用于现场设备的改装模块及具有模块化设计的现场设备的制作方法

用于现场设备的改装模块及具有模块化设计的现场设备


背景技术：

1.在现有技术中已知有各种类型的现场设备。
2.在此，术语“现场设备”涵盖了与生产过程直接相关的各种技术系统。因此，现场设备可以特别是致动器、传感器和测量转换器和/或评估设备。
3.在本技术中使用术语时，应在术语上将分配给控制室区域的上级单元与现场设备明确地区分开。
4.迄今为止，已知的用于过程自动化的现场设备仅具有特定于制造商定义的设备和方法，以用于实现it安全方面。各个国家的最新法律规定要求针对关键基础设施系统(kritis)实施预定的安全级别(sl)。
5.多年来，现场设备作为过程测量设备在非常广泛的应用中可靠地测量介质的与过程相关的测量变量。在过程控制工程的早期，确定的测量值主要通过模拟接口(例如，4-20ma接口)以模拟的方式从过程测量设备传输到上级单元(例如，评估设备或过程控制中心)。在数字化过程中，通过额外地施加数字信号(例如，根据hart标准)扩展了该标准，由此过程测量设备与过程控制中心之间能够进行双向通信。然而，这种过程控制系统的特征在于，设备基本上是在孤立模式下运行的。未提供不同位置或不同公司的不同过程控制系统之间的连接或系统与万维网的连接。
6.近年来，特别是随着第四次工业革命(工业4.0)的到来，已证实有必要通过更高程度的联网(例如，通过万维网)将整个过程控制系统或者甚至整个生产现场相互链接。然而，工业it系统和办公it系统的相关联网尤其在it安全领域中带来了一系列新的挑战，这使得迫切地需要继续发展现有的设备和部件。
7.由于最近可用的自给式现场设备(特别是自给式传感器)而出现了另一应用领域。传感器(即，该产品系列的现场设备)的特征在于特别简单的安装且无需通信线或电源线。通常使用窄带无线电技术(lora、sigfox、nb-iot)将这些现场设备确定的测量值传输到云端(即，万维网上的服务器)。这种现场设备的典型应用场景包括诸如洪水预报、库存管理或甚至其他分散分布式测量任务之类的领域。由于直接连接到万维网，这种现场设备本身就面临着来自网络的黑客攻击的永久威胁。
8.为了在将来也确保生产系统的可用性，各个行业目前正在制定标准，这些标准旨在加强过程控制系统的部件对意外或故意发起的外部攻击的恢复力，并因此提高现场设备的可用性，从而确保设备操作员的生产率。
9.此外，立法者还为设备的运营商和制造商制定了新的要求，这些要求旨在使诸如能源(电、天然气、石油)、运输(天空、铁路、水路、道路)、饮用水供应之类的关键基础设施系统(kritis)或数字基础设施能够抵御意外或故意的黑客攻击。这方面的一个示例是由欧洲议会通过的第2016/1148号指令(nis指令)，此后该指令被欧盟成员国实施为国家法律。
10.取决于各个使用场所的脆弱性，现有的网络安全标准(例如，iec62443、iso 27001)要求在那里使用的设备需要满足标准化的it安全级别(sl)。
11.例如，iec 62443(自08/2013起)定义了以下安全级别，这些安全级别根据攻击者
使用的手段、攻击者使用的物质和财政资源、攻击者的技术技能和潜在动机进行了分类。
[0012][0013]
在此，安全级别sl0是纯理论构想，其中，不存在任何损害或篡改风险，并因此无需采取措施。
[0014]
安全级别sl1描述了系统避免意外和非故意的损害或篡改的能力。
[0015]
安全级别sl2描述了系统抵御具有一般安全知识的感兴趣者和公司的故意篡改的能力。
[0016]
安全级别sl3描述了系统抵御专家和公司的故意篡改的能力，这些专家和公司具有明确的目标，开发并部署了有效但成本导向的攻击方案。
[0017]
安全级别sl4描述了系统抵御专家组织的故意篡改的能力，这些专家关注于以几乎任何价格达到特定选择的目标。
[0018]
对于现场设备的制造商，特别是对于物位和压力传感器的制造商，这些框架条件使得越来越需要实施以不同(行业特定)标准和法律为依据的it安全要求。
[0019]
这种扩展措施的实施通常需要将额外的硬件部件和/或额外的软件部件集成到现场设备中。如果现有设备需要达到安全级别(sl)，或者获得定义的安全级别(sl)认证的要求发生变化，则这通常导致必需修改这些设备的机械和电气设计。然后，客户必需用相应认证的后续设备来替换已经交付的设备，这将导致相应的成本和维护支出。
