ¬ ner possible embodiment of a system according to the invention with a monitored production- control computer. Fig. 7 is a diagram illustrating a possible embodiment of the system according to the invention with a monitored production control computer.
Fig. 1 zeigt ein Beispiel für ein System 1, das einen über- wachten Produktion-Steuerrechner 5 gemäß der Erfindung enthält. Das in Fig. 1 dargestellte Produktionssystem 1 enthält zwei Fertigungszellen FZ1, FZ2 zur Herstellung von Geräten bzw. Produkten oder Zwischenprodukten. Bei dem dargestellten Beispiel für ein Produktionssystem 1 weist jede der beiden Fertigungszellen FZ1, FZ2 einen lokalen Bus auf, an den mehrere Einheiten angeschlossen sind. Die Fertigungszelle FZ1 weist einen lokalen Bus 2-1 auf, der mit einem industriellen Netzwerk 3 verbunden ist, an welchen verschiedene Fertigungs¬ zellen FZ angeschlossen sind. Bei dem in Fig. 1 dargestellten Beispiel sind an dem lokalen Bus 2-1 der Fertigungszelle FZ1 ein Roboterarm 4, ein Produktion-Steuerrechner bzw. ein Produktion-Steuerrechnermodul 5 zur Ansteuerung des Roboterarms 4 sowie eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Integrität des Produktion-Steuermoduls 5 während des Produktion-Steuervorganges bzw. während der Ansteuerung des Roboterarms 4 überwacht, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion- Steuervorgangs in einem integeren Zustand befindet. Die zwei- te Fertigungszelle FZ2 weist bei dem in Fig. 1 dargestellten Beispiel einen Schweißautomat 6 als Fertigungseinheit auf, die über einen lokalen Bus 2-2 mit einem Steuerrechner 7 verbunden ist. Bei dem in Fig. 1 dargestellten Beispiel weist die zweite Fertigungszelle FZ2 keine Sicherheitsüberprüfungs- einheit auf. Das Industrienetzwerk 3 ist über einen Firewall 8 mit einem weiteren Netzwerk, beispielsweise einem Büronetzwerk 9, verbunden, an dem ebenfalls ein Rechner 10 angeschlossen ist. Weiterhin ist in dem dargestellten Beispiel ein Produktionsserver 11 vorgesehen, der ein Teil eines Produktionsmanagementsystems sein kann. Dieser Produktionsserver 11 ist mit dem Industrienetzwerk 3 verbunden. Weiterhin weist das Industrienetzwerk 3 bei dem dargestellten Beispiel einen WLAN Accesspoint 12 auf, der über eine drahtlose Schnittstel- le mit einem Wartungsrechner bzw. einem Wartungsgerät 13 kommuniziert . FIG. 1 shows an example of a system 1 which contains a monitored production control computer 5 according to the invention. The production system 1 shown in FIG. 1 contains two production cells FZ1, FZ2 for the production of devices or products or intermediates. In the illustrated example of a production system 1, each of the two manufacturing cells FZ1, FZ2 has a local bus to which a plurality of units are connected. The production cell FZ1 has a local bus 2-1 which is connected to an industrial network 3, to which various manufacturing ¬ cells FZ are connected. In the example shown in FIG. 1, a robot arm 4, a production control computer or a production control computer module 5 for controlling the robot arm 4 and a security checking unit 6 are connected to the local bus 2-1 of the production cell FZ1, which shows the integrity of the production Control module 5 during the production control process or during the control of the robot arm 4 monitors by verifying whether the production control computer 5 is in an integer state during the production control process. The two- te manufacturing cell FZ2 has in the example shown in FIG. 1, a welding machine 6 as a production unit, which is connected via a local bus 2-2 with a control computer 7. In the example shown in FIG. 1, the second manufacturing cell FZ2 has no safety checking unit. The industrial network 3 is connected via a firewall 8 with another network, such as an office network 9, to which also a computer 10 is connected. Furthermore, in the illustrated example, a production server 11 is provided, which may be part of a production management system. This production server 11 is connected to the industrial network 3. Furthermore, in the illustrated example, the industrial network 3 has a WLAN access point 12, which communicates with a maintenance computer or a maintenance device 13 via a wireless interface.
Der Produktion-Steuerrechner 5 steuert den Produktionsvorgang der Fertigungseinheit 4 innerhalb der Fertigungszelle FZ1. Während dieses Produktion-Steuervorganges über den lokalenThe production control computer 5 controls the production process of the production unit 4 within the manufacturing cell FZ1. During this production control process over the local
Bus 2-1 der Fertigungszelle 1 erfolgt durch die Sicherheits¬ überprüfungseinheit 6, die ebenfalls an dem lokalen Bus 2-1 angeschlossen ist, eine Sicherheitsüberprüfung, ob sich der Produktion-Steuerrechner 5 während des Produktion- Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet. Die Sicher¬ heitsüberprüfungseinheit 6 verifiziert, ob sich der Produkti¬ on-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet, wobei dies direkt oder in- direkt erfolgen kann. Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit 6 durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktion- Steuervorganges. Die Konfigurationsdaten umfassen Konfigura- tionsparameter, z.B. eine konfigurierbaren Temperaturschwellwert, eine Solldrehzahl eines am Ende des Roboterarms 4 be¬ festigten Werkzeugs wie ein Fräskopf (nicht dargestellt) oder eine Trajektorie, entlang der der Roboterarm 4 unter Kontrol- le des Produktion-Steuerrechners 5 geführt wird. Sie können weiterhin Betriebssoftware und/oder Steueranweisungen des Produktion-Steuerrechners 5 umfassen. Bei einer alternativen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberführungseinheit 6 indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5, beispielsweise durch Beobachtung der Signale auf dem loka¬ len Steuerbus 2-1. Bei dem in Fig. 1 dargestellten Ausführungsbeispiel ist die Sicherheitsüberprüfungseinheit 6 mit dem Produktion-Steuerrechner 5 über einen lokalen Bus 2-1 bzw. über ein Netzwerk verbunden. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch innerhalb des Produktion-Steuerrechners 5 befinden bzw. darin integriert sein. Bus 2-1 of the manufacturing cell 1 is carried out by the safety ¬ checking unit 6, which is also connected to the local bus 2-1, a security check, whether the production control computer 5 during the production control process in an integer state, especially in a integer configuration state, is located. The secure ¬ standardized checking unit 6 verifies whether the producti on ¬ control computer 5 is during the production control process in a state of integrity, and this can be done directly or indirectly. In one possible embodiment, the security check is performed by the security verification unit 6 by evaluating configuration data of the production control computer 5 during the production control process. The configuration data comprise configuration parameters tion, for example a configurable temperature threshold, a target rotational speed of a robot arm at the end of 4 ¬ be strengthened tool such as a milling head (not shown) or a trajectory along which the robot arm 4 under controlled le of the production control computer 5 is performed. They may further comprise operating software and / or control instructions of the production control computer 5. In an alternative embodiment, the security check is carried out by the security transfer unit 6 indirectly by observing a communication behavior of the production control computer 5, for example by observing the signals on the loka ¬ len control bus 2-1. In the exemplary embodiment illustrated in FIG. 1, the security checking unit 6 is connected to the production control computer 5 via a local bus 2-1 or via a network. In an alternative embodiment, the security verification unit 6 may also be located within the production control computer 5 or integrated therein.
Bei der in Fig. 1 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 über einen lokalen Bus 2-1 mit dem überwachten Produktion-Steuerrechner 5 und der Fertigungseinheit 4 verbunden. Bei alternativen Ausführungsformen kann sich der Produktion-Steuerrechner 5 an einem anderen Ort innerhalb des Produktionssystems befinden. Bei einer mögli¬ chen Variante ist die Sicherheitsüberprüfungseinheit 6 nicht an den lokalen Bus 2-1 sondern an dem Industrienetzwerk 3 angeschlossen. Bei einer möglichen Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 durch den Firewall 8 ge¬ trennt von dem Industrienetzwerk 3 in dem Büronetzwerk 9 vorgesehen . In the embodiment variant shown in FIG. 1, the security checking unit 6 is connected to the monitored production control computer 5 and the production unit 4 via a local bus 2-1. In alternative embodiments, the production control computer 5 may be located elsewhere in the production system. In a Moegli ¬ chen variant, the security checking unit 6 is not connected to the local bus 2-1 but to the industrial network. 3 In a possible variant embodiment, the security checking unit 6 through the firewall 8 ge ¬ separates from the industrial network 3 in the office network 9 is provided.
Der Produktionssteuervorgang durch den Produktionssteuerrech- ner 5 zur Steuerung des Herstellungsprozesses bzw. Produkti¬ onsprozesses durch eine Fertigungseinheit 4, beispielsweise einen Roboterarm, erfolgt bei einer möglichen Ausführungsform in Echtzeit. Dabei werden Steuersignale an Aktoren der Ferti¬ gungseinheit 4 in Echtzeit zur Steuerung des Produktion- Steuervorganges übertragen und Sensordaten von Sensoren der Fertigungseinheit 4 in Echtzeit an den Produktion- Steuerrechner 5, beispielsweise über einen lokalen Bus, zurückübertragen . Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5. Ist die Sicherheitsüberprüfungsein- heit 6 nicht in dem Produktion-Steuerrechner 5 integriert kann dies beispielsweise dadurch geschehen, dass die Konfigu¬ rationsdaten des Produktion-Steuerrechners 5 zur Sicherheits¬ überprüfungseinheit 6 kopiert werden, welche die kopierten Konfigurationsdaten dann auswertet. The production control operation by the Produktionssteuerrech- ner 5 for controlling the manufacturing process or producti ¬ onsprozesses by a production unit 4, for example a robot arm, takes place at a possible embodiment, in real time. In this case, control signals to actuators of the Ferti ¬ supply unit 4 are transferred control operation in real time for controlling the production- and sensor data from sensors in the production unit 4 in real time to the production- control computer 5, for example via a local bus, transmitted back. In one possible embodiment, the security check by evaluation of the configuration data of the production control computer does not take place 5. If the Sicherheitsüberprüfungsein- standardize 6 in the production control computer 5 is integrated, this can be done, for example, that the Configu ¬ rationsdaten of the production control computer 5 for safety ¬ verification unit 6, which then evaluates the copied configuration data.
