专利名称:现场设备的制作方法
技术领域:
本发明涉及一种现场设备,特别是用于能量技术设备如供电设备中,具有 权利要求1前序部分的特征。
背景技术:
这样的现场设备例如通过SIEMENS ^^司的防护i殳备SIPROTEC 7SA511 及7SA513构成。该防护设备被构造为具有微处理器装置,其在现场设备运行 期间执行确定设备功能的程序模块。
在能量技术设备中的现场设备如今实现继电保护技术和控制技术的许多 功能。设备的性能和功能性不断提高。从现场设备制造商的观点来看,为每个 客户的期望分别提供合适的设备存在越来越多的问题在此自然必须由设备设 置各个客户期望的所有的功能;但是同时必须考虑成本方面和价格构成方面, 使得设备关于其功能不是巨大的,并且可以执行比客户所需要的功能多的功能 并且是能负担得起的。
发明内容
因此本发明要解决的技术问题是提供一种现场设备,其可以这样简单而快 速地配置,使得可以执行预定的设备功能而不提供或仅有限地提供其它功能。
上述技术问题根据本发明通过一种具有权利要求1的特征部分的现场设备 解决。根据本发明的现场设备的优选实施方式在从属权利要求中给出。
根据本发明,现场设备具有安全装置,该安全装置这样构造,使得它检查 输入的、描述期望的设备功能的功能描述块是否描述允许的设备功能,并且在 非允许的设备功能情况下禁止其执行,而在允许的设备功能的情况下允许其执 行。功能描述块例如可以文件的形式,例如以XML格式给出。
根据本发明的现场设备的主要优点在于,仅通过允许或禁止在设备中存在 的设备功能,就可以非常简单而廉价地设置用户方面设备的可用的功能范围。由此,当其它设备功能是允许的时,用户实际可用的功能范围可以小于设备基 本提供的功能范围。例如可以仅通过根据软件来允许和禁止设备功能而进行制 造商方面的配置。
根据本发明的现场设备的另 一个主要优点在于,明显简化了制造商方面的 库存。在理想情况下,理论上硬件方面制造一个现场设备类型,并且仅仅通过 根据软件的允许和禁止来完成设备的最终的功能范围和最终的设备类型的确定 就足够了 。
根据本发明的现场设备的第三个主要优点在于,尽管有安全装置还是可以
非常筒单地操作该现场设备在允许的设备功能的情况下,仅通过输入描述设 备功能的功能描述模块,例如以XML格式,来进行用户方面期望的设备功能 的确定。例如可以用由制造商提供的配置工具来进行这样的输入。
考虑到尽可能安全地防止通过用户滥用而消除设备功能的禁止,优选安全 装置具有解释组件,该解释组件解释用户方面或制造商方面输入的功能描述块, 并且在考虑多个固件方面(优选为硬件方面)的在现场设备中预先安装的功能 组件的情况下,当输入的功能描述块描述允许的设备功能时,才产生相应的程 序模块。在现场设备的该优选实施方式中,使用户对内部功能的操纵变得困难, 并且减少滥用可能性。此外,对运行设备所需的程序模块是不可支配的,从而 用户方面不能读出或复制或滥用地修改该程序模块,例如关于允许被禁止的设 备功能。
当这样构造安全装置时,可以特别简单并且由此优选地达到对设备功能的 允许和禁止,该安全装置将功能描述块中包含的特征块与现场设备中存储的或 现场设备可用的、描述现场设备的允许的功能范围的标记块进行比较,并且当 特征块中描述的特征在标记块中缺少或被定义为禁止时,禁止对功能描述块中 描述的设备功能的执行。
优选地在现场设备中存储标记块。在该情况下,标记块优选具有标记现场 设备的设备标识,对该现场设备来说标记块是确定的。
可替换地,还可以在外部存储组件中存储标记块,该外部存储组件与现场 设备相连用于其运行。在该情况下,标记块优选地包含存储器标识,该存储器 标识标记标记块所分配到的外部存储器。在该实施方式中,标记块虽然适合于 许多现场设备,但是仍保证复制保护。
特别具有优势的是,用电子签名来签署标记块,并且这样构造安全装置,使得当对电子签名的检验得到负的结果时,禁止功能描述块的进一步处理。用 这样的标记块的签名可以避免用户滥用地改变标记块以事后扩展i殳备功能。
例如这样构造安全装置,用密钥对的第二密钥来对用该密钥对的第 一 密钥 加密的标记块进行解密以检验电子签名。以优选方式密钥对的第二密钥存储在 现场设备的防止未经授权的读取而受保护的存储区域中。