[0020]
此外，存在的问题在于，必需从技术角度考虑分别定义了it安全级别sl的行业特定标准。此外，必需考虑立法者的不同规定。
[0021]
此外，就制造商而言，还存在的问题在于，必需针对不同的安全标准和不同的安全级别(sl)，适当时还需要对应于不同国家的不同标准来开发、制造和分销设备。
[0022]
一种明显的解决方案是有针对性地为不同行业提供分别需要从技术角度考虑行业特定的it安全级别sl的设备。然而，为了例如为精炼厂内的所有可能应用情况做准备，理论上还必需为客户需要的每个it安全级别提供不同的设备。显然，这种方法显著增加了设备变型的多样性，并因此使相应现场设备的开发和制造变得不经济。反之，如果仅提供实现最高安全级别的单一的行业特定设备，则这将导致高昂的硬件成本和高能耗，并降低设备操作时的人体工程学。
[0023]
此外，还存在的问题在于，具体的实施只能针对新设备，但现有设备不再能够在相应增加的it安全要求下运行。


技术实现要素：

[0024]
本发明的目的是提供一种使新设备可以灵活地适应于不同的it安全要求并且还使现有设备可以进一步在增加的it安全要求下操作的可能性。
[0025]
该目的通过具有权利要求1的特征的改装模块来实现。有利的改进示例是从属权利要求的主题。
[0026]
根据本发明，提供了一种用于过程自动化现场设备的改装模块，其中，现场设备包括具有至少一个通信接口的现场设备电子器件，其特征在于，改装模块具有安全模块，其中，安全模块与现场设备电子器件协作，以便达到预定的it安全级别。
[0027]
新设备和现有设备都可以装配这种改装模块。因此，根据要求，新设备和现有设备都可以设置有适合的能够实现期望it安全级别的it安全模块。
[0028]
因此，可以通过多个不同的改装模块为新设备和现有设备装配或提供不同it安全级别，而无需在每种情况下保持全新的设备以实现相应的it安全级别。因此，对于制造商来说，更加容易提供适配的现场设备，其中，基本设备保持不变，并且仅通过相应的改装模块对其加以补充。由此，对于现有设备的用户或操作员来说，可以使他们的现有设备适配于变化的it安全级别，而无需更换相应的现有设备。现有设备通过用于实现期望的it安全级别的改装模块进行改装，从而升级为能在提高的it安全要求下进行操作。
[0029]
本发明的基本思想是提供改装模块，并因此配置新设备或现有设备，使得它们能够实现预定的it安全级别。
[0030]
在模块化现场设备的情况下，可以特别良好地使用相应的改装模块。
[0031]
模块化构造的现场设备是由模块化现场设备概念组成的。在模块化现场设备概念中，可以从多个可组合的传感器、壳体、电子单元以及控制和/或显示单元中进行选择，并构建相应的现场设备。例如，vega格里沙贝两合(vega grieshaber kg)公司提出了这种模块化现场设备概念。通常，可以组合以下装置：传感器；相应的电子模块，其提供测量值处理和控制用接口并必要时提供使用的现场总线；以及各种显示和/或控制单元。传感器、电子模块和显示器和/或控制单元既可以相互适配，也可以适配于各种可用的壳体。
[0032]
改装模块可以具有用于实现预定it安全级别的多个功能单元。以此方式，可以提供多个不同的具有不同功能单元的改装模块，它们与现场设备协作以实现不同的it安全级别。
[0033]
替代地，改装模块可被配置为使得它可以通过与现场设备的协作来实现多种不同的it安全级别。在这种情况下，这意味着可以通过至少两个功能单元来实现至少两个不同的it安全级别。于是，根据给定的要求，可以停用用于实现特定it安全级别的不需要或不允许的各个功能单元，或者然后可以激活用于实施特定it安全级别所必需或强制性的功能单元，以便可以使用改装模块来实现多个不同的it安全级别。
[0034]
在本技术中，功能单元应被理解为用硬件或软件实现的功能块，这些功能块对于符合预定it安全级别具有决定性作用。特别地，不同严厉度的it安全级别通常在至少一个功能单元上有所不同，即，至少一个功能单元在实现一个it安全级别时被激活或停用，而在实现另一不同的it安全级别时相应地不被激活或停用。
[0035]
