WO2022167073A1 - Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten - Google Patents

Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten Download PDF

Info

Publication number
WO2022167073A1
WO2022167073A1 PCT/EP2021/052569 EP2021052569W WO2022167073A1 WO 2022167073 A1 WO2022167073 A1 WO 2022167073A1 EP 2021052569 W EP2021052569 W EP 2021052569W WO 2022167073 A1 WO2022167073 A1 WO 2022167073A1
Authority
WO
WIPO (PCT)
Prior art keywords
field device
parameter
parameter set
unit
changed
Prior art date
Application number
PCT/EP2021/052569
Other languages
English (en)
French (fr)
Inventor
Clemens Hengstler
Stefan Kaspar
Original Assignee
Vega Grieshaber Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vega Grieshaber Kg filed Critical Vega Grieshaber Kg
Priority to EP21703427.1A priority Critical patent/EP4288841A1/de
Priority to CN202180092598.XA priority patent/CN116783560A/zh
Priority to US18/263,901 priority patent/US20240111264A1/en
Priority to PCT/EP2021/052569 priority patent/WO2022167073A1/de
Publication of WO2022167073A1 publication Critical patent/WO2022167073A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23213Check validity of entered data
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Definitions

  • the present application relates to a method for operating a field device according to the preamble of patent claim 1 and a system for operating field devices with the features of patent claim 15.
  • Field device refers to the area outside of control rooms. Field devices can therefore be actuators, sensors and measuring transducers in particular.
  • field devices are often used that are used to record and/or influence process variables.
  • Examples of such field devices are filling level measuring devices, limit level measuring devices and pressure measuring devices with sensors that record the corresponding process variables filling level, limit level or pressure.
  • the present application also relates to self-sufficient field devices, in particular self-sufficient measuring arrangements, such as for example self-sufficient filling level or point level sensors.
  • the self-sufficient filling level or point level sensors are preferably designed as radar sensors and, in order to ensure the self-sufficiency of the sensors, have, in addition to a sensor for acquiring measurement data, a transmission device for preferably wireless transmission of acquired measurement data or measurement values, and their own power supply.
  • the transmission device can preferably be a radio module for narrowband radio technology (LoRa, Sigfox, LTE-M, NB-IOT), which transmits the measurement data or measurement values to a cloud, ie to a server on the World Wide Web.
  • the energy supply is preferably designed as a battery or accumulator and can also include an energy harvesting module. Typical application scenarios for such self-sufficient field devices include inventory management or measurement tasks on mobile containers.
  • Known field devices of the aforementioned type previously made it possible to transmit measured values, so that a higher-level unit triggered a predetermined action based on the determined measured value. For example, based on the measured value of a fill level measuring device, an inlet can be closed or an outlet can be opened if a limit value is exceeded.
  • Self-sufficient field devices are characterized by particularly simple installation without attaching a communication or supply line and thus open up particularly flexible options for arrangement, i.e. in particular their attachment in the process environment.
  • the measured values determined by these field devices are typically transmitted to a cloud, i.e. to a server on the World Wide Web, using narrowband radio technology (LoRa, Sigfox, NB-IOT).
  • Typical application scenarios for such field devices include areas such as flood forecasting, inventory management or other distributed measuring tasks. Due to the direct connection to the World Wide Web, such field devices are inherently exposed to a permanent threat of hacker attacks from the network.
  • Field devices also usually have parameterization interfaces that can be operated locally.
  • An unauthorized or accidental change to the parameterization can completely falsify the output measured value and, as a result, especially in safety applications, result in major damage to the process plant, but also to people and the environment.
  • a method for operating a field device used in automation technology with an input interface, a memory in which at least one parameter set for operating the field device is stored, and with a first communication interface, is characterized in that when at least one parameter of the parameter set changes by a first instance, at least the changed parameter or the changed parameters and/or data calculated therefrom are transmitted to a superordinate unit and a second instance is informed of the change.
  • a parameter of the monitored parameter set is changed on the field device by a first entity
  • information about this change is automatically transmitted to a higher-level unit.
  • the information can be provided either by transmitting the changed parameter or the entire parameter set, or by transmitting data calculated therefrom.
  • the data calculated from the changed parameter or from the parameter set with the changed parameter can include, for example, a fingerprint or hash value and/or an encrypted transmission of the parameter set.
  • the first instance can be, for example, an operator who makes a setting on the field device.
  • the first entity can also be another device that accesses the field device and makes a parameter change.
  • the first entity can be a mobile operating device or a remote computer, which an operator uses to access the field device via a communication interface in order to parameterize the field device or to read out data.
  • the higher-level unit can then in turn inform a second entity about the change that has been made.
  • the higher-level unit can only inform the second entity about the fact that a parameter has changed was made, or specifically state what change was made, i.e. in particular which parameter or parameters was or were changed.
  • the second instance can also have different characteristics, for example an operator of the higher-level unit, another device that is informed by the higher-level unit, or a group or combination thereof.
  • the present method thus automatically detects every parameter change and informs, for example, a responsible person (monitor) or responsible persons, so that countermeasures that may be necessary can be initiated.
  • the entire parameter set can be transmitted in the transmission step. This ensures that the second instance has all relevant information for assessing the change made in the currently valid version and can thus optimally evaluate the change made.
  • a hash value which is calculated from the parameter set, can also be transmitted to the superordinate unit.
  • Such a Hash value uniquely identifies a parameter set, so that at a later point in time it can be traced, for example, which parameter set was valid at an earlier point in time. In this way, it is possible to verify which parameters were stored in the field device at the time of damage, for example, without transmitting the complete parameter set to the higher-level unit.
  • the parameter sets can be stored, for example, on an additional storage medium which, for example, is only accessible to the owner of the field device.
  • the second instance can confirm, for example, that a parameter change is permissible at a specific point in time. Additionally or alternatively, an authorization of the first instance can be confirmed.
  • a hash function (also known as a hash function) is a mathematical mapping that maps a large input quantity (the key) to a smaller target quantity (the hash value).
  • a hash function is therefore not injective in general.
  • the input set can contain elements of different lengths, whereas the elements of the target set usually have a fixed length.
  • the hash values are mostly scalar values from a limited subset of the natural numbers.
  • a "good” hash function supplies values for the (expected) input data, so that two different inputs also lead to different output values.
  • a hash value is therefore also referred to as a fingerprint, since it represents an almost unique identification of a larger amount of data, just like a fingerprint represents one identified people almost unequivocally.
  • a parameter set or a subset of a parameter set is mapped to a hash value in this way, and this parameter set or subset is thus uniquely identified.
  • a change counter can be calculated for the parameter set.
  • Such a change counter can, for example, be incremented each time a parameter or the parameter set is changed, so that it can be traced at any time whether the currently applicable parameter set has been changed compared to a verified parameter set.
  • the parameter set and/or the data calculated from it can be stored in a distributed ledger.
  • the term distributed ledger describes a technique that can be used to document certain transactions.
  • a central ledger is usually managed by just one instance, here any number of copies of the ledger, which are in principle equal, are maintained decentrally by different parties. Appropriate measures are taken to ensure that new transactions to be added are adopted in all copies of the ledger and that there is agreement (consensus) on the current status of the ledger.
  • the parameter sets and/or the hash values and/or other information can be stored in the distributed ledger.
  • the relevant information is stored transparently and securely for all parties involved, e.g. the first instance and/or the second instance and/or an owner and/or an operator and/or a maintenance service provider and/or a manufacturer of the field device, so that manipulations from all sides can be prevented.
  • the hash values in the distributed ledger can be used to determine when a parameter change took place. Since the hash values can be clearly assigned to a parameter set, this can be clearly identified even if it is not initially known to the manufacturer, so that the configuration that led to the damage can be clearly and transparently understood by all parties. In the event of damage, it is thus possible to clearly determine whether the field device was operated with a permissible parameter combination, for example.
  • the higher-level unit can be designed, for example, as a distributed computer network.
  • a distributed computer network can, for example, be designed as a cloud system in which, for example, in addition to monitoring the parameters of the field device, evaluations of measured values determined by the field device are carried out. This can e.g. as software as a service by the manufacturer of the field devices.
  • the hash value, the change counter or an encryption of the parameter set can be calculated in the higher-level unit. In this way, resources in the field device can be saved and computationally intensive operations can be carried out in the higher-level unit. In this way, for example, an energy store in the field device can be spared, so that longer autonomous operation is possible.
  • the transmission can take place cyclically and/or event-oriented. This means that at least the changed parameter or the changed parameters, the entire parameter set and/or the data calculated from them are transmitted to the higher-level unit cyclically, i.e. e.g. at specifiable or fixed time intervals, and/or triggered by specifiable or fixed events will.
  • cyclical transmission enables additional monitoring of the field device, since in this way it can be determined if a transmission by the field device does not take place at the specified point in time. In this case, information can also be sent to the second instance. Alternatively, it can also be provided that the field device or the entire process monitored by the field device is transferred to a safe state if the cyclically transmitted data does not arrive at the higher-level unit.
  • Encryption may also be performed prior to the transmission step. By encrypting the transmitted data, it can be ensured that the data cannot be read by unauthorized third parties or intercepted and/or manipulated during transmission.
  • a relay station can be provided locally.
  • local transmission can be unencrypted and transmission from the relay station to the superordinate unit can be encrypted, for example.
  • arithmetic operations can also be outsourced to the relay station.
  • the method can be designed to be unidirectional. This means that the field device can only send to the superordinate unit via the communication interface, but the field device is not designed to receive data via the interface used. This avoids creating an additional gateway for attacks on the field device.
