专利名称:用于对自动化设备进行计算机辅助设计的方法
技术领域:
本发明涉及一种用于对自动化设备进行计算机辅助设计的方法。
背景技术:
从现有技术中已知,为设计自动化设备使用相应的工程工具。所述工具存储在计算机单元上并且为用户实现通过经由用户接口进行的交互根据对设备的要求适当地指定由相应的仪器构建自动化设备和所述仪器经由通信网络的联网。通常在自动化设备中需要:确定设备中的仪器之间的特定的通信关系,以便满足安全的通信要求。特别地,通常仅应当允许特定自动化单元之间的数据交换,以便由此避免自动化设备工作时的误用。常规地,用户除工程工具之外必须调用单独的工具,用户然后在所述单独的工具中基于预设的通信关系手动地输入通信部件的适当的对安全重要的配置参数,经由所述配置参数能够转换期望的通信。
发明内容
本发明的目的是,提供一种用于对自动化设备进行计算机辅助设计的方法,借助所述方法能够以简单的方式考虑自动化设备的仪器之间的通信关系。所述目的通过根据一种用于对自动化设备进行计算机辅助设计的方法实现,其中计算机单元在用户接口上输出对所述自动化设备的至少一部分进行的指定(Specifikation),其中所述指定包括所述自动化设备的仪器和使所述仪器经由通信网络的联网;所述计算机单元检测所述用户接口上的一个或多个用户输入,借助于所述用户输入以与通信关系相关的方式指定在所述通信网络中的所述仪器之间的允许的和/或禁止的通信;所述计算机单元根据所述通信关系为所述仪器的至少一部分的通信部件确定安全配置参数,其中一个或多个属于相应的通信部件的所述安全配置参数能够通过相应的所述通信部件来处理;或者所述目的根据一种用于对自动化设备进行计算机辅助设计的装置实现,所述装置包括计算机单元和用户接口,所述计算机单元和用户接口构成为,使得所述装置在工作时所述计算机单元在所述用户接口上输出对所述自动化设备的至少一部分进行的指定,其中所述指定包括所述自动化设备的仪器和使所述仪器经由通信网络的联网;所述计算机单元检测所述用户接口上的一个或多个用户输入,借助于所述用户输入以与通信关系相关的方式指定在所述通信网络中的所述仪器之间的允许的和/或禁止的通信;所述计算机单元根据所述通信关系为所述仪器的至少一部分的通信部件确定安全配置参数,其中一个或多个属于相应的通信部件的所述安全配置参数能够通过相应的所述通信部件处理;或者所述目的根据一种计算机程序产品实现,所述计算机程序产品具有存储在机器可读的载体上的程序编码以用于当在具有用户接口的计算机单元上执行所述程序编码时,执行上述方法;或者所述目的根据一种计算机程序实现,所述计算机程序用于当在具有用户接口的计算机单元上运行所述程序时,执行上述方法。在本文中限定本发明的改进形式。根据本发明的方法用于对自动化设备进行计算机辅助设计。自动化设备能够为任意的工业自动化系统,例如为用于生产自动化的设备或用于过程自动化的设备。在根据本发明的方法中,计算机单元输出对自动化设备的至少一部分进行的指定。指定在此包括自动化设备的仪器和使仪器经由通信网络的联网。此外,计算机单元检测用户在用户接口上的一个或多个输入。借助于所述输入,通过用户以与通信关系相关的方式指定在通信网络中的仪器之间的允许的和/或禁止的通信。因此根据本发明,利用计算机单元在自动化设备的经由用户接口执行的创建或改变时执行所述方法。在此,除通信关系之外,必要时也能够经由用户输入来改变自动化设备的其他特征,尤其仪器和其联网。在该方法的范围内,计算机单元根据通信关系自动地确定仪器的至少一部分的通信部件的安全配置参数,其中能够通过相应的通信部件处理一个或多个属于相应通信部件的安全配置参数。术语安全配置参数在此和下文中能够广义地理解并且能够涉及任意类型的确定自动化设备中的访问限制的配置参数。