过程和自动化工程中现场设备预定安全功能设置检查方法

摘要

本发明涉及一种过程和自动化工程中现场设备预定安全功能设置检查方法，其中预定安全功能特别涉及由未经授权的人员对现场设备的至少一个功能的访问。该方法包括如下步骤：识别用户(2)；由用户开始关于在测量点处预定的现场设备的安全功能(SF1、...、SFn)的实际设置的查询(3)；将现场设备的预定安全功能(SF1、...、SFn)的实际设置与由规定的安全等级定义的现场设备的预定安全功能(SF1、...、SFn)的目标设置相比较(4)；以及输出关于预定安全功能(SF1、...、SFn)的实际设置与目标设置的匹配或偏离的电子报告(5)。依赖于预定安全功能(SF1、...、SFn)的实际设置与目标设置的匹配或偏离，执行不同的步骤。

说明书

技术领域

本发明涉及一种用于在过程和自动化工程中检查现场设备的预定安全功能的设置的方法，其中预定安全功能特别涉及未经授权的人员对现场设备的至少一个功能的访问。

背景技术

从现有技术中已知用于工业设施的各种现场设备。现场设备通常用于过程自动化以及用于制造自动化。

通常，现场设备是指在工厂车间使用的，获取和/或处理过程相关信息的所有设备。现场设备用于确定和/或影响过程变量。测量设备或传感器用于确定过程变量。这些测量设备或传感器用于例如压力和温度测量、电导率测量、流量测量、pH测量，填充水平测量等，并且检测压力、温度、电导率、pH值、填充水平、流量等的相应过程变量。致动器用于影响过程变量。这些致动器是例如泵或阀，它们可以影响管道中流体的流量或储罐中的液位。除上述测量设备和致动器外，现场设备还应理解为包括远程I/O、无线电适配器、或者通常被布置在现场水平上的设备。现场设备可以被安装在储罐上，或被安装在开关柜或控制室中。

Endress+Hauser集团生产并销售各种这样的现场设备。

在现代工业工厂中，现场设备通常被集成到通信网络中。在此，现场设备例如与上级控制单元和/或与移动操作工具进行通信。通常，至少一个上级控制单元和现场设备之间的通信经由总线系统发生，其中主要使用自动化技术中常见的现场总线协议，诸如例如

现场设备也逐渐增加配备了Internet接口，经由该Internet接口，可以发生通信和/或能量供应。除了诸如以太网的网络访问之外，这样的现场设备优选还经由移动操作工具来操作，在需要时，该移动操作工具与现场设备进行通信。例如，蓝牙或WLAN用作操作单元和现场设备之间的通信协议。

通过现场设备与外部设备通信的各种可能性，现场设备的操作对于用户而言已经变得明显更加灵活。现场设备的逐渐增加的功能对用户提出了更高的要求，这是因为用户必须了解并理解所有功能以便设置它们以及才能够正确操作现场设备。同时，使用多个热别是无线的通信接口也带来了网络攻击的风险，这是因为没有授权访问的人员因此有更多的可能性从远程位置访问现场设备。外部第三方的这样的攻击不仅导致数据丢失，而且还干扰现场设备的正在进行的操作。

在该连接上，国际电工委员会(IEC)在2019年2月提出了新的安全指南：IEC62443-4-2处理工业自动化和控制系统的安全性，因此着重于相关系统的技术需求。在这种情况下，不仅要避免正在进行的操作的无意损害，而且还要避免第三方的有意损害。安全指南中描述了四个安全等级，它们旨在减少对现场设备的潜在威胁，并且对自动化和控制系统的安全功能提出具体要求，诸如例如使用时间戳和支持更新。每个安全等级由现场设备的安全功能的相应规定设置组来定义。

因此，可以通过现场设备上安全功能的某些设置来实现所需的安全等级。但是，这要求现场设备的用户具备用户通常不具备的安全等级和IT领域的广泛知识。然而，没有这些知识，就很难根据安全等级来设置安全功能，这可能导致现场设备处的不正确设置。

发明内容

因此，本发明的目的是以简单且用户友好的方式设置现场设备的安全功能。

该目的通过根据本发明的用于检查过程和自动化技术的现场设备的预定安全功能的设置的方法来实现，其中所述预定安全功能特别涉及由未经授权的人员对现场设备的至少一个功能的访问。该方法包括以下步骤：