  • the method is bidirectional, i.e. the field device can also receive data via the communication interface.
  • the field device can be provided, for example, that the changed parameter or the changed parameters in the field device are not activated until they have been confirmed by the second entity.
  • the higher-level unit and/or the second entity can reset the parameter set to a last valid value.
  • information about the first entity in addition to the changed parameter or the changed parameters and/or the data calculated from them to the superordinate unit, information about the first entity, in particular a clear identification of the first entity, can also be transmitted.
  • the security of the present method can be further increased by recording and transmitting a unique identification of the first instance. It is thus possible to clearly assign each parameter change to a first instance and to store this information together with the information on the parameter change.
  • artificial intelligence can be used to assess the parameters.
  • the transmitted parameter sets can be checked for consistency and information can be collected in a self-learning system which parameters do not cause problems.
  • a user can be offered support in the parameterization of his field device, in which, for example, based on a parameter set, values are offered that other users have also used and retained, which means that the field device has performed well.
  • the second entity can include a device of a monitor responsible for the field device, in particular a mobile device. In this way a person responsible for monitoring the field device (the monitor) or a group of people can be informed of changes.
  • information is only sent to the monitor's device if the artificial intelligence has detected an inconsistency in the parameters.
  • the monitor is supported by the artificial intelligence, so that, for example, confirmation of a parameter set is only requested from the monitor if the entered parameters were classified as problematic by the artificial intelligence.
  • a system for operating field devices comprising at least one field device used in automation technology, with an input interface, a memory in which at least one set of parameters for operating the field device is stored, and a first communication interface, further comprising at least one higher-level unit with a second communication interface, is characterized in that the field device and the higher-level unit are designed and set up in such a way that the field device transmits the changed parameter or the changed parameters or data calculated from them to the higher-level unit when at least one parameter of the parameter set is changed by a first entity, and a second instance is informed about the change.
  • the present system for operating field devices is designed in such a way that parameter changes are transmitted to the second entity through the interaction of field device and higher-level unit.
  • the higher-level unit can check the parameter set and/or an identity of the first instance before transmission to the second instance.
  • the input interface and the communication interface can also be identical. This means that, for example, communication and input can take place via a Bluetooth radio interface.
  • the communication unit can also be in the form of a pure transmission unit.
  • the communication unit can also be in the form of a pure transmission unit.
  • the higher-level unit can be designed, for example, as a distributed computer network.
  • a distributed computer network for example a cloud, can improve the availability and accessibility of the higher-level unit.
  • the parameter set or the value calculated from the parameter set can preferably be stored in the distributed computer network, preferably in a distributed ledger.
  • the entire parameter set and/or a hash value calculated from the parameter set and/or a change counter can be stored in the distributed computer network, preferably the distributed ledger.
  • FIG. 1 symbolically a system for operating a field device
  • FIG. 2 shows a field device as can be used in the system from FIG.
  • Figure 3 shows a first embodiment of a method for operating a field device
  • FIG. 4 shows a second embodiment of a method for operating a field device.
  • FIG. 1 symbolically shows a system 1 for operating a field device with a first field device 3 and a second field device 4 according to the present application.
  • the field devices 3, 4 are both arranged on a tank 7 for filling level or limit level measurement.
  • the first field device 3 is designed as a limit level sensor for detecting a maximum filling level of the tank seven and is connected to a process controller 9 .
  • the process control 9 processes measured values determined by the first field device 3 and a pump arranged in the inlet to the tank 7 is deactivated when the maximum fill level is reached.
  • the second field device 4 is in the form of a radar fill level measuring device and wirelessly transmits its fill level measurement values to a control room.
  • Both field devices 3, 4 are jointly monitored in the system 1 for operating field devices.
  • a higher-level unit of the system 1 is designed as a distributed computer network (cloud) 5 , with the first field device 3 communicating via a relay 6 and the second field device 4 directly with the higher-level unit 5 .
  • the communication between the relay 6 and the second field device 4 takes place wirelessly via a radio link.
  • a first instance 11 which is present as a mobile terminal device, for example as a user's smartphone is formed, shown.
  • the first entity 11 accesses the first field device 3 in order to parameterize it, ie to enter information about the media to be detected, their density, the frequency of measurements and the conditions for the switching command (uncovered/uncovered). If parameters of the recorded field device 3 are changed by the first entity 11, the field device recognizes this change and communicates this to the higher-level unit 5 via the relay 6.
  • the entire set of parameters also referred to below as the parameter set, is transmitted to the superordinate unit 5 and stored there together with a time stamp.
  • the transmitted parameter set is compared with a parameter set last stored in the higher-level unit for the first field device 3 and it is checked which parameters have been changed.
  • Fixed rules can be stored in the superordinate unit 5, in the case of which parameter changes a second entity twelve, which is shown here as a group of devices, is informed about the parameter change.
  • information can also be provided with each parameter change or depending on an analysis of the entire parameter set, for example by an artificial intelligence.
  • the parameter set or data calculated from the parameter set for example a hash value, can be stored in the higher-level unit 5 in a manner that prevents it from being changed.
  • the information transmission between the field devices 3, 4 and the higher-level unit 5 is only bidirectional, i.e. the field devices 3, 4 can only send data to the higher-level unit 5, but are not able to receive data from the higher-level unit 5 To receive data that goes beyond an acknowledgment of radio communication.
  • the connection between the field devices 3, 4 and the higher-level unit 5 can also be configured bidirectionally, so that it can be made possible, for example, for the second entity twelve to confirm or reject a modification via a parameter change sends the parameter change to the superordinate unit 5, which documents this and transmits it to the field devices 3, 4.
  • the first entity 11 via the confirmation or rejection of the parameter change by the second Instance either directly from the parent unit 5 or indirectly via the field devices 3, 4 are informed.
  • first entity 11 on a field device 3, 4 only becomes effective if this is confirmed by a second entity 12.
  • the two devices shown in the exemplary embodiment in FIG. 1 as first entity 11 and second entity 12 can each be assigned to an employee, so that only two employees can carry out a parameter change together. Consequential damage caused by unintentional or undesired parameter changes can be minimized in this way and ideally avoided completely.
  • FIG. 2 shows an exemplary embodiment of a field device as can be used in the system from FIG.
  • the field device shown in FIG. 2 corresponds to the first field device 3, which communicates with the higher-level unit 5 via the relay 6 in the exemplary embodiment in FIG.
  • the field device 3 is shown only schematically in the present case and has electronics 30 by means of which measured values determined by a sensor 37 can be further processed and made available to the process controller 9 via an output interface 34, for example. Furthermore, the field device 3 has an input interface 31 by means of which various inputs, configurations and parameter changes can also be made directly on the field device 3 .
  • the final set of parameters for the field device 3 is stored in a memory 32 of a computing unit 35 of the electronics 30 in the present exemplary embodiment. If the computing unit 35 registers a change in parameters in the memory 32, communication takes place with the higher-level unit 5 via a communication interface 33 arranged in the electronics 30.
  • the communication interface 33 can, for example, be a short-range radio interface, for example a Bluetooth or NFC interface be trained or alternatively may use a narrow band radio technology such as Lora or NB OT. Since a short-range radio interface with a short range was selected in the present exemplary embodiment, communication with the higher-level unit 5 takes place via the relay 6, as shown in FIG.
  • the communication interface 33 can also be used for radio communication with the first entity 11 to facilitate the commissioning and parameterization of the field device 3 . In this case, however, the communication interface 33 must be bidirectional.
  • FIG. 3 shows an exemplary method for operating a field device.
  • a first step 301 the method is started.
  • a second step 302 it is checked whether a parameter change has been carried out. If this is the case, information about the parameter change is sent to the superordinate unit 5 in a third step.
  • the higher-level unit 5 then informs the second entity 12 and the method begins again with the second step 302.
  • the second step 302 can, for example, cyclically d. H. at fixed time intervals or event-oriented, for example when an input is made on the field device or a connection is established.
  • the third step in which a transmission to the superordinate unit 5 takes place, can be carried out cyclically or event-oriented. A combination of cyclic and event-oriented execution is also possible for both steps.
  • FIG. 4 shows a variant of the method according to the present application that is expanded compared to the method according to FIG.
  • a first step 401 the method is also started here. Before a cyclically running and event-controlled check of parameter changes takes place in a second step 402 .
  • the information for transmission to the higher-level unit 5 is first encrypted and then transmitted in encrypted form to the higher-level unit 5 in the fourth step 404 .
  • the transmitted data are stored in encrypted form on the one hand and on the other hand decrypted and subjected to a check in a sixth step 406 by an artificial intelligence. If the transmitted parameters are classified as problematic by the artificial intelligence, the present method begins again with the second step, in which a check for parameter changes takes place.
  • the second entity 12 is modified via the parameter changes.
  • the second instance 12 sends feedback to the field device 3 via the superordinate unit 5, with this feedback being able to contain a confirmation of the changes made, a discarding of the changes made or a modification of the parameters.
  • the set parameters are only adopted if there is feedback and the method starts again with the second step 402.
  • the field device continues either with the previously applicable parameters is operated or automatically switches to a safe state, for example by the process monitored by the field device being transferred to a safe state or shut down.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Feldgeräts (3, 4) der Automatisierungstechnik, mit einer Eingabeschnittstelle (31), einem Speicher (32), in dem wenigstens ein Parametersatz für den Betrieb des Feldgeräts (3, 4) abgespeichert ist, und mit einer ersten Kommunikationsschnittstelle (33), wobei bei einer Änderung wenigstens eines Parameters des Parametersatzes durch eine erste Instanz (11), folgende Schritte in der nachfolgenden Reihenfolge ausgeführt werden: - Übermitteln wenigstens des geänderten Parameters oder der geänderten Parameter und/oder daraus berechneter Daten an eine übergeordnete Einheit (5) - Informieren einer zweiten Instanz (12) über die Änderung.