Bei einer möglichen Ausführungsform greift die Sicherheitsüberprüfungseinheit 6 aus Referenzdaten zu, um zu verifizie¬ ren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszu- stand befindet. Die Sicherheitsüberprüfungseinheit 6 ver¬ gleicht dabei vorzugsweise die Referenzdaten mit den Konfigu¬ rationsdaten des Produktion-Steuerrechners 5, um zu verifi¬ zieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurations- zustand befindet. Die für den Vergleich notwendigen Referenzdaten können sich beispielsweise in einer Datenbank befinden, auf die die Sicherheitsüberprüfungseinheit 6 Zugriff hat. Die Überprüfung der Konfigurationsdaten durch Vergleich mit den Referenzdaten kann bei einer möglichen Ausführungsform der Sicherheitsüberprüfungseinheit 6 in Echtzeit ausgeführt wer¬ den. Die mit den Referenzdaten verglichenen Konfigurationsdaten können unterschiedliche Daten umfassen, insbesondere Kon¬ figurationsdaten, welche einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner 5 implementier- ten Softwarekomponente angeben. Bei einer derartigen Soft¬ warekomponente kann es sich um eine Applikations- Softwarekomponente aber auch um eine Betriebssystem- Softwarekomponente z.B. eine Treiber-Softwarekomponente han¬ deln. Bei einer weiteren Ausführungsform weisen die Konfigu- rationsdaten eine berechnete Prüfsumme der jeweiligen Soft¬ warekomponente auf. Dabei wird für die jeweilige Softwarekom¬ ponente eine Prüfsumme berechnet und mit Referenzdaten ver¬ glichen, um festzustellen, ob sich der Produktion- Steuerrechner 56 in einem integeren Zustand befindet. Weiterhin können die Konfigurationsdaten Versionsnummern der auf dem Produktion-Steuerrechner 5 implementierten Softwarekomponenten umfassen. Bei einer weiteren Ausführungsform können die Konfigurationsdaten auch Konfigurationseintellungen in mindestens einer Konfigurationsdatei des Produktion- Steuerrechners 5 aufweisen. Bei einer möglichen Ausführungs¬ form erfasst die Sicherheitsüberprüfungseinheit 6 die Konfi¬ guration des Produktion-Steuerrechners 5 indem sie ein Daten- abbild bzw. Image der Konfiguration des Produktion- Steuerrechners 5 abzieht und mit den Referenzdaten ver¬ gleicht. Beispielsweise können über ein Kommandozeilen- Interface Prüfsummen von Betriebssystemen und/oder Anwendungsprogrammdateien sowie von Konfigurationsdateien berech- net werden und das Ergebnis an die Sicherheitsüberprüfungs¬ einheit 6 übertragen werden. Alternativ kann eine Datenkopie der Konfigurationseinstellungen auf die Sicherheitsüberprü- fungseinheit 6 geladen werden, beispielsweise in Form eines Virtual Machine Images. In one possible embodiment, the security checking unit 6 accesses from reference data is to verifizie ¬ ren whether the production control computer 5 was during the production control process in a configuration access integrity. The security check unit 6 ver ¬ resembles preferably the reference data with the Configu ¬ rationsdaten of the production control computer 5 to ¬ grace to verifi whether the production control computer 5 state during the production control process in a Code of configuration is. The reference data necessary for the comparison may, for example, be located in a database to which the security checking unit 6 has access. The verification of the configuration data by comparison with the reference data can be performed in a possible embodiment of the security verification unit 6 in real time ¬ the. The compared with the reference data configuration data may include different data, in particular Kon ¬ figuration data indicating a configuration state of at least one implementier- th in the production control computer 5 software component. With such soft ¬ ware component may be an application software component but also an operating system software component such as a driver software component han ¬ spindles. In a further embodiment, the configuration data, a calculated checksum of the respective soft ware ¬ component. Here, a checksum is calculated for the respective component and Softwarekom ¬ ver ¬ matched with reference data to determine whether the production- Control computer 56 is in an integer state. Furthermore, the configuration data may include version numbers of the software components implemented on the production control computer 5. In a further embodiment, the configuration data can also have configuration entries in at least one configuration file of the production control computer 5. In one possible execution ¬ form the security check unit 6 detects the confi guration ¬ of the production control computer 5 by imaging a data or image of the configuration of the control computer 5 production- and subtracting ver ¬ is similar to the reference data. For example, and the result is transferred to the security check ¬ unit 6 via a command-line interface checksums of operating systems and / or application program files and configuration files calculated net. Alternatively, a data copy of the configuration settings can be loaded onto the security check unit 6, for example in the form of a virtual machine image.
Das Prüfergebnis der Sicherheitsüberprüfung kann bei einer möglichen Ausführungsform von der Sicherheitsüberprüfungseinheit 6 an den überwachten Produktion-Steuerrechner 5 übertragen werden, wobei dieser bei einer möglichen Ausführungsform die empfangenen Prüfergebnisse der hergestellten bzw. produzierten Gegenständen oder Produkten einer Produktionscharge zuordnen kann. Bei einer möglichen Ausführungsform schreibt der Produktion-Steuerrechner 5 das Prüfergebnis in einen Datenträger ein, der die hergestellten Produkte begleitet. Bei- spielsweise kann eine Produktionscharge, etwa eine Gruppe hergestellter Bauteile über einen Datenträger verfügen, der die Produktionscharge während des Produktionsvorganges be¬ gleitet, wobei der Produktion-Steuerrechner 5 das Prüfergeb¬ nis in diesen Datenträger bzw. Speicher einschreibt. Bei ei- ner alternativen Ausführungsform kann jedes hergestellte Produkt bzw. Gegenstand über einen eigenen beschreibbaren Datenträger bzw. Speicher verfügen, in dem der Produktion- Steuerrechner 5 das jeweilige Prüfergebnis einschreibt. Auf diese Weise ist es möglich, nach Abschluss des Produktions¬ vorganges festzustellen, welche Gegenstände bzw. welche Pro¬ duktionschargen während eines fehlerhaften bzw. nicht integeren Zustandes des zugehörigen Produktion-Steuerrechners 5 hergestellt wurden. Diese Gegenstände bzw. Produkte können nach Abschluss des Herstellungsprozesses dann einer zusätzli¬ chen Qualitätssicherungsmaßnahme zugeführt bzw. aussortiert werden . Die Fig. 2A, 2B zeigen mögliche Varianten eines erfindungsge¬ mäßen Produktionssystems mit einem überwachten Produktion- Steuerrechner 5. Bei der in Fig. 2A dargestellten Ausführungsvariante sind in einem Speicher bzw. einer Konfigurati¬ onsdatei des Produktion-Steuerrechners 5 Konfigurationsdaten abgelegt, die durch eine externe Sicherheitsüberprüfungsein- heit 6 verifiziert werden, um festzustellen, ob sich der Produktion-Steuerrechner 5 während eines Produktion- Steuervorganges bei dem eine Fertigungseinheit 4 gesteuert wird, in einem integeren Zustand befindet. Bei der in Fig. 2A dargestellten Ausführungsvariante ist die Sicherheitsüberprü- fungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert, sondern beispielsweise über ein Netzwerk mit dem Pro¬ duktion-Steuerrechner 5 verbunden. Bei der in Fig. 2B dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 in dem Produktion- Steuerrechner integriert und führt lokal die Sicherheitsüberprüfung durch, indem sie verifiziert, ob sich der Produktion- Steuerrechner 5 während des Produktion-Steuervorganges in ei- nem integeren Zustand befindet. In one possible embodiment, the check result of the security check can be transmitted from the security check unit 6 to the monitored production control computer 5, which in one possible embodiment can associate the received check results of the manufactured or produced items or products with a production batch. In one possible embodiment, the production control computer 5 writes the test result into a data medium which accompanies the manufactured products. Examples of play may be a production batch, have about a group of components produced on a disk that slides ¬ the production lot during the production process be, wherein the production control computer 5 writes the Prüfergeb ¬ nis in this disk or memory. In an alternative embodiment, each manufactured product or article may have its own recordable data medium or memory in which the production control computer 5 writes the respective test result. On This makes it possible to determine after completion of the production process ¬ which items or which pro ¬ duktionschargen were made during faulty or not integrity state of the associated production control computer. 5 These items or products can then be fed to a zusätzli ¬ chen quality assurance measure and sorted out upon completion of the manufacturing process. 2A, 2B show possible variants of a erfindungsge ¬ MAESSEN production system with a monitored production control computer 5. In the embodiment variant shown in Fig. 2A configuration data are stored in a memory or a konfiguration ¬ onsdatei the production control computer 5, the by An external security check unit 6 is verified to determine whether the production control computer 5 is in an integer state during a production control operation in which a production unit 4 is controlled. In the illustrated in Fig. 2A embodiment, the Sicherheitsüberprü- is flash unit 6 is not in the production control computer 5 are integrated, but also for example via a network with the Pro ¬ production control computer 5 is connected. In the embodiment variant shown in FIG. 2B, the security verification unit 6 is integrated in the production control computer and performs the security check locally by verifying whether the production control computer 5 is in an integer state during the production control process.
