BRCIC MIRKO (CH)
SPOHN HERMANN (DE)
GÖBEL ALEXANDER (DE)
| WO2012139923A1 | 2012-10-18 |
| EP2495710A2 | 2012-09-05 | |||
| US20060202824A1 | 2006-09-14 | |||
| DE102013021141A1 | 2015-08-27 |
| Patentansprüche Versiegelungseinheit (1 ), welche eine Detektionseinheit (1 1 ) und eine Elektronikeinheit (12) umfasst und welche an einer Automatisierungskomponente (2) oder an einer Automatisierungseinheit, umfassend zumindest zwei Automatisierungskomponenten (2), anbringbar ist, oder in der Automatisierungskomponente (2) integrierbar ist, wobei die Elektronikeinheit (12) dazu ausgestaltet ist, die Versiegelungseinheit (1 ) in einem ersten Betriebsmodus oder in einem zweiten Betriebsmodus, welcher zweite Betriebsmodus zur Aussendung einer Alarminformation ausgestaltet ist, zu betreiben, wobei die Detektionseinheit (1 1 ) dazu ausgestaltet ist, im ersten Betriebsmodus eine der Automatisierungskomponente (2), bzw. der Automatisierungseinheit zu detektieren und im Falle einer Detektion ein Signal an die Elektronikeinheit (12) zu übermitteln, und wobei die Elektronikeinheit (12) dazu ausgestaltet ist, bei Empfang des Signals in den zweiten Betriebsmodus zu wechseln. Versiegelungseinheit (1 ) nach Anspruch 1 , wobei die Versiegelungseinheit (1 ) ein Kabel oder einen Draht (13) mit zwei Endkontakten aufweist, mit dessen Hilfe die Versiegelungseinheit (1 ) an der Automatisierungskomponente, bzw. an der Automatisierungseinheit anbringbar ist, wobei die beiden Endkontakte die Detektionseinheit (1 1 ) kontaktieren, wobei die Detektionseinheit (1 1 ) dazu ausgestaltet ist, das Kabel oder den Draht (13) zumindest zu festgelegten Zeitpunkten mit einer Spannung zu beaufschlagen und einen Stromwert des durch das Kabel oder den Draht (13) fließenden Stroms zu messen, und wobei die Detektionseinheit (1 1 ) dazu ausgestaltet ist, das Signal an die Elektronikeinheit (12) zu übermitteln, wenn bei Beaufschlagen der Spannung kein Stromfluss, bzw. ein signifikant bezüglich eines Referenzwerts veränderten Stromwert, messbar ist. Versiegelungseinheit (1 ) nach Anspruch 1 , wobei die Detektionseinheit (1 1 ) zumindest einen Sensor (1 1 1 ) umfasst, insbesondere einen Beschleunigungssensor, einen Drehratensensor und/oder einen GPS-Sensor, welcher dazu ausgestaltet ist, die als Manipulation über eine Lageveränderung der Automatisierungskomponente (2) und/oder des Bauteils (21 ) der Automatisierungskomponente (2) zu detektieren. Versiegelungseinheit (1 ) nach Anspruch 3, wobei die Versiegelungseinheit (1 ) selbsthaftend, bspw. mittels eines doppelseitigen Klebestreifens, an der Automatisierungskomponente (2), bzw. der Automatisierungseinheit, angebracht ist. 5. Versiegelungseinheit (1 ) nach zumindest einem der vorherigen Ansprüche, wobei die Versiegelungseinheit (1 ) über zumindest ein Anzeigemittel (14), bspw. eine LED, und/oder über zumindest ein akustisches Wiedergabemittel verfügt, wobei das Anzeigemittel (14) dazu ausgestaltet ist, ein optisches Signal auszugeben, wenn die Elektronikeinheit (12) das Signal der Detektionseinheit (1 1 ) empfängt, oder wobei das akustische Wiedergabemittel dazu ausgestaltet ist, ein akustisches Signal auszugeben, wenn die Elektronikeinheit (12) das Signal der Detektionseinheit (1 1 ) empfängt. 6. Versiegelungseinheit (1 ) nach zumindest einem der vorherigen Ansprüche, wobei die Versiegelungseinheit (1 ) eine Kommunikationseinheit (15) aufweist, welche dazu ausgestaltet ist, ein Alarm-Telegramm (16) auszugeben, wenn die Elektronikeinheit (12) das Signal der Detektionseinheit (1 1 ) empfängt. 