完备性监测系统和运行完备性监测系统的方法和完备性监测单元
1.自动化装置、尤其控制设备、可存储编程的控制器和工业物联网设备(iot设备)的完备性必须得到保证,以实现无差错的运行。因此,在持续运行中也应监测这些设备的完备性(“设备运行状态检查”)。
2.目前,已经可以借助合适的设备或软件、例如借助基于主机的入侵检测系统(ids)来探测对it系统或基于it的自动化系统的攻击、即破坏了这种系统的未经授权的访问。
3.为此,必须安装ids专用软件并保持最新。不利的是,这在资源受限或对运行关键的部件的情况下通常是不可能的。也不利的是,在旧设备(遗留设备)或没有与互联网连接的设备的情况下,通常也无法安装这种软件。许可规定、尤其工业控制或系统的许可规定,也可能不利地阻碍专用软件的安装。
4.还已知根据电流消耗或电磁辐射来推断设备的完备性(“功耗指纹power fingerprinting”)。然而,这种方法的缺点是非常复杂,因为需要专用的硬件部件和软件部件,并且必须对系统进行训练。
5.因此,本发明所要解决的技术问题在于,提供一种系统和一种运行系统的方法,该系统在持续运行中监测自动化装置的完备性并在此克服上述缺点。
6.根据本发明的完备性监测系统用于对至少一个控制设备进行运行时的完备性监测,所述完备性监测系统包括至少一个控制设备。所述控制设备包括用于收集控制设备的运行状态数据的自动化装置。所述完备性监测系统还包括完备性监测单元,所述完备性监测单元能够与所述控制设备可拆卸地直接连接,所述完备性监测单元用于根据从所述自动化装置传输到所述完备性监测单元的运行状态数据来监测所述控制设备的完备性状态。
7.根据本发明的用于运行完备性监测系统的方法具有多个步骤。首先,提供完备性监测系统。所述完备性监测系统包括至少一个控制设备,所述至少一个控制设备包括用于收集控制设备的运行状态数据的自动化装置。所述完备性监测系统还包括完备性监测单元,所述完备性监测单元能够与所述控制设备可拆卸地直接连接,所述完备性监测单元用于根据从所述自动化装置传输到所述完备性监测单元的运行状态数据来监测所述控制设备的完备性状态。将所述完备性监测单元连接到所述控制设备上,用于数据传输。在所述控制设备的自动化装置中收集所述控制设备的运行状态数据。将运行状态数据从所述控制设备的自动化装置传输到所述完备性监测单元。在所述完备性监测单元中评估运行状态数据,以检查所述控制设备的完备性状态。输出完备性状态。
8.根据本发明的用于监测至少一个控制设备的完备性状态的完备性监测单元被设计为与至少一个控制设备可拆卸地连接。
9.尤其控制部件、控制装置和控制器被理解为控制设备。它们可以与传感器和/或执行器连接,以便监测技术系统和/或作用于技术系统。
10.在控制设备的持续运行中对完备性的监测被描述为运行时的完备性监测。
11.尤其控制部件、可存储编程的控制装置和控制器被理解为控制设备。
12.可直接连接意味着,完备性监测单元尤其通过插塞连接器或电缆与控制设备连
接。完备性监测单元尤其不通过网络连接器与控制设备连接。
13.可以借助根据本发明的完备性监测系统和根据本发明的方法有利地实时地监测控制设备的完备性,其中,控制设备本身能够保持不变。完备性监测单元被设计为可以插在控制设备上。完备性监测单元可以有利地与控制设备连接,而控制设备本身不发生改变。因此可以有利地在运行中分析控制设备的完备性,而不必直接干预控制设备。在控制设备本身外部监测控制设备的完备性。还可以有利地将旧设备、没有互联网连接的设备或具有访问限制的设备与完备性监测单元连接。设备本身不必为此进行改变。例如,运行状态数据可以通过本地设备接口例如rs232、rs485、jtag、spi、i2c、usb等提供。还可以通过旧设备的固件更新来扩展所提供的运行状态数据的范围,以便实现范围更广泛的检查。
14.此外,有利地不将运行状态数据传输到网络中。将运行状态数据直接传输到完备性监测单元中。优选地,直接在完备性监测单元上评估运行状态数据。
15.在本发明的一种有利的设计方案和扩展设计中,所述完备性监测系统具有接口单元,所述接口单元与所述控制设备和所述完备性监测单元连接。接口单元特别有利地包括rs232接口、rs485接口、jtag接口、usb接口、spi接口、i2c接口或背板总线。特别优选地,背板总线在普遍的控制设备上通常设置用于连接附加的输入/输出模块。这具有优点,即本来经常可用的硬件接口也可以用于完备性监测。
