本发明涉及一种具有经确保的功能装置、未确保的功能装置和供应装置的电设备,其中所述供应装置用于给经确保的功能装置和未确保的功能装置供应电能量。经确保的功能装置具有用于安全通信的第一接口装置和控制装置,并且未确保的功能装置具有用于不安全通信的第二接口装置。经确保的功能装置和未确保的功能装置被构造用于相互通信。控制装置常常被构造用于,中断和/或限制在经确保的功能装置与未确保的功能装置之间的通信,与未确保的功能装置相比这有助于确保经确保的功能装置。限制例如是:仅能够从经确保的功能装置传达信息至未确保的功能装置。功能装置除了接口装置以外通常还具有其他组件,用于实施(umsetzen)其他功能。
背景技术:
所说明的类型的电设备例如被使用在工业设施中。具有这些电设备的工业设施大多也使用其它电装置,诸如过程控制系统或计算机系统,所述其它电装置同样具有接口装置。工业设施的电装置其中的至少一些电装置通过接口装置与传输介质连接并且通过该传输介质来相互通信,其中所述电设备也属于所述电装置。
通信一般是通过信号来传输信息。在此,工业设施中的通信通常被划分成一方面安全通信和另一方面不安全通信。在安全通信中,保护所传输的信息以防操纵(manipulation),使得确保所传输的信息的完整性。在不安全通信中,这不是该情况。通过如下措施来力求达到安全通信,所述措施至少使对信息的操纵变得困难而且在理想情况下使对信息的操纵变得不可能。相应地,利用用于安全通信的接口来进行安全通信并且利用用于不安全通信的接口来进行不安全通信。什么被视为安全而什么被视为不安全一方面在于工业设施的运行者的判断而另一方面在于工业设施的类型。普遍有效的限定是不可能的。
通常,所描述的类型的电设备在工业设施中通过第一接口装置来与该工业设施的其它装置连接,用于安全通信。此外常常使用用于不安全通信的第二接口装置,例如以便通过任意辅助设备来从该电设备读取确定的信息。由于任意的辅助设备对第二接口装置的访问,该通信已经被视为不安全,而第二接口则已经被视为该工业设施中的薄弱点。
该薄弱点常常使得能够通过攻击来损害该工业设施。因为已经认识到在所描述的类型的电设备情况下可能的是:通过第二接口装置来访问该未确保的功能装置并且这样提高未确保的功能装置的功率消耗(leistungsaufnahme),使得所述供应装置不再能足够地提供用于经确保的功能装置的功率。如果不再给经确保的功能装置供应足够的功率,则该功能装置的功能不再被确保。由于经确保的功能装置与工业设施的其它装置的连接,所述其它装置也被损害。
技术实现要素:
本发明的任务因此是如下电设备的任务,在该电设备的情况下所显示的薄弱点不再存在或者无论如何都被缓和。
所述任务在所描述的类型的电设备情况下通过根据专利权利要求6的第一教导来解决。该供应装置具有第一供应单元和第二供应单元,其中该第一供应单元和第二供应单元相互分开。在电设备的运行中,第一供应单元给经确保的功能装置供应电能量,并且第二供应单元给未确保的功能装置供应电能量。为此,在第一供应单元和经确保的功能装置之间布置第一功率路径,并且在第二供应单元和未确保的功能装置之间布置第二功率路径。第一功率路径和第二功率路径也彼此分开。
供应单元的分开的构造意味着:供应单元彼此无关地给相应的功能装置供应电能量。彼此无关的供应意味着:供应单元之一的失效或损害不具有对其他供应单元的任何影响(auswirkung),使得该其他供应单元能够继续足够地给相应的功能装置供应电能量。因此,消除所描述的薄弱点。