Description

Verfahren zum Betreiben eines Feldgeräts und System zum Betreiben von Feldgeräten
Die vorliegende Anmeldung betrifft ein Verfahren zum Betreiben eines Feldgeräts gemäß dem Oberbegriff des Patentanspruchs 1 sowie ein System zum Betreiben von Feldgeräten mit den Merkmalen des Patentanspruchs 15.
Aus dem Stand der Technik sind verschiedene Verfahren zum Betreiben von Feldgeräten sowie eine Vielzahl von Feldgeräten bekannt.
Unter dem Begriff Feldgerät werden dabei verschiedene technische Einrichtungen subsummiert, die mit einem Produktionsprozess in direkter Beziehung stehen. „Feld" bezeichnet dabei den Bereich außerhalb von Leitwarten. Feldgeräte können damit insbesondere Aktoren, Sensoren und Messumformer sein.
In der Prozessautomatisierungstechnik werden vielfach Feldgeräte eingesetzt, die zur Erfassung und/oder Beeinflussung von Prozessvariablen dienen. Beispiele für derartige Feldgeräte sind Füllstandmessgeräte, Grenzstandmessgeräte und Druckmessgeräte mit Sensoren, die die entsprechenden Prozessvariablen Füllstand, Grenzstand oder Druck erfassen.
Die vorliegende Anmeldung bezieht sich ferner auf autarke Feldgeräte, insbesondere autarke Messanordnungen, wie bspw. autarke Füllstand- oder Grenzstandsensoren. Die autarken Füllstand- oder Grenzstandsensoren sind vorzugsweise als Radarsensoren ausgebildet und weisen - um die Autarkie der Sensoren sicher zu stellen - neben einem Messaufnehmer zur Erfassung von Messdaten eine Übermittlungseinrichtung zur, vorzugsweise drahtlosen, Übermittlung erfasster Messdaten oder Messwerte und eine eigene Energieversorgung auf. Die Übermittlungseinrichtung kann bevorzugt ein Funkmodul für eine Schmalbandfunktechnologie (LoRa, Sigfox, LTE-M, NB-IOT) sein, das die Messdaten oder Messwerte in eine Cloud, d.h. auf einen Server im World Wide Web überträgt. Die Energieversorgung ist vorzugsweise als Batterie oder Akkumulator ausgebildet und kann zusätzlich ein Energy-Harvesting-Modul umfassen. Typische Anwendungsszenarien für solche autarken Feldgeräte umfassen insbesondere Lagerbestandsverwaltung oder Messaufgaben an mobilen Behältnissen.
Bekannte Feldgeräte der vorgenannten Art ermöglichen es bisher, Messwerte zu übermitteln, sodass eine übergeordnete Einheit basierend auf dem ermittelten Messwert eine vorbestimmte Aktion auslöst. Bspw. kann basierend auf dem Messwert eines Füllstandmessgerätes bei Überschreiten eines Grenzwertes ein Zulauf geschlossen, oder ein Ablauf geöffnet werden.
Autarke Feldgeräte zeichnen sich durch eine besonders einfache Montage ohne Anbringen einer Kommunikations- oder Versorgungsleitung aus und eröffnen dadurch besonders flexible Möglichkeiten zur Anordnung, d.h. insbesondere deren Anbringung in der Prozessumgebung. Die von diesen Feldgeräten ermittelten Messwerte werden typischerweise unter Verwendung einer Schmalbandfunktechnologie (LoRa, Sigfox, NB-IOT) in eine Cloud, d.h. auf einen Server im World Wide Web übertragen. Typische Anwendungsszenarien für solche Feldgeräte umfassen Bereiche wie die Hochwasservorhersage, Lagerbestandsverwaltung oder auch andere dezentral verteilte Messaufgaben. Durch die direkte Anbindung ans World Wide Web sind solche Feldgeräte inhärent einer permanenten Bedrohung durch Hackerangriffe aus dem Netz ausgesetzt.
Feldgeräte verfügen außerdem in der Regel über lokal bedienbare Parametrier- schnittstellen. Eine nicht autorisierte oder versehentliche Änderung der Paramet- rierung kann den ausgegebenen Messwert komplett verfälschen und in der Folge, insbesondere in Sicherheitsanwendungen, große Schäden an der verfahrenstechnischen Anlage aber auch für Mensch und Umwelt nach sich ziehen.
In letzter Zeit werden in Feldgeräte zunehmend zusätzliche digitale Schnittstellen implementiert (z.B. Bluetooth), die eine Parametrierung der Feldgeräte vor Ort erleichtern, aber auch die Möglichkeiten und Wahrscheinlichkeiten einer unbeabsichtigten oder unautorisierten Parameteränderung weiter erhöhen.
Es besteht daher der Bedarf, einer erhöhten Sicherheit für solche Feldgeräte und deren Bedienung. Ferner werden Feldgeräte auch in kritischen Infrastruktureinrichtungen (KRITIS) wie beispielsweise Energie (Strom, Gas, Öl), Transport (Luft, Bahn, Wasser, Straße), Trinkwasserversorgung oder auch digitaler Infrastruktur eingesetzt. In diesen Bereichen besteht ebenfalls eine erhöhte Anforderung, Feldgeräte widerstandsfähig gegenüber fahrlässigen oder mutwilligen Angriffen, insbesondere Hackerangriffen zu machen. Beispielhaft hierfür steht die vom Europäischen Parlament beschlossene Richtlinie 2016/1148 (NIS- Richtli nie), welche inzwischen von den Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt worden ist.
Es ist die Aufgabe der vorliegenden Erfindung ein Verfahren zum Betreiben von Feldgeräten dahingehend weiterzubilden sowie ein System zum Betreiben von Feldgeräten zur Verfügung zu stellen, sodass die Wahrscheinlichkeit für Fehlparametrierungen weiter gesenkt wird und etwaige externe Angriffe erkannt und verhindert werden können. Ferner soll eine Möglichkeit zur Verifikation der zu einem Zeitpunkt geltenden Parameter möglich sein.
Ein erfindungsgemäßes Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik, mit einer Eingabeschnittstelle, einem Speicher, in dem wenigstens ein Parametersatz für den Betrieb des Feldgeräts abgespeichert ist, und mit einer ersten Kommunikationsschnittstelle, zeichnet sich dadurch aus, dass bei einer Änderung wenigstens eines Parameters des Parametersatzes durch eine erste Instanz, wenigstens der geänderte Parameter oder die geänderten Parameter und/oder daraus berechneter Daten an eine übergeordnete Einheit übermittelt werden und eine zweite Instanz über die Änderung informiert wird.
Wird also an dem Feldgerät ein Parameter des überwachten Parametersatzes durch eine erste Instanz geändert, so wird eine Information über diese Änderung automatisch an eine übergeordnete Einheit übermittelt. Die Information kann dabei sowohl durch eine Übermittlung des geänderten Parameters, oder des gesamten Parametersatzes erfolgen, als auch durch Übermittlung daraus berechneter Daten. Die aus dem geänderten Parameter oder dem Parametersatz mit dem geänderten Parameter berechneten Daten können z.B. einen Fingerprint oder Hash- Wert und/oder eine verschlüsselte Übermittlung des Parametersatzes umfassen. Die erste Instanz kann dabei bspw. eine Bedienperson sein, die an dem Feldgerät eine Einstellung vornimmt. Die erste Instanz kann aber auch ein weiteres Gerät sein, das auf das Feldgerät zugreift und eine Parameteränderung vornimmt. Bspw. kann die erste Instanz ein mobiles Bediengerät oder ein entfernter Rechner sein, mittels dessen eine Bedienperson auf das Feldgerät über eine Kommunikationsschnittstelle zugreift, um das Feldgerät zu parametrieren oder Daten auszulesen.
