WO2021223855A1 - Erweiterungsmodul mit manipulationsschutz - Google Patents

Erweiterungsmodul mit manipulationsschutz Download PDF

Info

Publication number
WO2021223855A1
WO2021223855A1 PCT/EP2020/062430 EP2020062430W WO2021223855A1 WO 2021223855 A1 WO2021223855 A1 WO 2021223855A1 EP 2020062430 W EP2020062430 W EP 2020062430W WO 2021223855 A1 WO2021223855 A1 WO 2021223855A1
Authority
WO
WIPO (PCT)
Prior art keywords
module
field device
expansion module
electronics
expansion
Prior art date
Application number
PCT/EP2020/062430
Other languages
English (en)
French (fr)
Inventor
Roland Welle
Original Assignee
Vega Grieshaber Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vega Grieshaber Kg filed Critical Vega Grieshaber Kg
Priority to PCT/EP2020/062430 priority Critical patent/WO2021223855A1/de
Priority to EP20724082.1A priority patent/EP4147097A1/de
Priority to US17/919,680 priority patent/US20230297055A1/en
Priority to CN202080100549.1A priority patent/CN115516386A/zh
Publication of WO2021223855A1 publication Critical patent/WO2021223855A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Definitions

  • the present application relates to a field device according to the preamble of claim 1, a modular field device concept according to the preamble of claim 14 and a method for operating a field device with the features of the preamble of claim 15.
  • field device subsumes various technical facilities that are directly related to a production process. Field devices can thus in particular be actuators, sensors and measuring transducers and / or evaluation devices.
  • Field devices with a modular structure which are assembled from a modular field device concept, are also known from the prior art.
  • a modular field device concept it is possible to select from a plurality of combinable sensors, housings, electronic units or electronic modules and operating and / or display units, which are each coordinated with one another, and a corresponding field device can be constructed.
  • Such a modular field device concept is offered, for example, by the company Vega Grieshaber KG.
  • a sensor, a corresponding electronics module that contains the field device electronics, ie in particular measured value processing and an interface to a controller and possibly a fieldbus used, as well as various display and / or operating units can usually be combined.
  • the sensors, electronic modules and displays and / or operating units are adapted to one another and to various available housings.
  • a further area of application results from the recently available autarkic field devices, in particular autarkic sensors.
  • Sensors i.e. field devices from this product family, are particularly easy to assemble without attaching a communication or supply line.
  • the measured values determined by these field devices are typically transferred to a cloud, ie to one, using narrowband radio technology (LoRa, Sigfox, NB-IOT) Server broadcast on the World Wide Web.
  • Typical application scenarios for such field devices include areas such as flood forecasting, inventory management or other decentralized measurement tasks. Due to the direct connection to the World Wide Web, such field devices are inherently exposed to a permanent threat from hacker attacks from the network.
  • Modular field devices are highly flexible in their application and configuration and can be adapted to a large number of application scenarios.
  • the problem arises that a previously defined composition of a modular field device must not be easily changed, be it for reasons of special coordination or configuration for a monitored process, for reasons of IT security, for protection within the company Know-how or for theft protection.
  • a field device according to the invention with an electronics module with field device electronics and at least one expansion module is characterized in that the electronics module and / or the field device is persistently connected to at least one expansion module.
  • the field device according to the invention is modular with at least one electronics module with the field device electronics and at least one expansion module, the field device electronics, which for the sake of simplicity is also referred to as electronics module, is persistently connected to the at least one expansion module.
  • persistent means “cannot be changed in an uncontrolled manner”, which means in particular that a change is either prevented or at least made more difficult and registered.
  • the electronics module and / or the field device and the expansion module are persistently connected, that the field device electronics and the expansion module and / or the field device and the expansion module cannot be separated from one another in an uncontrolled manner. In this way it is ensured that a configuration made up of electronics module and expansion module cannot be changed or at least not changed unnoticed. This protects the predetermined configuration from unauthorized changes and it can be ensured that no unauthorized interventions take place.
  • a persistent connection can be established, for example, in that the electronics module and / or the field device is mechanically persistently connected to the expansion module.
  • a mechanically persistent connection can be achieved by mechanically latching the expansion module to the electronics module and / or in a housing of the field device, for example by suitably arranged locking latches.
  • a mechanically persistent connection can be achieved by gluing, for example by means of an adhesive ring, which, when the expansion module is fully and correctly installed glued to the electronics module and / or the housing of the field device can be achieved.
  • a mechanically persistent, ie irreversible, connection can, for example, be designed as an irreversible snap-in connection and / or an irreversible screw connection and / or an irreversible adhesive connection and / or comprise an irreversible barrier.
  • An irreversible barrier can e.g. B. be a housing cover that closes a housing chamber in which the expansion module is arranged, irreversibly.
  • an original housing cover can be exchanged and replaced with a self-locking cover.
  • a self-locking lid can, for example, have latching hooks or the like that prevent the lid from opening after it has been fully closed for the first time. Additionally or alternatively, the self-locking cover can have a bond that fixes the cover in a screwed position.
  • the electronics module is electrically connected to the expansion module in a persistent manner.
  • an electrically persistent connection can be achieved by a persistent configuration of an electrical connection between the field device electronics in the electronics module and the expansion module.
  • electrical connectors in particular plug connectors, can be designed with a mechanically irreversible lock. This means, for example, that the connectors cannot be detached without being destroyed.
  • the electrical connection between the field device electronics and the expansion module can be designed to be inaccessible from the outside and thus tamper-proof.
  • the expansion module can also have no function and only provide physical access to electrical contacts of the Permanently close field device electronics.
  • different expansion stages of a field device with one and the same electronics module with identical field device electronics can be offered, whereby, for example, in a cheaper expansion stage, the connection of functional expansion modules is permanently prevented by the non-functional expansion module.
  • identical field device electronics By using identical field device electronics, higher quantities and thus lower costs can be achieved in production.
  • a firmware update can also be used to implement continuous monitoring of the electrical connections between the field device electronics and the expansion module. An unauthorized interruption of a connection can lead to an alarm signal and / or a shutdown of the field device and / or a blocking of the access to the configuration of the field device.
  • the field device electronics are logically and persistently connected to the expansion module.
  • a logically persistent connection means a link between the field device electronics and the expansion module through a unique identification.
  • the field device electronics and thus the electronics module can have a unique device identification and / or the expansion module can have a unique module identification.
  • the respective identification of the other module can be stored in an inaccessible memory area and thus checked alternately whether the correct module is connected.
  • the field device electronics can have a unique device certificate and / or the expansion module can have a unique module certificate. These certificates can also be exchanged, thus logically safeguarding the original configuration.
  • the certificates can also be used to encrypt communication between the modules.
  • Corresponding checksums can also be used to determine whether a stored device identification or a certificate has been changed. If this is the case, you can proceed as above with regard to an unauthorized interruption of the electrical connection.
  • the field device is preferably designed as a field device for process automation, preferably as a level, limit level, flow, density or density profile measuring device.
  • the expansion module can be designed as a blocking module, preferably a mechanical blocking module.
  • a blocking module can prevent mechanical access to electrical contacts or prevent the field device electronics from being removed from the housing of the field device.
  • the expansion module can be designed as a display and / or operating module.
  • the expansion module can also have a security module.
  • a security module can implement various functions and, in particular, be designed to be suitable for the implementation of predetermined IT security levels.
  • the legislators are also formulating new requirements for the operators and manufacturers of devices, which pursue the goal of critical infrastructure facilities (KRITIS) such as energy (electricity, gas, oil), transport (air, rail, water, road) To make drinking water supplies and digital infrastructure resistant to negligent or willful hacker attacks.
  • KRITIS critical infrastructure facilities
  • NIS Directive European Directive 2016/1148
  • the cyber security standards that have existed for a long time (e.g. IEC 62443, ISO 27001) require that the devices used there meet a standardized IT security level, also known as the Security Level (SL).
  • IEC 62443 (as of 08/2013, for example) has defined the following security levels for this, which are classified according to the means available to the attacker, the material and financial resources available, the technical skills and the underlying motivation.
  • the security level SLO is a purely theoretical construct with no risk of impairment or manipulation and therefore no measures are necessary.
  • the security level SL1 describes the ability of a system to avoid accidental and unintended impairment or manipulation.
  • the security level SL2 describes the ability of a system to defend against intended manipulations by interested individuals and companies with generic security knowledge.
  • the security level SL3 describes the ability of a system to defend against intentional manipulations by experts and companies who develop and use effective, but cost-oriented attack scenarios with clear goals.
  • the security level SL4 describes the ability of a system to defend against intentional manipulations by organizations with experts, who focus on achieving the specifically selected target at almost any price.
  • the expansion module can have a plurality of functional units for implementing the specified IT security level. In this way, several different expansion modules with different functional units can be made available, which implement different IT security levels in cooperation with a field device.
  • an expansion module can be designed in such a way that it can implement several different IT security levels in cooperation with a field device.
  • individual functional units that are not required or not permitted for implementing a certain IT security level can be deactivated or required or prescribed functional units activated so that several different IT security levels can be implemented with one expansion module.