Fig. 3, 4 zeigen verschiedene Ausführungsvarianten des erfindungsgemäßen Verfahrens zum Überwachen mindestens eines Pro¬ duktion-Steuerrechners 5. Fig. 3, 4 show different embodiments of the inventive method for monitoring at least one Pro ¬ production control computer 5.
Fig. 3 zeigt eine Ausführungsvariante, wobei die Überwachung nach Abschluss des Herstellungsprozesses bzw. des Herstel¬ lungsvorganges erfolgt. In einem Startschritt S3-0 wird der Produktionsvorgang durch den Produktion-Steuerrechner 5 gestartet. In einem weiteren Schritt S3-1 erfolgt der Produktion- Steuervorgang, indem der Produktion-Steuerrechner 5 einen o- der mehrere Steuerbefehle zur Fertigungseinheit 4 abgibt und gegebenenfalls Sensorsignale von der Fertigungseinheit 4 emp¬ fängt und auswertet. Wird in einem Schritt S3-2 festgestellt, dass der Produktion-Steuervorgang zur Herstellung der Produkte abgeschlossen ist, werden bei dem in Fig. 3 dargestellten Ausführungsbeispiel in einem Schritt S3-3 Steuerrechner- Konfigurationsinformationen bzw. Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 ermittelt. Anschließend erfolgt in einem Schritt S3-4 eine Analyse bzw. eine Auswer¬ tung der ermittelten Steuerrechner-Konfigurationsdaten, beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten. Fig. 3 shows a variant embodiment, wherein the monitoring takes place after completion of the manufacturing process or the manufacture ¬ lungsvorganges. In a starting step S3-0, the production process is started by the production control computer 5. In a further step S3-1 of production- control operation is carried out by the production control computer 5 emits a o- the plurality of control commands for the production unit 4, and optionally emp ¬ intercepts sensor signals from the production unit 4, and evaluates them. If it is determined in a step S3-2 that the production control process for the production of the products has been completed, control computer configuration information or configuration data are determined by the security verification unit 6 in the exemplary embodiment illustrated in FIG. 3 in a step S3-3. Subsequently, in a step S3-4, an analysis or a Auswer ¬ processing the determined control computer configuration data, for example by comparison with reference configuration data.
In einem weiteren Schritt S3-5 wird durch die Sicherheits- Überprüfungseinheit 6 festgestellt, ob eine Abweichung zwi¬ schen den ermittelten Steuerrechner-Konfigurationsdaten und den Referenz-Konfigurationsdaten besteht oder nicht. Besteht eine Abweichung, werden beispielsweise in einem Schritt S3-6 die während des Produktion-Steuervorganges erzeugten Produkte bzw. Gegenstände als „Ausschuss" markiert. Dies kann gesche¬ hen, indem beispielsweise ein Produktionsserver 11 entsprechend benachrichtigt wird, wobei der Produktionsserver 11 ei¬ nen Teil eines Produktionsmanagementsystems bilden kann. Al¬ ternativ kann die Markierung der möglicherweise fehlerhaften Produkte geschehen, indem das negative Prüfergebnis in einen Datenträger eingeschrieben wird, der die hergestellten Produkte während des Produktionsvorganges begleitet. Wird im Schritt S3-5 umgekehrt keine Abweichung zwischen den Konfigu¬ rationsdaten des Produktion-Steuerrechners 5 und den Refe- renz-Konfigurationsdaten festgestellt, werden in einem In a further step S3-5 checking unit 6, is determined by the security whether a deviation Zvi ¬ rule the determined control computer configuration data and the reference configuration data or not. There is an inconsistency, S3-6 the products or articles produced during the production control procedure are marked as "board", for example, in a single step. This can gesche ¬ hen, for example, by a production server 11 will be notified accordingly, wherein the production server 11 egg ¬ may form NEN part of a production management system. Al ¬ ternatively can be done the label of the potentially faulty products by the negative test result is written in a disk that accompanied the products produced during the production process is found in step S3-5 vice versa no deviation between the Configu. ¬ tion data of the production control computer 5 and the reference configuration data found are in a
Schritt S3-7 die in dem Produktionsvorgang bzw. Herstellungs- prozess hergestellten Produkte als fehlerfrei markiert, indem man dies beispielsweise dem Produktionsserver 11 meldet oder eine entsprechende Meldung in den zugehörigen Datenträger einschreibt. Der Vorgang endet im Schritt S3-8. Step S3-7 marked the products manufactured in the production process or manufacturing process as error-free, for example by reporting this to the production server 11 or writes a corresponding message to the corresponding data medium. The process ends in step S3-8.
Fig. 4 zeigt ein Ablaufdiagramm einer alternativen Variante des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners 5. Bei dieser Variante erfolgt eine Si¬ cherheitsüberprüfung während der Durchführung des Produktionsvorganges . In einem Schritt S4-0 startet der Produktion-Steuerrechner 5 den Produktion-Steuervorgang. Fig. 4 shows a flow diagram of an alternative variant of the inventive method for monitoring a production control computer 5. In this variant, a Si ¬ cherheitsüberprüfung occurs during the execution of the production process. In a step S4-0, the production control computer 5 starts the production control process.
In einem Schritt S4-1 erfolgt die Durchführung der Steuerauf¬ gabe durch den Produktion-Steuerrechner 5, indem dieser bei- spielsweise Steuerbefehle an die Fertigungseinheit 4 abgibt. In a step S4-1 to carry out the Steuerauf ¬ pick up with production control computer 5 is performed by these examples play control commands to the production unit 4 outputs.
In einem weiteren Schritt S4-2 erfolgt eine Ermittlung von Steuerrechner-Konfigurationsdaten durch die Sicherheitsüber- prüfungseinheit 6. In a further step S4-2, a determination of control computer configuration data by the security check unit 6 takes place.
In einem weiteren Schritt S4-3 werden die ermittelten Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprü- fungseinheit 6 analysiert bzw. ausgewertet, wobei dies bei¬ spielsweise durch Vergleich mit Referenz-Konfigurationsdaten erfolgt, auf welche die Sicherheitsüberprüfungseinheit 6 Zugriff hat. In a further step S4-3, the determined control computer configuration data is analyzed by the security checking unit 6 and evaluated, and this is done at ¬ example by comparison with reference configuration data to which the security verification unit 6 has access.
In einem weiteren Schritt S4-4 überprüft die Sicherheitsüberprüfungseinheit 6, ob eine Abweichung zwischen den Referenz- Konfigurationsdaten und den ermittelten Steuerrechner- Konfigurationsdaten besteht. Ist dies der Fall, kann beispielsweise im Schritt S4-5 ein Abbruch der Steueraufgabe durch die Sicherheitsüberprüfungseinheit 6 veranlasst werden und der Produktionsvorgang wird gestoppt. In einem weiteren Schritt S4-6 kann dann die bisher erzeugte Produktionscharge bzw. die bisher erzeugten und hergestellten Produkte als fehlerhaft markiert werden. Ergibt umgekehrt die Überprüfung in dem Schritt S4-4, dass keine Abweichung zwischen den Refe- renz-Konfigurationsdaten und den ermittelten Steuerrechner- Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktionsvorganges aufgetreten sind, wird in Schritt S4-7 geprüft, ob der Produktionssteuervorgang die jeweilige Produktionscharge abgeschlossen ist oder nicht. Ist der Pro¬ duktionsvorgang für die Produktionscharge, bei der eine Viel¬ zahl von Produkten bzw. Gegenständen hergestellt werden können, nicht abgeschlossen, kehrt der Vorgang zu Schritt S4-1 zurück und der Produktion-Steuerrechner 5 gibt den nächsten Steuerbefehl für den Produktion-Steuervorgang an die Fertigungseinheit 4 ab. Ist der Produktion-Steuervorgang für die Produktionscharge abgeschlossen, werden in einem Schritt S4-8 die produzierten bzw. hergestellten Gegenstände bzw. Produkte als fehlerfrei markiert. Der Vorgang endet im Schritt S4-9. In a further step S4-4, the security verification unit 6 checks whether there is a deviation between the reference configuration data and the determined control computer configuration data. If this is the case, for example, in step S4-5 a cancellation of the control task by the security check unit 6 can be initiated and the production process is stopped. In a further step S4-6 then the previously produced production batch or the previously produced and manufactured products can be marked as defective. Conversely, if the check in step S4-4 shows that no deviation between the reference renz configuration data and the determined control computer configuration data of the production control computer 5 have occurred during the production process, it is checked in step S4-7 whether the production control process, the respective production batch is completed or not. If the per ¬ duktionsvorgang for the production batch in which a lot ¬ number of products or objects can be produced, not completed, the process returns to step S4-1 and the production control computer 5 is the next control command for the production- Control process to the manufacturing unit 4 from. If the production control process for the production batch is completed, in a step S4-8 the produced or manufactured articles or products are marked as free of defects. The process ends in step S4-9.