该任务在所描述的类型的电设备的情况下也通过根据专利权利要求7的第二教导来解决。该供应装置具有供应单元。在供应单元和经确保的功能装置之间布置第一功率路径,用于供应经确保的功能装置,并且在供应单元和未确保的功能装置之间布置第二功率路径,用于从供应单元来给未确保的功能装置供应电能量。此外,在第二功率路径中布置功率限制装置。该功率限制装置被构造用于,通过功率限制装置来限制功率传输,使得由供应单元能发出(abgebbar)的功率无论如何(jedenfalls)都足够用于供应经确保的功能装置。
所述任务在所描述类型的电设备情况下同样地也通过根据专利权利要求1的第三教导来解决。该供应装置具有供应单元。在供应单元和经确保的功能装置之间布置第一功率路径,用于供应经确保的功能装置,并且在供应单元和未确保的功能装置之间布置第二功率路径,用于从供应单元来给未确保的功能装置供应电能量。此外,在第二功率路径中布置开关,该开关能够调节(steuerbar)到第一开关状态下和第二开关状态下。在开关中(imschalter),在第一开关状态下第二功率路径被构成回路(durchschleifen)并且在第二开关状态下第二功率路径被断开(auftrennen)。在电设备的运行中,控制装置将开关调节到第一开关状态并且在使用如下指标(indikator)的情况下监控未确保的功能装置的按规定的(bestimmungsgemäß)功能,其中所述指标再现未确保的功能装置的功率消耗。在超出预先给定的指标极限值的情况下,该控制装置将开关从第一开关状态开关到第二开关状态。通过开关来对路径、如第二功率路径进行的回路构成意味着:在该开关中,路径是无中断的。预先给定的指标极限值通常被存储在控制装置中。
与根据第一教导的电设备不同,根据第二教导和第三教导的电设备具有如下供应单元,该供应单元在运行中不仅给经确保的功能装置也给未确保的功能装置供应电能量。
为了使攻击仅具有对未确保的功能装置的影响但是不具有对经确保的功能装置的影响,电设备根据第二教导在第二功率路径中具有功率限制装置。通过该功率限制装置,在攻击情况下,通过未确保的功能装置来从供应装置对电功率的提取(entnahme)并不以如下程度来增大,使得该供应装置不再能够足够地提供用于经确保的功能装置的功率。
在电设备的一种构型方案中规定:该功率限制装置是集成电路。
为了使攻击仅具有对未确保的功能装置的影响,而并不具有对经确保的功能装置的影响,电设备根据第三教导在第二功率路径中具有能够控制的开关并且控制装置被构造用于控制该开关。在电设备的运行中,控制装置原则上将开关调节到第一开关状态下,使得第二功率路径通过该开关来构成回路(schleifen)。此外,控制装置在使用指标的情况下监控未确保的功能装置的按规定的功能。指标在此反映未确保的功能装置的功率消耗。这种指标的应用所基于的认识是:攻击为了成功而必须以如下程度来提高未确保的功能装置的功率消耗,使得该供应单元不再能够足够地提供用于这两个功能装置的功率。如果由于攻击而提高功率消耗,则未确保的功能装置的功能不再是按规定的。由该供应单元最大能提供的功率因此是对于能预先给定的指标极限值的度量(maß)。如果该控制装置在监控情况下确定出指标极限值的超出,则该控制装置将开关从第一开关状态调节到第二开关状态下。因此,通过第二接口装置进行的攻击不具有对经确保的功能装置的影响并且因此消除所描述的薄弱点。
根据所述教导,供应装置具有至少一个供应单元。供应单元给用电器、诸如经确保的功能装置和/或未确保的功能装置供应电能量,使得得到(gegeben)其按规定的功能。对此,供应单元在取决于用电器的电流情况下提供恒定电压或者在取决于用电器的电压情况下提供恒定电流。