Die übergeordnete Einheit kann - wenn sie über eine Änderung eines Parameters informiert wurde - dann ihrerseits eine zweite Instanz über die vorgenommene Änderung informieren. Abhängig davon, welche Informationen an die übergeordnete Einheit übermittelt wurden, also ob der geänderte Parameter oder der gesamte Parametersatz übermittelt wurde, oder bspw. nur ein Hash-Wert, kann die übergeordnete Einheit die zweite Instanz nur über die Tatsache informieren, dass ein Parameter geändert wurde, oder konkret mitteilen, welche Änderung vorgenommen wurde, also insbesondere, welcher bzw. welche Parameter geändert wurde bzw. wurden.
Die zweite Instanz kann ebenfalls verschiedene Ausprägungen haben, bspw. eine Bedienperson der übergeordneten Einheit sein, ein weiteres Gerät, das von der übergeordneten Einheit informiert wird oder eine Gruppe oder Kombination daraus.
Das vorliegende Verfahren deckt damit jede Parameteränderung automatisch auf und informiert bspw. eine verantwortliche Person (Überwacher) oder verantwortliche Personen, sodass ggf. notwendige Gegenmaßnahmen eingeleitet werden können.
Um eine möglichst umfassende Information der zweiten Instanz zu ermöglichen, kann im Schritt des Übermittelns der gesamte Parametersatz übermittelt werden. Auf diese Weise wird sichergestellt, dass die zweite Instanz sämtliche relevanten Informationen zur Beurteilung der vorgenommenen Änderung in der aktuell gültigen Version vorliegen hat und so die vorgenommene Änderung optimal bewerten kann.
Zusätzlich oder alternativ kann an die übergeordnete Einheit auch ein Hashwert übermittelt werden, der aus dem Parametersatz berechnet wird. Ein solcher Hashwert kennzeichnet einen Parametersatz eindeutig, sodass zu einem späteren Zeitpunkt bspw. nachvollzogen werden kann, welcher Parametersatz zu einem früheren Zeitpunkt gültig war. Auf diese Weise kann - auch ohne den vollständigen Parametersatz an die übergeordnete Einheit zu übermitteln - verifiziert werden, welche Parameter bspw. zum Zeitpunkt eines Schadens im Feldgerät hinterlegt waren. Hierfür können die Parametersätze bspw. auf einem zusätzlichen Speichermedium abgelegt werden, das bspw. nur für den Besitzer des Feldgerätes zugänglich ist.
Wird nur der Hashwert an die übergeordnete Einheit übermittelt, kann von der zweiten Instanz bspw. bestätigt werden, dass eine Parameteränderung zu einem bestimmten Zeitpunkt zulässig ist. Zusätzlich oder alternativ kann eine Berechtigung der ersten Instanz bestätigt werden.
Eine Hashfunktion (auch Streuwertfunktion) ist eine mathematische Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hash- werte) abbildet. Eine Hashfunktion ist daher im Allgemeinen nicht injektiv. Die Eingabemenge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Zielmenge haben dagegen meist eine feste Länge.
Die Hashwerte sind meist skalare Werte aus einer begrenzten Teilmenge der natürlichen Zahlen. Eine „gute" Hashfunktion liefert dabei für die (erwarteten) Eingabedaten Werte, sodass zwei unterschiedliche Eingaben auch zu unterschiedlichen Ausgabewerten führen. Ein Hashwert wird deshalb auch als Fingerprint bezeichnet, da er eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge darstellt, so wie ein Fingerabdruck einen Menschen nahezu eindeutig identifiziert.
Im vorliegenden Fall wird auf diese Weise ein Parametersatz oder eine Teilmenge eines Parametersatzes auf einen Hashwert abgebildet und dieser Parametersatz bzw. die Teilmenge damit eindeutig gekennzeichnet.
Zusätzlich oder alternativ kann für den Parametersatz ein Änderungszähler berechnet werden. Ein solcher Änderungszähler kann bspw. bei jeder Änderung eines Parameters oder des Parametersatzes inkrementiert werden, sodass jederzeit nachvollziehbar ist, ob der aktuell geltende Parametersatz im Vergleich zu einem verifizierten Parametersatz verändert wurde. In einer Variante des Verfahrens kann der Parametersatz und/oder die daraus berechneten Daten in einem distributed ledger gespeichert werden.
Der Begriff distributed ledger (verteilte Kassenbücher) beschreibt eine Technik, die für die Dokumentation bestimmter Transaktionen benutzt werden kann. Im Gegensatz zum klassischen Ansatz, bei dem ein zentrales Hauptbuch in der Regel von nur einer Instanz verwaltet wird, werden hier dezentral beliebig viele prinzipiell gleichgestellte Kopien des Ledgers von unterschiedlichen Parteien unterhalten. Durch geeignete Maßnahmen wird dafür gesorgt, dass neu hinzuzufügende Transaktionen in allen Kopien des Ledgers übernommen werden und dass es zu einer Übereinkunft (Konsensus) über den jeweils aktuellen Stand des Ledgers kommt.
Im vorliegenden Anwendungsfall können damit die Parametersätze und/oder die Hashwerte und/oder weitere Informationen im distributed ledger gespeichert werden. Auf diese Weise sind die relevanten Informationen für sämtliche beteiligte Parteien, bspw. die erste Instanz und/oder die zweite Instanz und/oder einen Besitzer und/oder einen Betreiber und/oder einen Wartungsdienstleister und/oder einen Hersteller des Feldgeräts transparent und sicher gespeichert, sodass Manipulationen von sämtlichen Seiten verhindert werden können.
Führt bspw. eine Fehlparametrierung des Feldgeräts zu einer Beschädigung am Feldgerät oder an der Prozessanlage, so kann aus dem distributed ledger anhand der Hashwerte nachvollzogen werden, wann eine Parameteränderung stattgefunden hat. Da die Hashwerte eindeutig einem Parametersatz zuordenbar sind, kann dieser auch dann, wenn er dem Hersteller zunächst nicht bekannt ist, eindeutig identifiziert werden, sodass für alle Parteien eindeutig und transparent die Konfiguration nachvollzogen werden kann, die zu der Beschädigung geführt hat. So ist es möglich, im Schadensfall eindeutig festzustellen, ob das Feldgerät bspw. mit einer zulässigen Parameterkombination betrieben wurde.
Die übergeordnete Einheit kann bspw. als verteiltes Rechnernetz ausgebildet werden. Ein solch verteiltes Rechnernetz kann bspw. als Cloudsystem ausgestaltet sein, in dem bspw. zusätzlich zu einer Überwachung der Parameter des Feldgerätes Auswertungen von dem Feldgerät ermittelten Messwerten erfolgen. Dies kann bspw. als Software as a Service seitens des Herstellers der Feldgeräte angeboten werden.