本技术所基于的it安全级别可以涉及it安全的各个方面，并且可以通过在本技术的功能单元中概述的各种措施来实现。
[0036]
可以在本技术的代表性it安全级别中实现的it安全方面特别是用户、设备和软件的各种级别的识别和认证、使用控制、现场设备在认证和完整性方面的通信保护以及例如所需的响应时间。
[0037]
为此，改装模块可以具有用于连接物位测量装置的现场设备电子器件的第一电气接口和用于连接到上级单元的通信模块。通过第一电气接口，改装模块可以连接到现场设备电子器件，优选地连接到现场设备电子器件的通信接口，更优选地连接到现场设备电子器件的有线通信接口。改装模块可以使用通信模块建立外部通信。在这个意义上，“外部”是指现场设备外部的单元，特别是上级单元、控制单元或其他现场设备。
[0038]
在这种情况下，除了例如控制室中的评估设备和计算机以外，上级单元还可以是lan(局域网)或wan(广域网)环境中的服务器。甚至虚拟专用网络(vpn)中的设备也包含在此范围内。
[0039]
优选地，改装模块的第一接口被设计为连接到现场设备的通信接口。以此方式实现了改装模块与现场设备电子器件的简单连接。在适当时，可用的插接接触件或接线端子可用于此目的，并因此可以实现改装模块与现场设备电子器件的直接连接。
[0040]
如果现场设备的通信接口是有线接口并以此方式连接到改装模块，则通过对连接进行适当的配置，还可能通过通信接口建立其他可能不安全的外部通信连接。在最简单的情况下，通信接口的插槽被与其连接的改装模块占据，并因此没有其他连接选项。
[0041]
为了实现最大可能的操作安全性，第一接口与通信接口的连接可以被设计为机械不可逆的。这意味着连接一旦产生就不能再分离。例如，在不破坏连接或至少存在能够检测到的安全级别违规的情况下，无法断开连接。
[0042]
这可以例如通过第一接口与通信接口的连接不可逆地中断现场设备电子器件与上级单元的连接来实现。如果再次断开与改装模块的连接，则现场设备电子器件与上级单元的直接连接也被中断，这例如可以由上级单元检测到。
[0043]
例如，这种不可逆中断的一种可能性可以通过绝缘位移接触件来实现，该绝缘位移接触件中断从现场设备电子器件到上级单元的电缆连接部，并且同时产生与改装模块的连接。如果该连接再次断开，则从现场设备电子器件到上级单元的连接也被中断。由于在没有短暂中断的情况下不容易重新产生这种连接，因此能检测到篡改企图并能够相应地作出反应。
[0044]
额外地或替代地，改装模块可以具有用于与物位测量装置不可逆地连接的机械接口。这种机械不可逆连接确保了不再能分离物位测量装置和改装模块之间的连接，并因此也不再能拆卸改装模块。
[0045]
例如，改装模块和现场设备之间的机械不可逆连接可以将改装模块不可逆地固定在布置有改装模块的壳体室中。这意味着如果改装模块安装正确，则无法再拆卸。
[0046]
正确的安装和可能不允许的拆卸都可以通过相应的接触开关进行监控。如果改装模块被非法拆卸或篡改，则这种篡改接触将通知上级单元。因此，检测到非法干扰，并且可以采取对策。
[0047]
例如，机械不可逆连接可被设计为不可逆的锁合连接和/或不可逆的螺纹连接和/或不可逆的粘合连接，且/或包括不可逆的障碍物。
[0048]
例如，不可逆的障碍物可以是壳体盖，其不可逆地封闭布置有改装模块的壳体室。
为此，可以更换初始壳体盖并用自锁盖代替。例如，自锁盖可以具有防止在初始完全闭合之后打开盖的锁定钩或类似物。额外地或替代地，自锁盖可以具有将盖固定在螺接位置的粘合剂。
[0049]
在一实施例中，改装模块具有用于对数据进行签名和/或加密的加密模块。通过签名，接收者可以确保数据来自某一发起者(在此为改装模块)，并因此确保数据间接地来自装配有该改装模块的现场设备。此外，可以确保数据的完整性，即数据的接收者可以认证数据在由发送者(即，改装模块)签名以后没有被更改。总之，由于这种加密模块，从装配有改装模块的现场设备到上级单元的数据传输可被更安全地配置。
[0050]
在这一点上要强调的是，上述加密模块不一定实现加密，但即使只是提供带有签名的发送数据也可以是根据本发明的加密模块的目的。
[0051]
加密模块既可被设计为硬件也可被设计为软件模块，也就是说，该加密模块既可以由硬件部件(特别是专用的加密芯片)形成，也可以由软件部件(即，相应的计算机程序代码，当其由处理器执行时完成数据的签名和/或加密)形成。