Ein Vorteil der in Fig. 4 dargestellten Vorgehensweise besteht darin, dass ein Produktionsvorgang zur Herstellung einer Produktionscharge bei der ersten auftretenden Abweichung in Schritt S4-5 abgebrochen werden kann, so dass nicht weite- re fehlerhafte und möglicherweise fehlerhafte Produkte durch einen nicht in einem integeren Zustand befindlichen Produktion-Steuerrechner hergestellt werden können. Hierdurch kann eine Verschwendung von Ressourcen vermieden werden. Weitere Varianten des erfindungsgemäßen Verfahrens zur Überwachung eines Produktion-Steuerrechners 5 sind möglich. Die Überwachung bzw. Sicherheitsüberprüfung kann vor, während o- der nach dem Herstellungsprozess zur Herstellung der Produkte erfolgen. Weiterhin muss die Sicherheitsüberprüfung nicht di- rekt durch Auswerten von Konfigurationsdaten des Produktion- Steuerrechners 5 erfolgen, sondern kann auch indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion- Steuerrechners 5 geschehen. Fig. 5 zeigt ein weiteres Ausführungsbeispiel für ein Produk¬ tionssystem 1 mit einem überwachten Produktion-Steuerrechner 5. Bei dieser Ausführungsvariante erfolgt die Sicherheits¬ überprüfung indirekt durch Beobachten eines Kommunikations- Verhaltens des Produktion-Steuerrechners 5. Das Produktions¬ system 1 in dem Ausführungsbeispiel der Fig. 5 weist mindes¬ tens eine Signalabzweigeinheit 14 auf, die Ein- und/oder Aus¬ gabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner 5' überträgt. Bei dem in Fig. 5 dargestellten Ausführungsbeispiel befindet sich die Signalabzweig¬ einheit 14 zwischen dem Produktion-Steuerrechner 5 und einer durch den Produktion-Steuerrechner 5 gesteuerten Fertigungs- einheit 4. Bei den abgezweigten Ein- und/oder Ausgabesignalen kann es sich um Steuersignale und Sensorsignale handeln. Der identisch implementierte zweite Produktion-Steuerrechner 5' erhält somit dieselben Ein- oder Ausgabesignale wie der über¬ wachte Produktion-Steuerrechner 5. Bei der in Fig. 5 darge- stellten Ausführungsvariante ist an dem zweiten identisch implementierten Produktion-Steuerrechner 5' eine Sicherheits- überprüfungseinheit 6 angeschlossen, welche die Sicherheits¬ überprüfung durchführt. Diese Sicherheitsüberprüfung kann durch Auswerten von Konfigurationsdaten des zweiten Produkti- on-Steuerrechners 5' direkt erfolgen oder indirekt durch Beo¬ bachten eines Kommunikationsverhaltens des zweiten Produkti¬ on-Steuerrechners 5' durch die Sicherheitsüberprüfungseinheit 6. Bei der in Fig. 5 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 eine externe Einheit, die beispielsweise über ein Netzwerk mit dem zweiten identisch implementierten Produktion-Steuerrechner 5' verbunden ist. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch integriert innerhalb des zweiten Produktion-Steuerrechners 5' befinden. Bei einer mög- liehen Ausführungsvariante erhält die Sicherheitsüberprü- fungseinheit 6, wie sie in Fig. 5 dargestellt ist, auch die Ein- und/oder Ausgabesignale, welche von der Signalabzwei¬ geeinheit 14 geliefert werden, um indirekt das Kommunikati¬ onsverhalten des zweiten Produktion-Steuerrechners 5' mit zu überwachen und auszuwerten. Bei einer möglichen Variante ist der zweite Produktion-Steuerrechner 5' physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut. Bei einer alternativen Ausführungsform ist der zweite Produktion- Steuerrechner 5' virtuell gleich zu dem überwachten Produktion-Steuerrechner 5 auf einem Server bzw. Rechner implementiert . Fig. 6 zeigt ein spezifisches Ausführungsbeispiel des erfin¬ dungsgemäßen Systems mit einem überwachten Produktion- Steuerrechner 5. Bei dem in Fig. 6 dargestellten Ausführungsbeispiel weist der Produktion-Steuerrechner 5 eine CPU 5A, einen Programmspeicher 5B, insbesondere eine Festplatte oder Festspeicher, einen Arbeitsspeicher 5C und eine Ein-An advantage of the procedure illustrated in FIG. 4 is that a production process for producing a production batch at the first occurring deviation can be aborted in step S4-5, so that not more defective and possibly defective products are not integrated into one State production control computer can be produced. This can avoid a waste of resources. Further variants of the method according to the invention for monitoring a production control computer 5 are possible. The monitoring or safety check can be carried out before, during or after the production process for the production of the products. Furthermore, the security check does not have to take place directly by evaluating configuration data of the production control computer 5, but can also be done indirectly by observing a communication behavior of the production control computer 5. Fig. 5 shows another embodiment of a production system 1 ¬ tion with a monitored production control computer 5. In this embodiment, the safety ¬ check is carried out indirectly by observing a communication Behavior of the production control computer 5. The production ¬ system 1 in the embodiment of Fig. 5 has Minim ¬ least a signal branching unit 14, detects the input and / or from ¬ reproduction signals of the production control computer 5 without feedback and identically implemented to a second Production control computer 5 'transmits. In the embodiment shown in FIG. 5, the signal branching unit 14 is located between the production control computer 5 and a production unit 4 controlled by the production control computer 5. The branched input and / or output signals may be control signals and Act sensor signals. The identical implemented second production control computer 5 'thus receives the same input or output signals like the watched over ¬ production control computer 5. When in Fig. 5 ones shown, presented embodiment is at the second identical deployed production control computer 5' a safety Verification unit 6 connected, which performs the safety ¬ check. This security check 'may be direct or indirect by Bey ¬ Bachten a communication behavior of the second producti ¬ on-control computer 5' by evaluating configuration data of the second production on-control computer 5 6 by the security verification unit case shown in Fig. 5 embodiment shown is the Security verification unit 6 an external unit, which is connected, for example via a network with the second identically implemented production control computer 5 '. In an alternative embodiment, the security verification unit 6 may also be integrated within the second production control computer 5 '. In a possible loan embodiment, the Sicherheitsüberprü- receives flash unit 6, as shown in Fig. 5, the input and / or output signals which are supplied from the Signalabzwei ¬ geeinheit 14 to indirectly Kommunikati ¬ onsverhalten the second production Control computer 5 'to monitor and evaluate. In a possible variant, the second production control computer 5 'is constructed physically identical to the monitored production control computer 5. In an alternative embodiment, the second production Control computer 5 'virtually equal to the monitored production control computer 5 implemented on a server or computer. Fig. 6 shows a specific embodiment of the OF INVENTION ¬ to the invention system with a monitored production- control computer 5. In the in Fig. 6 illustrated embodiment, the production control computer 5, a CPU 5A, a program memory 5B, in particular a hard disk or read-only memory, a working memory 5C and one
/Ausgabeeinheit 5D bzw. eine Schnittstelle auf. Die Ein- /Ausgabeeinheit 5D des Produktion-Steuerrechner 5 ist bei¬ spielsweise über einen lokalen Bus mit einer Fertigungseinheit 4 verbunden, die über Aktoren A und Sensoren S verfügt. Weiterhin weist die Ein-/Ausgabeeinheit 5D des Produktion- Steuerrechners 5 eine Kommunikationsschnittstelle auf, bei¬ spielsweise eine serielle Schnittstelle mit einem Netzwerk, die mit dem in Fig. 1 dargestellten Industrienetzwerk 3 verbunden sein kann. In dem in Fig. 6 dargestellten Ausführungs- beispiel erfasst die Signalabzweigeinheit 14 Ein- und/oder/ Output unit 5D or an interface. The input / output unit 5D of the production control computer 5 is connected at ¬ example via a local bus with a manufacturing unit 4, which has actuators A and sensors S. Furthermore, the input / output unit 5D of the production- control computer 5 a communication interface, wherein ¬ game as a serial interface with a network, which may be connected to the case shown in Fig. 1 Industrial network 3. In the exemplary embodiment illustrated in FIG. 6, the signal branching unit 14 detects on and / or
Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungs¬ frei z.B. mittels einer transparenten Erfassungseinheit TCU (transparent capturing unit) , indem sie die auf dem lokalen Bus 2 zwischen der Eingabe-/Ausgabeeinheit 5D und der gesteu- erten Fertigungseinheit 4 übertragenen bzw. ausgetauschten Signale abgreift. Die abgegriffenen Signale können von der transparenten Erfassungseinheit 14A in einem lokalen Zwischenspeicher 14B der Abzweigeinheit 14 zwischengespeichert werden. Von einer Kommunikationseinheit 14C der Abzweigein- heit werden anschließend die gegebenenfalls zwischengespei¬ cherten abgezweigten Signale an eine Ein-/Ausgabeeinheit 5D' des Überwachungs-Produktion-Steuerrechners 5' übertragen. Der Überwachungs-Produktion-Steuerrechner 5' kann bei einer möglichen Ausführungsform physikalisch und identisch zu dem Pro- duktion-Steuerrechner 5 aufgebaut sein. Wie in Fig. 6 dargestellt, weist der zweite Produktion-Steuerrechner bzw. der Überwachungs-Produktion-Steuerrechner 5' ebenfalls eine CPU 5Α' , einen Programmspeicher 5B' , einen Arbeitsspeicher 5C auf. In den Speichern 5B' , 5C können Konfigurationsdaten des überwachten Produktion-Steuerrechners 5 z.B. über eine sepa¬ rate Schnittstelle kopiert werden. Bei dem Überwachungs- Produktion-Steuerrechner 5' handelt es sich gewissermaßen um einen gedoppelten Produktion-Steuerrechner, der mit den gleichen Eingabesignalen beaufschlagt wird wie der überwachte Produktion-Steuerrechner 5 und die gleichen Ausgabesignale bzw. Steuersignale generiert. Der gedoppelte Produktion- Steuerrechner 5' wird durch die Sicherheitsüberprüfungsein- heit 6 auf seinen integeren Zustand hin überwacht. Die Si¬ cherheitsüberprüfungseinheit 6 überprüft, ob der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' während des Produktionsvorganges nicht manipuliert ist. Bei einer mögli¬ chen Ausführungsform, wie sie in Fig. 6 dargestellt, erhält die Sicherheitsüberprüfungseinheit 6 einen Referenz- Datenspeicher 6A zum Abspeichern von Referenzdaten und eine Vergleichseinheit bzw. Prüfeinheit 6B, welche die gespeicher¬ ten Referenzdaten mit den Konfigurationsdaten des Produktion- Steuerrechners 5' vergleicht. Diese Konfigurationsdaten kön- nen aus den Speichern 5B' , 5C des Überwachungs-Produktion- Steuerrechners 5' ausgelesen werden. Abhängig von dem Prüfer- gebnis bewertet die Signalüberwachungseinheit 6, ob der Pro¬ duktionssteuervorgang durch den überwachten Produktion- Steuerrechner 5 in einem integeren Zustand durchgeführt wor- den ist oder nicht. Der gedoppelte bzw. Überwachungs- Produktion-Steuerrechner 5' kann wie in Fig. 6 dargestellt in Hardwareimplementiert und physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut sein. Alternativ kann es sich bei dem Überwachungs-Produktion-Steuerrechner 5' um einen