供应装置从电设备外部的供应源取得(beziehen)为此需要的电能量。如果该电设备通过用于安全通信的第一接口装置来例如与电流回路(stromschleife)连接,则出现(anbietensich)从该电流回路进行的电能量供应。对此,供应装置于是也与该电流回路连接,使得该供应装置由该电流回路来供应。此外,于是出现通过第一接口装置来以模拟电流信号、例如按照标准具有4ma至20ma的模拟电流信号和/或以数字信号、例如按照hart标准的数字信号进行的通信。第一接口于是为电流接口。
存在如下可能性:通过第二接口装置进行的攻击是成功的。在成功的攻击情况下,不仅供应经确保的功能装置而且也供应未确保的功能装置的供应单元超载(überlasten),使得该供应单元不再能够足够地提供用于经确保的功能装置的能量。这导致:经确保的功能装置的按规定的功能不再被确保,这也意味着:控制装置不再操控该开关。然而这种状况在所述电设备的一种构型方案中被充分利用,以用于进一步缓和(abmildern)上文所描述的薄弱点,其方式为:该开关不受操控地处于第二开关状态下。该开关因此这样构造,使得该开关在没有通过控制装置进行操控的情况下处在自身的第二开关状态下。然而因为在该开关状态下通过第二功率路径对未确保的功能装置进行的供应被断开,再次有足够能量可供使用以用于供应经确保的功能装置,使得该经确保的功能装置再次采取(aufnehmen)其按规定的功能。
在运行中,控制装置在使用如下指标的情况下监控未确保的功能装置的按规定的功能,其中所述指标再现未确保的功能装置的功率消耗。作为指标,可以使用不同的反映未确保的功能装置的功能消耗的信号。
在一种构型方案中规定:指标是在第二功率路径上的供应电压,并且指标极限值是供应极限电压,并且控制装置在运行中测量该供应电压。该控制装置与此相应地被构造用于测量供应电压。如果未确保的功能装置被成功地攻击,则不再得到按规定的功能并且功率消耗上升,这导致供应电压下降。供应极限电压因此处于在按规定的功能情况下的供应电压与在不按规定的功能情况下的经下降的供应电压之间。在成功攻击的情况下从上向下地进行供应极限电压的超出。
在另一构型方案中规定:指标是通过第二功率路径的供应电流,并且指标极限值是供应极限电流,并且控制装置在运行中测量供应电流。该控制装置与此相应地被构造用于测量供应电流。如果未确保的功能装置被成功地攻击,则不再得到按规定的功能并且功率消耗上升,这导致供应电流上升。因此,供应极限电流处于在按规定的功能情况下的供应电流与在不按规定的功能情况下的经上升的供应电流之间。在成功攻击的情况下,从下到上地进行供应极限电流的超出。
在上述两个构型方案中,要么使用供应电压要么使用供应电流作为指标。供应电压和供应电流一起确定未确保的功能装置的功率消耗。因此,在另一构型方案中规定:指标是通过第二功率信号路径的功率消耗,并且指标极限值是功率极限消耗,并且控制装置在运行中确定所述功率消耗。控制装置与此相应地不仅被构造用于测量供应电压和供应电流而且也被构造用于由所测量的供应电压和所测量的供应电流来确定功率消耗。如果未确保的功能装置被成功地攻击,则不再得到按规定的功能并且功率消耗上升。功率极限消耗因此处于在按规定的功能情况下的功率消耗与在不按规定的功能情况下的经上升的功率消耗之间。在成功攻击的情况下,从下向上地进行功率极限消耗的超出。
第一接口装置被构造用于安全通信并且第二接口装置被构造用于不安全通信。仅用于不安全通信而并不用于安全通信的第二接口装置的构造通常是第二接口装置的构造的后果(konsequenz):例如能够通过辅助设备、诸如膝上型电脑或平板电脑来从电设备读取信息。在电设备的另一构型方案中规定:第一接口装置被构造为线路连接的(leitungsgebunden)接口并且第二接口装置被构造为无线电接口。将第一接口装置构造为线路连接的接口有助于通信的安全性,因为用于实施对线路连接的接口的攻击的访问例如比对无线电接口的访问更困难。将第二接口装置构造为无线电接口有助于以所提及的后果的对于辅助设备而言的可接入性。