  • functional units are understood to mean function blocks which are implemented in hardware and / or software and which are decisive for compliance with the specified IT security levels.
  • the IT security levels of different levels usually differ in at least one functional unit, ie that at least one functional unit is activated or deactivated to implement one IT security level, which is accordingly not activated or deactivated to implement another IT security level .
  • the IT security levels on which this application is based can relate to various aspects of IT security and can be implemented using various measures that are summarized in the functional units in the present application.
  • aspects of IT security as they can be implemented in the IT security levels subject to the registration, include various levels of identification and authentication of users, devices and software, usage control, securing the communication of the field device with regard to authentication and integrity as well as e.g. . of required reaction times.
  • the expansion module can have a first electrical interface for connecting the electronics module of the level measuring device and a communication module for connecting to a higher-level unit.
  • the retrofit module can be connected to the field device electronics, preferably a communication interface, more preferably a wired communication interface of the field device electronics.
  • the expansion module can use the communication module to establish external communication. Outwardly means in this sense to a unit outside the field device, in particular a higher-level unit, a control device or other field devices.
  • higher-level units can be used in addition to evaluation devices and computers, for example in a control room, as well as servers in a LAN (Local Area Network) or WAN (Wide Area Network) environment. This also applies to devices in virtual private networks (VPN).
  • VPN virtual private networks
  • the field device electronics and / or the expansion module can be designed in such a way that releasing the persistent connection triggers an error message. This can be done either, as described above, by monitoring electrical connections, or, as also described above, by contact switches, so-called sabotage contacts.
  • the expansion module is designed as a separately manageable unit. This means that the expansion module is designed as part of a modular system of different, coordinated modules and as a separate structural unit.
  • a modular field device concept according to the invention comprising a plurality of different sensors, a plurality of different housings, a plurality of electronic modules and a plurality of expansion modules is characterized in that at least one combination of housing and / or electronics module and expansion module is designed and coordinated in this way is that the electronics module and / or the housing can be connected persistently to at least one expansion module.
  • a method according to the invention for operating a field device with an electronics module with field device electronics and at least one expansion module is characterized in that the field device electronics and / or the field device is persistently connected to at least one expansion module.
  • the expansion module is permanently connected to the field device electronics, that is to say the electronics module, and / or the field device or its housing.
  • the electronics module and / or the field device is preferably mechanically connected to the expansion module and / or the field device electronics are connected electrically and / or logically to the expansion module in a persistent manner.
  • the field device electronics and / or the expansion module are preferably designed in such a way that a release of the persistent connection triggers an error message.
  • Figure 1 shows a field device according to the prior art
  • Figure 2 shows a first embodiment of a field device according to the present application
  • FIG. 3 shows a second exemplary embodiment of a field device in accordance with the present application
  • FIG. 4 shows an example of a method for operating a field device according to FIG. 3 and FIG. 4
  • FIG. 5 shows a third exemplary embodiment of a field device with an expansion module designed for this purpose.
  • FIG. 1 shows a field device according to the prior art.
  • the field device 101 is designed as a radar level measuring device.
  • the field device 101 has, as sensor 100, a transmitting and receiving device with a horn antenna.
  • an electronics module 102 is arranged with an electronics unit that is matched to the sensor 100 and has an electronic expansion interface 104.
  • expansion modules can be connected to this expansion interface 104 and installed in the field device 101 by the end customer himself. It is particularly common to have existing sensors 101 with a To expand expansion module 106, which is formed as a display and control unit. The expansion module 106 exchanges both energy and data with the field device electronics in the electronics module 102 via the electronic interface 104.
  • the expansion module 106 is fastened to the electronics module 102 by means of a standardized mechanical housing receptacle 105, for example a screw-in mechanism 105.
  • a housing cover 103 protects the overall electronics, consisting of electronics module 102 and expansion module 106, from mechanical and atmospheric interference.
  • Previous expansion modules 106 are basically designed to be able to be mounted and dismantled again as often as desired on one or more different field devices 101.
  • FIG. 2 shows a first exemplary embodiment of a field device 101 according to the present application with an expansion module 201, which in the present case is designed as a security module.
  • the security module 201 contains various hardware and software units which are required to implement a defined security level (SL) in cooperation with the field device electronics in the electronics module 102.
  • the security module 201 contains, in particular, a user administration 202 which contains a list of authorized users for a release for the configuration of the field device 101.
  • SL security level
  • the security module 201 has a mechanically persistent connection to the electronics module 102, which in the present exemplary embodiment is implemented by a cascade of flexible locking latches 203, which are pushed to the side when the security module 201 is installed on the electronics module 102, but when Place the attempt to remove the security module 201 across and hook it in such a way that dismantling is prevented.
  • safety module 201 By appropriately designing the mechanical dimensions of the safety module 201, electrical persistence can also be achieved.
  • electrical persistence in addition to the module 201 shown, in particular functionless modules can also be used, which are used exclusively for irreversible mechanical sealing.
  • the behavior of the field device 101 is changed in such a way that the currents in the feed line 107 are continuously monitored.
  • the operation of the field device 101 is interrupted after a fault message has been output after it is switched on again.
  • a last alarm signal for example fed from an energy store (not shown here), is transmitted wirelessly to a higher-level unit.
  • FIG. 3 shows a second exemplary embodiment of a field device 101 according to the present application.
  • the expansion module 301 used there is logically sealed in order to achieve logical persistence.
  • the expansion module 301 can be mechanically mounted as often as desired on the electronic module 102 and then removed.
  • the interaction of the components 302, 303, 304, 305 ensures that the expansion module 301 and the electronics module 102 are logically linked to one another in such a way that the field device can continue to operate without the expansion module 301 and / or a Installation of the expansion module 301 on another field device is no longer possible from now on.
  • the method begins with plugging in the expansion module 301 in step 401.
  • the expansion module 301 updates the firmware of the field device 101 by copying the firmware into the electronics module 102
  • Memory 303 stored information to a processor 304 in the electronics module 102, which then updates the program code 305.
  • step 403 the field device 101 is restarted, and according to the instructions of the program code, which is now new by the firmware update, instructed in step 404 to generate a unique sensor identification signature, for example a numerical code.
  • the code is transmitted to the expansion module 301 in step 405, whereupon the expansion module stores this signature in the non-volatile memory 303. From now on, the expansion module 301 will only start operating in conjunction with that electronic module 102 whose signature matches the signature stored in the memory 303.
  • step 406 the expansion module 301 sends its own, for example factory-generated, secret signature back to the electronics module 102.
  • this signature is now checked, and here in particular compared with the signature of an accepted module transmitted by the software update.
  • the normal operating mode of the field device 101 for determining a measured value is activated in step 409.
  • step 410 a fault report is transmitted to the outside in a wired or wireless manner, and regular sensor operation is refused.
  • step 411 The method ends in step 411.
  • the electronics module 102 and the expansion module 301 can henceforth only be operated jointly in precisely this combination, and consequently are logically clearly coupled to one another.
  • the expansion module 301 can therefore be viewed as logically persistent in the context of the present invention.
  • FIG. 5 shows a field device 502 with an expansion module 501 designed for this purpose.
  • the expansion module 501 has devices 203 which lead to mechanical persistence of the expansion module 501 after assembly.
  • the expansion module 501 is presently equipped as a so-called blocking module without additional functions, and also has no connection to the expansion interface 104 of the electronics module 102.
  • the embodiment shown can in particular be used to implement different variants of a field device with different market prices.
  • the field device 502 is made available on the market, for example, as an inexpensive sensor without the option of expandability.
  • the standardized sensor electronics which are also used in expandable devices, can also be used in the inexpensive variant, but to prevent the expandability by mechanically covering the expansion interface 104. This can be done in a simple manner by applying a mechanically persistent expansion module with corresponding locking catches 203 already at the manufacturer.
  • the mechanical interface between the expansion module 501 and the electronics module 102 can be designed in such a way that if the expansion module 501 is forcibly removed against the resistance of the locking catches, a mechanical receptacle on the electronics module 102 is damaged in this way or is destroyed that attaching a functional expansion module becomes impossible after forcibly removing the locking module.
  • connection cable 503 is attached to a connection block with electrical contacts 204 of the electronics module 102 at the manufacturer's premises, and thus the interior of the electronics module 102 is completely protected from external manipulation or unauthorized expansions. Provision can also be made to prevent or limit the expandability of existing field devices for certain countries or target markets in order not to violate existing third party property rights in these countries. Provision can also be made to ensure that configurations relevant to approval, for example a flameproof encapsulation of the field device 502 that is relevant for explosion protection, are invariably ensured by means of suitable persistent additional modules.
  • the expansion module 501 can also be designed in the form of a persistent housing cover 504, which can be glued to the housing of the field device 502, for example.
  • the module 501 has, for example, a mechanical persistence.
  • electrical and / or logical persistence can be used to achieve the above-mentioned goals.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Feldgerät (101) mit einem Erweiterungsmodul (201), wobei das Feldgerät (101) mit dem Erweiterungsmodul (201) persistent verbunden ist.