Die Berechnung des Hashwertes, des Änderungszählers oder eine Verschlüsselung des Parametersatzes könne in der übergeordneten Einheit erfolgen. Auf diese Weise können Ressourcen im Feldgerät geschont werden und rechenintensive Operationen in der übergeordneten Einheit erfolgen. Auf diese Weise kann bspw. ein Energiespeicher in dem Feldgerät geschont werden, sodass ein längerer autarker Betrieb möglich ist.
Die Übermittlung kann zyklisch und/oder ereignisorientiert erfolgen. Das bedeutet, dass wenigstens der geänderte Parameter oder die geänderten Parameter, der gesamte Parametersatz und/oder die daraus berechneten Daten zyklisch, d.h. bspw. in vorgebbaren oder fest vorgegebenen Zeitabständen, und/oder ausgelöst durch vorgebbare oder fest vorgegebene Ereignisse an die übergeordnete Einheit übermittelt werden.
Insbesondere eine zyklische Übermittlung ermöglicht eine zusätzliche Überwachung des Feldgeräts, da auf diese Weise festgestellt werden kann, wenn eine Übermittlung durch das Feldgerät nicht zum vorgegebenen Zeitpunkt erfolgt. In diesem Fall kann ebenfalls eine Information an die zweite Instanz erfolgen. Alternativ kann auch vorgesehen sein, dass das Feldgerät oder der gesamte von dem Feldgerät überwachte Prozess, wenn die zyklisch übermittelten Daten nicht bei der übergeordneten Einheit ankommen, in einen sicheren Zustand überführt wird.
Vor dem Schritt der Übermittlung kann ferner eine Verschlüsselung durchgeführt werden. Durch eine Verschlüsselung der übermittelten Daten kann sichergestellt werden, dass die Daten nicht durch unberechtigte Dritte ausgelesen oder bei der Übermittlung abgefangen und/oder manipuliert werden.
In einer Ausgestaltungsform kann lokal eine Relaisstation vorgesehen sein. In diesem Fall kann eine lokale Übermittlung unverschlüsselt erfolgen und eine Übermittlung von der Relaisstation zu der übergeordneten Einheit bspw. verschlüsselt erfolgen. Zur Schonung von Ressourcen des Feldgeräts können Rechenoperationen auch in die Relaisstation ausgelagert werden. In einer ersten Variante kann das Verfahren unidirektional ausgestaltet sein. D.h., dass von dem Feldgerät über die Kommunikationsschnittstelle lediglich an die übergeordnete Einheit gesendet werden kann, das Feldgerät aber nicht zu einem Datenempfang über die verwendete Schnittstelle ausgebildet ist. Auf diese Weise wird vermieden, dass ein zusätzliches Einfallstor für Angriffe auf das Feldgerät geschaffen wird.
In einer zweiten Variante ist das Verfahren bidirektional ausgebildet, d.h. dass das Feldgerät über die Kommunikationsschnittstelle auch Daten empfangen kann. In dieser Variante kann z.B. vorgesehen sein, dass der geänderte Parameter oder die geänderten Parameter in dem Feldgerät erst aktiviert werden, wenn diese durch die zweite Instanz bestätigt wurden. Zusätzlich kann die übergeordnete Einheit und/oder die zweite Instanz den Parametersatz wieder auf einen zuletzt gültigen Wert zurücksetzen.
Zusätzlich zu dem geänderten Parameter oder den geänderten Parametern und/oder den daraus berechneten Daten an die übergeordnete Einheit kann zusätzlich eine Information zur ersten Instanz, insbesondere eine eindeutige Identifizierung der ersten Instanz übermittelt werden. Durch die Erfassung und Übermittlung einer eindeutigen Identifizierung der ersten Instanz kann die Sicherheit des vorliegenden Verfahrens weiter erhöht werden. Es ist damit möglich jede Parameteränderung eindeutig einer ersten Instanz zuzuordnen und diese Information zusammen mit den Informationen zur Parameteränderung abzuspeichern.
In der übergeordneten Einheit kann bspw. eine künstliche Intelligenz zur Beurteilung der Parameter zum Einsatz kommen. Durch den Einsatz künstlicher Intelligenz können bspw. die übermittelten Parametersätze auf Konsistenz geprüft werden und in einem selbstlernenden System Informationen gesammelt werden, welche Parameter keine Probleme verursachen. Gleichzeitig kann einem Nutzer Unterstützung bei der Parametrierung seines Feldgeräts angeboten werden, in dem bspw. ausgehend von einem Parametersatz, Werte angeboten werden, die andere Nutzer ebenfalls verwendet und beibehalten haben, die also eine gute Performance des Feldgeräts geliefert haben.
Zusätzlich oder alternativ kann die zweite Instanz ein Gerät eines für das Feldgerät zuständigen Überwachers, insbesondere ein Mobilgerät umfassen. Auf diese Weise kann eine für die Überwachung des Feldgeräts zuständige Person (der Überwacher) oder ein Personenkreis über Änderungen informiert werden.
In einer Variante des Verfahrens ist vorgesehen, dass eine Information an das Gerät des Überwachers nur dann erfolgt, wenn die künstliche Intelligenz eine Inkonsistenz der Parameter festgestellt hat. Auf diese Weise wird eine Unterstützung des Überwachers durch die künstliche Intelligenz realisiert, sodass bspw. eine Bestätigung eines Parametersatzes nur dann beim Überwacher angefordert wird, wenn die eingegebenen Parameter von der künstlichen Intelligenz als problematisch eingestuft wurden.
Ein erfindungsgemäßes System zum Betreiben von Feldgeräten umfassend wenigstens ein Feldgerät der Automatisierungstechnik, mit einer Eingabeschnittstelle, einem Speicher, in dem wenigstens ein Parametersatz für den Betrieb des Feldgeräts abgespeichert ist, und einer ersten Kommunikationsschnittstelle, weiter umfassend wenigstens eine übergeordnete Einheit mit einer zweiten Kommunikationsschnittstelle, zeichnet sich dadurch aus, dass das Feldgerät und die übergeordnete Einheit derart ausgebildet und eingerichtet sind, dass das Feldgerät bei Änderung wenigstens eines Parameters des Parametersatzes durch eine erste Instanz den geänderten Parameter oder die geänderten Parameter oder daraus berechnete Daten an die übergeordnete Einheit übermittelt, und eine zweite Instanz über die Änderung informiert wird.
Das vorliegende System zum Betreiben von Feldgeräten ist dabei so ausgebildet, dass durch das Zusammenspiel von Feldgerät und übergeordneter Einheit Parameteränderungen an die zweite Instanz übermittelt werden. Dabei kann durch die übergeordnete Einheit vor der Übermittlung an die zweite Instanz eine Überprüfung des Parametersatzes und/oder einer Identität der ersten Instanz erfolgen.
Die Eingabeschnittstelle und die Kommunikationsschnittstelle können dabei auch identisch sein. Das bedeutet, dass bspw. eine Kommunikation und eine Eingabe über eine Bluetooth-Funkschnittstelle erfolgen können.
Die Kommunikationseinheit kann zur Erhöhung der Sicherheit aber auch als reine Sendeeinheit ausgebildet sein. Durch die Ausgestaltung der Kommunikationseinheit als reine Sendeeinheit ohne eine Empfangsmöglichkeit wird verhindert, dass über diese Schnittstelle Angriffe auf das Feldgerät möglich sind.