7. Versiegelungseinheit (1 ) nach Anspruch 6, wobei die Kommunikationseinheit (15) dazu ausgestaltet ist, das Alarm-Telegramm (16) als Funksignal an ein Funk-Gateway (3) und/oder an eine mit einer Funk-Empfangseinheit ausgestatten Automatisierungskomponente (2) auszugeben, wobei das Funk-Gateway (3) und/oder die mit der Funk-Empfangseinheit ausgestatte Automatisierungskomponente (2) direkt oder indirekt mit einer Leitwarte verbunden sind. 8. Versiegelungseinheit (1 ) nach Anspruch 6, wobei ein drahtgebundenes Kommunikationsnetzwerk an die Kommunikationseinheit (15) anschließbar ist, und wobei die Kommunikationseinheit (15) dazu ausgestaltet ist, das Alarm-Telegramm (16) gemäß einem Protokoll eines Feldbusses der Automatisierungstechnik auszugeben. 9. Versiegelungseinheit (1 ) nach Anspruch 6, wobei eine 4-20 mA-Kommunikationsschleife an die Kommunikationseinheit (15) anschließbar ist, und wobei die Kommunikationseinheit (15) dazu ausgestaltet ist, das Alarm-Telegramm (16) als Stromwert auszugeben. 10. Versiegelungseinheit (1 ) nach Anspruch 6, wobei die Kommunikationseinheit (15) dazu ausgestaltet ist, in festgelegten Intervallen ein Statustelegramm auszugeben. 1 1 . Versiegelungseinheit (1 ) nach zumindest einem der Ansprüche 6 bis 10, wobei die Versiegelungseinheit (1 ) eine Energieversorgungseinheit (17), insbesondere eine Batterie oder einen Akkumulator aufweist, welche dazu ausgestaltet ist, die Komponenten der Versiegelungseinheit (1 ) autark mit elektrischer Energie zu versorgen. 12. Versiegelungseinheit (1 ) nach Anspruch 1 1 , wobei die Kommunikationseinheit (15) dazu ausgestaltet ist, ein Telegramm, insbesondere in festgelegten Zeitabständen, auszusenden, falls die Energieversorgungseinheit (17) eine festgelegte Mindestmenge an elektrischer Energie unterschreitet. 13. Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente (2) mithilfe einer Versiegelungseinheit (1 ) nach zumindest einem der Ansprüche 1 bis 12, wobei in der Automatisierungskomponente (2) ein Parametersatz (P1 ) gespeichert ist, und wobei außerhalb der Automatisierungskomponente (2) eine Kopie des Parametersatzes (P2) vorhanden ist, umfassend: Empfangen eines von der Versiegelungseinheit (1 ) ausgesendeten Alarm-Telegramms (16); Validieren des aktuell in der Automatisierungskomponente (2) befindlichen Parametersatzes (P1 ) durch Abgleich des aktuell in der Automatisierungskomponente (2) befindlichen Parametersatzes (P1 ) mit dem außerhalb der Automatisierungskomponente (2) vorhandenen Parametersatz (P2). 14. Verfahren nach Anspruch 13, wobei im Falle dass der aktuell in der Automatisierungskomponente (2) befindliche Parametersatz (P1 ) nicht erfolgreich validiert wird, der aktuell in der Automatisierungskomponente (2) befindliche Parametersatz (P1 ) mit dem außerhalb der Automatisierungskomponente (2) vorhandenen Parametersatz (P2) ersetzt wird. 15. Verfahren nach zumindest einem der Ansprüche 13 oder 14, wobei der außerhalb der Automatisierungskomponente (2) vorhandene Parametersatz (P2) in einer Datenbank (4), welche insbesondere in der Leitwarte oder auf einem cloudfähigen Server implementiert ist, gespeichert wird. 16. Verfahren nach zumindest einem der Ansprüche 13 bis 15, wobei der außerhalb der Automatisierungskomponente (2) vorhandene Parametersatz (P2) auf einer Speichereinheit der Versiegelungseinheit (1 ) gespeichert wird. 17. Verfahren nach zumindest einem der Ansprüche 13 bis 16, wobei aus dem außerhalb der Automatisierungskomponente (2) vorhandene Parametersatz (P2) ein Hashwert berechnet wird, der anstelle des Parametersatzes gespeichert wird. |
Automatisierungskomponente
Die Erfindung betrifft eine Versiegelungseinheit, sowie ein Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente mithilfe einer erfindungsgemäßen Versiegelungseinheit.