[0052]
在本技术中，“软件部件”应理解为软件的部分或模块，即，计算机程序代码，当其由处理器执行时，该计算机程序代码使处理器执行用于实现软件部件的期望功能的命令。
[0053]
额外地或替代地，改装模块可以具有认证模块。根据期望的it安全级别，认证模块可以包括不同的部件。因此，认证模块可以例如具有用户和密码管理系统、授权管理系统、用于多因素认证的模块以及必要时需要的硬件接口。例如，相应的硬件接口可以是用于存在检测的传感器、用于pin的输入栏、用于生物特征数据的传感器(例如，指纹传感器或视网膜扫描仪)和/或用于读取机械钥匙和/或电子可读令牌的接口(特别是用于读取nfc令牌等的nfc接口)。
[0054]
在这种情况下，用户认证不仅可以包括对操作人员的认证，而且还可以实现对授权的控制设备和/或通信伙伴的认证。
[0055]
改装模块还可以具有用于外部的第二认证模块的认证接口。例如，这种外部的第二认证模块可以是控制设备的认证模块，使得只要控制设备已经关于改装模块进行了充分的认证，现场设备也可以采用控制设备处的用户认证。
[0056]
因此，不仅可以对操作人员进行认证，还可以对与现场设备进行通信的设备进行认证。
[0057]
认证模块同样可被设计为硬件部件，并且只要硬件是不必需的，认证模块也可被设计为软件部件。
[0058]
额外地或替代地，改装模块可以具有防火墙，特别是数据包过滤器。通过防火墙功能，可以确保只有授权用户才能建立与改装模块并因此与现场设备的连接(连接过滤器)，或者只有无害的数据包才能通过改装模块并因此进入现场设备以进行进一步处理。
[0059]
在一实施例中，改装模块可被设计为显示和/或控制模块，或者替代地具有这种显示和/或控制模块。因此，尤其在模块化地构造的现场设备的情况下，例如定期可用的显示和/或控制模块可以由被设计为显示和/或控制模块的改装模块替换，或由具有改装模块的显示和/或控制模块替换。
[0060]
尤其在申请人的模块化现场设备系统的情况下，将改装模块集成到现有的模块化系统中是合适的。
[0061]
安全模块可以具有多个功能单元，以用于实现多个不同严厉度的预定it安全级别，其中，安全模块具有用于选择it安全级别的选择元件，其中，基于该选择，激活用于实现所选择的it安全级别需要的功能单元，且/或停用不需要的功能单元。
[0062]
在此应指出的是，激活和停用涉及操作(即，改装模块或现场设备的开启状态)，并且在这种情况下应意味着相应功能单元的持续投运或退出。整个现场设备的停用(或换句话说关闭)对重新开启现场设备之后的功能单元的状态没有任何影响。
[0063]
在改装模块的一实施例中，安全模块被设计为使得可以选择一次it安全级别。在这种情况下，这意味着it安全级别可被选择一次，并然后就固定下来(即，不可更改)。特别地，可以由用户选择一次it安全级别。这意味着处于交付状态的改装模块可以或不可以具有可由制造商预定的并然后可由用户更改一次的任何期望的it安全级别。
[0064]
在这种情况下，一次用户侧选择可以尤其意味着不能对it安全级别进行后续的用户侧更改。在某些实施例中，可以区分it安全级别的用户侧更改和it安全级别的管理员侧更改。这意味着在一实施例中，即使在投运期间的初始设置之后，管理员还可以随后更改it安全级别。然而为此，例如除了作为管理员的认证之外，只能使用设备专用的解锁代码且/或使用额外的制造商侧的批准来进行这种更改。
[0065]
为了确保设置有改装模块的现场设备只能以期望的安全级别进行操作，安全模块可被配置为使得可以并且需要在投运期间进行设置有改装模块的现场设备的it安全级别的选择。
[0066]
以此方式，可以促使设备的操作员在投运新的或改装的现场设备期间选择适当的安全级别。然后，通过在投运时设置并固定该安全级别。作为上述过程的补充或替代方案，it安全级别的后续更改可以与现场设备的出厂设置(即，交付状态)重置为相结合，并因此与重新投运相结合。
[0067]