也可以这样构造安全装置,即就是否存在有效的电子签名来^f企验特征块, 并且当对电子签名的检验产生负的结果时,禁止功能描述块的进一步处理。例 如当要确保仅能用制造商的配置工具来进行功能描述块的输入时,推荐使用特 征块的签名。通过这样限制于制造商的配置工具,例如可以确保仅能使用在制 造商方面被检查并且关于保证和担保被归入安全级别的功能描述块和特征块。
以优选方式这样构造安全装置,该安全装置用另一密钥对的第二密钥来对 用该密钥对的第一密钥加密的特征块进行解密以检验电子签名。该另一密钥对 的第二密钥优选地存储于防止未经授权的读取而受保护的存储区域中。
防止未经授权的读取而受保护的存储区域以优选方式集成于一个或各个 组件中,该组件实施现场设备的基本的不可缺少的基本功能。由此避免具有密 钥的组件被通过具有其它密钥的任意的其它电气组件代替以例如挖掘签名安全 性。这些组件例如控制现场设备的数据总线或接口。具有受保护的存储区域的
组件例如可以集成于ASIC、 FPGA、或CPLD组件中。
此外考虑最大限度的用户友好性作为优选方式设置为,标记块包含基本功 能块和选项块,其中基本功能块确定允许的现场设备的基本功能范围,而选项 块确定允许的选项范围,在该选项范围之内允许用户方面其它附加功能加入到 基本功能范围,而不用通过安全装置来禁止现场设备。
在选项块中优选地为每个可选的附加功能分别存储值数(Wertzahl),并且 优选通过最大值来定义(以下称为预付变量(Prepaid-Variante ))允许的选项范 围。安全装置例如将该用户方面选出的附加功能的值数相加,并且当和数超过 最大值时,禁止结果的设备功能的实施。
替代地,标记块还可以仅描述一个设备功能,并且当用户方面仅期望现场 设备的简单版本时,不允许任何选项。在这种情况下包括特征块的功能描述块 优选地在制造商方面已经存储在现场设备中。
以下根据实施例详细解释本发明;在此示例性示出
图1示出根据本发明的现场设备的实施例,
图2示出根据图1的现场设备的安全装置的安全^t块的结构,
图3示出产生用于根据图1的现场设备的标记块的实施例,以及
图4示出产生用于根据图1的现场设备的功能描述块的实施例。
具体实施例方式
在图l可以看出现场设备10,其构造为具有微处理器单元20以及主存储 器30和安全装置40。微处理器单元20、主存储器30和安全装置40经过设备 内部的数据总线50互相相连并与现场设备10的外部接头A10相连。
如在图1中获悉的,安全装置被构造为具有解释组件60、安全模块70以 及存储区域80,在该存储区域80中存储了功能组件FM。安全模块70经过接 头A70a与数据总线50相连以及经过接头A70b与解释组件60相连。
根据图1的现场设备10例如按以下描述
在还在现场设备10的制造或参数化期间进行的第一步骤中,将标记块KB 存储于现场设备10的主存储器30中;这样的存储过程例如可以经过现场设备 10的接头A10来进行。在标记块KB中描述了对现场设备的运行来说允许的功 能范围。例如在标记块KB中可以确定,允许将现场设备IO作为远距离保护装 置、作为电能质量测量设备(Power-Quality-Messger針)或作为差动保护测量装 置来运行。
在预先安装标记块KB和向最终用户(以下也称为用户)交付现场设备IO 之后,在主存储器30中借助连接于现场设备的接头A10的配置工具存储用户 方面的功能描述块FB,为清楚起见在图1中未示出该配置工具。用户在功能描 述块FB中向现场设备中的输入,他想如何使用该设备以及应该实施现场设备 的哪些设备功能。要实施的设备功能包含在功能描述块FB的特征块MB中; 可替换地,还可以仅通过特征块MB来定义功能描述块FB。
如果此时由用户运行现场设备10,则安全装置40首先4企查,用户方面输 入的功能描述块FB或其中包含的特征块MB是否描述对现场设备10来说允许 的设备功能。在此如果安全装置40确定,用户方面期望的设备功能在标记块 KB中作为允许的被定义,则安全装置允许设备运行,从而允许微处理器单元 20实施设备功能。此外还检查,现场设备10中包含的标记块KB是否包含安全装置40中存储的现场设备的ID,以及标记块KB和特征块MB的签名是否 是用存储区域80中存储的公钥关键字OSK可检验的。