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der
Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante
Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw.
Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung,
Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben. Zumeist sind die Gehäuse der Feldgeräte mit einem Befestigungsmitteln, beispielsweise mittels einer oder mehreren Schrauben oder mittels einem oder mehreren Stiften, etc., verschlossen. Als Sicherheit befinden sich häufig Siegel oder Plomben am Gehäuse, welche bei Öffnung des
Gehäuses durch eine unbefugte Person aufgebrochen werden. Nach Öffnen des Gehäuses bzw. Entfernen des Gehäusedeckels erhält die unbefugte Person Zugriff auf die Serviceschnittstelle des Geräts bzw. auf im Gehäuse befindliche Bedienelemente des Feldgeräts, wie bspw. Tasten, und kann dadurch Informationen auslesen, bzw. sich anzeigen lassen, bzw. das Gerät bedienen und/oder (re-)parametrieren.
Durch die aufgebrochenen Siegel/Plomben lässt sich ein unbefugtes Öffnen eines Feldgeräts jedoch erst im Nachhinein, und zudem lediglich direkt vor Ort, nachweisen, da keine aktive Alarmierung erfolgt. Des Weiteren ist eine zeitliche Zuordnung des Aufbrechens der Plombe, bzw. des Siegels nicht möglich. Außerdem ist der Grad der Manipulation am Feldgerät oftmals nicht ohne weiteres feststellbar.
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, eine Vorrichtung und ein Verfahren vorzustellen, welches es erlaubt, einen unerlaubten Zugriff auf ein Feldgerät unmittelbar zu detektieren.
Hinsichtlich der Vorrichtung wird die Aufgabe durch eine Versiegelungseinheit gelöst, welche Versiegelungseinheit eine Detektionseinheit und eine Elektronikeinheit umfasst und welche an einer Automatisierungskomponente oder an einer Automatisierungseinheit, umfassend zumindest zwei Automatisierungskomponenten, anbringbar ist, oder in der Automatisierungskomponente integrierbar ist,
wobei die Elektronikeinheit dazu ausgestaltet ist, die Versiegelungseinheit in einem ersten
Betriebsmodus oder in einem zweiten Betriebsmodus, welcher zweite Betriebsmodus zur
Aussendung einer Alarminformation ausgestaltet ist, zu betreiben,
wobei die Detektionseinheit dazu ausgestaltet ist, im ersten Betriebsmodus eine Manipulation der Automatisierungskomponente, bzw. der Automatisierungseinheit, zu detektieren und im Falle einer Detektion ein Signal an die Elektronikeinheit zu übermitteln, und
wobei die Elektronikeinheit dazu ausgestaltet ist, bei Empfang des Signals in den zweiten
Betriebsmodus zu wechseln.
Der große Vorteil der erfindungsgemäßen Versiegelungseinheit besteht darin, dass mit deren Hilfe unmittelbar über eine Manipulation eines Feldgeräts informiert werden kann. Die
Versiegelungseinheit detektiert hierfür im ersten Betriebsmodus die Manipulation und wechselt in einen Alarmmodus, sobald die Manipulation detektiert wird. Im Gegensatz zu den aus dem Stand der Technik bekannten Plomben, bzw. Siegeln, welche lediglich eine passive Detektion eines unerlaubten Zugriffs ermöglichen, informiert die Versiegelungseinheit aktiv über die erfolgte Manipulation der Automatisierungskomponente.