在另一构型方案中规定:电设备被构造用于在加工工业(prozessindustrie)中使用。
在另一构型方案中规定:电设备被构造为现场设备。
附图说明
详细地给出构型和扩展电设备的大量可能性。对此不仅参考专利权利要求1和2的从属专利权利要求也参考以下结合附图来对三个优选实施例的描述。在附图中:
图1示出电设备的第一实施例;
图2示出电设备的第二实施例;和
图3示出电设备的第三实施例。
具体实施方式
图1示出电设备1的第一实施例的主要特征,该电设备被构造为现场设备以及用于在加工工业中使用。该电设备1首先具有经确保的功能装置2、未确保的功能装置3和供应装置4。
经确保的功能装置2具有第一接口装置5和控制装置6,并且未确保的功能装置3具有第二接口装置7。第一接口装置5被构造为线路连接的接口以用于安全通信,并且第二接口装置7被构造为无线电接口以用于不安全通信。对此,被构造为线路连接的接口的第一接口装置5具有用于线路连接的传输介质的接口端子8并且被构造为无线电接口的第二接口装置7具有天线9。经确保的功能装置2和未确保的功能装置3被构造用于通过第一通信信道10来相互通信。控制装置6和第一接口装置5也构造用于相互通信,并且更确切地说通过第二通信信道11来相互通信。
供应装置4具有第一供应单元12和第二供应单元13。第一供应单元12和第二供应单元13被构造得彼此分开。在电设备1的运行中,第一供应单元12给经确保的功能装置2供应电能量并且第二供应单元13给未确保的功能装置3供应电能量。为了通过第一供应单元12来给经确保的功能装置2供应电能量,在第一供应单元12和经确保的功能装置2之间布置第一功率路径14。相应地,在第二供应单元13和未确保的功能装置3之间布置第二功率路径15。为了运行所需要的能量通过第三功率路径16来输送给电设备1,其中该第三功率路径应连接到外部的供应源。通过第三功率路径16所输送的能量首先被供应给第一供应单元12和第二供应单元13,并且然后由第一供应单元12和第二供应单元13来供应给经确保的功能装置2和未确保的功能装置3。
图2示出电设备1的第二实施例的主要特征,该电设备被构造为现场设备以及用于在加工工业中使用。该电设备首先具有经确保的功能装置2、未确保的功能装置3和供应装置4。
经确保的功能装置2具有第一接口装置5和控制装置6,并且未确保的功能装置3具有第二接口装置7。第一接口装置5被构造为线路连接的接口以用于安全通信,并且第二接口装置7被构造为无线电接口以用于不安全通信。对此,被构造为线路连接的接口的第一接口装置5具有用于线路连接的传输介质的接口端子8并且被构造为无线电接口的第二接口装置7具有天线9。经确保的功能装置2和未确保的功能装置3被构造用于通过第一通信信道10来相互通信。控制装置6和第一接口装置5也构造用于相互通信,并且更确切地说通过第二通信信道11来相互通信。
供应装置4具有唯一的供应单元17。在电设备1的运行中,供应单元17给经确保的功能装置2和未确保的功能装置3供应电能量。对此,在供应单元17和经确保的功能装置2之间布置第一功率路径14,并且在供应单元17和未确保的功能装置3之间布置第二功率路径15。为了运行所需要的能量通过第三功率路径16来输送给电设备1,其中该第三功率路径应连接到外部的供应源。通过第三功率路径16所输送的能量首先被供应给供应单元17,并且然后由供应单元17来供应给经确保的功能装置2和未确保的功能装置3。