根据本发明的方法的特征在于,仪器之间的相应的通信关系自动地由这种通信部件转换成适当的安全配置参数,所述安全配置参数能够允许或封锁相应的通信。因此,通过计算机单元分析仪器的联网,以便确定对相应的通信关系重要的通信部件并且为所述通信部件确定适当的安全配置参数。那么,能够在自动化设备实际工作时由通信部件处理安全配置参数。根据本发明,不通过用户手动地执行将通信关系相应地映射到安全配置参数上、而是经由适当的计算机程序来执行。在此,相应的计算机程序的创建取决于用于描述通信关系或安全配置参数的句法。这种程序的创建能够在本领域技术人员的认知范围中容易地实现。根据本发明的方法具有下述优点,在统一的工程学的范围内,能够在包含对于用于通信的通信部件的相应的安全要求的情况下创建自动化设备。特别地,不再需要使用者手动地指定自动化设备的通信部件的安全配置参数。相反地,在规划自动化设备时已经生成所述信息。因此,在自动化设备起动时,通过计算机单元确定的安全配置参数能够经由适当的装载功能传输到相应的通信部件上,使得在设备工作时建立期望的通信关系。根据本发明的方法能够用于任意的通信标准,设备的各个仪器经由所述通信标准通信。在一个尤其优选的实施形式中,设备的仪器经由基于以太网的网络彼此连接,尤其是基于自身已知标准的工业以太网和/或Profinet。通信部件根据使用情况能够是不同的,借助于所述通信部件转换通信关系。在一个优选的实施形式中,在此为一个或多个防火墙或NAT-路由器(NAT=Network AddressTranslation,网络地址转译)。在自动化设备中构建的仪器同样也能够构成为是不同的。优选地为一个或多个现场仪器和/或为一个或多个尤其是可编程逻辑控制器(SPS=可编程逻辑控制器)的控制器和/或为一个或多个以太网交换机。所述部件是自动化设备的自身已知的仪器。在此,现场仪器尤其为传感器和/或执行器以用于执行自动化设备的相应的过程或用于检测设备的测量值。优选地,在此经由控制器来控制一组现场仪器。经由以太网交换机实现现场仪器或控制器之间的连接。经由用户输入确定的通信关系能够根据使用情况而在其细化程度中进行区分。所述通信关系至少确定,是否应当允许和/或应当禁止两个或更多仪器之间的特定的通信。此外,通信关系在此能够至少部分地包含:预设的仪器相互间的尤其是单向的和/或双向的访问以及/或者读和/或写访问的访问类型;和/或用于预设的仪器之间通信的端口。根据使用的通信标准或根据使用的通信部件,安全配置参数也能够构成是不同的。特别地,安全配置参数能够包括一个或多个访问列表和/或防火墙规则和/或用于VPN连接规则(VPN=Virtual Private Network,虚拟专用网络)。优选地,利用仪器的IP地址或名称来指定安全配置参数。在本发明的另一个优选的实施形式中,在以与通信关系相关的方式经由用户接口指定允许的和/或禁止的通信关系之前,还执行用户认证。以该方式能够将通信关系的对安全关键的确定仅限制于预设的用户范围。在另一个尤其优选的实施形式中,在根据本发明的方法的范围内,使用图形用户界面形式的用户接口,经由所述用户接口能够简单地并且直观地对相应的自动化设备或仪器相互间的通信关系进行规划。除上述方法之外,本发明还涉及一种用于对自动化设备进行计算机辅助设计的装置,所述装置包括计算机单元和用户接口,所述计算机单元和用户接口构成为,使得在所述装置工作时能够执行根据本发明的方法或根据本发明的方法的一个或多个优选的变型形式。此外,本发明涉及一种计算机程序产品,所述计算机程序产品具有存储在机器可读的载体上的程序编码以用于在具有用户接口的计算机单元上执行程序编码时,执行根据本发明的方法或根据本发明的方法的一个或多个优选的变型形式。此外,本发明包括一种计算机程序,当程序在具有用户接口的计算机单元上运行时,所述计算机程序用于执行根据本发明的方法或根据本发明的方法的一个或多个优选的变型形式。