用于控制微处理器单元20所必须的可执行的程序模块PM由解释组件60 提供,该解释组件分析在特征块MB或功能描述块FB中描述的设备功能,并 且在考虑存储于存储区域80中的功能组件FM的条件下产生程序模块PM。
而如果安全装置40确定,在功能块FB中没有描述对现场设备10来说允 许的设备功能,则安全装置禁止解释组件60和/或微处理器单元20,由此可以 防止利用不允许的设备功能来启动现场设备10。
也就是说例如,如果在标记块KB中确定,仅允许现场设备IO作为远距离 保护装置、作为电能质量测量装置或作为差动保护装置运行,则关闭利用其它 设备功能的启动,当解释组件60原则上能够在使用存储于存储区域80中的功 能组件FM的条件下模拟该设备功能时。换言之,就是根据存储于存储区域80 中的功能组件FM和解释组件60的工作原理,现场设备IO可以完全适合于实 施不同于在标记块KB中定义的设备功能;但是尽管如此并没有出现这样的实 施,因为安全装置40首先检验,是否在标记块KB中描述并允许用户方面期望 的设备功能。
为了防止用户方面窜改标记块KB和例如关于允许的设备功能而扩展标记 块KB,优选在制造商方面就已经用电子签名来签署标记块KB,这是通过例如 在使用第一密钥对的第一密钥的条件下加密标记块KB;其中加密还考虑现场 设备10的设备标识号ID。然后将加密的标记块KB'存储于主存储器30中。
还优选地用电子签名来签署并加密地存储功能描述块FB和其中包含的加 密的特征块MB。特征块MB加密的优势在于,能够防止用户方面在现场设备 10中安装不是由现场设备10的制造商制造的和检查的功能描述块。例如在使 用第二密钥对的第 一 密钥的条件下在形成加密的功能描述块FB'和其中包含的 加密的特征块MB'的情况下进行块FB和MB的加密。
在标记块KB、功能描述块FB和其中包含的特征块MB的加密和解密时, 优选地采用基于密钥对的加密技术。在此用第一密钥实现加密,该加密只能用 该密钥对的第二密钥来解密。只有当呈现第二密钥时,这样的加密才允许对加 密的文件的读取。第二密钥的持有者可以同时检验文件的真实性,因为只有当 原始文件实际上用密钥对的第一密钥(该密钥是密钥对持有者秘密持有的并且 对第三人是未知的)并且由此由持有者自己加密的,才可能用第二密钥进行有意义的解密。例如可以基于RSA或三倍DES方法来实现所描述的加密。可替 换地,可以借助哈希码(Hash-Code)方法,例如用MD5或SHA1算法,来计 算关于特征块MB和标记块KB的所谓的消息摘要(Message Digest),接着加 密,并且作为签名附加到块KB和MB。该签名可以在现场设备10中通过用存 储器80中包含的公钥关键字OSK来解密该消息摘要并然后用SHAl或MD5 算法来理解该消息摘要的计算来进行检验。只有当块KB和MB在签名时刻和 检验时刻之间没有被改变时,解密的和理解的消息摘要才会一致。
以下根据图2示例性详细解释根据图1的安全装置40的安全模块70的工 作原理。在图2中看出经过比较装置120互相连接的第一不可观察的单元100 以及第二不可观察的单元110。不可观察的单元理解为在其运行期间是不可监 听的单元,从而从外部不能领会其工作方式。两个不可观察的单元100和110 例如可以通过受保护的硬件块、例如以ASIC、 FPGA或门阵列的形式的硬件块 来实现。
不可观察的单元100的任务是,首先检验现场设备10的主存储器30中存 储的加密的标记块KB'是否是制造商方面产生的原始标记块;通过该检验可以 防止安全模块70被引入对用户方面可能的窜改的标记块KB'的其它检验。
为了检查加密的标记块KB'的真实性,单元100首先询问现场设备70的设 备标识号ID,并且在使用根据硬件地且"隐藏地"存储在其中的已经提到的第一 密钥对的第二密钥的条件下对标记块KB'进行解密。解密的标记块KB到达比 较装置120,比较装置120将解密的标记块KB与特征块MB进行比较。