-确定在测量点处和/或在现场设备处所需的安全等级，其中规定的安全等级定义了现场设备的预定安全功能的目标设置，

-借助于认证协议来识别用户，

-由用户开始有关在测量点处定义的现场设备的安全功能的实际设置的查询，

-将现场设备的预定安全功能的实际设置与由规定的安全等级定义的定义安全功能的目标设置相比较，

-向用户输出关于现场设备的预定安全功能的实际设置与目标设置之间的匹配或偏离的电子报告，

-在现场设备的预定安全功能的实际设置和目标设置相匹配的情况下，提供以下步骤：

o存储电子报告，或

-在现场设备的预定安全功能的实际设置偏离目标设置的情况下，提供以下步骤：

o由用户执行用于使现场设备的预定安全功能的设置适应于预期设置的至少一个步骤，

o由用户重复关于现场设备的预定安全功能的设置的查询。

根据本发明的方法的最大优点在于，根据本发明的方法帮助用户检查现场设备的预定安全功能的实际设置。对于该方法的应用，用户不需要有关现场设备的要达到的安全要求的任何专门知识。此外，用户无需手动检查预定安全功能的实际设置，这减少了错误。电子报告为用户提供了现场设备的预定安全功能的实际设置的概述。如果现场设备的预定安全功能的实际设置与目标设置相对应，则将存储电子报告。因此，将来也可以访问该报告，并且可以将现场设备的预定安全功能的先前实际设置与当前实际设置相比较。如果现场设备的预定安全功能的实际设置偏离了目标设置，则用户有可能通过采取适当的措施使现场设备的预定安全功能的实际设置适应于目标设置，并且因此实现规定的安全等级。然后，执行有关现场设备的预定安全功能的实际设置的新的查询，以便检查现场设备的预定安全功能的实际设置与目标设置的正确调整。理想地，在安装和配置现场设备之后立即使用根据本发明的方法。因此，在现场设备启动之后，可以确保现场设备的预定安全功能的实际设置与规定的和所需的安全等级相对应。

在一个实施例中，在现场设备的预定安全功能的实际设置偏离目标设置的情况下，该方法提供了额外的步骤：

o建议用于将现场设备的至少一个预定安全功能的实际设置调整为目标设置的至少一种措施。

准确地说，用于将现场设备的至少一个预定安全功能的实际设置调整为目标设置的措施的建议使得该调整对于用户而言更容易。因此，向用户显示了他可以采取什么措施以便达到现场设备规定的安全等级。同样，用户在这里不需要关于安全等级的专门知识，而是可以简单地实施所建议的措施。

现场设备的预定安全功能优选特别涉及对现场设备的至少一个参数的访问和/或涉及现场设备与外部设备的通信。

在另一实施例中，通过给出现场设备的安全功能的实际设置的电子报告来指示达到或未达到规定的安全等级。

指示已达到或尚未达到现场设备的规定的安全等级意味着用户无需记住现场设备的规定的安全等级的预定安全功能的目标设置，也不必费力地将该目标设置与现场设备的预定安全功能的实际设置相比较。

根据本发明的方法的一种有利的改进方案，提供了存在至少一个规定的安全等级，其中独立于测量点和现场设备来定义每个安全等级，其中针对安全等级来定义现场设备的预定安全功能的目标设置。

通常，存在多个安全等级，每个安全等级定义预定安全功能的目标设置。安全等级对所有现场设备均有效。在配置现场设备之后，可以选择并且借助于根据本发明的方法来检查和调整适合于现场设备和/或测量点的安全等级。

在另一实施例中，认证协议包括密码的输入或基于至少一个生物特征对用户的检查，其中，当密码或生物特征与先前所存储的数据匹配时，识别用户。

认证协议优选地具有多因素认证。在这种情况下，用户不是由诸如密码的单个特征识别，而是由至少两个特征识别。这增加了未经授权人员不会被错误授予访问的可信度。

在另一实施例中，用于调整现场设备的安全功能的实际设置的措施特别涉及现场设备的参数的更改，其中避免未经授权的用户更改参数，或者其中现场设备的参数仅对经认证的用户可见。