Bei der Automatisierungskomponente kann es sich beispielsweise um ein Feldgerät handeln.
Feldgeräte, welche im Zusammenhang mit der Erfindung genannt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft genannt worden. Es kann vorgesehen sein, dass die Versiegelungseinheit an einer Gruppe von Automatisierungskomponenten, genannt einer
Automatisierungseinheit, angebracht wird. Wird im Folgenden der Begriff
„Automatisierungskomponente" verwendet, so sind die damit beschriebenen Anwendungen der Versiegelungseinheit analog auf eine Automatisierungseinheit übertragbar. Eine erste Variante der erfindungsgemäßen Versiegelungseinheit sieht vor, dass die Versiegelungseinheit ein Kabel oder einen Draht mit zwei Endkontakten aufweist, mit dessen Hilfe die Versiegelungseinheit an der Automatisierungskomponente, bzw. an der Automatisierungseinheit, anbringbar ist,
wobei die beiden Endkontakte die Detektionseinheit kontaktieren,
wobei die Detektionseinheit dazu ausgestaltet ist, das Kabel oder den Draht zumindest zu festgelegten Zeitpunkten mit einer Spannung zu beaufschlagen und einen Stromwert des durch das Kabel oder den Draht fließenden Stroms zu messen, und
wobei die Detektionseinheit dazu ausgestaltet ist, das Signal an die Elektronikeinheit zu übermitteln, wenn bei Beaufschlagen der Spannung kein Stromfluss, bzw. ein signifikant bezüglich eines Referenzwerts abweichender Stromwert, messbar ist. Als Folge der Manipulation der
Automatisierungskomponente ist vorgesehen, dass der Draht, bzw. das Kabel aufgetrennt werden muss. Als Beispiel hierfür ist die Versiegelungseinheit derart an einer Automatisierungskomponente, welche einen Gehäusedeckel aufweist, angebracht, dass das Kabel, bzw. der Draht, der
Versiegelungseinheit sowohl durch eine Öffnung des Gehäuses der Automatisierungskomponente, als auch durch eine Öffnung des Gehäusedeckels geführt ist. Zum Öffnen des Gehäusedeckels, um beispielsweise an die Elektronik der Automatisierungskomponente, oder im Gehäuseinneren der Automatisierungskomponente befindlichen Bedien-Serviceschnittstellen, zu gelangen, muss der Draht, bzw. das Kabel, zwangsläufig entfernt werden.
Eine zweite Variante der erfindungsgemäßen Versiegelungseinheit sieht vor, dass die
Detektionseinheit zumindest einen Sensor umfasst, insbesondere einen Beschleunigungssensor, einen Drehratensensor und/oder einen GPS-Sensor, welcher dazu ausgestaltet ist, die als
Manipulation über eine Lageveränderung der Automatisierungskomponente und/oder des Bauteils der Automatisierungskomponente zu detektieren. In diesem Falle kann auch vorgesehen sein, die Versiegelungseinheit im Inneren der Automatisierungskomponente, bzw. der
Automatisierungseinheit, anzubringen.
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Versiegelungseinheit selbsthaftend, bspw. mittels eines doppelseitigen
Klebestreifens, an der Automatisierungskomponente, bzw. der Automatisierungseinheit, angebracht ist.