Die übergeordnete Einheit kann bspw. als verteiltes Rechnernetz ausgebildet sein. Durch ein verteiltes Rechnernetz bspw. eine Cloud kann die Verfügbarkeit und Erreichbarkeit der übergeordneten Einheit verbessert werden. Der Parametersatz o- der der aus dem Parametersatz berechnete Wert kann vorzugsweise in dem verteilten Rechnernetz gespeichert werden, vorzugsweise in einem distributed ledger.
Insbesondere kann der gesamte Parametersatz und/oder ein aus dem Parametersatz berechneter Hashwert und/oder ein Änderungszähler in dem verteilten Rechnernetz, vorzugsweise dem distributed ledger abgespeichert werden.
Durch die so verteilte und für alle an dem System beteiligten transparente Speicherung der o.g. Werte wird erreicht, dass jederzeit nachvollzogen werden kann, zu welchem Zeitpunkt welcher Parametersatz gültig war. Auf diese Weise können bspw. Schadensfälle, sei es durch oder an der Prozessanlage oder an dem Feldgerät transparent nachvollzogen werden.
Bevorzugte Ausführungsformen, Merkmale und Eigenschaften des vorschlagsgemäßen Systems entsprechen denjenigen des vorschlagsgemäßen Verfahrens und umgekehrt.
Vorteilhafte Ausgestaltungen und Varianten der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung. Die in den Unteransprüchen einzeln aufgeführten Merkmale können in beliebiger, technisch sinnvoller Weise miteinander als auch mit den in der nachfolgenden Beschreibung näher erläuterten Merkmale kombiniert werden und andere vorteilhafte Ausführungsvarianten der Erfindung darstellen.
Die vorliegende Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Bezugnahme auf die beigefügten Figuren eingehend erläutert. Es zeigen:
Figur 1 symbolisch ein System zum Betreiben eines Feldgeräts, Figur 2 ein Feldgerät, wie es in dem System aus Figur 1 zum Einsatz kommen kann,
Figur 3 eine erste Ausgestaltungsform eines Verfahrens zum Betreiben eines Feldgeräts und
Figur 4 eine zweite Ausgestaltungsform eines Verfahrens zum Betreiben eines Feldgeräts.
Figur 1 zeigt symbolisch ein System 1 zum Betreiben eines Feldgeräts mit einem ersten Feldgerät 3 und einem zweiten Feldgerät 4 gemäß der vorliegenden Anmeldung.
In dem Ausführungsbeispiel gemäß Figur 1 sind die Feldgeräte 3, 4 beide an einem Tank 7 zur Füllstand bzw. Grenzstandmessung angeordnet. Das erste Feldgerät 3 ist in dem gezeigten Ausführungsbeispiel als Grenzstandsensor zur Erfassung eines maximalen Füllstands des Tanks sieben ausgebildet und mit einer Prozesssteuerung 9 verbunden. Die Prozesssteuerung 9 bearbeitet von dem ersten Feldgerät 3 ermittelte Messwerte und deaktiviert wird eine im Zulauf zu dem Tank 7 angeordnete Pumpe bei Erreichen des maximalen Füllstands.
Das zweite Feldgerät 4 ist in dem gezeigten Ausführungsbeispiel als Radarfüll- standmessgerät ausgebildet und übermittelt seine Füllstandmesswerte drahtlos an eine Leitwarte.
Beide Feldgeräte zu 3, 4 werden gemeinsam in dem System 1 zum Betreiben von Feldgeräten überwacht.
Eine übergeordnete Einheit des Systems 1 ist im vorliegenden Ausführungsbeispiel als verteiltes Rechnernetz (Cloud) 5 ausgebildet, wobei das erste Feldgerät 3 über ein Relais 6 und das zweite Feldgerät 4 direkt mit der übergeordneten Einheit 5 kommuniziert. Die Kommunikation zwischen dem Relais 6 und dem zweiten Feldgerät 4 erfolgt jeweils drahtlos über eine Funkverbindung.
In dem in Figur 1 gezeigten Ausführungsbeispiel ist eine erste Instanz 11, die vorliegend als mobiles Endgerät, beispielsweise als Smartphone eines Benutzers ausgebildet ist, gezeigt. Die erste Instanz 11 ergreift vorliegend auf das erste Feldgerät 3 zu um dieses zu Parametrierung, d. h. beispielsweise Informationen zu den zu delektierenden Medien, deren Dichte zur Häufigkeit von Messungen und zu den Bedingungen für den Schaltbefehl (unbedeckt/unbedeckt) einzugeben. Werden von der ersten Instanz 11 Parameter des erfassten Feldgeräts 3 verändert, so erkennt das Feldgerät diese Veränderung und teilt diese über das Relais 6 an die übergeordnete Einheit 5 mit. Im vorliegenden Ausführungsbeispiel wird jeweils der gesamte Satz an Parametern, nachfolgend auch Parametersatz genannt, an die übergeordnete Einheit 5 übermittelt und dort zusammen mit einem Zeitstempel abgespeichert. Gleichzeitig wird der übermittelte Parametersatz mit einem zuletzt in der übergeordneten Einheit für das erste Feldgeräte 3 abgespeicherten Parametersatz verglichen und überprüft welche Parameter geändert wurden. In der übergeordneten Einheit 5 können feste Regeln hinterlegt sein, bei welchen Parameteränderungen eine zweite Instanz zwölf, die vorliegend als eine Gruppe von Geräten dargestellt ist, über die Parameteränderung informiert wird. Alternativ kann eine Information auch bei jeder Parameteränderung erfolgen oder abhängig von einer Analyse des gesamten Parametersatzes, beispielsweise durch eine künstliche Intelligenz. Zusätzlich zu einer Information der zweiten Instanz 12 durch die übergeordnete Einheit 5 kann in der übergeordneten Einheit 5 eine veränderungssichere Abspeicherung des Parametersatzes oder von aus dem Parametersatz berechneten Daten, beispielsweise einem Hashwert erfolgen.
Im vorliegenden Ausführungsbeispiel ist die Informationsübermittlung zwischen den Feldgeräten 3, 4 und der übergeordneten Einheit 5 lediglich bidirektional ausgebildet, d. h., dass er die Feldgeräte 3, 4 an die übergeordnete Einheit 5 ausschließlich Daten senden können, jedoch nicht befähigt sind, von der übergeordneten Einheit 5 Daten, die über einen Bestätigung der Funkkommunikation hinausgehen, zu empfangen. In einer weiteren Ausgestaltungsform des Systems eins kann die Verbindung zwischen den Feldgeräten 3, 4 und der übergeordneten Einheit 5 aber auch bidirektional ausgestaltet sein, sodass es beispielsweise ermöglicht werden kann, dass die zweite Instanz zwölf nach einer Modifikation über eine Parameteränderung eine Bestätigung oder eine Ablehnung der Parameteränderung an die übergeordnete Einheit 5 sendet, welche diese dokumentiert und an die Feldgeräte 3, 4 übermittelt. In diesem Fall kann beispielsweise auch die erste Instanz 11 über die Bestätigung oder Ablehnung der Parameteränderung durch die zweite Instanz entweder direkt von der übergeordneten Einheit 5 oder indirekt über die Feldgeräte 3, 4 informiert werden.
Auf diese Weise ist es möglich ein Vieraugenprinzip zu realisieren, bei dem eine Parameteränderung durch eine erste Instanz 11 an einem Feldgerät 3, 4 jeweils nur dann wirksam wird, wenn diese durch eine zweite Instanz 12 bestätigt wird. Die beiden im Ausführungsbeispiel der Figur 1 als erste Instanz 11 und zweite Instanz 12 gezeigten Geräte können jeweils einem Mitarbeiter zugeordnet sein, sodass jeweils nur zwei Mitarbeiter gemeinsam eine Parameteränderung durchführen können. Folgeschäden durch ungewollte oder unerwünschte Parameteränderungen können auf diese Weise minimiert und im Idealfall vollständig vermieden werden.