Description

Erweiterungsmodul mit Manipulationsschutz
Die vorliegende Anmeldung betrifft ein Feldgerät gemäß dem Oberbegriff des Pa tentanspruchs 1, ein modulares Feldgerätekonzept gemäß dem Oberbegriff des Patentanspruchs 14 sowie ein Verfahren zum Betreiben eines Feldgeräts mit den Merkmalen des Oberbegriffs des Patentanspruchs 15.
Aus dem Stand der Technik sind verschiedene Arten von Feldgeräten bekannt.
Unter dem Begriff Feldgerät werden dabei verschiedene technische Einrichtungen subsummiert, die mit einem Produktionsprozess in direkter Beziehung stehen. Feldgeräte können damit insbesondere Aktoren, Sensoren und Messumformer und/oder Auswertegeräte sein.
Deutlich von Feldgeräten abzugrenzen sind in der Terminologie, wie sie in der vor liegenden Anmeldung verwendet wird, übergeordnete Einheiten, die dem Bereich der Leitwarten zuzuordnen sind.
Feldgeräte messen als Prozessmessgeräte seit vielen Jahren zuverlässig prozess relevante Messgrößen von Medien in den unterschiedlichsten Anwendungen. In den Anfangsjahren der Prozessleittechnik wurden die ermittelten Messwerte zu meist in analoger Weise mit Hilfe analoger Schnittstellen, beispielsweise einer 4- 20 mA Schnittstelle, von einem Prozessmessgerät hin zu einer übergeordneten Einheit bspw. einem Auswertegerät oder einer Prozessleitstelle übertragen. Im Zuge der Digitalisierung wurde dieser Standard durch zusätzliches Einprägen digi taler Signale, beispielsweise nach dem HART-Standard, erweitert, wodurch auch eine bidirektionale Kommunikation zwischen Prozessmessgerät und Prozessleit stelle möglich wurde. Charakteristisch an solchen Prozessleitsystemen war aber, dass die Anlagen im Wesentlichen im Inselbetrieb betrieben wurden. Eine Verbin dung zwischen unterschiedlichen Prozessleitsystemen verschiedener Standorte o- der verschiedener Firmen oder eine Anbindung der Systeme ans World Wide Web war nicht vorgesehen. Aus dem Stand der Technik sind ferner modular aufgebaute Feldgeräte, die aus einem modularen Feldgerätekonzept zusammengestellt sind, bekannt. Bei einem modularen Feldgerätekonzept können aus einer Mehrzahl von kombinierbaren Sensoren, Gehäusen, Elektronikeinheiten bzw. Elektronikmodulen und Bedien- und/ oder Anzeigeeinheiten, die jeweils aufeinander abgestimmt sind, ausgewählt und ein entsprechendes Feldgerät aufgebaut werden. Ein solches modulares Feld gerätekonzept wird bspw. von der Firma Vega Grieshaber KG angeboten. Kombi nierbar sind in der Regel ein Sensor, ein entsprechendes Elektronikmodul, das die Feldgeräteelektronik, d.h. insbesondere eine Messwertverarbeitung und eine Schnittstelle zu einer Steuerung und ggf. einem verwendeten Feldbus enthält, so wie verschiedene Anzeige- und/oder Bedieneinheiten. Die Sensoren, Elektronik- module und Anzeige und/oder Bedieneinheiten sind sowohl aneinander als auch an verschiedene verfügbare Gehäuse angepasst.
Bekannte Feldgeräte für die Prozessautomatisierung weisen bislang nur hersteller spezifisch definierte Vorrichtungen und Verfahren zur Umsetzung von Aspekten der IT-Sicherheit auf. Neuere gesetzliche Vorgaben in verschiedenen Ländern for dern, für kritische Infrastruktureinrichtungen (KRITIS) vorgegebene Sicherheits stufen (Security Level, SL) zu implementieren.
In den letzten Jahren hat sich insbesondere mit den Ansätzen der vierten indust riellen Revolution (Industrie 4.0) die Notwendigkeit herausgestellt, durch einen höheren Grad der Vernetzung ganze Prozessleitsysteme oder aber auch ganze Pro duktionsstandorte miteinander zu verknüpfen, beispielsweise über das World Wide Web. Die damit einhergehende Vernetzung von Industrial-IT-Systemen und Office- IT-Systemen führt allerdings zu einer Reihe neuer Herausforderungen, insbeson dere im Bereich der IT-Security, die eine Fortentwicklung bestehender Geräte und Komponenten zwingend notwendig macht.
Ein weiterer Anwendungsbereich ergibt sich durch seit kurzer Zeit verfügbare au tarke Feldgeräte, insbesondere autarke Sensoren. Sensoren, also Feldgeräte die ser Produktfamilie zeichnen sich durch eine besonders einfache Montage ohne An bringen einer Kommunikations- oder Versorgungsleitung aus. Die von diesen Feld geräten ermittelten Messwerte werden typischerweise unter Verwendung einer Schmalbandfunktechnologie (LoRa, Sigfox, NB-IOT) in eine Cloud, d. h. auf einen Server im World Wide Web übertragen. Typische Anwendungsszenarien für solche Feldgeräte umfassen Bereiche wie die Hochwasservorhersage, Lagerbestandsver waltung oder auch andere dezentral verteilte Messaufgaben. Durch die direkte An bindung ans World Wide Web sind solche Feldgeräte inhärent einer permanenten Bedrohung durch Hackerangriffe aus dem Netz ausgesetzt.
Neuere Anforderungen an Feldgeräte zielen darauf ab, diese robust gegenüber Sa botageangriffen zu machen, infolge derer massive materielle und immaterielle Schäden an Gebäuden, Anlagen, Lebewesen und der Umwelt entstehen könnten. Solche Sabotageangriffe können durch physische Einwirkung vor Ort, oder durch Hackerangriffe aus einem Netzwerk heraus erfolgen und zu massiven Beeinträch tigungen führen. Darüber hinaus können Aspekte im Hinblick auf Diebstahlschutz, Explosionsschutz, Vertraulichkeit interner Verdrahtungsdetails die Notwenigkeit ei ner Verhinderung einer unbefugten Demontage eines Erweiterungsmoduls von ei nem Sensor begründen.
Modular aufgebaute Feldgeräte sind in ihrer Anwendung und Konfiguration hoch flexibel und lassen sich an eine Vielzahl von Anwendungsszenarien anpassen. In diesem Zusammenhang stellt sich das Problem, dass eine vorab definierte Zusam menstellung eines modular aufgebauten Feldgerätes nicht ohne weiteres verändert werden darf, sei es aus Gründen der speziellen Abstimmung oder Konfiguration für einen überwachten Prozess, aus Gründen der IT-Sicherheit, zum Schutz firmenin ternen Know-Hows oder zum Diebstahlschutz.
Es ist die Aufgabe der vorliegenden Erfindung, ein modulares Feldgerät, ein mo dulares Feldgerätekonzept sowie ein Verfahren zum Betreiben modularer Feldge räte derart weiterzubilden, dass die neu aufkommenden Anforderungen erfüllt werden, während gleichzeitig die Flexibilität der Modularität bleibt.
Diese Aufgabe wird durch ein Feldgerät mit den Merkmalen des Patentanspruchs 1, ein modulares Feldgerätekonzept mit den Merkmalen des Patentanspruchs 14 sowie ein Verfahren zum Betreiben eines modularen Feldgeräts mit den Merkmalen des Patentanspruchs 15 gelöst. Ein erfindungsgemäßes Feldgerät mit einem Elektronikmodul mit einer Feldgerä teelektronik und wenigstens einem Erweiterungsmodul zeichnet sich dadurch aus, dass das Elektronikmodul und/oder das Feldgerät mit wenigstens einem Erweite rungsmodul persistent verbunden ist.
Das erfindungsgemäße Feldgerät ist modular mit wenigstens einem Elektronikmo dul mit der Feldgeräteelektronik und wenigstens einem Erweiterungsmodul aufge baut, wobei die Feldgeräteelektronik, die der Einfachheit halber auch als Elektro nikmodul bezeichnet wird, persistent mit dem wenigstens einen Erweiterungsmo dul verbunden ist.
Persistent bedeutet in diesem Zusammenhang „nicht unkontrolliert veränderlich", das heißt insbesondere, dass eine Veränderung entweder unterbunden oder zu mindest erschwert und registriert wird.