virtuellen Steuerrechner handeln, das heißt einOutput signals of the production control computer 5 reaction ¬ freely, for example by means of a transparent detection unit TCU (transparent capturing unit), by picking up on the local bus 2 between the input / output unit 5D and the controlled manufacturing unit 4 signals or exchanged. The tapped signals can be buffered by the transparent detection unit 14A in a local buffer 14B of the branch unit 14. From a communication unit 14C of the integrated Abzweigein- optionally intermediately ¬ cherten branched signals are then transmitted to an input / output unit 5D 'of the monitoring production control computer 5' transmitted. In one possible embodiment, the monitoring production control computer 5 'can be constructed physically and identically to the production control computer 5. As shown in FIG. 6, the second production control computer 5 'also has a CPU 5Α', a program memory 5B ', a main memory 5C on. In the memories 5B ', 5C configuration data of the monitored production control computer 5 can be copied, for example via a sepa ¬ rate interface. The monitoring production control computer 5 'is effectively a duplicated production control computer, which is supplied with the same input signals as the monitored production control computer 5 and generates the same output signals or control signals. The duplicated production control computer 5 'is monitored by the security check unit 6 for its integrity status. The Si ¬ cherheitsüberprüfungseinheit 6 checks whether or not the duplicated or monitoring production control computer is 5 'non-manipulated during the production process. In a Moegli ¬ chen embodiment, as shown in Fig. 6, the security check unit 6 receives a reference data memory 6A for storing reference data and a comparison unit and test unit 6B that the gespeicher ¬ th reference data with the configuration data of the production- control computer 5 'compares. These configuration data can be read from the memories 5B ', 5C of the monitoring production control computer 5'. Depending evaluated by the Examiner result, the signal monitoring unit 6, if the Pro ¬ duktionssteuervorgang performed by the monitored production- control computer 5 in a state of integrity is the WOR or not. The duplicated or monitored production control computer 5 'can be implemented in hardware as shown in FIG. 6 and constructed physically identically to the monitored production control computer 5. Alternatively, the monitoring production control computer 5 'may be a virtual control computer, that is to say a
Steuerrechner, der als virtuelle Maschine auf einem Hypervi- sor ausgeführt wird, beispielsweise auf einem PC oder einem Server. Abhängig von dem Prüfergebnis , welches durch die Sig¬ nalüberprüfungseinheit 6 geliefert wird, kann eine Fehlerbe- handlung erfolgen. Eine Fehlerbehandlung kann beispielsweise das Abgeben eines Alarmsignals umfassen. Ferner ist es mög¬ lich, dass der gesamte Herstellungsprozess zur Herstellung der Produkte durch die Fertigungseinheit 4 sofort oder verzö- gert angehalten wird. Weiterhin kann eine Qualitätssiche¬ rungsmaßnahme nach Abschluss des Herstellungsprozesses für die hergestellten Produkte vorgenommen werden. Weiter ist es möglich, dass die Sicherheitsüberprüfungseinheit 6 eine Fehl- erbenachrichtung an ein Produktion-Managementsystem abgibt. Bei einer weiteren alternativen Ausführungsform kann die Sicherheitsüberprüfungseinheit 6 das Einschreiben einer Fehler¬ nachricht in einem oder in mehrere die hergestellten Produkte begleitende Datenträger veranlassen. Hierfür können die her- gestellten Produkte jeweils einzeln oder als Gruppe mit einem Speichermodul oder einem RFID-Chip versehen sein. Wird ein Sicherheitsproblem durch die Sicherheitsüberprüfungseinheit 6 erkannt, so kann die betroffene Produktcharge geeignet wei¬ terbehandelt werden, beispielsweise als Ausschuss oder es können zusätzliche Prüfungen zu Qualitätssicherungen vorgenommen. Falls bereits während der Durchführung der Produkti¬ on-Steueraufgabe in einer Sicherheitsüberprüfung ein Sicherheitsproblem erkannt wird, so kann auch direkt ein Abbruch des Herstellungsprozesses erfolgen oder ein Wechsel in einem betriebssicheren Zustand z.B. durch Erzeugen eines Notaus- Signals. Bei einer möglichen Ausführungsform erhält der Überwachungs-Produktion-Steuerrechner 5' Eingabesignale abgesehen von einer SignalleitZeitverzögerung zeitgleich wie der überwachte Produktion-Steuerrechner bzw. synchron zu dem über- wachten Produktion-Steuerrechner. Bei einer alternativen Ausführungsform erhält der zweite Produktion-Steuerrechner 5' die Ein- bzw. Ausgabesignale asynchron. Da der zweite Überwa¬ chungs-Produktion-Steuerrechner 5' denselben Randbedingungen wie der erste zu überwachende Produktion-Steuerrechner 5 aus- gesetzt ist, können auf ihm ohne Störung oder Beeinflussung des Produktionsvorganges Sicherheitsüberprüfungen durchge¬ führt werden, beispielsweise ein Virenscanner, ein Sicherheitsmonitoring kritischer Speicherbereiche sowie eine Überwachung, ob die Betriebssystemdateien des Überwachungs- Produktion-Steuerrechners 5' modifiziert werden. Bei einer möglichen Variante wird der erste Produktion-Steuerrechner 5 zweimal mit den gleichen Eingabesignalen beaufschlagt, wobei einmal die Durchführung im Realbetrieb erfolgt und das andere Mal in einem simulierten Betrieb ohne reale Produktion. Wird bei der Sicherheitsüberprüfung ein kritischer Zustand erkannt, so wird bei einer möglichen Ausführungsform der Produktion-Steuerrechner 5 bzw. der Produktionsvorgang in einem sicheren Betriebsmodus überführt bzw. gefahren, so dass keine Gefährdung in dem realen Produktionssystem auftritt. Control computer that runs as a virtual machine on a hypervisor, for example on a PC or a server. Depending on the test result, which is supplied by the Sig ¬ nalüberprüfseinheit 6, a fault treatment can take place. An error handling may include, for example, issuing an alarm signal. Further, it is mög ¬ Lich that the entire manufacturing process to manufacture the product by the production unit 4 immediately or verzö- is stopped. Can still be made after completion of the manufacturing process for the products manufactured a quality assurance ¬ approximate measure. Furthermore, it is possible for the security checking unit 6 to issue a fault notification to a production management system. In a further alternative embodiment, the security verification unit 6 can initiate the writing of a fault message in one or more data carriers accompanying the manufactured products. For this purpose, the products produced can each be provided individually or as a group with a memory module or an RFID chip. If a security problem is identified by the security checking unit 6, the batch of the product concerned may be suitable terbehandelt wei ¬, for example, as a committee, or it can make additional checks to quality assurance. If a security problem is already detected during execution of the production control task in a security check, the production process can also be discontinued directly or a change in a fail-safe state, eg by generation of an emergency off signal. In one possible embodiment, the monitoring production control computer 5 'receives input signals, apart from a signal delay, at the same time as the monitored production control computer or synchronously with the monitored production control computer. In an alternative embodiment, the second production control computer 5 'receives the input or output signals asynchronously. Since the second moni ¬ toring production control computer 5 'is the same constraints as the first to be monitored production control computer 5 is set off, can be Runaway ¬ leads to him without interfering or influencing the production process security checks, such as a virus scanner, a security monitoring of critical Memory areas as well as monitoring whether the operating system files of the monitoring production control computer 5 'are modified. In a possible variant of the first production control computer 5 is applied twice with the same input signals, once carried out in real operation and the other Time in a simulated operation without real production. If a critical state is detected during the security check, then in one possible embodiment the production control computer 5 or the production process is transferred or run in a safe operating mode so that no risk occurs in the real production system.
Das Datenimage für den zweiten Produktion-Steuerrechners 5' bzw. die Konfigurationsdaten sind vorzugsweise identisch mit dem Datenimage für den ersten Produktion-Steuerrechner. Bei einer möglichen Ausführungsform kann das Datenimage bzw. die abgezogenen Konfigurationsdaten modifiziert werden, indem zusätzlich das Datenimage eines Virenscanners, eines Personal- Firewalls oder eines Intrusion Detection Systems installiert werden. Möglich ist, dass auch innerhalb der Laufzeitumgebung des zweiten Produktion-Steuerrechners ein Sicherheitsproblem erkannt werden kann. Weiterhin ist es möglich, dass auf dem zweiten Produktion-Steuerrechners 5' ein oder mehrere Si¬ cherheitspatches beispielsweise Bildbetriebssystemupdates in- stalliert werden. Bei einer weiteren Variante werden zwei Da¬ tenimages bzw. Konfigurationsdatenkopien erzeugt, wobei ein zweiter und gegebenenfalls ein zusätzlich dritter Rechner mit den erfassten Signalen beaufschlagt wird. Dabei kann bei¬ spielsweise ein Datenimage identisch sein zu dem des ersten Produktion-Steuerrechner und das andere Datenimage wie oben beschrieben modifiziert werden. Bei dieser Ausführungsvariante ist es möglich, einen Vergleich der Ausgangssignale der beiden virtuellen Rechner durchzuführen. Bei einer Abweichung wird dann ein Sicherheitsproblem erkannt. Bei einer möglichen weiteren Variante können im Parallelbetrieb in dem zweiten virtuellen Produktion-Steuerrechner Betriebssystem-Updates oder Applikationspatches installiert werden, um dabei im rea¬ len Produktionsbetrieb parallel zum ersten Rechner den Ein- fluss neuer Patches bzw. Updates auf die generelle Funktiona- lität des ersten Produktion-Steuerrechners 5 beobachten zu können. Nach einer definierten Testzeit können die Updates bzw. Patches dann in einer Maintenance bzw. Wartungsphase auf dem ersten Produktion-Steuerrechner 5 vorgenommen werden. Bei einer weiteren Ausführungsvariante verfügt der erste Pro¬ duktion-Steuerrechner 5 über vorgegebene Hardware-basierte