In einer bevorzugten Weiterbildung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Versiegelungseinheit über zumindest ein Anzeigemittel, bspw. eine LED, und/oder über zumindest ein akustisches Wiedergabemittel verfügt, wobei das Anzeigemittel dazu ausgestaltet ist, ein optisches Signal auszugeben, wenn die
Elektronikeinheit das Signal der Detektionseinheit empfängt, oder wobei das akustische
Wiedergabemittel dazu ausgestaltet ist, ein akustisches Signal auszugeben, wenn die
Elektronikeinheit das Signal der Detektionseinheit empfängt. Das optische/akustische Signal kann unmittelbar von Personen, welche sich in der Nähe der Automatisierungskomponente befinden, wahrgenommen werden. Das Signal dient zudem als Abschreckung für die unbefugte Person, welche sich Zugang zu der Automatisierungskomponente verschafft, so dass diese keine weiteren Manipulationen, insbesondere keine Parameteränderung o.ä., an der Automatisierungskomponente vornimmt.
Gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Versiegelungseinheit eine Kommunikationseinheit aufweist, welche dazu ausgestaltet ist, ein Alarm-Telegramm auszugeben, wenn die Elektronikeinheit das Signal der Detektionseinheit empfängt. Auf diese Art und Weise können auch Personen informiert werden, welche sich nicht unmittelbar in der Nähe der Automatisierungskomponente aufhalten. Es kann zudem vorgesehen sein, dass die das Alarmtelegramm empfangende Einheit, beispielsweise ein Gateway, über Anzeigemittel, bspw. eine LED, und/oder über zumindest ein akustisches
Wiedergabemittel verfügt, um im Alarmfall ein akustisches oder optisches Signal auszugeben. Eine vorteilhafte Ausgestaltung der erfindungsgemäßen Versiegelungseinheit sieht vor, dass die Kommunikationseinheit dazu ausgestaltet ist, das Alarm-Telegramm als Funksignal an ein Funk- Gateway und/oder an eine mit einer Funk-Empfangseinheit ausgestatten
Automatisierungskomponente auszugeben, wobei das Funk-Gateway und/oder die mit der Funk- Empfangseinheit ausgestatte Automatisierungskomponente direkt oder indirekt mit einer Leitwarte verbunden sind. Das Alarm-Telegramm wird nach gemäß einem der bekannten Drahtlosprotokolle, beispielsweise Bluetooth (LE), Zigbee, Wifi, etc., oder gemäß einem drahtlosen Feldbusprotokoll, beispielsweise WirelessHART, oder nach unter Nutzung einer Mobilfunkdatenverbindung (GSM, GPRS, UMTS, 5G, etc.) versendet. Eine alternative vorteilhafte Ausgestaltung der erfindungsgemäßen Versiegelungseinheit sieht vor, dass wobei ein drahtgebundenes Kommunikationsnetzwerk an die Kommunikationseinheit anschließbar ist, und wobei die Kommunikationseinheit dazu ausgestaltet ist, das Alarm-Telegramm gemäß eines Protokolls eines Feldbusses der Automatisierungstechnik auszugeben. Bei dem Feldbusprotokoll kann es sich um ein HART ® -, ein Foundation Fieldbus ® -, ein Profibus ® -, ein Modbus ® -, ein Ethernetprotokoll oder um jedes weitere übliche Feldbusprotokoll handeln. Eine weitere alternative vorteilhafte Ausgestaltung der erfindungsgemäßen Versiegelungseinheit sieht vor, dass eine 4-20 mA-Kommunikationsschleife an die Kommunikationseinheit anschließbar ist, und
wobei die Kommunikationseinheit dazu ausgestaltet ist, das Alarm-Telegramm als Stromwert auszugeben. Beispielsweise könnte hierfür ein Stromwert verwendet werden, welcher sich außerhalb der üblichen Grenzen von 4 mA bis 20 mA befindet.
Unabhängig über welchen Kommunikationsweg das Alarm-Telegramm übermittelt wird, kann dieses neben der reinen Alarminformation einen Zeitstempel aufweisen. Dieser enthält das Datum und die Uhrzeit, an welcher die Manipulation an der Automatisierungskomponente registriert wurde. Hier verfügt die Versiegelungseinheit über eine interne Uhr.