下面根据附图1详细地描述本发明的一个实施例。所述图示出自动化设备的以根据本发明的方法的实施形式为基础来设计的一部分的经由用户接口描述的图示。
具体实施例方式基于所谓的工程工具来阐明本发明的以下阐明的实施形式,相应的用户借助于所述工程工具能够经由在图形用户界面上的交互指定自动化设备的结构和其联网。在此工程工具运行在计算机单元上,所述计算机单元与监视器连接,在所述监视器上描述工具的图形用户界面。在图1中描述经由工程工具规划的自动化设备的一部分。设备包括三个可编程逻辑控制器C01、C02和C03、多个现场仪器FG、三个以太网交换机ES1、ES2和ES3以及表示为计算机的接口 OP (OP=Operator Panel,操作面板)形式的相互联网的仪器,经由所述接口,操作者能够监视和控制自动化设备。在图1中示出的线是通信线路,仪器能够经由所述通信线路彼此通信。由此形成的优选基于以太网的通信网络包括三个子网络SN1、SN2和SN3。子网络SNl包括可编程逻辑控制器COl和三个现场仪器FG并且经由以太网交换机ESl与网络的其余部分连接。子网络SN2包括经由以太网交换机ES2与网络的其余部分连接的三个现场仪器FG和可编程逻辑控制器C02。类似地,子网络SN3包含可编程逻辑控制器C03以及三个现场仪器FG和建立与通信网络的其余部分的连接的以太网交换机ES3。在图1中使用的附图标记用于指定各个仪器并且没有包含在原始的图示中。替代于此,图示与其他信息相关地示出各个仪器或者子网络的仪器类型和IP地址,然而其在图1中出于可视性没有描述。在图1中示出的设备中,以太网交换机ES I至ES3分别包含防火墙FWl、FW2或FW3。以所述防火墙为基础,能够在设备中实现安全功能。特别地,能够根据要求确保只有特定的子网络能够相互通信。在此,各个子网络例如是自动化设备的预设的自动化单元,所述自动化单元应根据使用情况而仅与特定的其他的自动化单元交换信息。在常规的工程工具中,虽然能够规划自动化设备的各个仪器和其联网,然而必须调用单独的工具以对相应的通信关系进行规划,因此在所述单独的工具中基于期望的通信关系通过用户手动地输入通信部件的相应的安全配置参数,经由所述安全配置参数转换仪器间的通信关系。在此,通信部件为设备的仪器中的、相应的、提供安全功能的组件。在图1的实施形式中,防火墙FW1、FW2和FW3是这种通信部件的实例。因此常规的是,必须以要实现的通信关系为基础手动地将各个防火墙FWl至FW3的相应的防火墙规则输入到用于规划通信部件的单独的工具中。与此不同地,在根据本发明 的工程工具中,顺带记录并且自动地执行相应的通信部件的规划。在此,用户具有经由用户界面适当地输入仪器间的相应的通信关系的可能性。在图1的实施形式中,如通过双向箭头Pl和P2所表明的,用户在此指定可编程逻辑控制器COl和C03之间允许的通信以及可编程逻辑控制器C02和C03之间的允许的通信。因此,能够以图形的方式经由相应的箭头确定通信关系,其中也能够以其他方式进行所述图形的确定。在图1的实施形式中,通过双向箭头表明,经由双向箭头连接的仪器能够双向地相互通信。必要时,用户也能够指定其他类型的通信关系、尤其指定单向的通信,那么通过适当的单箭头表明所述单向通信。必要时,同样能够以适合于通信关系的方式指定其他信息,例如相应的端口或写和/或读访问的形式的访问类型,其中通信应当经由所述端口进行。同样也能够根据使用情况指定:必须经由哪个插入的仪器进行通信。