16.在本发明的另一种设计方案和扩展设计中,所述完备性监测单元与所述控制设备机械联锁地连接。联锁尤其通过单向锁定装置、铅封、铆钉螺栓、安全螺钉或机械锁实现。有利地妨碍或因此阻止完备性监测单元的不被允许的松脱或移除。在另一种变型中,在连接时进行机械啮合,以防止或至少妨碍机械连接的松脱。在一种变型中,可以在控制设备或完备性监测系统的背侧上设置尤其可以通过按压操纵的解锁装置。有利地,解锁装置在控制设备与完备性监测单元的装配状态下是不可访问的。由此可以防止未经授权地拆卸联锁。此外,尤其基于破损的铅封可以有利地识别出完备性监测单元何时被非法地移除。在另一种变型中,还可以附加地记录完备性监测单元的移除。在此,完备性监测单元在空间上靠近控制设备,尤其通过插塞连接器与控制设备机械地连接。完备性监测单元和控制设备尤其不通过网络相互连接。
17.在本发明的另一种设计方案和扩展设计中,所述控制设备是可存储编程的控制设备、尤其工业设备或机床。尤其在工业领域中,在运行期间监测可存储编程的控制设备的完备性是必要的,但通常希望不在控制设备内部进行,以防止对控制设备本身的干预。借助可拆卸地连接的完备性监测单元,还可以连续地监测工业的可存储编程的控制设备,而无需干预控制设备本身。
18.在本发明的另一种设计方案和扩展设计中,将所述运行状态数据以加密保护的方式从所述控制设备传输到所述完备性监测单元。有利地,附加地提高了完备性监测系统的安全性。
19.在本发明的另一种设计方案和扩展设计中,将运行过程、任务、存储器利用率、处理器负载、输入输出负载和/或存储器区域的检测值、尤其固件、ram和/或配置存储器的检测值作为运行状态数据提供。也可以将物理参数、尤其处理器的温度一起传输。
20.在本发明的另一种设计方案和扩展设计中,在所述控制设备的持续运行期间将所述完备性监测单元取下、更新并重新连接到所述控制设备上。完备性监测单元因此可以有
利地得到数据更新(updates),而控制设备本身不被改变。这不仅可以发生在受监测或受控制的技术系统处于未操作运行的维护窗口期间,而且可以发生在技术系统、尤其工业设备的持续运行中。
21.在本发明的另一种设计方案和扩展设计中,所述完备性监测单元向所述控制设备认证自身和/或所述控制设备认证所述完备性监测单元。有利地,控制设备可以根据所使用的认证证书和/或根据所设置的配置,确定传输哪些运行状态数据。此外有利地,只要连接了经过认证的、允许的完备性监测单元,控制设备就可以仅激活或维持常规运行模式。
22.在本发明的另一种设计方案和扩展设计中,控制设备向完备性监测单元识别和/或验证自身。认证可以通过认证证书和/或认证配置、例如对称密钥进行。完备性监测单元可以有利地检查是否实际上与正确的控制设备、尤其兼容的控制设备连接。由此可以有利地防止错误地识别到完备性违规。尤其可以检查是否支持所安装的固件版本和/或是否配置了预期的组态数据。运行时完备性监测仅针对兼容的控制设备进行。
23.在本发明的另一种设计方案和扩展设计中,在评估运行状态数据并且作为完备性状态识别出完备性违规之后,实施重新启动、安全运行模式、警报信息和/或日志条目。有利地,尤其是在第一次识别到完备性违规之后进行重新启动,在继续存在完备性违规之后进行安全运行模式下的运行、警报信息或日志条目。尤其可以将警报信息有利地传输到云存储器中。
24.在本发明的另一种设计方案和扩展设计中,所述完备性监测单元将对运行状态数据的类型和范围的要求传输至所述控制设备。有利地,不传输无法被完备性监测单元评估的运行状态数据。尤其还可以说明对所提供的运行状态数据的最低要求。最低要求尤其可以规定完备性监测单元能够执行监测所需的数据类型和/或运行数据的最小量。完备性监测单元尤其还可以报告“执行监测”作为状态。
25.在本发明的另一种设计方案和扩展设计中,所述运行状态数据包括应用数据和信令数据,其中,所述应用数据被无反馈地单向传输。这种传输是无反馈的。也就是说,应用数据在此仅从控制设备单向地传输到完备性监测单元中,而相反地从完备性监测单元到控制设备的应用数据传输是不可能的。这尤其可以通过基于硬件的数据二极管(单向网关one-way-gateway)、通过光学传输(例如通过光波导)或通过双端口ram(其中一个端口是只读端口)来确保。此外,由此使得能够独立于关键的控制功能性地开发、测试和更新完备性监测单元。
