用于安全地访问现场设备的方法与流程

本发明涉及一种用于至少一个移动操作单元安全地访问至少一个现场设备的方法。

背景技术：

在现代的过程自动化中常见的是通过利用测量设备进行测量来监控过程或者介质（Medium）或者通过控制环节来影响过程或者介质。在此，这种现场设备、即测量设备或传感器和控制环节或执行器，大多通过所谓的现场总线与控制室相连。

为了在现场与现场设备直接取得联系（Kontaktierung），所述现场设备部分地拥有所谓的操作和显示单元，用于显示信息以及用于输入或者选出数据。可替换地，存在特别的接口，所述接口允许将尤其是移动操作单元直接连接到现场设备上。这例如是所谓的服务（Service）接口。有些现场设备也拥有无线电接口，所述无线电接口部分地是现场设备的固定的组成部分或者通过适配器被添加给现场设备。

为了访问现场设备而使用所谓的手提电脑（Handheld）。一般，所述手提电脑特别地被研发，以便可以被应用在工业应用和特别地过程自动化的领域中。

所述移动手提设备、即尽可能地便携式的手提设备部分地允许直接与现场设备的直接连接，或者所述移动手提设备可以与相应的现场总线相连，以便通过该连接对现场设备产生影响或者例如读出数据。

移动操作单元在下文应被理解为每个类型的便携式的或者可运输的单元，所述便携式的或者可运输的单元允许：输入数据或者信息、在替换方案之间选出替换方案、显示数据或者流程，或者（这里尤其是与现场设备的）人机通信的另一类型的实现。

只要在现场设备的情况下可能直接访问该现场设备，这样就必须阻止发生未经授权的访问。

因为通过现场设备来控制和监控过程，所以一方面必须确保所述功能，而另一方面也可以从过程中获得有价值的信息。因而，一方面必须阻止：对过程的控制或其测量例如通过设置错误的参数或者软件的改变而被干扰。另一方面也不允许数据到达未经授权者，所述数据例如可能会给出关于配方（Rezeptur）等等的情报（Auskunft）。

技术实现要素：

因而，本发明所基于的任务在于：提出一种用于移动操作单元安全地访问现场设备的方法，其中尤其是保护所述现场设备防止通过移动操作单元的未经授权的访问。

按照本发明的其中解决了之前被引出的并且被指出的任务的方法，首先并且基本上其特征在于：至少在移动操作单元与现场设备之间构造有用于传输数据的连接。基于该连接或通过该连接，移动操作单元的用于访问现场设备的访问数据被传送。这样，现场设备例如得到移动操作单元的访问数据，所述访问数据与由移动操作单元所争取达到的访问相关联。接着，访问数据与被寄存的比较数据相比较并且产生相对应的比较结果。该比较结果例如是在所传输的数据与所寄存的数据之间的一致。然而，该比较结果也可以是存在区别。基于该比较结果，相对应地允许或者禁止移动操作单元访问现场设备。

因而，按照本发明的方法能够实现如下安全的访问，现场设备同意移动操作单元的所述安全的访问，使得所述移动操作单元可以访问现场设备。因而，该方法也可以被理解为用于安全地引入或者开始（Aufnahme）在移动操作单元与现场设备之间的数据业务的方法。

在此，在一构建方案中，将访问数据传送给现场设备，而且在现场设备中也进行在所传送的访问数据与所寄存的比较数据之间的比较。

访问数据或相对应地被寄存的数据的类型在下面的构建方案中进一步被描述。

在一构建方案中，为了访问现场设备，至少一个访问码被分配给现场设备并且至少被寄存为比较数据的部分。在该构建方案中，代码优选地以字母数字的（alphanumerisch）字符串的形式被分配给现场设备并且被寄存。在此，在一构建方案中优选地在现场设备本身中进行该寄存。

因而，如果在移动操作单元开始访问现场设备时，正确的字符序列作为访问数据或必要时更精确地作为一个访问数据（Zugangsdatum）被传送，那么该现场设备识别出经授权的人员尝试访问并且因而优选地是可同意的。

可替换地或者补充地，一构建方案规定：标识码被分配给移动操作单元并且至少被寄存为比较数据的部分。该标识码至少作为访问数据的部分被传送、例如被传送到现场设备。此外，至少在该标识码与所寄存的比较数据之间进行比较并且产生比较结果。

在该构建方案中，移动操作单元由标识码来表征并且可以在一定程度上由此来证实。接着，针对该访问，或者只使用标识码或者使用例如与访问码相关联的标识码，以便产生比较结果。