Durch eine Übermittlung der Parameter an die übergeordnete Einheit 5 ist es außerdem möglich zu jedem Feldgerät 3, 4 einen digitalen Zwilling zu erstellen, also eine digitale Kopie in der die Art des Feldgerätes, die hinterlegten Parameter sowie weitere relevante Informationen zu dem Feldgerät abgespeichert sind.
Figur 2 zeigt ein Ausführungsbeispiel für ein Feldgerät, wie es in dem System aus Figur 1 zum Einsatz kommen kann. Das in Figur 2 dargestellten Feldgerät entspricht dabei dem ersten Feldgerät 3, das in dem Ausführungsbeispiel der Figur 1 über das Relais 6 mit der übergeordneten Einheit 5 kommuniziert.
Das Feldgerät 3 ist im vorliegenden Fall lediglich schematisch dargestellt und weist eine Elektronik 30 auf, mittels derer von einem Sensor 37 ermittelte Messwerte weiterverarbeitet und über eine Ausgabeschnittstelle 34 beispielsweise an die Prozesssteuerung 9 zur Verfügung gestellt werden können. Ferner weist das Feldgerät 3 eine Eingabeschnittstelle 31 auf, mittels derer verschiedene Eingaben, Konfigurationen und Parameteränderungen auch unmittelbar an dem Feldgerät 3 vorgenommen werden können. Der für das Feldgerät 3 endgültige Parametersatz ist im vorliegenden Ausführungsbeispiel in einem Speicher 32 einer Recheneinheit 35 der Elektronik 30 gespeichert. Registriert die Recheneinheit 35 eine Änderung von Parametern in dem Speicher 32, so erfolgt eine Kommunikation an die übergeordnete Einheit 5 über eine in der Elektronik 30 angeordnete Kommunikationsschnittstelle 33. Die Kommunikationsschnittstelle 33 kann beispielsweise als Nahbereich-Funkschnittstelle, beispielsweise als Bluetooth- oder NFC-Schnittstelle ausgebildet sein oder kann alternativ eine Schmalband-Funktechnologie, beispielsweise Lora oder NB OT nutzen. Da im vorliegenden Ausführungsbeispiel eine Nahbereich-Funkschnittstelle mit einer geringen Reichweite gewählt wurde, erfolgt die Kommunikation mit der übergeordneten Einheit 5 wie in Figur 1 dargestellt über das Relais 6.
Die Kommunikationsschnittstelle 33 kann außerdem eine Funkkommunikation mit der ersten Instanz 11 zur Erleichterung der Inbetriebnahme und Parametrisierung des Feldgeräts 3 verwendet werden. In diesem Fall muss die Kommunikationsschnittstelle 33 aber bidirektionale ausgebildet sein.
Figur 3 zeigt ein beispielhaftes Verfahren zum Betreiben eines Feldgeräts.
In einem ersten Schritt 301 wird das Verfahren gestartet. In einem zweiten Schritt 302 wird überprüft, ob eine Parameteränderung durchgeführt wurde. Ist das der Fall, so wird in einem dritten Schritt eine Information über die Parameteränderung an die übergeordnete Einheit 5 versendet. In einem vierten Schritt 304 informiert die übergeordnete Einheit 5 dann die zweite Instanz 12 und das Verfahren beginnt wieder mit dem zweiten Schritt 302. Der zweite Schritt 302 kann beispielsweise zyklisch d. h. in festen Zeitabständen oder ereignisorientiert, beispielsweise wenn an dem Feldgerät eine Eingabe erfolgt oder ein Verbindungsaufbau stattfindet erfolgen. Ebenso kann der dritte Schritt, in dem eine Übermittlung an die übergeordnete Einheit 5 stattfindet zyklisch oder ereignisorientiert ausgeführt werden für beide Schritte ist auch eine Kombination aus zyklischer und ereignisorientiert der Ausführung möglich.
Figur 4 zeigt eine im Vergleich zu dem Verfahren gemäß Figur 3 erweiterte Variante des Verfahrens gemäß der vorliegenden Anmeldung.
In einem ersten Schritt 401 wird auch hier das Verfahren gestartet. Bevor in einem zweiten Schritt 402 eine zyklisch ablaufende und Ereignis gesteuerte Überprüfung von Parameteränderungen erfolgt. In einem dritten Schritt werden die Informationen zur Übermittlung an die übergeordnete Einheit 5 zunächst verschlüsselt und anschließend in verschlüsselter Form an die übergeordnete Einheit 5 im vierten Schritt 404 übermittelt. In einem fünften Schritt 405 werden die übermittelten Daten einerseits in verschlüsselter Form abgespeichert und andererseits entschlüsselt und in einem sechsten Schritt 406 durch eine künstliche Intelligenz einer Überprüfung unterzogen. Werden die übermittelten Parameter von der künstlichen Intelligenz als problematisch eingestuft, so beginnt das vorliegende Verfahren wieder mit dem zweiten Schritt, in dem eine Überprüfung auf Parameteränderungen stattfindet. Kommt die künstliche Intelligenz im sechsten Schritt 406 jedoch zu dem Ergebnis, dass problematische oder zumindest überprüfenswerte Veränderungen an den Parametern vorgenommen wurden, so wird in einem siebten Schritt 407 die zweite Instanz 12 über die Parameteränderungen modifiziert. In einem achten Schritt 408 erfolgt eine Rückmeldung von der zweiten Instanz 12 über die übergeordnete Einheit 5 an das Feldgerät 3, wobei diese Rückmeldung eine Bestätigung der vorgenommenen Änderungen, ein Verwerfen der vorgenommenen Änderungen oder eine Abänderung der Parameter beinhalten kann. Nur wenn eine Rückmeldung erfolgt, werden die eingestellten Parameter übernommen und das Verfahren startet wieder mit dem zweiten Schritt 402. Erfolgt über einen vorgebbaren Zeitraum keine Rückmeldung seitens der zweiten Instanz, so kann beispielsweise vorgesehen sein, dass das Feldgerät entweder mit den zuvor geltenden Parametern weiter betrieben wird oder automatisch in einen sicheren Zustand wechselt, indem beispielsweise der von dem Feldgerät überwachte Prozess in einen sicheren Zustand überführt oder heruntergefahren wird.
Um eine transparente Nachvollziehbarkeit von Parameteränderungen und zu einem Zeitpunkt jeweils geltenden Parametern zu gewährleisten kann es beispielsweise vorgesehen sein, dass gesamte Parametersätzen oder aus den Parametersätzen berechnete Hashwerte in einem distributed Ledger, beispielsweise einer Blockchain abgespeichert werden. Sämtliche Parametersätze bzw. Hashwerte sind dann für die beteiligten Personenkreise jederzeit eindeutig zuordenbar, sodass immer festgestellt werden kann - entweder über den Parametersatz selbst oder den Hashwert- zu welchem Zeitpunkt welcher Parametersatz Gültigkeit hatte und gegebenenfalls zu einer Fehlfunktion oder einer Beschädigung geführt hat. Bezugszeichenhste
System erstes Feldgerät zweites Feldgerät übergeordnete Einheit
Relais
Tank
Prozesssteuerung erste Instanz zweite Instanz
Elektronik
Eingabeschnittstelle
Speicher
Kommunikationsschnittstelle
Ausgabeschnittstelle
Recheneinheit
Sensor -304 Verfahrensschritte -408 Verfahrensschritte