Sicherheitsmittel beispielsweise TPM, die zu einem Initiali- sierungszeitpunkt beispielsweise beim Booten des ersten Pro¬ duktion-Steuerrechners 5 die Plattform auf eventuelle Ände¬ rungen untersucht und das Ergebnis als Integrity Check Value ICV an den zweiten Produktion-Steuerrechner übermittelt. Der zweite Produktion-Steuerrechner 5' kann dann zusätzlich zu den oben beschriebenen Auswertungen auch das Prüfergebnis ICV mit einem zuletzt gespeicherten ICV-Prüfergebnis vergleichen und bei Abweichungen den ersten Produktion-Steuerrechner 5 in einen sicheren Zustand bringen. Bei einer möglichen Variante kann diese Überprüfung mittels Integrity Check Values ICV auch im laufenden Betrieb wiederholt erfolgen. The data image for the second production control computer 5 'or the configuration data are preferably identical to the data image for the first production control computer. In one possible embodiment, the data image or the withdrawn configuration data can be modified by additionally installing the data image of a virus scanner, a personal firewall or an intrusion detection system. It is possible that even within the runtime environment of the second production control computer, a security problem can be detected. Furthermore, it is possible that one or more Si ¬ cherheitspatches example image operating system updates are in- stalled on the second production control computer 5 '. In a further variant two Da ¬ tenimages or configuration data copies a second and optionally a third computer in addition to the detected signals is applied to be generated. Here, a data image can be identical for ¬ game as to the production of the first control computer and the other data image as described above can be modified. In this embodiment, it is possible to perform a comparison of the output signals of the two virtual computers. If there is a deviation, a security problem is detected. In a possible further variant in parallel mode operating system updates or application patches can be installed in the second virtual production control computer to thereby formality the influence of new patches or updates on the general functionalities in rea ¬ len production plant parallel to the first computer of the to observe the first production control computer 5. After a defined test time, the updates or patches can then be made in a maintenance or maintenance phase on the first production control computer 5. In another embodiment of the first pro ¬ production control computer 5, the platform has given hardware-based security means, for example TPM, the sierungszeitpunkt an initialization, for example, when you boot the first Pro ¬ production control computer 5 for possible amendments ¬ conclusions investigated and the result transmitted as an Integrity Check Value ICV to the second production control computer. In addition to the evaluations described above, the second production control computer 5 'can then also compare the test result ICV with a last stored ICV test result and, in the event of deviations, bring the first production control computer 5 into a safe state. In one possible variant, this check using Integrity Check Values ICV can also be repeated during operation.
Fig. 7 zeigt ein Diagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zur Überwachung mindestens eines Produktion-Steuerrechners 5. In dem dargestellten Zeit- ablauf werden drei Herstellungsprozesse bzw. Produktionsvor¬ gänge durchgeführt. Zu unterschiedlichen Zeitpunkten werden Prüfergebnisse von der Sicherheitsüberprüfungseinheit 6 er¬ mittelt. Diese Sicherheitsüberprüfungsergebnisse werden dabei einem Produktionsschritt zugeordnet. Bei einer möglichen Aus- führungsform wird ein Zeitfenster ermittelt, zu dem die Produktion-Steuervorgänge durchgeführt werden. Gegebenenfalls kann auch ein modifiziertes Zeitfenster ermittelt werden, beispielsweise indem durch einen Zeitraum vor und nach Durchführung des Produktionsvorganges berücksichtigt wird, bei- spielsweise eine Minute, eine Stunde oder ein Tag. Es kann dann untersucht werden, ob in dem für eine erzeugte Produkti¬ onseinheit bzw. eine Produktionscharge in den verwendetem Zeitfenster ein negatives Prüfergebnis vorliegt. Falls ja, können die erzeugten Produkte bzw. die gesamte Produktions- Charge als fehlerhaft bzw. potentiell fehlerhaft markiert werden . Für jede Produktionsaufgabe bzw. für jeden Produktion- Steuervorgang kann ein StartZeitpunkt und ein Endezeitpunkt ermittelt bzw. festgelegt werden. Das Prüfintervall für die¬ sen Produktion-Steuervorgang erstreckt sich in diesem Bei- spiel auf einen für die Produktionsaufgabe relevanten Zeit¬ raum . Fig. 7 is a diagram for explaining the operation of the inventive method for monitoring at least one production-control computer 5. In the illustrated time running three production processes or Produktionsvor ¬ transitions are performed. At different times, test results are determined by the safety checking unit 6. These security check results are assigned to a production step. In one possible embodiment, a time window is determined at which the production control operations are performed. If appropriate, a modified time window can also be determined, for example by taking into account by a period of time before and after the production process is carried out, for example one minute, one hour or one day. It can then be examined, whether present in the produced for a producti ¬ onseinheit or a production lot in the used time window, a negative test result. If so, the products produced or the entire production batch can be marked as defective or potentially defective. For each production task or for each production control process, a start time and an end time can be determined or determined. The test interval for ¬ sen production control process extends into this game examples to a relevant for the production task time ¬ space.
Im ersten Beispielfall, das heißt dem Produktion- Steuervorgang 1, liegen bei dem dargestellten Beispiel Mel- düngen vor, die angeben, dass während des Produktion- Steuervorganges keine auffälligen Prüfergebnisse ermittelt wurden. Die in dem ersten Produktion-Steuervorgang 1 erzeugten Produkte werden daher als ordnungsmäßig hergestellt ge¬ kennzeichnet . In the first example case, that is to say the production control process 1, in the example shown there are formulas which indicate that no conspicuous test results were determined during the production control process. The products produced in the first production control operation 1 is therefore produced as the order ge ¬ features.
In dem zweiten Beispielfall, das heißt der Produktion- Steueraufgäbe 2, liegen für einen Zeitraum etwa in der Mitte des Produktion-Steuervorganges keine Prüfergebnisse vor. Da¬ her kann bei diesem Beispiel nicht mit hinreichender Zuver- lässigkeit eine Aussage darüber getroffen werden, ob die in der zweiten Produktionsaufgabe erzeugten Produkte fehlerhaft hergestellt worden sind oder nicht. Daher werden die während des zweiten Produktion-Steuervorgangs erzeugten Produkte als möglicherweise fehlerhaft gekennzeichnet. In the second example case, ie the production control task 2, there are no test results for a period approximately in the middle of the production control process. Since ¬ ago can not, with reasonable reliability a statement to be taken about whether or not the products produced in the second production task have been made in error not in this example. Therefore, the products generated during the second production control process are marked as possibly defective.
In dem dritten Beispielfall, das heißt dem Produktion- Steuervorgang 3 werden in einem Zeitraum etwa in der Mitte der Produktion-Steueraufgäbe negative Ergebnisse bzw. Fehler¬ meldungen generiert, das heißt der zugehörige Produktion- Steuerrechner wird durch die zugehörige Sicherheitsüberprü- fungseinheit als fehlerhaft erkannt. Die in dem dritten Pro¬ duktion-Steuervorgang 3 erzeugten Produkte bzw. Gegenstände werden daher als fehlerhaft hergestellt gekennzeichnet. Mit dem erfindungsgemäßen Verfahren und System können schadhafte Auswirkungen infolge eines Angriffs auf einen Produktion- Steuerrechner vermieden bzw. die Auswirkungen reduziert werden. Möglicherweise schadhafte Produkte bzw. Gegenstände kön¬ nen entsprechend markiert bzw. gekennzeichnet werden, so dass sie im Nachgang entweder als Ausschuss aussortiert werden o- der weiteren als Sicherheitsüberprüfungen im Zuge einer Qualitätssicherungsmaßnahme unterzogen werden. Ein in Echtzeit arbeitender echtzeit-kritischer Produktion- Steuerrechner 5 kann mit Hilfe eines virtuellen Doppels zwei Sicherheitsanalysen unterzogen werden, ohne dass der operative Betrieb des Produktion-Steuerrechners 5 gestört wird. Die erfindungsgemäße Vorrichtung bzw. das erfindungsgemäße System zur Integritätsüberwachung eines Produktion-Steuerrechners 5 eignet sich für jegliche Fertigung bzw. Herstellung von Gegenständen bzw. Produkten. Bei den Produkten kann es sich um materielle Gegenstände, aber auch um immaterielle Gegenstän¬ de, beispielsweise Dateien oder dergleichen handeln. In the third example case, that is the production- control operation 3 negative results or error ¬ messages are generated in a period approximately in the middle of the production-Steueraufgäbe, that is the associated production- control computer will flash unit to be faulty by the associated Sicherheitsüberprü- detected , The products or articles produced in the third production Pro ¬ control operation 3 are therefore characterized prepared as faulty. With the method and system according to the invention, defective effects due to an attack on a production control computer can be avoided or the effects can be reduced. Possibly defective products or objects Kgs ¬ NEN be marked accordingly or marked so that they are subsequently either sorted out as scrap or subjected to further safety checks as part of a quality assurance measure. A real-time, real-time critical production control computer 5 can be subjected to two security analyzes with the aid of a virtual double, without disturbing the operative operation of the production control computer 5. The inventive device or the inventive system for monitoring the integrity of a production control computer 5 is suitable for any production or production of objects or products. The products may be material objects but also to intangible Gegenstän ¬ en, such as files or the like.