Gemäß einer bevorzugten Ausgestaltung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Kommunikationseinheit dazu ausgestaltet ist, in festgelegten Intervallen ein Statustelegramm auszugeben. Dadurch ist es möglich festzustellen, dass die Versiegelungseinheit noch funktionsfähig ist. Im Falle eines Defekts der Versiegelungseinheit würde diese unter
Umständen eine Manipulation der Automatisierungskomponente nicht detektieren. Somit könnte beispielsweise der Draht, bzw. das Kabel, der Versiegelungseinheit geöffnet, bzw. durchtrennt, werden, ohne dass ein Alarmtelegramm ausgesendet wird. Der Übertragungsweg des Status- Telegramms ist analog zu dem Übertragungsweg des Alarm-Telegramms.
Alternativ wird anstatt des Statustelegramms in festgelegten Intervallen ein optisches, bzw.
akustisches Signal mittels des Anzeigemittels, bzw. der akustischen Wiedergabemittels
auszugeben. Hierbei kann sich das jeweilige Signal von dem im Alarmfall ausgegebenen Signal unterscheiden, bspw. in Lautstärke, Intensität, Tonhöhe, Farbe, Länge, etc.
In einer vorteilhaften Weiterbildung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Versiegelungseinheit eine Energieversorgungseinheit, insbesondere eine Batterie oder einen Akkumulator aufweist, welche dazu ausgestaltet ist, die Komponenten der
Versiegelungseinheit autark mit elektrischer Energie zu versorgen.
In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Versiegelungseinheit ist vorgesehen, dass die Kommunikationseinheit dazu ausgestaltet ist, ein Telegramm, insbesondere in festgelegten Zeitabständen, auszusenden, falls die Energieversorgungseinheit eine festgelegte Mindestmenge an elektrischer Energie unterschreitet. Auch hiermit wird verhindert, dass eine Detektion einer
Manipulation der Automatisierungskomponente stets detektiert wird und somit einem Ausfall der Versiegelungseinheit aufgrund unzureichender elektrischer Energie vorgebeugt wird. Der
Übertragungsweg des Telegramms ist analog zu dem Übertragungsweg des Alarm-Telegramms.
Alternativ ist auch hier vorgesehen, anstatt des Telegramms ein optisches, bzw. akustisches Signal mittels des Anzeigemittels, bzw. der akustischen Wiedergabemittels auszugeben. Auch hier kann sich das jeweilige Signal von dem im Alarmfall ausgegebenen Signal unterscheiden, bzw. dem zu Statuszwecken ausgegebenen Signal unterscheiden, bspw. in Lautstärke, Intensität, Tonhöhe, Farbe, Länge, etc. Hinsichtlich des Verfahrens wird die Aufgabe durch ein Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente mithilfe der erfindungsgemäßen
Versiegelungseinheit gelöst, wobei in der Automatisierungskomponente ein Parametersatz gespeichert ist, und wobei außerhalb der Automatisierungskomponente eine Kopie des
Parametersatzes vorhanden ist, umfassend:
- Empfangen eines von der Versiegelungseinheit ausgesendeten Alarm-Telegramms;
Validieren des aktuell in der Automatisierungskomponente befindlichen Parametersatzes durch Abgleich des aktuell in der Automatisierungskomponente befindlichen Parametersatzes mit dem außerhalb der Automatisierungskomponente vorhandenen Parametersatz.
Der Vorteil des erfindungsgemäßen Verfahrens liegt darin, dass nicht nur der Manipulationsfall selbst detektiert wird, sondern darüber hinaus der Grad der Manipulation, speziell der
Veränderungen Parametersätze, der Automatisierungskomponente erfasst wird. Durch den Abgleich werden jene Parameter identifiziert, deren Werte durch die unbefugte Person verändert wurden.
Das Verfahren kann beispielsweise automatisch mittels eines Computers ausgeführt werden, welcher das Alarm-Telegramm, welches von der Versiegelungseinheit ausgesendet wird, empfängt.