该构建方案有如下优点：访问准许（zugriffs-berechtig）的移动操作单元这样可以被识别为这种访问准许的移动操作单元。因而，或者足以使用访问准许的移动操作单元，而也不传送现场设备的访问码。在一构建方案中，这也允许访问现场设备（相应的访问码对于所述现场设备来说不是已知的），其方式是使用这种移动操作单元，所述移动操作单元的标识码相对应地被寄存。

在一可替换的构建方案中，仅仅现场设备的访问码是不够的，而是只可以通过相对应地已知的移动操作单元进行访问。

在一构建方案中，在如下情况下进行将标识码至少寄存为比较数据的部分并且因而在一定程度上将移动操作单元录入到值得信任的操作单元的列表中：针对在由移动操作单元所传送的访问数据与被寄存的访问码之间的比较而产生的比较结果是肯定的（positiv）。

因此，通过访问码进行在移动操作单元与现场设备之间的首次联系（Kontakt），而且基于此，移动操作单元的标识码（在一致的比较时）被存储在比较数据中。

在一构建方案中，在制造现场设备时在工厂将访问码预先给定到现场设备。

在一可替换的构建方案中，访问码（尤其是在安装现场设备之后的首次开始运转时）在现场设备本身上例如通过相对应的输入单元被输入。

在另一构建方案中，通过在移动操作单元上的输入来进行访问码的分配，也就是说相对应的数据链通过移动操作单元被输入并且接着相对应地被寄存。在该构建方案中，现场设备不需要自己的人机接口（Human-Machine-Interface）。

一般，多个现场设备都处在一个制炼厂（Prozessanlage）中。

因而，一构建方案规定：至少两个现场设备的访问码被寄存在移动操作单元中。借此，该移动操作单元拥有通过相应的访问码访问来至少两个现场设备的可能性。

随之而来的构建方案包含：被寄存在移动操作单元中的访问码由该移动操作单元与另一移动操作单元共享。

因而，在该构建方案中，第一操作单元允许第二操作单元访问所述第一操作单元的访问码，使得第二操作单元也可以访问所述至少两个现场设备。在一构建方案中，该共享或者该共享过程（Share-Prozess）直接在所述两个移动操作单元之间被实现，而在另一构建方案中，该共享或者该共享过程通过例如以服务器（Server）的形式的管理设备来进行。

在一构建方案中，在所述交换访问码时附加地规定：操作单元的标识码也被用于对现场设备的被允许的访问并且相对应地被查询。

在一构建方案中，至少两个移动操作单元的标识码被寄存在现场设备中，使得所述至少两个移动操作单元优选地也可以有权访问现场设备。

在一与之相关联的构建方案中规定：现场设备将被存储在其中的标识码与另一现场设备共享。

在另一构建方案中，不允许同意其访问的移动操作单元的标识码也被寄存。因而，在该构建方案中，所寄存的数据也包括排除列表。

为了使用（Umgang mit）访问码并且移动操作单元具体地开展（Abwicklung）对相应的现场设备的访问，在一构建方案中规定：在该移动操作单元上输入为了访问现场设备而要传送的访问数据。

因此，在该构建方案中，例如字符串由操作人员直接在移动操作单元上（例如通过真实的或者虚拟的键盘）输入，所述字符串接着作为访问数据被传送给现场设备。因此，该人员例如输入现场设备的访问码，而该输入与标识码一起作为访问数据被传送给现场设备。

在一可替换的构建方案中，（尤其是由移动操作单元）所要传送的访问数据从大量（尤其是在移动操作单元中）被寄存的访问数据中提取。

因而，在一构建方案中，该移动操作单元拥有访问数据的集（Sammlung），所述访问数据允许访问不同的现场设备。针对具体的访问，所述数据或者由操作人员从列表中选出，或者该移动操作单元自动地并且独立地使用访问数据的相对应的组。

在一构建方案中，移动操作单元确定那些现场设备或者也确定其它的处在相同的通信网络中的移动操作单元。尤其是针对基本上可以由移动操作单元来访问的现场设备，优选地如果该移动操作单元本身没有所有必要的访问数据，那么该移动操作单元在另一移动操作单元处和/或在管理设备处查询所确定的现场设备的必要的访问码。

在此，在一构建方案中一般规定有管理设备（例如具有至少一个相对应的通信接口的服务器），通过所述服务器进行这种访问数据（如访问码和/或标识码）的寄存和/或共享。可替换地或者补充地，该管理设备至少部分地或者完全地用于访问数据与所寄存的比较数据的比较。