正确设置现场设备的参数对于正在进行的操作至关重要。这是因为错误地更改现场设备的参数可以严重损害运行过程。由于这个原因，因此应避免用户无意中更改现场设备的参数，或应避免第三方故意错误地更改参数。例如，这可以通过未经认证的用户无法访问更改的参数来完成，或甚至可以通过仅向经认证的用户授予读取参数而不更改参数的权限来完成。

优选实施例提供了，用于调整现场设备的安全功能的实际设置的措施影响现场设备的至少一个通信接口，其中，该通信接口被断开。

断开该通信接口使得未经授权的第三方更难以访问现场设备的参数和功能。同时，还避免用户经由该通信接口将现场设备的信息发送到未经授权接收信息的外部设备。

有利地，蓝牙和/或WLAN和/或以太网接口用作通信接口。

在该方法的一种可能的改进方案中，电子报告被输出在现场设备的显示单元上和/或被输出被设置用于操作现场设备的控制单元上。

在一个可能的实施例中，电子报告被存储在现场设备中和/或被存储在被设置用于操作现场设备的控制单元中。

在优选的实施例中，该方法在现场设备中和/或在被设置用于操作现场设备的控制单元中执行。

附图说明

下面将参考图1更详细地解释根据本发明的方法。示出如下：

图1是根据本发明的方法的示例性实施例。

具体实施方式

本方法扩展到收集和/或处理相关信息的所有现场设备，而不管它们是安装在储罐上，还是安装在开关柜中，或者安装在另一位置处。

图1的根据本发明的方法用于检查过程和自动化技术的现场设备的预定安全功能(SF1、...、SFn)的设置，其中预定安全功能(SF1、...、SFn)特别涉及由未经授权的人员对现场设备的至少一个功能的访问。在现场设备中执行该方法和/或在被设置用于操作现场设备的控制单元中执行该方法。在不限制一般性的情况下，现场设备的预定安全功能(SF1、...、SFn)特别涉及对现场设备的至少一个参数的访问和/或涉及现场设备与外部设备的通信。

在第一步骤1中，为现场设备和/或测量点定义所需的安全等级，其中规定的安全等级定义了现场设备的预定安全功能(SF1、...、SFn)的目标设置。至少一个安全等级可供选择，其中独立于测量点和现场设备来定义每个安全等级，并且针对每个安全等级来定义现场设备的预定安全功能(SF1、...、SFn)的目标设置。在步骤2中，借助于认证协议来识别用户。可以提供认证协议用于请求密码或生物特征或甚至多因素认证，其中还可以使用其它查询。在接下来的步骤3中，用户开始关于在测量点处预定的现场设备的安全功能(SF1、...、SFn)的实际设置的查询，然后将现场设备的预定安全功能(SF1、...、SFn)的实际设置与由规定的安全等级定义的预定安全功能(SF1、...、SFn)的目标设置相比较(步骤4)。然后，在步骤5中，将查询结果作为电子报告输出给用户，其中在现场设备的预定安全功能(SF1、...、SFn)的实际设置和目标设置之间的匹配和偏离之间进行区分。此外，可以可选地在电子报告中指示现场设备的安全功能(SF1、...、SFn)的实际设置达到或未达到规定的安全等级。

在现场设备的预定安全功能(SF1、...、SFn)的实际设置和目标设置匹配的情况下，在步骤6中存储电子报告。可以将电子报告输出和/或存储在现场设备本身中或输出和/或存储在控制单元中。电子报告的输出和存储在此不限于指定的设备。

如果现场设备的预定安全功能(SF1、...、SFn)的实际设置偏离了目标设置，则建议至少一种措施来将至少一个预定安全功能(SF1、...、SFn)的实际设置调整为目标设置(步骤7)。然后，在步骤8中，用户执行在步骤7中所建议的所述至少一种措施。然后，用户开始关于现场设备的预定安全功能(SF1、...、SFn)的实际设置的新的查询(第3步骤)。

步骤7中所建议的措施可能涉及例如现场设备的参数的更改。作为措施，可以禁止未经认证的用户更改参数，或者可以仅允许经认证的用户读取现场设备的参数。另一措施可能涉及现场设备的至少一个通信接口，其中该通信接口断开。因此，受影响的通信接口可以是蓝牙和/或WLAN和/或以太网接口，其中不排除其它可能性。