一次选择选项例如可以通过以机械不可逆的方式设计选择元件来实现。选择元件的机械不可逆的设计例如可以通过适当地锁定一次激活的设置来实现。例如，这种锁定可被配置为使得选择元件只能向更高的it安全级别进行更改。替代地，选择元件也可以机械地固定，例如粘接或以其他方式进行固定。额外地或替代地，机械的选择元件也可以具有预定断点，即，在it安全级别的初始用户侧设置期间，选择元件在成功设置后在该预定断点处停止工作，并因此不能随后改变it安全级别。
[0068]
额外地或替代地，安全模块可被配置为使得it安全级别的选择是电子不可逆的。这可以例如通过在第一次读取选择元件之后中断为此所需的电连接来实现。例如，这可以通过有针对性地中断安装在此的保险丝或通过以其他方式破坏选择元件的电气可读性来实现。额外地或替代地，也可以在设置it安全级别期间通过永久中断与这些功能元件的电气连接来阻止重新激活为实现所选择的it安全级别而停用的功能元件。
[0069]
例如，可以规定的是，为实现某种it安全级别，可以停用无线电接口。在上述实施例中，可以例如通过永久中断与无线电接口的电气连接，或者例如通过有针对性地使传输元件失灵来防止重新激活无线电接口。
[0070]
额外地或替代地，安全模块可被配置为使得it安全级别的选择在软件技术方面是不可逆的。例如，在成功设置it安全级别之后，可以删除或以其他方式更改程序代码的用于实现选择元件的读取和it安全级别的设置的部分，使得不能重新读取选择元件。在该实施
例中，可以然后将选择元件调节为与所设置的it安全级别不同的it安全级别(如果在这一点上未被阻止的话)的选择，但不再读取更改的选择并因此未调节it安全级别。
[0071]
为了确保一次选择的it安全级别至少不降低，即确保不会随后选择更低的it安全级别，改装模块可以在交付时具有最低的it安全级别，并将安全模块设计为使得只能提高it安全级别。该功能可以通过硬件(例如，选择元件)的适当配置和适当的软件实施来实现。
[0072]
替代地，改装模块还可能以最高的it安全级别交付，并且只能降低it安全级别。
[0073]
在一实施例中，选择元件可被设计为硬件开关，优选为滑动开关或旋转开关。通过这种硬件开关，可以直观地且以用户友好的方式选择it安全级别。由硬件实现的选择元件的设计可以形成针对基于网络的攻击的有效保护，并因此有助于保护现场设备。
[0074]
在另一实施例中，选择元件可被配置为用户界面中的选择菜单。通常，改装模块或设置有改装模块的现场设备的投运过程包括各种参数化步骤，可以将it安全级别的选择以此方式无缝地插入到这些参数化步骤中。
[0075]
在改装模块的一实施例中，选择元件可以激活多路复用器，该多路复用器至少在交付状态下连接到用于实现it安全级别的功能单元。以此方式，可以通过多路复用器的适当激活来激活或停用用于实现it安全级别的各种功能单元。
[0076]
此外，改装模块还可以包括用于现有现场设备的固件更新。例如，通过现场设备的这种固件更新，可以确保现场设备电子器件(根据所选择的安全级别)仍仅接受特定的通信路径、远程终端或附加模块，且/或拒绝改装模块的卸载。
[0077]
根据本发明，提供了一种模块化过程自动化现场设备，其包括具有至少一个通信接口的现场设备电子器件，其中，该现场设备具有根据前述任一项权利要求的根据本发明的改装模块，该改装模块连接到现场设备电子器件的通信接口。
附图说明
[0078]
下面将参考附图并基于示例性实施例更详细地说明本发明。
[0079]
图1示出了根据现有技术的两个现场设备。
[0080]
图2示出了根据本技术的示例性实施例。
[0081]
图3示出了根据本发明的具有改装模块的现场设备的第三示例性实施例。
[0082]
图4示出了根据本技术的方法的示例性实施例。
具体实施方式
[0083]
以下给出的现场设备的示例性实施例示出了基于iec 62443标准的定义来实现it安全级别sl的示例性实施例。示例应具有单纯示例性的特征，以用于阐明基本结构和过程，并基本上包括到具有可比较概念的其他现有的或未来产生的标准的转移，以根据本发明的理解来标准化定义安全级别。尤其可以在未来的标准中结合现有的it安全级别sl，以便例如根据模式basic(对应于sl0+sl1)、substantial(对应于sl2+sl3)和high(对应于sl4)创建it安全级别sl的新定义。本领域技术人员能够以显而易见的方式实现本发明在新定义的安全级别的方面的应用，这就是为什么即使安全级别的未来新定义也应涵盖在本发明的范围内。