最后，一构建方案规定：至少在移动操作单元与现场设备之间至少部分地以加密的方式来交换数据。

附图说明

详细地，现在存在多个构建和扩展按照本发明的方法的可能性。对此，一方面参阅权利要求1的从属专利权利要求，另一方面参阅下面的结合附图对实施例的描述。在附图中：

图1示出了移动操作单元访问现场设备的示意图，

图2示出了针对移动操作单元安全地访问现场设备的第一变型方案的流程图，

图3示出了针对移动操作单元安全地访问现场设备的第二变型方案的流程图，

图4示出了针对移动操作单元安全地访问现场设备的第三变型方案的流程图，

图5示出了针对移动操作单元安全地访问现场设备的第四变型方案的流程图，和

图6示出了针对具有两个操作单元和两个现场设备的安全的访问的局面（Konstellation）。

具体实施方式

在图1中示出了针对移动操作单元1安全地访问现场设备2的例子。在此，在制炼厂3之内进行也可被称作移动操作单元1相对于现场设备2的认证的访问制炼厂。

这里，该现场设备2是用于确定介质4在容器5中的料位的测量设备。

在所示出的实施例中，根据雷达原理（Radar-Prinzip）进行测量，其中为了发送和接收电磁辐射而设置有天线6。

现场设备2在容器5上的安装位置使得通过操作人员7例如为了加载软件或者设置参数或者读出测量数据或者历史数据的直接操作困难。

因而，这里使用以笔记本电脑（Laptop）的形式的移动操作单元1，所述笔记本电脑通过无线电与现场设备2进行通信，或特定地通过该现场设备2的（这里通过附加天线8来表示的）无线电接口进行通信、也就是说尤其是交换数据。

为了进行数据通信，操作人员7将该操作人员7的移动操作单元1带到相对于现场设备2的附近并且在该移动操作单元1上启动（例如以所谓的App的形式的）应用程序，所述应用程序于是通过无线电建立与现场设备2的联系。

在此，移动操作单元1将访问数据传输到现场设备2。所述访问数据尤其是涉及现场设备2的可预先给定的访问码和/或涉及移动操作单元1本身的特定的标识码。

在此，现场设备2的访问码例如在制造现场设备2时或者在现场设备2首次开始运转时在过程中被预先给定，而且尤其是也固定地被存储在现场设备2中。

现场设备2再将所接收到的访问数据与被寄存在数据存储器9中的数据相比较。

基于所述比较或与之相关联的比较结果，同意或者禁止移动操作单元1访问现场设备2。

访问数据的输入或传送及其与所寄存的数据的对照（与是否涉及现场设备2的特定的访问码或者涉及移动操作单元1的标识码（在某种程度上是ID）无关地）控制（regeln）对现场设备2的访问，而且借此是栅栏10的内部的扩展，如该栅栏10这里纯象征性地围绕制炼厂3的区域走向的那样并且如该栅栏10在物理上阻止未经准许的闯入的那样。

为了使可靠的移动操作单元1访问现场设备2变得容易，尤其是在成功的访问之后，相应的移动操作单元的标识码被存储在现场设备中。这意味着：在重新建立联系时，移动操作单元仅须将该移动操作单元的标识码传送给现场设备，并且该移动操作单元立即由现场设备基于所寄存的数据而被识别为值得信任的并且访问被允许。

因而，如果潜在的数据窃取者11应该会尝试访问现场设备2，那么该数据窃取者11将失败，因为他一方面没有现场设备2的特定的访问码或因为他没有使用已经执行了一次与现场设备2的经授权的数据交换的移动操作单元1。

为了通过用户7将访问码分派给现场设备2，该现场设备2拥有例如以键盘的形式并且优选地同样具有显示设备的输入设备12。该输入设备12在现有技术中也被称作人机接口（HMI）。