Im vorliegenden Fall bedeutet, dass das Elektronikmodul und/oder das Feldgerät und das Erweiterungsmodul persistent verbunden sind, dass die Feldgeräteelekt ronik und das Erweiterungsmodul und/oder das Feldgerät und das Erweiterungs modul nicht unkontrolliert voneinander getrennt werden können. Auf diese Weise wird gewährleistet, dass eine einmal hergestellte Konfiguration aus Elektronikmo dul und Erweiterungsmodul nicht oder zumindest nicht unbemerkt verändert wer den kann. Hierdurch wird die vorbestimmte Konfiguration vor unautorisierten Ver änderungen geschützt und es kann sichergestellt werden, dass keine unbefugten Eingriffe erfolgen.
Eine persistente Verbindung kann bspw. dadurch hergestellt werden, dass das Elektronikmodul und/oder das Feldgerät mechanisch persistent mit dem Erweite rungsmodul verbunden ist.
Eine mechanisch persistente Verbindung kann in einer ersten Ausgestaltungsform durch eine mechanische Verrastung des Erweiterungsmoduls an dem Elektronik modul und/oder in einem Gehäuse des Feldgerätes, bspw. durch geeignet ange ordnete Sperrasten erreicht werden. Zusätzlich oder alternativ kann eine mecha nisch persistente Verbindung durch eine Verklebung, bspw. durch einen Klebering, der bei einer vollständigen und korrekten Montage des Erweiterungsmoduls mit dem Elektronikmodul und/oder dem Gehäuse des Feldgerätes verklebt, erreicht werden. Eine mechanisch persistente, also irreversible Verbindung kann bspw. als irreversible Rastverbindung und/oder eine irreversible Schraubverbindung und/o der eine irreversible Klebeverbindung ausgebildet sein und/oder eine irreversible Barriere umfassen.
Eine irreversible Barriere kann z. B. ein Gehäusedeckel sein, der eine Gehäuse kammer, in der das Erweiterungsmodul angeordnet ist, irreversibel verschließt. Dazu kann ein ursprünglicher Gehäusedeckel ausgetauscht und mit einem selbst sichernden Deckel ersetzt werden. Ein selbstsichernder Deckel kann bspw. Rast haken oder dergleichen aufweisen, die ein Öffnen des Deckels nach einem erstma ligen vollständigen Verschließen, verhindern. Zusätzlich oder alternativ kann der selbstsichernde Deckel eine Verklebung aufweisen, die den Deckel in einer ver schraubten Position fixiert.
Sowohl eine vorschriftsgemäße Installation des Erweiterungsmoduls als auch ein möglicherweise unzulässiges Entfernen können mittels entsprechender Kontakt schalter überwacht werden. Ein solcher Sabotagekontakt würde der übergeordne ten Einheit dann melden, wenn das Erweiterungsmodul widerrechtlich entfernt o- der manipuliert wurde. Der widerrechtliche Eingriff wird so erkannt und es können Gegenmaßnahmen ergriffen werden.
In einer weiteren Ausgestaltungsform ist das Elektronikmodul elektrisch persistent mit dem Erweiterungsmodul verbunden. Eine elektrisch persistente Verbindung kann in einer Variante durch eine persistente Ausgestaltung einer elektrischen Ver bindung zwischen der Feldgeräteelektronik in dem Elektronikmodul und dem Er weiterungsmodul erreicht werden. Bspw. können elektrische Verbinder, insbeson dere Steckverbinder, mit einer mechanisch irreversiblen Verriegelung ausgestaltet sein. Das bedeutet bspw., dass die Steckverbinder nicht zerstörungsfrei gelöst werden können. Zusätzlich oder alternativ kann die elektrische Verbindung zwi schen der Feldgeräteelektronik und dem Erweiterungsmodul von außen unzugäng lich und damit manipulationssicher ausgestaltet sein.
In dieser Ausgestaltungsform kann das Erweiterungsmodul auch funktionslos sein und lediglich einen physischen Zugang zu elektrischen Kontakten der Feldgeräteelektronik dauerhaft verschließen. Auf diese Weise können unterschied liche Ausbaustufen eines Feldgeräts mit ein und demselben Elektronikmodul mit identischer Feldgeräteelektronik angeboten werden, wobei bspw. in einer günsti geren Ausbaustufe der Anschluss von funktionsfähigen Erweiterungsmodulen durch das funktionslose Erweiterungsmodul dauerhaft verhindert wird. Durch die Verwendung der identischen Feldgeräteelektronik können bei der Produktion hö here Stückzahlen und damit sinkende Kosten realisiert werden.
Zusätzlich oder alternativ kann auch durch ein Firmware-Update eine kontinuierli che Überwachung der elektrischen Verbindungen zwischen der Feldgeräteelektro nik und dem Erweiterungsmodul implementiert werden. Eine nicht autorisierte Un terbrechung einer Verbindung kann zu einem Alarmsignal und/oder einer Außer betriebsetzung des Feldgeräts und/oder einer Blockierung des Zugriffs auf die Kon figuration des Feldgeräts führen.
In einer weiteren Ausgestaltungsform ist die Feldgeräteelektronik logisch persis tent mit dem Erweiterungsmodul verbunden. Eine logisch persistente Verbindung bedeutet eine Verknüpfung von Feldgeräteelektronik und Erweiterungsmodul durch eine eindeutige Identifikation.
Bspw. kann die Feldgeräteelektronik und damit das Elektronikmodul eine eindeu tige Geräteidentifikation aufweisen und/oder das Erweiterungsmodul eine eindeu tige Modulidentifikation aufweisen. Die jeweilige Identifikation des anderen Mo duls, kann in einem unzugänglichen Speicherbereich abgelegt und so wechselweise überprüft werden, ob das korrekte Modul verbunden ist.
Zusätzlich oder alternativ kann die Feldgeräteelektronik eine eindeutiges Geräte zertifikat und/oder das Erweiterungsmodul ein eindeutiges Modulzertifikat aufwei sen. Auch diese Zertifikate können ausgetauscht und so die ursprüngliche Konfi guration logisch abgesichert werden.
Die Zertifikate können ferner für eine Verschlüsselung der Kommunikation zwi schen den Modulen verwendet werden. Durch entsprechende Prüfsummen kann ferner festgestellt werden, ob eine abge speicherte Geräteidentifikation oder ein Zertifikat verändert wurde. Ist dies der Fall, so kann wie oben in Bezug auf eine unautorisierte Unterbrechung der elektri schen Verbindung verfahren werden.
Das Feldgerät ist vorzugsweise als Feldgerät der Prozessautomatisierung, vorzugs weise als Füllstand-, Grenzstand- Durchfluss-, Dichte- oder Dichteprofilmessgerät ausgebildet.
Das Erweiterungsmodul kann wie oben beschrieben als Sperrmodul, vorzugsweise mechanisches Sperrmodul ausgebildet sein. Durch ein solches Sperrmodul kann ein mechanischer Zugang zu elektrischen Kontakten verhindert oder ein Ausbau der Feldgeräteelektronik aus dem Gehäuse des Feldgeräts verhindert werden.
Alternativ kann das Erweiterungsmodul als Anzeige- und/oder Bedienmodul aus gebildet sein.
Das Erweiterungsmodul kann ferner ein Sicherheitsmodul aufweisen. Ein solches Sicherheitsmodul kann verschiedene Funktionen implementieren, und insbeson dere zur Implementierung von vorgegebenen IT-Sicherheitsstufen geeignet aus gebildet sein.
Um auch zukünftig die Verfügbarkeit von Produktivsystemen zu gewährleisten, werden aktuell von verschiedenen Branchen Standards definiert, die darauf abzie len, die Komponenten von Prozessleitsystemen in Bezug auf ihre Resilienz gegen über fahrlässig oder mutwillig initiierten äußeren Angriffen zu härten und somit die Verfügbarkeit der Feldgeräte zu erhöhen und damit die Produktivität der Anlagen betreiber zu sichern.
Darüber hinaus werden auch von Seite der Gesetzgeber neue Anforderungen an die Betreiber und Hersteller von Geräten formuliert, welche das Ziel verfolgen, kritische Infrastruktureinrichtungen (KRITIS) wie beispielsweise Energie (Strom, Gas, Öl), Transport (Luft, Bahn, Wasser, Straße), Trinkwasserversorgung oder auch digitale Infrastruktur widerstandsfähig gegenüber fahrlässigen oder mutwil ligen Hackerangriffen zu machen. Beispielhaft hierfür steht die vom Europäischen Parlament beschlossene Richtlinie 2016/1148 (NIS-Richtlinie), welche inzwischen von den Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt worden ist. Abhängig von der Gefährdungslage am jeweiligen Anwendungsort wird in den bis lang existierenden Cyber-Security-Normen (z.B. IEC 62443, ISO 27001) gefordert, dass die dort eingesetzten Geräte eine standardisierte IT-Sicherheitsstufe, auch Security Level (SL) genannt, erfüllen. Die IEC 62443 (Stand_08/2013 zum Beispiel), hat dafür die folgenden Security Levels definiert, die nach den dem Angreifer zur Verfügung stehenden Mitteln, zur Verfügung stehenden materiellen und finanziellen Ressourcen, den technischen Fähigkeiten sowie der zugrundeliegenden Motivation eingeteilt werden.