[0084]
图1在部分图1a)和1b)的中示出了根据现有技术的两个现场设备101、102。
[0085]
图1a)示出了现场设备101，其以有线的方式操作并被设计为雷达物位测量装置。现场设备101通过电缆连接部104(通常是模拟或数字连接部104)获得其操作所需的能量。在当前情况下，现场设备101被设计为双线制现场设备。
[0086]
根据本发明的双线制现场设备被理解为通过两条线路连接到上级单元的现场设备，其中，能量供应和测量值传输都通过这两条线路进行。
[0087]
在这种情况下，双线制现场设备和上级单元之间的能量和/或信号传输根据已知的4ma至20ma标准进行，其中，在现场设备和上级单元之间形成4ma至20ma电流回路(即，双线电缆)。除了信号的模拟传输之外，测量设备还可以根据各种其他协议(特别是数字协议)向上级单元传输其他信息或从上级单元接收其他信息。这方面的示例为hart协议或profibus pa协议。例如，该接口也可以是io链路接口。
[0088]
这些现场设备的能量供应同样通过4ma至20ma的电源信号进行，因此除了双线电缆以外不需要额外的电源线。
[0089]
因此，以有线方式操作的现场设备101使用接口104向外部传输其测量值。在所示实施例中，现场设备101具有用于实现与用户的协作的显示和控制模块103。显示和控制模块103通过接口102获取其操作所需的能量。此外，改装模块103使用接口102，以与现场设备101的现场设备电子器件进行通信。
[0090]
图1b)示出了自主操作的现场设备105，现场设备105从集成的电池106获取现场设备105的操作所需的能量并通过无线接口107向外部提供确定的测量值。
[0091]
自主操作的现场设备105是自给式测量装置，特别是自给式填充物位或极限物位传感器。优选地，自给式填充物位或极限物位传感器被设计为雷达传感器，并且(为了确保传感器的自给自足)除了用于检测测量数据的测量传感器之外，还包括用于优选为无线地传输检测的测量数据或测量值的传输装置以及其自身的电源。优选地，传输装置可以是用于窄带无线电技术(lora、sigfox、lte-m、nb-iot)的无线电模块，其将测量数据或测量值传输到云端，即，传输到万维网中的服务器。优选地，电源被设计为原电池或蓄电池并且可以额外地包括能量收集模块。
[0092]
当前所示的自给式现场设备105具有完全密封的壳体108。自给式现场设备105具有无线操作的显示和控制模块109，以用于启动显示和/或操作。例如通过使用rfid技术，在自给式现场设备105和显示和控制模块109之间无线地交换显示和控制模块109所需的能量和所需数据。
[0093]
这些已知的现场设备101、105多年来已大规模生产并且在市场上已变得非常普遍。先前已知的现场设备101、105迄今不具有任何技术设备来满足达到定义的it安全级别(sl)的要求。
[0094]
图2示出了根据本发明的第一改装模块201，第一改装模块在安装到已知的现场设备101中之后创建与其协作的技术设备，以实现达到定义的it安全级别(sl)的要求。
[0095]
为此，改装模块201具有由硬件实现的专用功能单元202，这对于实现it安全级别是必要的。通过由软件实现的功能单元203与现场设备101的现场设备电子器件112的硬件和软件单元110的协作，实现了为达到其中一个上述定义的it安全级别sl1、sl2、sl3或sl4所必需的要求。
[0096]
下文基于用户认证的示例更详细地解释示例性实施例的基本原理。
[0097]
例如，如果现有现场设备101能够满足达到安全级别sl2的要求，则在现场设备中必须存储有用于管理具有相关的密码和个人访问权限的可预定用户列表的机制。应以此方式防止对现场设备101的设置的未授权访问。
[0098]
由于初始的现场设备101不具有任何用于实现用户管理的硬件和软件单元110，因此该初始的现场设备设置有改装模块201，该改装模块201在当前情况下被配置为显示和控制模块。改装模块被配置为使用先前保存的授权用户列表(这些授权用户永久保存在由硬件实现的功能单元202中)通过处理由软件实现并存储在功能单元203中的登录例程来执行经由键盘204发起的用户登录。只有当用户是已知的(即，包含在硬件中存储的列表中)并且已经输入了与用户关联的有效密码时，才接受用户的登录。如果这两个事项都完成了，通过键盘204和显示器205的协作，现场设备101的授权使用被批准，为此，显示和控制模块103、109经由接口102以已知的方式与现场设备101进行通信。