在首次安装时，特定的访问码通过输入设备12被输入并且接着固定地被寄存在数据存储器9中。

因为在安装时，操作人员7通常紧挨着现场设备2，所以在安装时尽管有麻烦的安装位置仍可以直接使用输入设备12。

优选地，数据通信通过具有附加天线8的接口一直被阻断，直到访问码固定地被寄存在现场设备2中并且借此也可以确保安全的数据传输。

此外，还设置有例如以所谓的服务器的形式的管理设备13。

分别在成功的访问行动之后，现场设备2将相应的移动操作单元1的标识码传输到该管理设备13。因此，通过有效的标识来构造值得信任的移动操作单元1的数据库。

在下面的用于解释清楚安全地访问现场设备的不同的流程的图表中，基本上相同的步骤分别配备有相同的参考符号。

尤其是以加密的方式在移动操作单元1与现场设备2之间进行数据的传输。在此，该通信尤其是也可以通过其它的中间设备或者中间站等等来进行。

在图2中示出了移动操作单元访问现场设备的流程的步骤。

在步骤100中，访问码在现场设备上通过输入设备被预先给定并且固定地被寄存在该现场设备中。在此，例如保证了该代码事后不再可以被改变。

在步骤101中开启（entsperren）接口，通过所述接口可实现在现场设备与移动操作单元之间的数据通信。因为通过查询访问数据可以保证：对现场设备的访问只对于被选定的多个人员或只通过值得信任的移动操作单元是可能的，所以所述开启是可能的。

在步骤102中，在移动操作单元上激活应用程序（App）。

在此，在一构建方案中，该应用程序是独立的程序、即所谓的单机（Stand-Alone）App。在另一构建方案中，该应用程序是另一程序的组成部分。总体上，该应用程序用于移动操作单元经授权地访问现场设备。

通过在步骤102中被激活的应用程序，现场设备的在步骤100中被预先给定的访问码在步骤103中在移动操作单元上被输入并且在步骤104中被存储在移动操作单元中。因而，在一变型方案中，该移动操作单元可以独立地访问相应的现场设备。

可替换地，省去步骤104，而且为了访问现场设备而在所有情况下都必须直接在移动操作单元上输入现场设备的访问码。

在步骤105中，移动操作单元被带到现场设备的附近，使得在两者之间的数据传输是可能的。

在此，例如通过使用WLAN连接或者Wi-Fi连接或者蓝牙（Bluetooth）连接来进行通信，其中必要时也利用工业应用的和特定地过程自动化的协议来横越（ueberqueren）传输路程的部分。

在步骤106中，在移动操作单元与现场设备之间进行连接建立（Verbindungsaufbau）。在蓝牙连接的情况下，这被称作配对（Pairing）。在此，还没有同意移动操作单元直接影响现场设备。

此外，该移动设备将访问数据传送给现场设备。在此，所述访问数据至少包括被分配给现场设备的访问码，所述访问码这里在步骤104中已经被存储在移动操作单元中。

在步骤107中，该现场设备将所接收到的访问数据与被分配给该现场设备的访问码相比较。

这里，在有偏差时跳回到步骤106，使得操作人员或移动操作单元有输入正确的访问数据的可能性。

在一致时、也就是说在所传送的访问数据至少包含所述访问码的情况下，在步骤108中允许移动操作单元访问现场设备。

紧接于此，在步骤109中，移动操作单元和现场设备相互传送其它的通信数据。

作为配对的部分或这里作为特别的步骤110，移动操作单元将该移动操作单元的标识码例如以明确地被分配给该移动操作单元的ID的形式传送给现场设备。

在步骤111中，为了移动操作单元将来访问现场设备，该标识码被存储在该现场设备中。

在步骤112中，在移动操作单元与现场设备之间进行真正的通信。这例如是将参数或者软件加载到现场设备中或者从现场设备中读出测量数据或者历史数据。

在下文，针对另一移动操作单元，该流程会始于步骤105，因为针对现场设备预先给定访问码相对应地不再是必要的或优选地也不再是可能的。

在图3中示出了另一紧接着图2中的流程的第一部分的在现场设备与移动操作单元之间的建立联系（Kontaktaufnahme），所述在现场设备与移动操作单元之间的建立联系尤其是曾被用于图2的流程。

在步骤105中，在移动操作单元与现场设备之间产生必要的接近，于是在步骤110中，移动操作单元将该移动操作单元的标识码作为访问数据传送给现场设备。

在此，所述数据或者所述代码（与是否是访问码或者标识码无关地）可以普遍地包括多个优选地字母数字的字符。然而，在一变型方案中也可以只涉及一个字符并且因而也可以只涉及一个访问数据。

在步骤113中，现场设备将所接收到的标识码与如下数据相比较并且借此产生比较结果：所述数据在先前的在现场设备与移动操作单元之间建立联系时或在首次安全的访问时（参见图2）已经被寄存。

在步骤112中，基于所述比较结果，现场设备在肯定的比较的情况下允许访问，而且借此优选地也允许在移动操作单元与现场设备之间的数据传递（Datentransfer）。