然而在图1的实施形式中,经由双向箭头只确定:允许控制器COl和C03之间以及C02和C03之间的双向通信。由于存在子网络SNl至SN3的所使用的防火墙FW1、FW2和FW3,对于通信关系而言首先调整为标准的是:各个子网络不能够相互通信。以经由箭头Pl和P2指定的通信关系为基础,从现在开始通过工程工具自动地分析自动化设备的通信结构。在此确定,能够经由以太网交换机ES I和ES3建立可编程逻辑控制器COl和C03之间的连接,这通过箭头ΡΓ表明。此外确定,能够经由以太网交换机ES2和ES3建立可编程逻辑控制器C02和C03之间的通信,这通过箭头P2’表示。工程工具识别出,各个以太网交换机ESl至ES3包含相应的防火墙FWl至FW3,并且因此执行防火墙的适当的配置,使得能够实现控制器COl和C03之间以及C02和C03之间在双向方向上的通信。为此,以自身已知的方式将适当的防火墙规则存储在各个防火墙中,借助于所述防火墙规则允许经由因特网地址指定的以太网交换机间的访问。在此也确保,此外禁止控制器COl和控制器C02之间的通信。那么,相应的防火墙规则存储在工程工具中。如果最终在随后的时间点使以所述工具为基础设计的自动化设备工作,那么能够经由工具的装载功能将相应的规划信息分配到全部必要的仪器上。所述信息从现在开始也包括防火墙的自动创建的安全配置参数,那么经由所述安全配置参数设立仪器间的通信关系O基于防火墙形式的通信部件的配置阐明了本发明的在上面描述的实施形式。然而,本发明也能够用于自动化设备的相应的仪器中的任意其他通信部件。特别地,能够替代使用在以太网交换机中的防火墙或者除此之外也存在NAT路由器(NAT=Network AddressTranslation,网络地址转译),因此同样为所述NAT路由器确定适当的安全配置参数。借助于所述路由器实现,在子网络之外使用的IP地址映射到子网络之内的本地IP地址上。根据本发明的方法具有一系列的优点。特别地,能够为自动化设备的相应的仪器之间的安全的通信关系实现快速的并且低成本的起动。在此不需要专业知识,因为工程工具本身根据由用户指定的通信关系自行预先规定对相应的通信部件的必要调整。由此,能够通过工程工具确保一致地规划自动化设备和自动地调整不同用户的规划数据。
权利要求
1.用于对自动化设备进行计算机辅助设计的方法,其中 -计算机单元在用户接口上输出对所述自动化设备的至少一部分进行的指定,其中所述指定包括所述自动化设备的仪器(C01,C02, C03, ESI, ES2,ES3,FG)和使所述仪器(C01,C02,C03, ESI, ES2,ES3,FG)经由通信网络的联网; -所述计算机单元检测所述用户接口上的一个或多个用户输入,借助于所述用户输入以与通信关系相关的方式指定在所述通信网络中的所述仪器(COl,C02,C03,ES I,ES2,ES3,FG)之间的允许的和/或禁止的通信(C01,C02, C03, ESI, ES2,ES3,FG); -所述计算机单元根据所述通信关系确定所述仪器(C01,C02, C03, ESI, ES2,ES3,FG)的至少一部分的通信部件(FW1,Fff2, Fff3)的安全配置参数,其中一个或多个属于相应的通信部件(FW1,FW2,Fff3)的所述安全配置参数能够通过相应的所述通信部件(FWl,FW2,Fff3)来处理。
2.根据权利要求1所述的方法,其中所述通信网络是基于以太网的网络,尤其是基于工业以太网和/或Profinet的网络。
3.根据权利要求1或2所述的方法,其中所述通信部件包括一个或多个防火墙(FW1,Fff2, Fff3)和/或网络地址转译路由器。