Figure imgf000009_0001
Die Sicherheitsstufe SLO ist dabei ein rein theoretisches Konstrukt, bei dem kei nerlei Beeinträchtigungs- oder Manipulationsrisiko besteht und daher keine Maß nahmen notwendig sind. Die Sicherheitsstufe SL1 beschreibt die Fähigkeit eines Systems, zufällige und un beabsichtigte Beeinträchtigungen oder Manipulationen zu vermeiden.
Die Sicherheitsstufe SL2 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma nipulationen von interessierten Einzelpersonen und Firmen mit generischen Security-Kenntnissen, abzuwehren. Die Sicherheitsstufe SL3 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma nipulationen von Experten und Firmen, die mit klaren Zielen effektive, jedoch kos tenorientierte Angriffsszenarien entwickeln und einsetzen, abzuwehren.
Die Sicherheitsstufe SL4 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma nipulationen von Organisationen mit Experten, bei denen die Erreichung des spe zifisch ausgewählten Angriffsziels um fast jeden Preis im Vordergrund steht, abzu wehren.
Für die Hersteller von Feldgeräten, insbesondere auch für die Hersteller von Füll stand- und Drucksensoren, erwächst aus diesen Rahmenbedingungen die Notwen digkeit, die in unterschiedlichen (branchenspezifischen) Normen und Gesetzen verankerten IT-Security Vorgaben umzusetzen.
Diese Umsetzung erweiterter Maßnahmen macht es regelmäßig erforderlich, zu sätzliche Hardwarekomponenten und/oder zusätzliche Softwarekomponenten in die Feldgeräte zu integrieren. Wird für bestehende Geräte die Erfüllung einer Si cherheitsstufe (SL) gefordert, oder ändern sich die Anforderungen zur Erlangung einer Zertifizierung für eine definierte Sicherheitsstufe (SL), so führt dies regelmä ßig dazu, die mechanische und elektrische Konstruktion solcher Geräte überarbei ten zu müssen. Bereits ausgelieferte Geräte müssen vom Kunden dann durch die entsprechend zertifizierten Nachfolgegeräte ausgetauscht werden, was zu entspre chenden Kosten und Wartungsaufwand führt.
Zudem besteht das Problem, dass branchenspezifische Normen mit den jeweils darin definierten IT-Sicherheitsstufen SL technisch berücksichtigt werden müssen. Außerdem ist den unterschiedlichen Regelungen von Seiten des Gesetzgebers Rechnung zu tragen.
Darüber hinaus besteht auf Seiten der Hersteller das Problem, dass Geräte für unterschiedliche Sicherheitsnormen und unterschiedliche Sicherheitsstufen (SL), ggf. auch entsprechend den unterschiedlichen Normen in verschiedenen Ländern, entwickelt, gefertigt und vertrieben werden müssen. Diese Anforderungen können herstellerseitig gut durch ein Erweiterungsmodul er füllt werden, das je nach geforderter IT-Sicherheitsstufe mit der Feldgeräteelekt ronik kombiniert werden kann.
Es ist dadurch möglich, mittels einer Mehrzahl unterschiedlicher Erweiterungsmo- dule sowohl Neugeräte als auch Bestandsgeräte mit unterschiedlichen IT- Sicherheitsstufen auszustatten bzw. zur Verfügung zu stellen, ohne dass es not wendig wäre jeweils ein vollständig neues Gerät, das die jeweilige IT- Sicherheitsstufe implementiert vorzuhalten. Für Hersteller wird es dadurch einfa cher angepasste Feldgeräte anzubieten, wobei aber ein Grundgerät identisch bleibt und dies nur durch das entsprechende Erweiterungsmodul ergänzt wird. Für An wender oder Betreiber von Bestandsgeräten wird auf diese Weise die Möglichkeit eröffnet, ihre Bestandsgeräte an geänderte IT-Sicherheitsanforderungen anzupas sen, ohne die jeweiligen Bestandsgeräte austauschen zu müssen. Die Bestands geräte werden durch ein Erweiterungsmodul, das die gewünschte IT- Sicherheitsstufe implementiert, nachgerüstet und so für eine Betrieb unter gestei gerten IT-Sicherheitsanforderungen ertüchtigt.
Das Erweiterungsmodul kann eine Mehrzahl von funktionalen Einheiten zur Imple mentierung der vorgegebenen IT-Sicherheitsstufe aufweisen. Auf diese Weise kön nen mehrere unterschiedliche Erweiterungsmodule mit unterschiedlichen funktio nalen Einheiten zur Verfügung gestellt werden, die in Zusammenwirken mit einem Feldgerät unterschiedliche IT-Sicherheitsstufen implementieren.
Alternativ kann ein Erweiterungsmodul derart ausgestaltet sein, dass es in Zusam menwirkung mit einem Feldgerät mehrere unterschiedlichen IT-Sicherheitsstufen implementieren kann. Das bedeutet in diesem Zusammenhang, dass durch we nigstens zwei funktionale Einheiten wenigstens zwei unterschiedliche IT- Sicherheitsstufen implementiert werden können. Je nach den gegebenen Anforde rungen können dann einzelne zur Implementierung einer bestimmten IT- Sicherheitsstufe nicht benötigte oder nicht zulässige funktionale Einheiten deakti viert oder benötiget oder vorgeschriebene funktionalen Einheiten aktiviert werden, sodass mit einem Erweiterungsmodul mehrere unterschiedliche IT- Sicherheitsstufen implementiert werden können. Unter funktionalen Einheiten werden in der vorliegenden Anmeldung in Hardware und/oder Software implementierte Funktionsblöcke verstanden, die für die Einhal tung der vorgegebenen IT-Sicherheitsstufen ausschlaggebend sind. Insbesondere unterscheiden sich in der Regel die IT-Sicherheitsstufen unterschiedlicher Höhe wenigstens in einer funktionalen Einheit, d. h. dass zur Implementierung der einen IT-Sicherheitsstufe wenigstens eine funktionale Einheit aktiviert oder deaktiviert ist, die zur Implementierung einer anderen IT-Sicherheitsstufe entsprechend nicht aktiviert oder deaktiviert ist.
Die dieser Anmeldung zugrundeliegenden IT-Sicherheitsstufen können verschie dene Aspekte der IT-Sicherheit betreffen und durch verschiedene Maßnahmen, die in der vorliegenden Anmeldung in den funktionalen Einheiten zusammengefasst sind, implementiert werden.
Aspekte der IT-Sicherheit, wie sie in den anmeldungsgegenständlichen IT- Sicherheitsstufen implementiert sein können, sind unter anderem verschiedene Stufen der Identifikation und Authentifizierung von Nutzern, Geräten und Soft ware, der Nutzungskontrolle, der Absicherung der Kommunikation des Feldgerätes hinsichtlich Authentifizierung und Integrität sowie bspw. von geforderten Reakti onszeiten.
Das Erweiterungsmodul kann dazu eine erste elektrische Schnittstelle zur Verbin dung des Elektronikmoduls des Füllstandmessgeräts und ein Kommunikationsmo dul zur Verbindung mit einer übergeordneten Einheit aufweisen. Mittels der ersten elektrischen Schnittstelle kann das Nachrüstmodul mit der Feldgeräteelektronik, vorzugsweise einer Kommunikationsschnittstelle, weiter bevorzugt einer verdrah teten Kommunikationsschnittstelle der Feldgeräteelektronik verbunden werden. Mit dem Kommunikationsmodul kann das Erweiterungsmodul eine Kommunikation nach außen aufbauen. Nach außen bedeutet in diesem Sinne zu einer Einheit au ßerhalb des Feldgerätes, insbesondere einer übergeordneten Einheit, einem Be diengerät oder anderen Feldgeräten.
Übergeordnete Einheiten können in diesem Zusammenhang neben Auswertegerä ten und Computern bspw. in einer Leitwarte auch Server in einer LAN- (Local Area Network) oder WAN (Wide Area Network) Umgebung sein. Auch Geräte in Virtuel len Privaten Netzwerken (VPN) sind hiervon erfasst.