26.本发明的其他特征、特性和优点从以下参照附图的描述中得出。在附图中:
27.图1示出具有完备性监测单元、控制设备和插塞连接器的完备性监测系统;
28.图2示出具有完备性监测单元、控制设备和两个数据连接的完备性监测系统;
29.图3示出用于监测控制设备的完备性的方法流程图。
30.图1示出具有控制设备2和完备性监测单元3的完备性监测系统1。完备性监测单元3借助插塞连接器4与控制设备2可拆卸地连接。完备性监测单元3包括输出单元5。输出单元5尤其是发光器件或显示器。
31.完备性监测单元3是与控制设备2分离的硬件单元。在完备性监测单元3中监测控制设备2在控制设备2的运行期间的完备性。完备性监测有利地在被监测的部件外部、即在控制设备2外部进行。因此可以有利地独立于控制设备2地安放和更新完备性监测单元3。换
言之,不需要修改被监测部件、即控制设备2。因此,尤其可以对运行关键的控制设备2进行运行时监测。
32.图2示出完备性监测系统1的详细结构。如在图1中已经示出的那样,完备性监测系统1包括控制设备2和完备性监测单元3。完备性监测单元3尤其又通过插塞连接器4连接到控制设备2上。
33.控制设备2包括控制自动化单元6,该控制自动化单元实现针对技术过程的控制和监测功能。控制自动化单元6又包括操控单元13和自检单元14,该操控单元根据组态数据12(配置数据)实现实际控制功能。自检单元14用于识别例如硬件缺陷。然而,现有技术的自检单元不能检测到蓄意操纵或it攻击。控制自动化单元6还包括硬件10,例如微处理器、微控制器、现场可编程门阵列(field programmable gatearray,fpga)、片上系统(system on chip,soc)、专用集成电路(application-specific integrated circuit,asic)、存储器模块(闪存、rom、eeprom、ram)和存储在存储器模块中并在微处理器或微控制器上执行的固件11。此外,组态数据(配置数据)12存储在控制自动化单元6中,通过该组态数据定义控制功能性。控制自动化单元6将用于运行控制设备2的数据递交到完备性监测数据提取单元15中。在完备性监测数据提取单元15中,在运行期间读取控制设备2的运行状态数据并且在必要时在预处理之后提供该运行状态数据。
34.运行状态数据可以是应用数据32和信令数据33。对于控制设备2的运行而言必不可少的数据被称为应用数据32。尤其涉及控制设备2和完备性监测单元3之间的通信的数据被称为信令数据33。应用数据32和信令数据33被提供给完备性监测单元3。在此优选地,将应用数据32以无反馈的方式单向地传输到完备性监测单元3中。无反馈在此意味着,无法通过该接口影响操控单元13、操控单元13的功能性、完备性监测数据提取单元15或其功能。尤其关于由完备性监测单元3提供给控制设备2或执行认证过程的数据的类型和范围的信令数据被双向地传输。
35.完备性监测单元3包括具有评估单元21、更新单元22、自检单元23和兼容性检查单元24的运行监测单元20。运行监测单元20提供有运行状态数据、尤其参考数据30和应用数据32。评估单元21根据运行过程检验配置31和参考数据30检查接收到的应用数据32(控制设备2的运行状态数据)的可采性。
36.更新单元22可以更新运行监测。这可以独立于控制设备2的更新,使得这可以独立于运行限制或规则限制地进行。由此,通过引入经更新的运行过程检验配置31和/或参考数据30,可以对当前的攻击模式迅速地做出反应。完备性监测单元3的自检单元23监测运行时的完备性检查实际上是否按规定地起作用。由此防止没有识别到运行时的完备性检查的失效,从而导致对控制设备2的攻击未被注意到。
37.兼容性检查单元24检查完备性监测单元3实际上是否适用于控制设备2的运行时的完备性监测。由此有利地防止使用不兼容的完备性监测单元3。使用不兼容的完备性监测单元可能导致错误警报并且因此危及技术系统的可靠运行,或者可能导致无法可靠地识别到对控制设备2的攻击。
38.将运行过程、任务、存储器利用率、处理器负载、输入-输出负载和/或存储器区域、尤其固件、ram和/或配置存储器的检测值作为运行状态数据提供。也可以将物理参数、尤其处理器的温度一起传输。
39.尤其可以将认证数据作为信令数据33传输。完备性监测单元3尤其可以向控制设备2认证自身。