如已经提到的那样,功能描述块FB和其中包含的特征块MB也优选地被 加密地存储,如图2中通过附图标记MB'所表示的。解密通过在第二单元110 中使用硬件地和隐藏地存储于第二单元110中的第二密钥对的第二密钥的条件 下进行。如已经在对标记块KB加密和解密中那样,这里也可以采用RSA或 3DES方法。可替换地还可以如已经描述的那样检验块的电子签名。
单元110在输出侧产生解密的特征块MB并且将其传输到比较单元120, 该比较单元将解密的特征块MB和解密的标记块KB在内容上进行互相比较, 当比较结果是正的并且在解密的特征块MB中定义的设备功能相应于在解密的 标记块KB中描述的和允许的设备功能时,产生具有逻辑"l"的允许信号Sl。
如果不可观察的单元100在对加密的标记块KB'进行解密的情况下确定, 用第一密钥对的第二密钥不能解密该标记块KB',则它就在输出侧产生具有逻辑"0,,的控制信号S2,由此通知,标记块KB已^L改变,并且不再能^皮解密。只 有在对加密的标记块KB'进行解密时形成可读的或可理解的标记块KB时,单 元100才在输出侧产生具有逻辑'T,的控制信号S2,由此通知,加密的标记块 KB'是原始的或者说是由制造商产生的标记块KB 。
当单元110在对加密的特征块MB'进行解密时确定,利用在该单元110中 存储的第二密钥对的第二密钥可以成功地进行解密时,单元110以相应的方式 在输出侧产生具有逻辑"l"的控制信号S3。相反,当不能用存储的第二密钥对 的第二密钥进行解密时,单元110产生具有逻辑"0"的控制信号S3。
只有当所有三个控制信号Sl、 S2和S3都具有逻辑"1"时,安全模块70的 控制装置150才允许现场设备10,从而解释单元60在使用功能描述块FB的条 件下借助功能组件FB可以产生程序模块PM。
在图3中示出用于产生和存储根据图1的标记块KB的实施例。可以看出, 在加密装置200中借助编码方法在使用第一密钥对的第一密钥SL1的条件下对 制造商方面作为允许的预定的设备功能列表L进行加密;在此一起考虑现场设 备70的设备标识号ID,从而形成加密的标记块KB',该标记块仅对确定的现 场设备70是适合的。由此在其设备标识号ID与在标记块KB'中存储的设备标 识号不一致的其它设备上,标记块KB'是不可执行的。
以这种方式形成的加密的标记块KB'被存储于根据图1的现场设备10的主 存储器30中。
在图4中示出用于配置根据图1的现场设备10的实施例。例如由用户方 面用配置工具进行这样的配置。为此配置工具被构造为具有制造商方面提供的 配置软件300。配置软件访问多个优选签名后的功能模块FM,该功能模块FM 例如存储于数据库310中并且可以为了对现场设备10形成功能描述块FB而被 考虑。用户选出其期望的功能模块FM'并用配置软件产生具有其中包含的特征 块MB的相应的功能描述块FB,其描述对现场设备10来说期望的设备功能。 配置软件300优选地仅处理正确签名的功能模块FM,以确保只能使用由制造 商允许的功能模块FM。
此外为了确保在现场设备中只能使用设备制造商方面检查的并且作为允 许而分级的并用设备软件300进一步处理过的功能块FB和特征块MB,在设备 软件300中包含加密模块,该加密模块在产生功能描述块FB和特征块MB时 进行加密(例如基于哈希码(Hash-Code ))。由此在输出侧产生加密的功能描述块FB'和加密的特征描述块MB',现场设备10的安全模块70在启动设备时检 马全它们的真实性。
在上述的实施方式中示例性基于这样的看法,在标记块KB中定义一个或 多个允许的设备功能,它们随后可以由用户方面选择。可替换地,例如还可以, 在标记块KB中定义一个或多个基本功能,这些基本功能可以由用户方面通过 可选的附加功能来补充。例如可以在标记块KB中这样存储选项范围(在该选 项范围中用户可以选择这些选项),为每个可选的附加功能分配一个值数。同时 在标记块KB中定义,允许哪些总值(Gesamtwertzahl)总共具有用户方面期望 的附加选项(预付功能)。如果现场设备10的功能范围以所描述的种类存储在 标记块KB中,则安全模块70在现场设备10启动后检查,用户方面期望的附 加选项从其总值来说是否超过在标记块KB中定义的最大值。如果总值超过预 定的最大值,则安全模块70禁止现场设备10的功能。在该情况下,强制现场 设备的用户通过提供新的功能描述块FB来设法要求对现场设备10来说允许的 功能范围。