[0099]
在模块化现场设备概念的背景下，制造商提供了其它改装模块201，使用这些改装模块可以满足其他it安全级别的要求。因此，用于达到安全级别sl3的替代改装模块201可以已经具有用于实现多因素认证的由硬件和软件实现的功能单元。除了键盘204之外，功能单元例如可以是nfc接口(在此未以图形方式示出)，使用该nfc接口可以额外认证nfc令牌的存在。
[0100]
将根据当前示出的示例性实施例的改装模块201的安装被配置为持久的，即，永久地防止改装模块201的后续拆卸。
[0101]
因此，防止了随后通过未经授权地拆除改装模块201而以未经授权的方式再次停用通过改装模块201实现的经更新的整体设备101、201的it安全级别sl。为此，机械固定机制能防止未经授权的拆卸。一方面，改装模块201通过连续的粘合部206连接到现场设备101的现场设备电子器件112。另一方面，以电子方式确保期望的持久性。在与现场设备101的现场设备电子器件112的初始连接期间，改装模块201修改现场设备101的固件111，使得该固件从此仅与这个改装模块201交换数据，并且在不存在改装模块201的情况下或者在用未经授权的改装模块201替换的情况下暂停操作，以便例如通过输出无效测量值的状态信号来向外部发出故障信号。
[0102]
在另一实施例中，额外地或替代地，可以用机械改进的盖来替换盖207，该机械改进的盖在一次闭合之后机械地防止拧开，从而防止访问改装模块201。
[0103]
图3示出了用于达到定义的it安全级别(sl)的改装模块301的另一示例性实施例。从图中可以看出，在此作为示例，自给式现场设备105能够通过改装模块301来满足关于实现it安全级别(sl)的扩展要求。
[0104]
通过与软件单元303、305、307的协作，硬件单元302、304、306实现了定义数量的功能，这些功能对于达到多种不同的it安全级别(sl)是必需的。定义的it安全级别(sl)可以由用户通过选择器308进行设置。例如，在选择单元309(例如，多路复用器)的选择器308的第一位置，通过与软件单元303的协作来激活硬件部件302的安全功能。同时，可以停用单元304、305、306、307。因此，改装模块301通过与现场设备105的协作能够实现符合第一it安全级别(sl)的要求。反之，如果选择单元309在第二位置被激活，则可以停用单元302、303、306、307并可以激活单元304、305以满足第二it安全级别(sl)的要求。根据该方案，改装模块可以扩展现有的传感器，使得该现有传感器通过与改装模块的协作满足符合可在改装模
块301中选择的it安全级别sl的要求。
[0105]
在此要强调的是，在此所述的it安全级别sl的可选择性可以通过有线的改装模块201和无线操作的改装模块301来实现。
[0106]
图4示出了改装模块401的另一变形例。
[0107]
过程工业中的一系列现场设备装配有所谓的双腔室壳体402，该双腔室壳体可以在第二壳体腔403中容纳用于防雷或防爆的部件。这些部件通过至少一个电线连接器404连接到壳体内部的实际现场设备电子器件405。
[0108]
与改装模块201、301，图4所示的改装模块401具有硬件和软件单元202、203，这些硬件和软件单元适合于通过与现场设备电子器件405的协作实现用于达到定义的it安全级别sl的要求。为此，改装模块401具有至少两个有线接口，并且可以以此方式安装在通信线路406和现场设备电子器件405之间的供电臂中。
[0109]
在一系列设备中，潜在的与it相关的安全攻击基本上只能经由有线接口发生。因此，一种有效的方法是切断通信线路406并在第二传感器腔室中安装改装模块401。在所示的示例性实施例中，改装模块401包括具有定义长度的有线输出线404，该输出线被设计为连接现有设备的初始接触接口407。额外地或替代地，改装模块401可以固定在现场设备402上，使得它不能再次被拆卸(是机械持久的)。在本示例性实施例中，改装模块401通过安全螺栓连接器固定在现场设备的壳体402中，该安全螺栓连接器可以使用粘合剂固定。