Claims

Patentansprüche Verfahren zum Betreiben eines Feldgeräts (3, 4) der Automatisierungstechnik, mit einer Eingabeschnittstelle (31), einem Speicher (32), in dem wenigstens ein Parametersatz für den Betrieb des Feldgeräts (3, 4) abgespeichert ist, und mit einer ersten Kommunikationsschnittstelle (33), dadurch gekennzeichnet, dass bei einer Änderung wenigstens eines Parameters des Parametersatzes durch eine erste Instanz (11), folgende Schritte in der nachfolgenden Reihenfolge ausgeführt werden:
- Übermitteln wenigstens des geänderten Parameters oder der geänderten Parameter und/oder daraus berechneter Daten an eine übergeordnete Einheit (5)
- Informieren einer zweiten Instanz (12) über die Änderung. Verfahren gemäß Patentanspruch 1, dadurch gekennzeichnet, dass im Schritt des Übermittelns der gesamte Parametersatz übermittelt wird. Verfahren gemäß einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass ein Hashwert aus dem Parametersatz berechnet wird. Verfahren gemäß einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass für den Parametersatz ein Änderungszähler berechneten wird. Verfahren gemäß einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass der Parametersatz und/oder die daraus berechneten Daten in einem distributed ledger gespeichert wird. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die übergeordnete Einheit (5) verteiltes Rechnernetz ausgebildet wird. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Berechnung in der übergeordneten Einheit (5) erfolgt. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung zyklisch und/oder ereignisorientiert erfolgt. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass vor dem Schritt der Übermittlung eine Verschlüsselung durchgeführt wird. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der geänderte Parameter oder die geänderten Parameter in dem Feldgerät (3, 4) erst aktiviert werden, wenn diese durch die zweite Instanz (12) bestätigt wurden. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zusätzlich eine Information zur ersten Instanz (11), insbesondere eine eindeutige Identifizierung, übermittelt wird. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die übergeordnete Einheit (5) eine künstliche Intelligenz zur Beurteilung der Parameter umfasst. Verfahren gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Instanz (12) ein Gerät eines für das Feldgerät (3, 4) zuständigen Überwachers umfasst, insbesondere ein Mobilgerät. erfahren gemäß Patentanspruch 12 und 13, dadurch gekennzeichnet, dass eine Information an das Gerät des Überwachers nur dann erfolgt, wenn die künstliche Intelligenz eine Inkonsistenz der Parameter feststellt. System zum Betreiben von Feldgeräten mit
- wenigstens einem Feldgerät (3, 4) der Automatisierungstechnik, mit einer Eingabeschnittstelle (31), einem Speicher (32), in dem wenigstens ein Parametersatz für den Betrieb des Feldgeräts (3, 4) abgespeichert ist, und einer ersten Kommunikationsschnittstelle (33) und
- einer übergeordneten Einheit (5) mit einer zweiten Kommunikationsschnittstelle (33), wobei
- das Feldgerät (3, 4) und die übergeordnete Einheit (5) derart ausgebildet und eingerichtet sind, dass das Feldgerät (3, 4) bei Änderung wenigstens eines Parameters des Parametersatzes durch eine erste Instanz (11) den geänderten Parameter oder die geänderten Parameter oder daraus berechnete Daten an die übergeordnete Einheit (5) übermittelt, und eine zweite Instanz (12) über die Änderung informiert wird. System gemäß Patentanspruch 15, dadurch gekennzeichnet, dass die übergeordnete Einheit (5) als verteiltes Rechnernetz ausgebildet ist und der Parametersatz oder der aus dem Parametersatz berechnete Wert vorzugsweise dort gespeichert wird, vorzugsweise in einem distributed ledger. System gemäß Patentanspruch 16, dadurch gekennzeichnet, dass die erste Kommunikationseinheit als reine Sendeeinheit ausgebildet ist. System gemäß Patentanspruch 16, dadurch gekennzeichnet, dass die erste Kommunikationseinheit als Sende- und Empfangseinheit ausgebildet ist.
PCT/EP2021/052569 2021-02-03 2021-02-03 Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten WO2022167073A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP21703427.1A EP4288841A1 (de) 2021-02-03 2021-02-03 Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten
CN202180092598.XA CN116783560A (zh) 2021-02-03 2021-02-03 用于操作现场装置的方法和用于操作现场装置的系统
US18/263,901 US20240111264A1 (en) 2021-02-03 2021-02-03 Method for operating a field device, and system for operating field devices
PCT/EP2021/052569 WO2022167073A1 (de) 2021-02-03 2021-02-03 Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2021/052569 WO2022167073A1 (de) 2021-02-03 2021-02-03 Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten

Publications (1)

Publication Number Publication Date
WO2022167073A1 true WO2022167073A1 (de) 2022-08-11

Family

ID=74553826

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/052569 WO2022167073A1 (de) 2021-02-03 2021-02-03 Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten

Country Status (4)

Country Link
US (1) US20240111264A1 (de)
EP (1) EP4288841A1 (de)
CN (1) CN116783560A (de)
WO (1) WO2022167073A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016118614A1 (de) * 2016-09-30 2018-04-05 Endress+Hauser Gmbh+Co. Kg Verfahren zum manipulationssicheren Speichern von Daten eines Feldgeräts
US20200096962A1 (en) * 2017-04-05 2020-03-26 Siemens Aktiengesellschaft Field Device and Method for Parameterizing the Field Device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016118614A1 (de) * 2016-09-30 2018-04-05 Endress+Hauser Gmbh+Co. Kg Verfahren zum manipulationssicheren Speichern von Daten eines Feldgeräts
US20200096962A1 (en) * 2017-04-05 2020-03-26 Siemens Aktiengesellschaft Field Device and Method for Parameterizing the Field Device

Also Published As

Publication number Publication date
CN116783560A (zh) 2023-09-19
EP4288841A1 (de) 2023-12-13
US20240111264A1 (en) 2024-04-04

Similar Documents

Publication Publication Date Title
DE102017116161A1 (de) Zwei-Faktor-Authentifizierung für Benutzerschnittstelleneinrichtungen in einer Prozessanlage
EP3379447B1 (de) Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
DE102017124884A1 (de) Prozessgerätzustand- und Leistungsüberwachung
DE102017116311A1 (de) Authentifizierung und autorisierung zum kontrollieren des zugriffs auf prozesskontrolleinrichtungen in einer prozessanlage
DE102017116139A1 (de) Flottenmanagementsystem für tragbare Wartungswerkzeuge
EP3070556B1 (de) Verfahren, recheneinrichtung, benutzer-einheit und system zum parametrieren eines elektrischen gerätes
DE10250165A1 (de) System und Verfahren zur Überwachung des Zustandes einer Maschine von Ferne
DE102020124501A1 (de) Edge-gateway-system mit datentypisierung für die gesicherte lieferung von prozessanlagendaten
DE102016124350A1 (de) Verfahren und System zum Überwachen einer Anlage der Prozessautomatisierung
EP3101275A1 (de) Verfahren zum konfigurieren einer windenergieanlage, sowie windenergieanlage
DE102008043336A1 (de) Modulares Messgerät mit verteilten Daten und Algorithmen
WO2012110338A1 (de) Vorrichtung zur dezentralen wartungsdatenspeicherung von energieumwandlungsanlagen
DE102020124820A1 (de) Sicherer externer zugriff auf prozesssteuerungsdaten durch eine mobile vorrichtung
EP3821306B1 (de) Verfahren zum parametrieren eines sensorsystems
WO2022167073A1 (de) Verfahren zum betreiben eines feldgeräts und system zum betreiben von feldgeräten
EP2054782B1 (de) Datenaufnahmevorrichtung
DE202016103635U1 (de) Sensoranordnung mit einem Sensor und einer Halterung
DE102010040054A1 (de) Verfahren zur Sicherstellung der korrekten Funktionsweise einer Automatisierungsanlage
EP4025965B1 (de) Integritätsüberwachungssystem und verfahren zum betreiben eines integritätsüberwachungssystems sowie eine integritätsüberwachungseinheit
EP3182383A1 (de) Datensammelvorrichtung sowie verfahren zu deren betrieb mit hybridem sicherheitsmodus
EP3306514B1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette
DE102004020203A1 (de) Verfahren und System zur Fernüberwachung, Fernsteuerung und/oder Ferndiagnose eines Gerätes
LU101163B1 (de) Verfahren und Vorrichtungen für eine Lastzuweisung und Überwachung für eine zuzuweisende versorgungssicherheitskritische Ressource in einem Netzwerk
WO2018114101A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und automatisierungssystem mit feldgeräten
DE202016101441U1 (de) System mit einem mobilen Schlüsselgerät

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21703427

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202180092598.X

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 18263901

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021703427

Country of ref document: EP

Effective date: 20230904