可替换地也可以在主存储器30中进行现场设备10中的第一和第二密钥对 的两个第二密钥的存储,只要这些密钥本身又被加密,例如在使用1509证书 的条件下。
特征块MB可以为XML格式,例如看起来如以下的样子 <APP—ATTRIBUTES>
<!—应用程序的唯一 ID—> <!---应用程序包含UMZ保护--> <!--应用程序包含远距离保护->
<GUID VAL="AJB3FX7hK,,/> <USAGE VAL="PTOC,,/>
< USAGE VAL="DIS"/>
< USAGE VAL="CONTROL,V>
< USAGE VAL="PQ—BASIC"/>
< CPU TICKS VAL="1455"/>
位—>
<!—应用程序包含控制功能性-> <!—应用程序包含PQ基本功能-> <!---应用程序消耗1455个CPU性能单
< RAM_SIZE VAL="283"/> 〈!…应用程序占用283 KB存储器-->
< SIGN VAL="GA56789VQA4f8BOGFHZUIOUIZU465FGHJ"/> </APP—ATTRIBUTES)
具有可变的、用户方面可选择的带预付功能的应用程序(或设备功能)的 根据图1的标记块KB的实施例可以为XML格式,看起来例如为以下的样子<DEV_ATTRIBUTES>
<DEV ID="3085756"/> <!—设备的序列号—>
<USAGE VAL="PTOC"/> <!—应用程序允许包含UMZ保护-->
<USAGE VAL="DIS"/> <!-—应用程序允许包含远距离保护-->
<USAGE VAL="CONTROL"/> <!—-应用程序允许包含控制功能性—> OSAGE VAL="PQ—ADV"/> <!—-应用程序允许包含扩展的PQ功能—> <USAGE VAL="PQ—BASIC"/> <!-—应用程序允许包含PQ基本功能--> <CPU—TICKS VAL="2500,V><!-—应用程序允许最多消耗2500个CPU 性能单位->
<RAM—SIZEVAL="512"/> <!—应用程序允许最多占用512KB存储
器—〉
< SIGN VAL="GA56789VQAVJJKFHZTDGDVEGHHGJFGHJ,,/> </DEV—ATTRIBUTES>
为了比较,以下还举出以XML格式的、具有固定定义的应用程序的标记 块KB的实施例
<DEV—ATTRIBUTES> <DEV ID="3085756"/> <GUID VAL="AJB3FX7hK,V> <CPU—TICKS VAL="1455,,/> 单位-->
<RAM SIZE VAL="283"/>
<!--设备的序列号--> <!--允许的应用程序的唯一 ID--> <!--应用程序消耗1455个CPU性能
<!—应用程序占用283 KB存储器-〉
< SIGN VAL="GA56789VQA4f8BOGFHZUIOUIZU465FGHJ,,/> </DEV ATTRIBUTES>
权利要求
1. 一种现场设备(10),特别是防护设备,具有微处理器装置(20),该微处理器装置在该现场设备运行期间实施确定该设备功能的程序模块(PM),其特征在于,该现场设备具有安全装置(40),该安全装置(40)这样构成,使得它检查输入的、描述期望的设备功能的功能描述块(FB)是否描述允许的设备功能,并且在非允许的设备功能的情况下禁止其执行,而在允许的设备功能情况下允许其执行。
2. 根据权利要求1所述的现场设备,其特征在于,所述安全装置具有解 释组件(60),该解释组件(60)解释输入的功能描述块(FB),并在引入多个 在固件方面在所述现场设备中预先安装的功能组件(FM)的情况下,当所述输 入的功能描述块描述允许的设备功能时,产生相应的程序模块(PM)。