[0110]
此外，可以用壳体盖408替换初始的壳体盖(未示出)，该壳体盖408是自粘的并因此不能再次拆卸。
[0111]
改装模块401根据所需的it安全级别sl承担现场设备301的一系列安全功能，也就是说，安全功能例如是用户管理、认证、加密或者还有根据期望的it安全级别的各个标准可能需要的其他功能。特别地，改装模块401可以用作防火墙并且连续地检查并在适当时拒绝进入的数据包。
[0112]
根据本技术，可以依据期望的it安全级别sl提供各种改装模块401，以用于在客户处或在工厂中进行改装。额外地或替代地，安全模块可被配置为使得它可以根据上述示例性实施例进行配置，从而实现不同的it安全级别sl。
[0113]
以此方式改装的传感器随后仍只能通过改装模块401和包含在其中的功能模块203经由通信线路406与外部连接，这些功能模块主要被配置为附加软件。通过粘接壳体盖408，可以可靠地防止对安装现场的未经授权的访问和篡改。
[0114]
此外，例如为了实现更高的it安全级别(sl)，可能需要在访问之前在现场设备402上通过多因素认证进行认证。在多因素认证中，可能需要组合来自由知识、所有权或存在组成的组中的两个以上的安全特征，以确保特别可靠的认证。因此，例如可能需要通过接口以有线的方式将密码口令形式的安全特征“知识”传输到第一改装模块401，并且额外地通过插入第二安全模块409来证明传感器上的用户专用令牌(例如，rfid芯片、密码库、u2f模块)的所有权，该第二安全模块包含令牌或至少一个用于读取令牌的接口。通过根据本发明的第一改装模块401和第二安全模块409的组合，可以以此方式实现更高的it安全级别sl。额外地或替代地，还可以通过已确立的软件修改现场设备电子器件405，使得第一改装模块401能够与第二安全模块409进行直接通信，以便实现安全级别的特定要求。
[0115]
此外，应强调的是，在用于实现特定安全功能的安全模块201、301、401和409中可
以包含多个硬件和软件单元。在这一点上明确提及的是用于实现涉及以下方面的要求的硬件和软件单元：
[0116]-传感器事件和登录尝试的日志和监测；
[0117]-通过知识(例如，借助于密码、口令或pin的输入)对外部设备和用户进行的认证；
[0118]-通过所有权(例如，使用机械钥匙和/或电子可读令牌(rfid、nfc、u2f))对外部设备和用户进行的认证；
[0119]-通过存在(例如，借助于触摸面板和手写识别软件、麦克风和语音识别软件、扫描仪和指纹识别软件)对外部设备和用户进行的认证；
[0120]-用户管理和各个用户的权限管理；
[0121]-例如通过密封装置或粘接装置实现的传感器的机械完整性；
[0122]-确保改装模块的机械和/或电子持久性；
[0123]-初始传感器的功能程序，例如通过保持特定的软件更新
[0124]
附图标记列表
[0125]
101、105、108、402 现场设备
[0126]
102 接口
[0127]
103、109 显示和控制模块
[0128]
104 电缆连接部
[0129]
106 电池
[0130]
107 无线接口
[0131]
108 壳体
[0132]
110 硬件和软件单元
[0133]
111 固件
[0134]
112、405 现场设备电子器件
[0135]
201、301、401 改装模块
[0136]
202 功能单元
[0137]
203 功能单元
[0138]
204 键盘
[0139]
205 显示器
[0140]
206 粘合部
[0141]
207 盖
[0142]
302、304、306 硬件单元
[0143]
303、305、307 软件单元
[0144]
308 选择器
[0145]
309选择单元
[0146]
402 双腔室壳体
[0147]
403 壳体腔
[0148]
404 电线连接器
[0149]
405 传感器电子器件
[0150]
406 通信线路
[0151]
407 接触接口
[0152]
408 壳体盖
[0153]
409 第二安全模块
[0154]
sl it安全级别