In einer Ausgestaltungsform können die Feldgeräteelektronik und/oder das Erwei terungsmodul derart ausgebildet sein, dass ein Lösen der persistenten Verbindung eine Fehlermeldung auslöst. Dies kann entweder, wie oben beschrieben durch eine Überwachung elektrischer Verbindungen, oder, wie ebenfalls oben beschrieben durch Kontaktschalter, sog. Sabotagekontakte, erfolgen.
Insbesondere sei an dieser Stelle betont, dass das Erweiterungsmodul als separat handhabbare Einheit ausgebildet ist. Das bedeutet, dass das Erweiterungsmodul als Teil eines Baukastensystems verschiedener, aufeinander abgestimmter Module und als separate Baueinheit ausgebildet ist.
Ein erfindungsgemäßes modulares Feldgerätekonzept umfassend eine Mehrzahl unterschiedlicher Sensoren, eine Mehrzahl unterschiedlicher Gehäuse, eine Mehr zahl von Elektronikmodulen sowie eine Mehrzahl von Erweiterungsmodulen, zeich net sich dadurch aus, dass wenigstens eine Kombination aus Gehäuse und/oder Elektronikmodul und Erweiterungsmodul derart ausgestaltet und aufeinander ab gestimmt ist, dass das Elektronikmodul und/oder das Gehäuse mit wenigstens ei nem Erweiterungsmodul persistent verbindbar ist.
Ein erfindungsgemäßes Verfahren zum Betreiben eines Feldgeräts mit einem Elekt ronikmodul mit einer Feldgeräteelektronik und wenigstens einem Erweiterungsmo dul zeichnet sich dadurch aus, dass die Feldgeräteelektronik und/oder das Feldge rät mit wenigstens einem Erweiterungsmodul persistent verbunden wird. Bei ei nem Aufbau oder einer erstmaligen Inbetriebnahme des Feldgeräts wird also das Erweiterungsmodul dauerhaft mit der Feldgeräteelektronik, also dem Elektronik modul, und/oder dem Feldgerät, respektive dessen Gehäuse verbunden.
Das Elektronikmodul und/oder das Feldgerät wird vorzugsweise mechanisch per sistent mit dem Erweiterungsmodul verbunden und/oder es wird die Feldgerä teelektronik mit dem Erweiterungsmodul elektrisch und/oder logisch persistent verbunden.
Auf diese Weise wird ein unbefugtes Lösen der Verbindung unterbunden. Vorzugsweise ist die Feldgeräteelektronik und/oder das Erweiterungsmodul derart ausgebildet, dass ein Lösen der persistenten Verbindung eine Fehlermeldung aus löst.
Auf diese Weise wird ein unbemerktes Lösen der Verbindung verhindert.
Die vorliegende Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Bezug auf die beigefügten Figuren eingehend erläutert. Es zeigen:
Figur 1 ein Feldgerät gemäß dem Stand der Technik,
Figur 2 ein erstes Ausführungsbeispiel eines Feldgeräts gemäß der vorliegen den Anmeldung,
Figur 3 ein zweites Ausführungsbeispiel eines Feldgeräts gemäß der vorlie genden Anmeldung,
Figur 4 ein Beispiel für ein Verfahren zum Betreiben eines Feldgeräts gemäß Figur 3 und
Figur 5 ein drittes Ausführungsbeispiels eines Feldgeräts mit einem hierzu ausgeführten Erweiterungsmodul.
Figur 1 zeigt ein Feldgerät gemäß dem Stand der Technik.
Das Feldgerät 101 ist im vorliegenden Ausführungsbeispiel als Radarfüllstand messgerät ausgebildet. Das Feldgerät 101 weist als Sensor 100 eine Sende- und Empfangseinrichtung mit einer Hornantenne auf. In einem Gehäuse des Feldgeräts 101 ist ein Elektronikmodul 102 mit einer auf den Sensor 100 abgestimmten Elekt ronikeinheit angeordnet, die über eine elektronische Erweiterungsschnittstelle 104 verfügt.
An dieser Erweiterungsschnittstelle 104 können verschiedene Erweiterungsmodule angeschlossen und vom Endkunden in Eigenregie im Feldgerät 101 montiert wer den. Besonders verbreitet ist, bestehende Sensoren 101 mit einem Erweiterungsmodul 106 zu erweitern, das als Anzeige- und Bedieneinheit ausge bildet ist. Das Erweiterungsmodul 106 tauscht über die elektronische Schnittstelle 104 sowohl Energie als auch Daten mit der Feldgeräteelektronik in dem Elektro nikmodul 102 aus.
Mechanisch ist das Erweiterungsmodul 106 mittels einer standardisierten mecha nischen Gehäuseaufnahme 105, beispielsweise einem Eindrehmechanismus 105 an dem Elektronikmodul 102 befestigt. Ein Gehäusedeckel 103 schützt die aus Elektronikmodul 102 und Erweiterungsmodul 106 bestehende Gesamtelektroni keinheit vor mechanischen und atmosphärischen Störeinflüssen.
Bisherige Erweiterungsmodule 106 sind grundsätzlich dafür ausgelegt, beliebig oft auf einem oder mehreren unterschiedlichen Feldgeräten 101 montiert und wieder demontiert werden zu können.
Aktuelle Anforderungen legen immer größeren Wert darauf, einen unbefugten Zu griff auf ein Feldgerät 101 oder einen Sabotageversuch zur Störung des Feldgerä tes 101 oder bspw. eines Messablaufes zu verhindern.
Bisherige Lösungen aus dem Stand der Technik sehen vor, einen unbefugten Zu griff durch eine PIN Abfrage in dem als Anzeige- und Bedienmodul ausgebildeten Erweiterungsmodul 106 zu verhindern. Dies kann allerdings nicht verhindern, dass während einer Sabotage das Erweiterungsmodul 106 und/oder das Elektronikmo dul 102 entfernt oder hardwareseitig manipuliert werden. Schlimmstenfalls wird das gesamte Feldgerät 101 von einer Zuleitung 107 getrennt, und durch einen Scheinsensor, welcher an die Zuleitung 107 angeschlossen wird, ersetzt. Die von diesem Scheinsensor gelieferten analogen und/oder digitalen Messwerte lassen sich beliebig manipulieren, so dass komplette Produktivsysteme außer Betrieb ge setzt werden können.
Figur 2 zeigt ein erstes Ausführungsbeispiel eines Feldgeräts 101 gemäß der vor liegenden Anmeldung mit einem Erweiterungsmodul 201, das vorliegend als Si cherheitsmodul ausgestaltet ist. Das Sicherheitsmodul 201 beinhaltet verschiedene Hard- und Softwareeinheiten, welche erforderlich sind, im Zusammenwirken mit der Feldgeräteelektronik in dem Elektronikmodul 102 eine definierte Sicherheitsstufe (SL) zu realisieren. Das Si cherheitsmodul 201 beinhalte im vorliegenden Ausführungsbeispiel insbesondere eine Benutzerverwaltung 202, welche eine Liste mit zugelassenen Benutzern für eine Freigabe zur Konfiguration des Feldgerätes 101 enthält. Zur Sicherstellung des Sicherheitskonzeptes, d.h. um sicher zu stellen, dass die IT-Sicherheitsstufe (SL) nicht verändert wird, kann es notwendig sein, eine Demontage des Sicher heitsmoduls 201 fortan zu verhindern, damit nicht mit existierenden Modulen 106 ein unkontrollierter Zugang zum Feldgerät 101 realisiert werden kann. Zu diesem Zweck weist das Sicherheitsmodul 201 eine mechanisch persistente Verbindung zu dem Elektronikmodul 102 auf, die im vorliegenden Ausführungsbeispiel durch eine Kaskade flexibler Sperrrasten 203 realisiert wird, welche bei der Installation des Sicherheitsmoduls 201 auf das Elektronikmodul 102 zur Seite gedrückt wer den, sich jedoch beim Versuch eines Entfernens des Sicherheitsmoduls 201 quer legen und so verhaken, dass eine Demontage verhindert wird.
Durch eine entsprechende Ausgestaltung der mechanischen Abmessungen des Si cherheitsmoduls 201, kann darüber hinaus eine elektrische Persistenz erreicht werden. Hierzu können neben dem dargestellten Modul 201 insbesondere auch funktionslose Module verwendet werden, welche ausschließlich zur irreversiblen mechanischen Versiegelung angewendet werden.
Im dem in Figur 2 gezeigten Ausführungsbeispiel wird nach dem einmaligen Ein setzen des Erweiterungsmoduls 201 bedingt durch einen Durchmesser d eines Mo dulgehäuses der mechanische Durchgriff auf elektrische Kontakte 204 des Elekt ronikmoduls 102 dauerhaft unterbunden. Dies hat zur Folge, dass ein unberech tigtes Lösen der Verbindung zwischen einer elektrischen Zuleitung 107 und der Sensorelektronik in dem Elektronikmodul 102 fortan verhindert werden kann.