3. 根据权利要求1或2所述的现场设备,其特征在于,这样构造所述安 全装置,使得该安全装置将所述功能描述块中包含的特征块(MB)与所述现 场设备中存储的或所述现场设备可访问的、描述所述现场设备的允许的功能范 围的标记块(KB)进行比较,并且当所述特征块中描述的特征在所述标记块中 不存在或被定义为禁止时,禁止功能描述块中描述的设备功能的执行。
4. 根据权利要求3所述的现场设备,其特征在于,所述标记块存储于该 现场设备中。
5. 根据权利要求4所述的现场设备,其特征在于,所述标记块包含设备 标识(ID),该设备标识标记该现场设备,对该现场设备来说所述标记块是确 定的。
6. 根据权利要求3所述的现场设备,其特征在于,所述标记块存储于外 部存储器组件中,该外部存储器组件与所述现场设备相连用于其运行。
7. 根据权利要求6所述的现场设备,其特征在于,所述标记块包含存储 器标识,该存储器标识标记与该标记块对应的外部存储器。
8. 根据权利要求3至7中任一项所述的现场设备,其特征在于,所述标 记块用电子签名来签署,并且所述安全装置这样构造,当对该电子签名的检验 得到负的结果(S2)时,它禁止所述功能描述块的进一步处理。
9. 根据权利要求8所述的现场设备,其特征在于,所述安全装置这样构 造,即利用密钥对的第二密钥来对用该密钥对的第一密钥加密的标记块进行解 密以用于检验电子签名。
10. 根据权利要求9所述的现场设备,其特征在于,所述密钥对的第二密钥存储在该现场设备的防止未经授权的读取而受保护的存储区域中。
11. 根据权利要求3至10中任一项所述的现场设备,其特征在于,所述 安全装置这样构造,即就是否存在有效的电子签名来冲企验所述特征块,并且当 对所述电子签名的检验产生负的结果(S3)时,禁止所述功能描述块的进一步 处理。
12. 根据权利要求11所述的现场设备,其特征在于,所述安全装置这样 构造,即利用另一密钥对的第二密钥来对用该另一密钥对的第一密钥加密的特 征块进行解密以用于检验电子签名。
13. 根据权利要求12所述的现场设备,其特征在于,所述另一密钥对的 第二密钥存储在现场设备的防止未经授权的读取而受保护的存储区域中。
14. 根据权利要求10至13中任一项所述的现场设备,其特征在于,所述 防止未经授权的读取而受保护的存储区域集成于ASIC、FPGA或CPLD组件中。
15. 根据权利要求10至14中任一项所述的现场设备,其特征在于,所述 防止未经授权的读取而受保护的存储区域集成于控制现场设备的数据总线或接 口的组件中。
16. 根据上述权利要求中任一项所述的现场设备,其特征在于,所述标记 块包含基本功能块和选项块,其中该基本功能块确定该现场设备的允许的基本 功能范围,该选项块确定允许的选项范围,在该选项范围内允许用户方面的其 它附加功能添加到所述基本功能范围内,而不会通过所述安全装置来禁止该现 场设备。
17. 根据权利要求16所述的现场设备,其特征在于,在所述选项块中为 每个可选的附加功能分别存储一个值数,并且通过最大值来定义允许的选项范 围,其中,所述安全装置将用户方面选出的附加功能的值数相加,并当和值超 过该最大值时,禁止结果设备功能的实施。
18. 根据权利要求3至17中任一项所述的现场设备,其特征在于,所述 标记块仅描述一个设备功能,并且不允许任何选项。
全文摘要
本发明涉及一种现场设备(10),特别是防护设备,具有微处理器装置(20),该微处理器装置在现场设备运行期间实施确定设备功能的程序模块(PM)。根据本发明,所述现场设备具有安全装置(40),该安全装置这样构造,使得它检查输入的、描述期望的设备功能的功能描述块(FB)是否描述允许的设备功能,并且在非允许的设备功能的情况下禁止其执行,而在允许的设备功能的情况下允许其执行。
文档编号G05B19/042GK101416129SQ200680054075
公开日2009年4月22日 申请日期2006年3月29日 优先权日2006年3月29日
发明者安德烈亚斯·朱里希, 斯蒂芬·沃尔兹 申请人:西门子公司