Claims

Patentansprüche claims
1. Verfahren zum Überwachen mindestens eines Produktion- Steuerrechners (5) , 1. A method for monitoring at least one production control computer (5),
wobei zu einem durch den Produktion-Steuerrechner (5) durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand be- findet. wherein at least one security check is performed on a production control process for manufacturing products performed by the production control computer (5), which verifies whether the production control computer (5) is in an integer state during the production control process.
2. Verfahren nach Anspruch 1, 2. The method according to claim 1,
wobei die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners (5) erfolgt. wherein the security check is carried out directly by evaluating configuration data of the production control computer (5) or indirectly by observing a communication behavior of the production control computer (5).
3. Verfahren nach Anspruch 1 oder 2, 3. The method according to claim 1 or 2,
wobei die Sicherheitsüberprüfung durch eine Sicherheitsüber- prüfungseinheit (6) erfolgt, die in dem Produktion- Steuerrechner (5) enthalten oder die mit dem Produktion- Steuerrechner (5) verbunden ist. wherein the security check is performed by a security check unit (6) contained in the production control computer (5) or connected to the production control computer (5).
4. Verfahren nach Anspruch 2 oder 3, 4. The method according to claim 2 or 3,
wobei das Kommunikationsverhalten des Produktion- Steuerrechners (5) anhand von Eingabesignalen an den Produktion-Steuerrechner (5) und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner (5) abgegeben werden, beobachtet und durch die Sicherheitsüberprüfungseinheit (6) ausgewertet wird. wherein the communication behavior of the production control computer (5) on the basis of input signals to the production control computer (5) and / or on the basis of output signals that are output from the production control computer (5) observed and evaluated by the security verification unit (6) ,
5. Verfahren nach Anspruch 4, 5. The method according to claim 4,
wobei die Eingabe- und/oder Ausgabesignale des Produktion- Steuerrechners (5) rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechnerwherein the input and / or output signals of the production control computer (5) detected without feedback and to a second identically implemented production control computer
(5) übertragen werden und durch die Sicherheitsüberprüfungs¬ einheit (6) die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners (5) erfolgt. (5) and by the security check ¬ unit (6) the security check directly by evaluating configuration data of the second production control computer (5) or indirectly by observing a communication behavior of the second production control computer (5).
6. Verfahren nach Anspruch 5, 6. The method according to claim 5,
wobei der zweite identisch implementierte Produktion- Steuerrechner (5) die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners synchron oder asynchron emp¬ fängt . wherein the second identical implemented production- control computer (5) the detected input and / or output signals of the production control computer synchronously or asynchronously emp intercepts ¬.
7. Verfahren nach Anspruch 6, 7. The method according to claim 6,
wobei die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners (5) aufgezeichnet werden. wherein the detected input and / or output signals of the production control computer (5) are recorded.
8. Verfahren nach Anspruch 5 bis 7, 8. The method according to claim 5 to 7,
wobei der zweite Produktion-Steuerrechner (5) physikalisch identisch zu dem Produktion-Steuerrechner (5) aufgebaut ist oder virtuell identisch zu dem Produktion-Steuerrechner (5) auf einem Server implementiert ist. wherein the second production control computer (5) is physically identical to the production control computer (5) or virtually identical to the production control computer (5) is implemented on a server.
9. Verfahren nach Anspruch 2 bis 8, 9. The method according to claim 2 to 8,
wobei die direkte Sicherheitsüberprüfung durch die Sicher- heitsüberprüfungseinheit (6) erfolgt, indem diese auf Refe¬ renzdaten zugreift, um zu verifizieren, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. wherein the direct security check by the security verification unit (6) is carried out by these accesses Refe ¬ ence data, to verify whether the production control computer (5) is in an integrity configuration state during the production control process.
10. Verfahren nach Anspruch 9, 10. The method according to claim 9,
wobei die Sicherheitsüberprüfungseinheit (6) Konfigurations¬ daten des Produktion-Steuerrechners (5) und/oder des zweiten Produktion-Steuerrechners (5) mit den Referenzdaten ver¬ gleicht, um zu verifizieren, ob sich der Produktion- Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. wherein the safety monitoring unit (6) Configuration ¬ data of the production control computer (5) and / or the second production control computer (5) ver ¬ is similar to the reference data to verify whether the production- control computer (5) during the production Control process is in an integer configuration state.
11. Verfahren nach Anspruch 10, 11. The method according to claim 10,
wobei die Konfigurationsdaten des Produktion-Steuerrechners (5) in den zweiten Produktion-Steuerrechner (5) vor der Sicherheitsüberprüfung kopiert werden. wherein the configuration data of the production control computer (5) are copied to the second production control computer (5) before the security check.
12. Verfahren nach Anspruch 2 bis 11, 12. The method according to claim 2 to 11,
wobei die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner (5) imple- mentierten Softwarekomponente angeben. wherein the configuration data indicate a configuration state of at least one software component implemented in the production control computer (5).
13. Verfahren nach Anspruch 12, 13. The method according to claim 12,
wobei die Konfigurationsdaten durch berechnete Prüfsummen der jeweiligen Softwarekomponenten gebildet werden. wherein the configuration data are formed by calculated checksums of the respective software components.
14. Verfahren nach Anspruch 12, 14. The method according to claim 12,
wobei die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet werden. wherein the configuration data is formed by version numbers of the respective software components.
15. Verfahren nach Anspruch 12, 15. The method according to claim 12,
wobei die Konfigurationsdaten durch Konfigurationseinstellungen in mindestens einer Konfigurationsdatei des Produktion- Steuerrechners gebildet werden. wherein the configuration data is formed by configuration settings in at least one configuration file of the production control computer.
16. Verfahren nach Anspruch 1 bis 15, 16. The method according to claim 1 to 15,
wobei, falls die Sicherheitsüberprüfung ergibt, dass der Pro¬ duktion-Steuerrechner (5) nicht in einem integeren Konfigurationszustand während des Produktion-Steuervorganges ist, eine Fehlerbehandlung erfolgt, wherein if the safety check reveals that the pro ¬ production control computer (5) is not in a state of integrity configuration during the production control process, an error handling is carried out,
wobei die Fehlerbehandlung das Abgeben einer Alarmmeldung, ein Anhalten des Herstellungsprozesses zur Herstellung der Produkte, wherein the error handling means issuing an alarm message, halting the manufacturing process for producing the products,
eine Steigerung der Qualitätsprüfung der bei dem Herstel- lungsprozess hergestellten Produkte, an increase in the quality control of the products manufactured in the manufacturing process,
eine Fehlerbenachrichtigung eines Produktionmanagementsystems oder an error notification of a production management system or
das Einschreiben einer Fehlernachricht in einen oder in mehrere die hergestellten Produkte begleitende Datenträger um- fasst . the writing of an error message into one or more data carriers accompanying the manufactured products.
17. Verfahren nach Anspruch 1 bis 16, 17. The method according to claim 1 to 16,
wobei die Sicherheitsüberprüfung vor, während oder nach dem Herstellungsprozess zur Herstellung der Produkte erfolgt. wherein the security check is performed before, during or after the manufacturing process for the manufacture of the products.
18. System (1) zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner (5) , der einen Produktion- Steuervorgang zur Herstellung der Produkte durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit (6) erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand be¬ findet . 18. System (1) for producing products with at least one production control computer (5), which carries out a production control process for the production of the products, wherein for the production control process a security check is carried out by a security checking unit (6) which verifies whether the production control computer (5) during the production control process in a state of integrity will be ¬.
19. System nach Anspruch 18, 19. System according to claim 18,
wobei die Sicherheitsüberprüfungseinheit (6) die Sicherheits¬ überprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beo- bachten eines Kommunikationsverhaltens des Produktion- Steuerrechners (5) durchführt. wherein the safety monitoring unit (6) the security check ¬ directly by analyzing the configuration data of production control computer (5), or indirectly by observa- Bachten performs a communication behavior of the production- control computer (5).
20. System nach Anspruch 18, 20. System according to claim 18,
wobei durch eine Signalabzweigeinheit (14) Ein- und/oder Aus- gabesignale des Produktion-Steuerrechners (5) rückwirkungs¬ frei erfasst und an einen zweiten identisch implementieren Produktion-Steuerrechner (5) übertragen werden, wherein by a signal branching unit (14) input and / or output are transmitted kickback ¬ free detects reproduced signals of the production control computer (5) and to a second identical implement production control computer (5),
wobei die Sicherheitsüberprüfungseinheit (6) die Sicherheits¬ überprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produk¬ tion-Steuerrechners (5) durchführt. wherein the safety monitoring unit (6) performs the security check ¬ directly by analyzing the configuration data of the second production control computer (5) or indirectly by monitoring of a communication behavior of the second production ¬ tion-control computer (5).
21. System nach Anspruch 20, 21. System according to claim 20,
wobei der zweite Produktion-Steuerrechner (5) physikalisch identisch zu dem Produktion-Steuerrechner (5) aufgebaut ist oder virtuell identisch zu dem Produktion-Steuerrechner (5) auf einem Server implementiert ist. wherein the second production control computer (5) is physically identical to the production control computer (5) or virtually identical to the production control computer (5) is implemented on a server.
22. Sicherheitsüberprüfungseinheit (6) zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner (5) , welcher einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit (6) zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand befindet. 22. A security check unit (6) for carrying out a security check on a production control computer (5) which carries out a production control process for the production of products, wherein the security check unit (6) verifies whether the production control computer (5) is in an integrity state during the production control process to perform the security check.
23. Sicherheitsüberprüfungseinheit nach Anspruch 22, 23. Security checking unit according to claim 22,
wobei die Sicherheitsüberprüfung (6) direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners (5) erfolgt. wherein the security check (6) takes place directly by evaluating configuration data of the production control computer (5) or indirectly by observing a communication behavior of the production control computer (5).
24. Sicherheitsüberprüfungseinheit nach Anspruch 22 oder 23, wobei die Sicherheitsüberprüfungseinheit (6) in dem Produkti¬ on-Steuerrechner (5) enthalten oder mit dem Produktion- Steuerrechner (5) über ein Netzwerk verbunden ist. 24. Security checking unit according to claim 22 or 23, wherein the security checking unit (6) in the production ¬ on-control computer (5) included or connected to the production control computer (5) via a network.
25. Produktion-Steuerrechner (5), der eine Sicherheitsüberprüfungseinheit (6) nach Anspruch 22 oder 23 enthält. A production control computer (5) including a security check unit (6) according to claim 22 or 23.
26. Überwachungs-Produktion-Steuerrechner (5), 26. monitoring production control computer (5),
wobei dem Überwachungs- Produktion-Steuerrechner (5) die Ein- und/oder Ausgabesignale oder Konfigurationsdaten eines überwachten Produktion-Steuerrechners (5) zugeführt werden und wobei der Überwachungs-Produktion-Steuerrechner (5) identisch zu dem überwachten Produktion-Steuerrechner (5) aufgebaut ist, wherein the monitoring production control computer (5) the input and / or output signals or configuration data of a monitored production control computer (5) are supplied and wherein the monitoring production control computer (5) identical to the monitored production control computer (5) is constructed,
wobei eine mit dem Überwachungs-Produktion-Steuerrechner (5) verbundene Sicherheitsüberprüfungseinheit (6) überprüft, ob sich der Überwachungs-Produktion-Steuerrechner (5) während eines Produktion-Steuervorganges des überwachten Produktion- Steuerrechners (5) in einem integeren Zustand befindet. wherein a security check unit (6) connected to the monitor production control computer (5) checks whether the monitor production control computer (5) is in an integer state during a production control operation of the monitored production control computer (5).
PCT/EP2010/066971 2009-12-16 2010-11-08 Method and device for monitoring a production control computer WO2011082863A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102009058518A DE102009058518A1 (en) 2009-12-16 2009-12-16 Method and device for monitoring a production control computer
DE102009058518.4 2009-12-16