Ergänzend wird durch das Einspielen einer neuen Firmware 205 in das Elektronik modul 102 das Verhalten des Feldgeräts 101 so verändert, dass eine kontinuierli che Überwachung der Ströme in der Zuleitung 107 realisiert wird. Bei einer nicht vorgesehenen Unterbrechung wird nach einem Wiedereinschalten der Betrieb des Feldgeräts 101 nach Ausgabe einer Störmeldung unterbrochen. Ferner wird bei einer erkannten Unterbrechung ein letztes Alarmsignal, beispiels weise gespeist aus einem hier nicht dargestellten Energiespeicher, drahtlos an eine übergeordnete Einheit übermittelt.
Figur 3 zeigt ein zweites Ausführungsbeispiel eines Feldgeräts 101 gemäß der vor liegenden Anmeldung.
In dem in Figur 3 dargestellten Ausführungsbeispiel ist das dort eingesetzte Erwei terungsmodul 301 logisch versiegelt um hierdurch eine logische Persistenz zu er reichen. Das Erweiterungsmodul 301 kann mechanisch beliebig oft an dem Elekt ronikmodul 102 montiert und anschließend demontiert werden. Bei der ersten Montage des Erweiterungsmoduls 301 wird im Zusammenspiel der Komponenten 302, 303, 304, 305 jedoch erreicht, dass das Erweiterungsmodul 301 und das Elektronikmodul 102 logisch miteinander derart verknüpft werden, dass ein Wei terbetrieb des Feldgeräts ohne das Erweiterungsmodul 301 und/oder eine Montage des Erweiterungsmoduls 301 auf einem anderen Feldgerät fortan nicht mehr mög lich ist.
Der Ablauf hierfür gestaltet sich im Detail wie im Ablaufdiagramm der Figur 4 dar gestellt.
Das Verfahren beginnt mit dem Aufstecken des Erweiterungsmoduls 301 im Schritt 401. Zunächst aktualisiert das Erweiterungsmodul 301 in Schritt 402 die Firmware des Feldgeräts 101 durch Kopieren der Firmware in das Elektronikmodul 102. Ein erster Prozessor 302 in dem Erweiterungsmodul 301 übermittelt hierzu die in ei nem nichtflüchtigen Speicher 303 hinterlegte Information an einen Prozessor 304 in dem Elektronikmodul 102, welcher den Programmcode 305 hieraufhin aktuali siert.
In Schritt 403 wird das Feldgerät 101 neu gestartet, und gemäß den Instruktionen des nun durch das Firmwareupdate neuen Programmcodes in Schritt 404 angelei tet, eine einzigartige Sensor-Ident-Signatur zu generieren, beispielsweise einen numerischen Code. Der Code wird in Schritt 405 an das Erweiterungsmodul 301 übermittelt, woraufhin das Erweiterungsmodul diese Signatur in dem nichtflüchtigen Speicher 303 ablegt. Fortan wird das Erweiterungsmodul 301 seinen Betrieb nur noch im Zusammen spiel mit demjenigen Elektronikmodul 102 aufnehmen, dessen Signatur mit der im Speicher 303 hinterlegten Signatur übereinstimmt.
In Schritt 406 sendet das Erweiterungsmodul 301 seine eigene, beispielsweise ab Werk erzeugte, geheime Signatur an das Elektronikmodul 102 zurück. Im Prozes sor 304 des Elektronikmoduls 102 wird diese Signatur nun überprüft, und hier insbesondere mit der durch das Softwareupdate übermittelten Signatur eines ak zeptierten Moduls verglichen.
Ist der Vergleich erfolgreich, so wird in Schritt 409 der normale Betriebsmodus des Feldgeräts 101 zum Bestimmen eines Messwertes aktiviert.
Andernfalls wird in Schritt 410 eine Störmeldung drahtgebunden oder drahtlos nach außen hin übermittelt, und der reguläre Sensorbetrieb verweigert.
Das Verfahren endet in Schritt 411.
Durch das oben vorgestellte Verfahren kann erreicht werden, dass das Elektronik modul 102 und das Erweiterungsmodul 301 fortan nur noch in genau dieser Kom bination gemeinsam betrieben werden können, folglich logisch miteinander ein deutig gekoppelt sind. Das Erweiterungsmodul 301 kann im Kontext der vorliegen den Erfindung daher als logisch persistent betrachtet werden.
Die anhand der Figur 3 und Figur 4 aufgezeigte Ausführungsform eines Erweite rungsmoduls mit logischer Persistenz kann im Kontext vorgeschlagener Erweite- rungsmodule zur Erlangung einer Sicherheitsfunktion (SL) vorteilhaft verwendet werden. Darüber hinaus können mit den zuvor und im nachfolgend aufgezeigten Ausführungsbeispielen aber auch Aspekte im Hinblick auf Diebstahlschutz, Explo sionsschutz oder der Vertraulichkeit interner Verdrahtungsdetails realisiert wer den. Spezielle Ausführungsformen können auch dazu verwendet werden, Strate gien zur kommerziellen Vermarktung von Feldgeräten zu realisieren. Figur 5 zeigt ein Feldgerät 502 mit einem hierzu ausgeführtes Erweiterungsmodul 501.
Das Erweiterungsmodul 501 weist im vorliegenden Ausführungsbeispiel Einrich tungen 203 auf, welche zur Erlangung einer mechanischen Persistenz des Erwei terungsmoduls 501 nach erfolgter Montage führen. Das Erweiterungsmodul 501 ist vorliegend als sog. Sperrmodul ohne zusätzliche Funktionen ausgestattet, und besitzt auch keine Verbindung zur Erweiterungsschnittstelle 104 des Elektronik moduls 102. Die dargestellte Ausführungsform kann insbesondere dazu verwendet werden, unterschiedliche Varianten eines Feldgeräts mit unterschiedlichen Markt preisen zu realisieren.
Das Feldgerät 502 wird beispielsweise als preisgünstiger Sensor ohne die Option einer Erweiterbarkeit am Markt bereitgestellt. Um die Produktion des Elektronik moduls 102 preisgünstig gestalten zu können, kann vorgesehen sein, die standar disierte Sensorelektronik, die auch in erweiterbaren Geräten verwendet wird, auch in der preisgünstigen Variante zu verwenden, jedoch die Erweiterbarkeit durch ein mechanisches Verdecken der Erweiterungsschnittstelle 104 zu unterbinden. Dies kann auf einfache Art und Weise durch Aufbringen eines mechanisch persistenten Erweiterungsmoduls mit entsprechenden Sperrrasten 203 bereits beim Hersteller erfolgen.
Um ein gewaltsames Entfernen des Erweiterungsmoduls 501 zu verhindern kann die mechanische Schnittstelle zwischen dem Erweiterungsmodul 501 und dem Elektronikmodul 102 so ausgestaltet sein, dass bei einem gewaltsamen Entfernen des Erweiterungsmoduls 501 gegen den Widerstand der Sperrasten eine mecha nische Aufnahme auf Seiten des Elektronikmoduls 102 derart beschädigt oder zer stört wird, dass ein Anbringen eines funktionalen Erweiterungsmoduls nach einem gewaltsamen Entfernen des Sperrmoduls unmöglich wird.
Es kann ferner vorgesehen sein, ein Anschlusskabel 503 bereits beim Hersteller an einem Anschlussblock mit elektrischen Kontakte 204 des Elektronikmoduls 102 anzubringen, und somit das Innere des Elektronikmoduls 102 komplett vor äuße ren Manipulationen oder unbefugten Erweiterungen zu schützen. Es kann auch vorgesehen sein, die Erweiterbarkeit bestehender Feldgeräte für be stimmte Länder oder Zielmärkte zu unterbinden oder einzuschränken, um beste hende Schutzrechte Dritter in diesen Ländern nicht zu verletzen. Es kann auch vorgesehen sein, zulassungsrelevante Konfigurationen, beispielsweise eine für den Explosionsschutz relevante druckfeste Kapselung des Feldgeräts 502, durch geeig nete persistente Zusatzmodule unveränderbar sicherzustellen. In einer Ausfüh rungsform kann das Erweiterungsmodul 501 auch in Form eines persistenten Ge häusedeckels 504 ausgeführt sein, der bspw. mit dem Gehäuse des Feldgeräts 502 verklebt werden kann.
Das Modul 501 weist beispielhaft eine mechanische Persistenz auf. Es kann aber ergänzend oder alternativ vorgesehen sein, zur Erlangung der oben genannten Ziele elektrische und/oder logische Persistenz zu verwenden.
Bezugszeichenliste
Sensor , 502 Feldgerät
Elektronikmodul , 504 Gehäusedeckel
Erweiterungsschnittstelle
Gehäuseaufnahme , 201, 301, 501 Erweiterungsmodul
Zuleitung
Benutzerverwaltung Sperrasten Elektrische Kontakte Firmware , 303, 304 ,305 Komponenten - 411 Schritte 1 - 11
Anschlusskabel