4.根据上述权 利要求之一所述的方法,其中所述仪器(C01,C02,C03, ESI, ES2,ES3,FG)包括一个或多个现场仪器(FG)和/或一个或多个控制器(C01,C02,C03)和/或一个或多个以太网交换机(ESI,ES2,ES3)。
5.根据上述权利要求之一所述的方法,其中所述通信关系至少部分地包含:预设的仪器(C01,C02, C03, ESI, ES2,ES3,FG)相互间的访问类型,所述访问类型尤其是单向的和/或双向的访问以及/或者读和/或写访问;和/或要用于预设的仪器之间的通信的端口。
6.根据上述权利要求之一所述的方法,其中所述安全配置参数包括一个或多个访问列表和/或防火墙规则和/或用于虚拟专用网络连接的规则。
7.根据上述权利要求之一所述的方法,其中所述安全配置参数利用所述仪器(C01,C02, C03, ESI, ES2, ES3, FG)的 IP 地址来确定。
8.根据上述权利要求之一所述的方法,其中在经由所述用户接口以与通信关系相关的方式指定允许的和/或禁止的通信(C01,C02,C03, ESI,ES2,ES3,FG)之前,执行用户认证。
9.根据上述权利要求之一所述的方法,其中所述用户接口包括图形用户界面。
10.用于对自动化设备进行计算机辅助设计的装置,所述装置包括计算机单元和用户接口,所述计算机单元和用户接口构成为,使得在所述装置工作时 -所述计算机单元在所述用户接口上输出对所述自动化设备的至少一部分进行的指定,其中所述指定包括所述自动化设备的仪器(C01,C02, C03, ESI, ES2,ES3,FG)和使所述仪器(C01,C02, C03, ESI, ES2,ES3,FG)经由通信网络的联网; -所述计算机单元检测所述用户接口上的一个或多个用户输入,借助于所述用户输入以与通信关系相关的方式指定在所述通信网络中的所述仪器(COl,C02,C03,ES I,ES2,ES3,FG)之间的允许的和/或禁止的通信(C01,C02, C03, ESI, ES2,ES3,FG); -所述计算机单元根据所述通信关系确定所述仪器(C01,C02, C03, ESI, ES2,ES3,FG)的至少一部分的通信部件(FW1,Fff2, Fff3)的安全配置参数,其中一个或多个属于相应的通信部件(FW1,FW2,Fff3)的所述安全配置参数能够通过相应的所述通信部件(FWl,FW2,Fff3)处理。
11.根据权利要求10所述的装置,所述装置构成为用于执行根据权利要求2至9之一所述的方法。
12.计算机程序产品,所述计算机程序产品具有存储在机器可读的载体上的程序编码以用于当在具有用户接口的计算机单元上执行所述程序编码时,执行根据权利要求1至9之一所述的方法。
13.计算机程序,所述计算机程序用于当在具有用户接口的计算机单元上运行所述程序时,执行根据权利 要求1至9之一所述的方法。
全文摘要
本发明涉及一种用于对自动化设备进行计算机辅助设计的方法。在根据本发明的方法中,计算机单元在用户接口上输出对自动化设备的至少一部分进行的指定,其中指定包括自动化设备的仪器和使仪器经由通信网络的联网。此外,计算机单元检测用户在用户接口上的一个或多个输入,借助于所述输入以与通信关系相关的方式指定在通信网络中的仪器之间允许的和/或禁止的通信。在此,计算机单元根据通信关系确定仪器的至少一部分的通信部件的安全配置参数,其中一个或多个属于相应的通信部件的安全配置参数能够通过相应的通信部件来处理。
文档编号G06F17/50GK103218472SQ20131002175
公开日2013年7月24日 申请日期2013年1月21日 优先权日2012年1月19日
发明者迈克·哈弗坎普, 克里斯蒂安·托伊费尔 申请人:西门子公司