40.控制设备2可以根据认证证书和/或根据配置确定给出哪些信息、尤其哪些应用数据。因此可以有利地防止运行状态数据被输出到不允许的模块中。
41.此外,可以将关于“可以在完备性监测单元3中评估哪些数据”的信息作为信令数据33传输。尤其可以说明对要提供的信息的最低要求。换言之,这意味着规定完备性监测单元3为了能够执行监测和/或能够报告当前正在进行的监测的状态而需要的数据。
42.也可以将控制设备2用于向完备性监测单元3辨别和/或验证自身的数据称为信令数据33。在此,可以将描述所监测的控制设备2的配置的信息从控制设备2传输到完备性监测单元3中。由此,完备性监测单元3还可以检查它实际上是否与兼容且正确的设备连接。有利地,由此可以防止错误地识别到完备性违规。尤其可以检查是否支持已安装的固件版本和/或是否配置了预期的组态数据。运行时的完备性监测仅针对兼容且正确的控制设备2进行。
43.在完备性监测单元3中,还可以在完备性监测数据提取单元中记录,在识别到完备性违规时触发了哪些反应。本质安全的运行模式的重新启动或激活尤其可以作为反应被触发,或者可以生成警报信息、警报信号或日志条目。
44.此外,控制设备2可以检查完备性监测单元3是否实际存在并准备好运行。在一种可能的实施方式中,仅在控制设备2与完备性监测单元3连接时才将控制设备2置于常规运行模式中。为此,控制设备2确定是否连接了完备性监测单元3以及连接了哪个完备性监测单元3。此外,还可以确定自检信息和兼容性信息。控制设备2根据结果激活常规运行模式或错误运行模式。
45.此外,在另一种实施方式中,可以在控制设备2的运行期间移除和插入完备性监测单元。因此,可以有利地在控制设备2的持续运行中更换完备性监测单元3。在此,控制设备2可以记录是否以及何时插入了完备性监测单元。为此,控制设备2确定是否连接了完备性监测单元3以及连接了哪个完备性监测单元3,并且生成相应的日志条目。
46.在该示例中,完备性监测单元3与控制设备2机械联锁地连接。在该示例中,机械联锁借助铅封实现。然而,备选或附加地也可以设想,使用单向锁定装置、铆钉螺栓或安全螺钉将两个部件彼此机械地联锁。有利地,妨碍或阻止完备性监测单元3的不被允许的移除。此外,已经可以在控制设备2外部、尤其在破损的铅封中识别到完备性监测单元3的不被允许的移除。
47.在该示例中,完备性监测单元3监测一个控制设备2。然而,在另一种示例中,完备性监测单元3也可以监测多个控制设备2。因此,可以有利地将完备性监测单元3的数量保持较低。更大的完备性监测单元尤其还可以包括性能更强大的安全模块。这进一步提高了完备性监测的安全性,也降低了用于在控制设备2的运行时间期间进行完备性监测的成本。此外,可以确保利用相同的标准监测多个不同的控制设备2。
48.在图3中示出方法步骤的流程图。首先,在第一步骤s1中,提供完备性监测单元。然后,在第二步骤s2中,将完备性监测单元3连接到控制设备2。在第三步骤s3中,在自动化装置15中收集控制设备2的运行状态数据。在第四步骤s4中,将运行状态数据从自动化装置15传输到完备性监测单元3中。在第五步骤s5中,在完备性监测单元3中评估运行状态数据,以
检查控制设备2的完备性状态。在第六步骤s6中,输出完备性状态。
49.尽管已经通过优选的实施例详细说明和描述了本发明,但是本发明不受所公开的示例的限制。本领域的技术人员可以在不脱离由所附权利要求限定的本发明范围的情况下推导变型方案。
50.附图标记列表
51.1完备性监测系统
52.2控制设备
53.3完备性监测单元
54.4插塞连接器
55.5输出单元
56.6控制自动化单元
57.7单向应用数据连接
58.8双向信令数据连接
59.10硬件
60.11固件
61.12组态数据
62.13操控单元
63.14自检单元
64.15完备性监测数据提取单元
65.20运行监测单元
66.21评估单元
67.22更新单元
68.23自检单元
69.24兼容性检查单元
70.30参考数据
71.31运行过程检验配置
72.32应用数据
73.33信令数据
74.s1提供完备性监测单元
75.s2将完备性监测单元连接到控制设备
76.s3在自动化装置中收集控制设备的运行状态数据
77.s4将运行状态数据从自动化装置传输到完备性监测单元中
78.s5评估完备性监测单元中的运行状态数据以检查控制设备的完备性状态
79.s6输出完备性状态