Publications (1)

Publication Number Publication Date
WO2011082863A1 true WO2011082863A1 (en) 2011-07-14

Family

ID=43531025

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2010/066971 WO2011082863A1 (en) 2009-12-16 2010-11-08 Method and device for monitoring a production control computer

Country Status (2)

Country Link
DE (1) DE102009058518A1 (en)
WO (1) WO2011082863A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3076291A1 (en) * 2015-03-30 2016-10-05 Rockwell Automation Germany GmbH & Co. KG Method for assignment of verification numbers
US10031502B2 (en) 2015-03-27 2018-07-24 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
US10197985B2 (en) 2015-10-29 2019-02-05 Rockwell Automation Germany Gmbh & Co. Kg Safety controller module

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3546127A1 (en) * 1985-12-24 1987-06-25 Bosch Gmbh Robert METHOD FOR AUTOMATICALLY CHECKING CONTROL UNITS
US6035416A (en) * 1997-10-15 2000-03-07 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6845467B1 (en) * 2001-02-13 2005-01-18 Cisco Systems Canada Co. System and method of operation of dual redundant controllers
DE10348297A1 (en) * 2003-10-17 2005-06-02 Audi Ag Inspection set up e.g. for control device of motor vehicle, has multiplicity of data bus connections for controllers, where for examination three data bus connections must be occupied
US20060074500A1 (en) * 2004-09-10 2006-04-06 Naik Sanjeev M Fault tolerant control system
WO2009127470A1 (en) * 2008-04-17 2009-10-22 Beckhoff Automation Gmbh Method for operating a safety controller and automation network having such a safety controller

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4341082A1 (en) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Circuit arrangement for safety-critical control systems
DE19802728A1 (en) * 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Machine parameter monitoring method for machine tool numerical control

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3546127A1 (en) * 1985-12-24 1987-06-25 Bosch Gmbh Robert METHOD FOR AUTOMATICALLY CHECKING CONTROL UNITS
US6035416A (en) * 1997-10-15 2000-03-07 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6845467B1 (en) * 2001-02-13 2005-01-18 Cisco Systems Canada Co. System and method of operation of dual redundant controllers
DE10348297A1 (en) * 2003-10-17 2005-06-02 Audi Ag Inspection set up e.g. for control device of motor vehicle, has multiplicity of data bus connections for controllers, where for examination three data bus connections must be occupied
US20060074500A1 (en) * 2004-09-10 2006-04-06 Naik Sanjeev M Fault tolerant control system
WO2009127470A1 (en) * 2008-04-17 2009-10-22 Beckhoff Automation Gmbh Method for operating a safety controller and automation network having such a safety controller

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10031502B2 (en) 2015-03-27 2018-07-24 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
US10274921B2 (en) 2015-03-27 2019-04-30 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
US10520910B2 (en) 2015-03-27 2019-12-31 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
EP3076291A1 (en) * 2015-03-30 2016-10-05 Rockwell Automation Germany GmbH & Co. KG Method for assignment of verification numbers
US10025287B2 (en) 2015-03-30 2018-07-17 Rockwell Automation Germany Gmbh & Co. Kg Method for assignment of verification numbers
EP4012557A1 (en) * 2015-03-30 2022-06-15 Rockwell Automation Germany GmbH & Co. KG Method for assignment of verification numbers
US10197985B2 (en) 2015-10-29 2019-02-05 Rockwell Automation Germany Gmbh & Co. Kg Safety controller module
US10969759B2 (en) 2015-10-29 2021-04-06 Rockwell Automation Germany Gmbh & Co. Kg Safety controller module

Also Published As

Publication number Publication date
DE102009058518A1 (en) 2011-06-22

Similar Documents

Publication Publication Date Title
EP2356526B1 (en) Safety control and method for controlling an automated system
EP3451576B1 (en) System and method for cryptographically protected monitoring of at least one component of a device or assembly
EP2447843B1 (en) Method for verifying an application program of an error-free memory-programmable control device and memory-programmable control device for carrying out the method
EP2908195B1 (en) Method for monitoring security in an automation network, and automation network
DE112004001716T5 (en) Integrated electronic signatures for the release of software objects from process control and safety systems
WO2009062954A1 (en) Field device for determining or monitoring a process variable in process automation
EP3379351B1 (en) Method for operating an automation device and automation device
DE102010019650A1 (en) Method and system for testing a safety automation logic of a manufacturing cell
DE102008014922A1 (en) Memory readout system for a vehicle control device
EP3079028A1 (en) Planning and engineering method, software tool, and simulation tool for an automation solution
EP3430558A1 (en) Detecting a deviation of a security state of a computing device from a desired security state
EP3607405B1 (en) Method for parameterizing a field device, and field device that can be parameterized
DE102016204713A1 (en) driving
EP3709166A1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
EP3332528A1 (en) Monitoring an integrity of a test dataset
WO2011082863A1 (en) Method and device for monitoring a production control computer
EP1860565B1 (en) Method for performing a functional check of the control unit for a motor vehicle
EP1359485B1 (en) Control and monitoring system
EP1683016B1 (en) Secure recording of input values
DE102021109818A1 (en) Procedures for quality assurance of products
EP3486825A1 (en) Method and apparatus for the computer-aided determination of a severity of a breach in integrity
EP3173928B1 (en) Method and device for checking a component error tree
DE102006020793A1 (en) Circuit arrangement and method for operating a circuit arrangement
EP3647801A1 (en) Method for testing a fpga program
EP2544090A1 (en) Computer system, computer-implemented method and computer program product for determining a pessimistic time response by an error tolerance mechanism

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10779507

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 10779507

Country of ref document: EP

Kind code of ref document: A1