在第二功率路径15中布置开关18。该开关18,该开关能够控制在第一开关状态下和第二开关状态下。在开关18中,在第一开关状态下第二功率路径15被构成回路并且在第二开关状态下第二功率路径15被断开。因此在第一开关状态下由供应单元17来进行未确保的功能装置3的供应,而在第二开关状态下不由供应单元17来进行未确保的功能装置3的供应。控制装置6被构造用于控制开关17。所述控制通过控制路径19来进行。因此,控制装置6可以将开关18要么调节到第一开关状态下要么调节到第二开关状态下。开关18这样构造,使得该开关在不通过控制装置6进行操控的情况下处在第二开关状态下。
在电设备1的运行中,控制装置6将开关18首先调节到第一开关状态下。此外,控制装置6在使用如下指标的情况下监控未确保的功能装置3的按规定的功能,其中所述指标再现未确保的功能装置3的功率消耗。如果控制装置6在此确定出:预先给定的指标极限值被超出,则该控制装置6将开关18开关到第二开关状态下。
在电设备1的当前实施例中,指标是未确保的功能装置3通过第二功率信号路径15的功率消耗,并且指标极限值是功率极限消耗。控制装置6在电设备1的运行中确定未确保的功能装置3的功率消耗。对此,控制装置6不仅被构造用于测量在第二功率路径15上的供应电压而且也被构造用于测量通过第二功率路径15的供应电流。供应电压的测量通过电压测量路径20来进行,并且供应电流的测量通过电流测量路径21来进行。供应电流例如电感地或者通过在第二功率路径15中的分流器来测量。此外,该控制装置6被构造用于,由所测量的供应电压和由所测量的供应电流来确定未确保的功能装置3的功率消耗。如果未确保的功能装置3现在成功地被攻击,则不再得到该功能装置的按规定的功能并且功率消耗上升。因此,对于控制装置6所预先给定的并且在其中所存储的功率极限消耗处于在按规定的功能情况下的功率消耗与在不按规定的功能情况下的经上升的功率消耗之间。在攻击的情况下从下向上地进行功率极限消耗的超出。
图3示出电设备1的第三实施例的主要特征,该电设备被构造为现场设备以及用于在加工工业中使用。电设备首先具有经确保的功能装置2、未确保的功能装置3和供应装置4。
经确保的功能装置2具有第一接口装置5和控制装置6并且未确保的功能装置3具有第二接口装置7。第一接口装置5被构造为线路连接的接口以用于安全通信,并且第二接口装置7被构造为无线电接口以用于不安全通信。对此,被构造为线路连接的接口的第一接口装置5具有用于线路连接的传输介质的接口端子8并且被构造为无线电接口的第二接口装置7具有天线9。经确保的功能装置2和未确保的功能装置3被构造用于通过第一通信信道10来相互通信。控制装置6和第一接口装置5也构造用于相互通信,并且更确切地说通过第二通信信道11来相互通信。
供应装置4具有唯一的供应单元17。在电设备1的运行中,供应单元17给经确保的功能装置2和未确保的功能装置3供应电能量。对此,在供应单元17和经确保的功能装置2之间布置第一功率路径14,并且在供应单元17和未确保的功能装置3之间布置第二功率路径15。为了运行所需要的能量通过第三功率路径16来输送给电设备1,其中该第三功率路径应连接到外部的供应源。通过第三功率路径16所输送的能量首先被供应给供应单元17,并且然后由供应单元17来供应给经确保的功能装置2和未确保的功能装置3。
在第二功率路径15中布置功率限制装置(22)。该功率限制装置(22)是集成电路并且被构造用于,通过功率限制装置(22)来限制功率传输,使得由供应单元(17)能发出的功率无论如何都足够用于供应经确保的功能装置(2)。
附图标记
1电设备
2经确保的功能装置
3未确保的功能装置
4供应装置
5第一接口装置
6控制装置
7第二接口装置
8接口端子
9天线
10第一通信信道
11第二通信信道
12第一供应单元
13第二供应单元
14第一功率路径
15第二功率路径
16第三功率路径
17供应单元
18开关
19控制路径
20电压测量路径
21电流测量路径
22功率限制装置