Claims

Patentansprüche
1. Feldgerät (101, 502) mit einem Elektronikmodul (102) mit einer Feldgerä teelektronik und wenigstens einem Erweiterungsmodul (106, 201, 301, 501), dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Feldgerät (101, 502) mit wenigs tens einem Erweiterungsmodul (106, 201, 301, 501), persistent verbun den ist.
2. Feldgerät (101, 502) gemäß Anspruch 1, dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Feldgerät (101, 502) mechanisch persistent mit dem Erweiterungsmodul (106, 201, 301, 501), verbunden ist.
3. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Elektronikmodul (102) elektrisch persistent mit dem Erweiterungsmo dul (106, 201, 301, 501) verbunden ist.
4. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Elektronikmodul (102) logisch persistent mit dem Erweiterungsmodul (106, 201, 301, 501) verbunden ist.
5. Feldgerät (101, 502) gemäß Anspruch 4, dadurch gekennzeichnet, dass das Elektronikmodul (102) eine eindeutige Geräteidentifikation aufweist und/oder das Erweiterungsmodul (106, 201, 301, 501) eine eindeutige Modulidentifikation aufweist.
6. Feldgerät (101, 502) gemäß Anspruch 4 oder 5, dadurch gekennzeichnet, dass das Elektronikmodul (102) eine eindeutiges Gerätezertifikat und/oder das Erweiterungsmodul (106, 201, 301, 501) ein eindeutiges Modulzertifikat aufweist.
7. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Feldgerät (101, 502) als Füllstand-, Grenzstand- Durchfluss-, Dichte oder Dichteprofilmessgerät ausgebildet ist.
8. Feldgerät (101, 502) gemäß einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass das Erweiterungsmodul (106, 201, 301, 501) als Sperrmodul, vorzugs weise mechanisches Sperrmodul ausgebildet ist.
9. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Erweiterungsmodul (106, 201, 301, 501) als Anzeige- und/oder Bedi enmodul ausgebildet ist.
10. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Erweiterungsmodul (106, 201, 301, 501) ein Sicherheitsmodul auf weist.
11. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul zur Implementierung von vorgegebenen IT- Sicherheitsstufen geeignet ausgebildet ist.
12. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Erweiterungsmodul (106, 201, 301, 501) derart ausgebildet ist, dass ein Lösen der persistenten Verbin dung eine Fehlermeldung auslöst.
13. Feldgerät (101, 502) gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Erweiterungsmodul (106, 201, 301, 501) als separat handhabbare Einheit ausgebildet ist.
14. Modulares Feldgerätekonzept umfassend eine Mehrzahl unterschiedlicher Sensoren (100), eine Mehrzahl unterschiedlicher Gehäuse, eine Mehrzahl von Elektronikmodulen (102) sowie eine Mehrzahl von Erweiterungsmodu len (106, 201, 301, 501), dadurch gekennzeichnet, dass wenigstens eine Kombination aus Gehäuse und/oder Elektronikmodul (102) und Erweiterungsmodul (106, 201, 301, 501) derart ausgestaltet und aufeinander abgestimmt ist, dass das das Elektronikmodul (102) und/oder das Gehäuse mit wenigstens einem Erweiterungsmodul (106, 201, 301, 501) persistent verbindbar ist.
15. Verfahren zum Betreiben eines Feldgeräts (101, 502) mit einer Feldgerä teelektronik und wenigstens einem Erweiterungsmodul (106, 201, 301, 501), dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Feldgerät (101, 502) mit wenigs tens einem Erweiterungsmodul (106, 201, 301, 501) persistent verbunden wird.
16. Verfahren gemäß Anspruch 15, dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Feldgerät (101, 502) mechanisch persistent mit dem Erweiterungsmodul (106, 201, 301, 501) verbunden wird und/oder die Feldgeräteelektronik mit dem Erweiterungsmodul (106, 201, 301, 501) elektrisch und/oder logisch persistent verbunden wird.
17. Verfahren zum Betreiben eines Feldgeräts (101, 502) gemäß einem der Ansprüche 15 oder 16, dadurch gekennzeichnet, dass das Elektronikmodul (102) und/oder das Erweiterungsmodul (106, 201, 301, 501) derart ausgebildet ist, dass ein Lösen der persistenten Verbin dung eine Fehlermeldung auslöst.
PCT/EP2020/062430 2020-05-05 2020-05-05 Erweiterungsmodul mit manipulationsschutz WO2021223855A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
PCT/EP2020/062430 WO2021223855A1 (de) 2020-05-05 2020-05-05 Erweiterungsmodul mit manipulationsschutz
EP20724082.1A EP4147097A1 (de) 2020-05-05 2020-05-05 Erweiterungsmodul mit manipulationsschutz
US17/919,680 US20230297055A1 (en) 2020-05-05 2020-05-05 Extension module with tamper protection
CN202080100549.1A CN115516386A (zh) 2020-05-05 2020-05-05 带防篡改保护的扩展模块

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2020/062430 WO2021223855A1 (de) 2020-05-05 2020-05-05 Erweiterungsmodul mit manipulationsschutz

Publications (1)

Publication Number Publication Date
WO2021223855A1 true WO2021223855A1 (de) 2021-11-11

Family

ID=70554074

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/062430 WO2021223855A1 (de) 2020-05-05 2020-05-05 Erweiterungsmodul mit manipulationsschutz

Country Status (4)

Country Link
US (1) US20230297055A1 (de)
EP (1) EP4147097A1 (de)
CN (1) CN115516386A (de)
WO (1) WO2021223855A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1966565A1 (de) * 2005-12-27 2008-09-10 Vega Grieshaber KG Schaltkreis-anordnung für ein feldgerät

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102224470B (zh) * 2008-11-24 2015-11-25 Abb研究有限公司 用于提供控制和自动化服务的系统和方法
DE102016102282B4 (de) * 2016-02-10 2024-01-04 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
US10777376B2 (en) * 2017-05-25 2020-09-15 Abb Schweiz Ag Method and system for hardware tamper detection and mitigation for solid state circuit breaker and its controller
EP3582033B1 (de) * 2018-06-12 2022-04-20 ABB Schweiz AG Verfahren zur gesicherten bedienung eines feldgeräts

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1966565A1 (de) * 2005-12-27 2008-09-10 Vega Grieshaber KG Schaltkreis-anordnung für ein feldgerät

Also Published As

Publication number Publication date
EP4147097A1 (de) 2023-03-15
US20230297055A1 (en) 2023-09-21
CN115516386A (zh) 2022-12-23

Similar Documents

Publication Publication Date Title
EP2668607B1 (de) Verfahren zur überwachung eines tamperschutzes sowie überwachungssystem für ein feldgerät mit tamperschutz
DE69923466T2 (de) Vorrichtung zur überprüfung der integrität und berechtigung eines computerprogramms vor seiner ausführung auf einer lokalen plattform
EP3907569A1 (de) Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode
WO2020212051A1 (de) Industrielles automatisierungsgerät umfassend eine überwachungseinheit zur überprüfung und überwachung eines integritätszustandes des industriellen automatisierungsgerätes
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
DE102017111928A1 (de) Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik
WO2008095866A2 (de) Verfahren zur autorisierung des zugriffs auf mindestens eine automatisierungskomponente einer technischen anlage
WO2014037586A2 (de) Steckteil zur bildung einer steckverbindung
WO2022028975A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
EP3985532B1 (de) Zertifikatsmanagement für technische anlagen
EP3707878A1 (de) Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system
WO2006067121A1 (de) Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software
WO2021223855A1 (de) Erweiterungsmodul mit manipulationsschutz
EP4147096A1 (de) Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät
DE102008061710A1 (de) Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung
DE102017114010A1 (de) Verfahren zur Prüfung der Integrität einer dedizierten physikalischen Umgebung zum Schutz von Daten
DE202020005937U1 (de) Nachrüstmodul für ein Feldgerät und modular aufgebautes Feldgerät
EP3851923A1 (de) Leitsystem für technische anlagen mit zertifikatsmanagement
EP4138052B1 (de) Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt
EP3889710A1 (de) Leitsystem einer technischen anlage
EP2056535A2 (de) Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung
WO2024110524A1 (de) Sicheres technisches modul
DE102014222433A1 (de) Verfahren und Rechenvorrichtung zur adaptiven Bereitstellung von Wurzelzertifikaten
EP3993339A1 (de) Zertifikatsmanagement in einer technischen anlage
EP4376354A1 (de) Sicheres technisches modul

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20724082

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020724082

Country of ref document: EP

Effective date: 20221205