该变型方案的优点是：移动操作单元本身被证实，而且因而基于先前的数据通信已经可以检验对现场设备的访问是否是容许的。

在图4中示出了替换于图3的变型方案的在现场设备与移动操作单元之间引入安全的通信的流程。

在步骤114中，移动操作单元从例如是服务器的管理设备得到访问码。

紧接于此，在步骤105中，操作人员与他的移动操作单元如此宽地接近现场设备，使得数据通信基于技术的现实情况是可能的。这取决于：是否应该只在现场设备与移动操作单元之间进行直接连接或者是否也在其间切换用于数据传输的其它设备。

在步骤106中接着由移动操作单元将访问数据传送给现场设备。在此，所述访问数据优选地是那些在步骤114中已经由管理设备提供给移动操作单元的访问数据。

在步骤107中再进行所接收到的访问数据与被寄存在现场设备中的数据的比较，其中这里在否定的比较结果的情况下在步骤115中触发报警。

在肯定的比较结果、即在由移动操作单元所传送的数据与被寄存在现场设备中的数据之间的一致的情况下，在步骤108中允许移动操作单元访问现场设备，并且接着如在图2中那样的流程。

图5示出了按照图2的关于预先给定现场设备的访问码的构建方案的变型方案。在此，尤其是也可以在没有自己的输入设备的情况下构建该现场设备。

在图5的所述变型方案中，访问码还不曾被分派给现场设备。

因而，也配置用于数据通信的接口（这里是用于与移动操作单元无线地通信的无线电接口），使得虽然例如以所谓的配对、即对于数据通信必要的参数等等的交换的形式的数据交换基本上是可能的，但是使得不能更深入地访问现场设备的真正的数据，诸如测量数据、历史数据、测量或者控制参数、或者软件或者固件的部分。

在第一步骤116中，移动操作单元被带到现场设备的附近。

在此，在预先给定访问码时也可以规定：在现场设备中例如通过服务器接口产生直接连接，或者例如破坏在现场设备上的铅封（Plombe）或者用作封蜡（Siegel）的标签贴（Klebe-etikett）。

如果数据通信在物理上是可能的，那么在步骤117中在移动操作单元上启动如下应用程序，所述应用程序允许特定地预先给定访问码。

在步骤118中，在移动操作单元上输入现场设备的（借此将来有效的）访问码。

因此，操作人员例如通过移动操作单元的真实的或者虚拟的键盘输入数字和字母的序列。

在步骤119中，所述访问码由移动操作单元传送给现场设备并且在步骤120中被存储在那里。

因为现在存在使得准许的访问安全的访问码并且因而使得对现场设备的访问安全，所以在该步骤120中原则上为了更深入地访问现场设备而将现场设备的被寻址到的（angesprochen）接口解除锁定（frei schalten）。

在下文，从步骤105起再进行在图2中所示出的流程（为了清楚这里只设有点）。

在图6中，存在两个现场设备2、2’（一个测量设备（即传感器）和一个调节环节（即执行器））和两个移动操作单元1、1’（一个以平板电脑（Tablet）的形式而一个以笔记本电脑的形式）。

附加地，也示出了传输设备14，所述传输设备14实现了在两个应用领域、即消费者（Consumer）电子装置（这里为左侧）与工业电子装置或过程自动化电子装置（这里为右侧）之间的数据通信或安全的隔离。

在另一（这里未示出的）构建方案中，传输设备14通过线路与下面的现场设备2’相连。

在另一（同样未示出的）构建方案中，传输设备14直接与现场设备2’相连并且例如处于共同的外壳内。

为了表示所使用的整套设备（Gereatschaft）、常见的协议和安全机制彼此一定有区别而设置有界限15。

相反地，这意味着：来自消费者领域的移动操作单元也可被用于在具有现场设备的过程自动化的领域中的应用。

在此，移动操作单元1、1’这样地被构建，使得所述移动操作单元1、1’通过管理设备13或者直接彼此相互交换用于不同的现场设备的访问码。

可替换地或者补充地，现场设备2、2’（这里例如通过管理设备13）也得到如下移动操作单元1的标识码，允许同意所述移动操作单元1进行访问（Zugang）。

这里，在移动操作单元1、1’上并且也在管理设备13的情况下使用来自消费者世界（Verbraucherwelt）的IT的应用领域的方法、方式和程序。

在一变型方案中，移动操作单元1、1’将尤其是通过整套设备在所述整套设备的无线电技术的附近得到的网络扫描（abscannen）到现场设备2、2’或其它的移动操作单元1、1’上，利用所述现场设备2、2’或所述其它的移动操作单元1、1’可能进行连接，而且针对所述现场设备2、2’或所述其它的移动操作单元1、1’，必要时存在或必须装载必要的访问数据。