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass im Falle, dass der aktuell in der Automatisierungskomponente befindliche Parametersatz nicht erfolgreich validiert wird, der aktuell in der Automatisierungskomponente befindliche Parametersatz mit dem außerhalb der Automatisierungskomponente vorhandenen Parametersatz ersetzt wird. Auf diese Art und Weise ist ein schnelles Wiederherstellen des bisherig verwendeten Parametersatzes möglich. Gemäß einer ersten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass der außerhalb der Automatisierungskomponente vorhandene Parametersatz in einer Datenbank, welche insbesondere in der Leitwarte oder auf einem cloudfähigen Server implementiert ist, gespeichert wird.
Gemäß einer zweiten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass der außerhalb der Automatisierungskomponente vorhandene Parametersatz auf einer Speichereinheit der Versiegelungseinheit gespeichert wird. Der aktuell in der Automatisierungskomponente befindlichen Parametersatzes kann somit direkt vor Ort mittels der Versiegelungseinheit abgeglichen werden und ggf. durch den außerhalb der Automatisierungskomponente, auf der
Versiegelungseinheit, vorhandenen Parametersatz ersetzt werden. Eine Online- Verbindung, beispielsweise zu dem cloudfähigen Server, ist nicht notwendig.
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass aus dem außerhalb der Automatisierungskomponente vorhandene Parametersatz ein Hashwert berechnet wird, der anstelle des Parametersatzes gespeichert wird. Unter Umständen stellen Parametersätze, je nach verwendetem Typ der Automatisierungskomponente, eine mitunter sehr große Datenmenge dar. Insbesondere wenn es vorgesehen ist, den außerhalb der Automatisierungskomponente befindliche Parametersatz auf der Versiegelungseinheit zu speichern, stellt eine große Datenmenge eine Herausforderung dar. Zum einen müsste ein großer Datenspeicher in der Versiegelungseinheit implementiert werden. Da die Versiegelungseinheit jedoch als kostengünstiges Einmalprodukt vorgesehen sein kann, würde dies wirtschaftlich keine sinnvolle Möglichkeit darstellen. Zum anderen würde das Übertragen des Parametersatzes mitunter eine lange Zeit in Anspruch nehmen. Durch das Verwenden eines Hashwertes wird die Datenmenge drastisch reduziert. Außerdem ist nicht die Gefahr gegeben, dass der Parametersatz durch Dritte aus der Versiegelungseinheit ausgelesen werden kann. Mittels des Hashwerts ist jedoch lediglich die Validierung des aktuell in der
Automatisierungskomponente befindlichen Parametersatzes möglich.
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt Fig. 1 : ein Ausführungsbeispiel der erfindungsgemäßen Versiegelungseinheit.
Abgebildet ist eine Automatisierungskomponente 2. In diesem Beispiel ist die
Automatisierungskomponente 2 ein Feldgerät, welches eine Sensoreinheit 22 zum Bestimmen einer physikalischen Messgröße eines Mediums umfasst. Zur messstellenspezifischen Funktion der Automatisierungskomponente 2 und zur Kommunikation über einen Feldbus weist das auf der Automatisierungskomponente 2 ablaufende Anwendungsprogramm eine Vielzahl von Parametern auf. Diesen Parametern werden im Zuge einer Parametrisierung Parameterwerte zugewiesen, mittels welchen das Feldgerät auf seine bestimmungsgemäße Messstellenanwendung eingestellt wird. Die Vielzahl der Parameterwerte wird als Parametersatz P1 in einer Speichereinheit der Automatisierungskomponente 2 gespeichert.
Zur Parametrierung wird typischerweise eine Bedieneinheit an eine Serviceschnittstelle der Automatisierungseinheit 2 angeschlossen. Diese Serviceschnittstelle befindet sich auf einer
Elektronikplatine im Inneren des Gehäuses der Automatisierungskomponente 2. Hierfür muss der Gehäusedeckel 21 der Automatisierungskomponente 2 geöffnet werden. Der Gehäusedeckel 21 ist mittels einer Versiegelungseinheit 1 gesichert. In diesem Ausführungsbeispiel ist die Versiegelungseinheit 1 in Form einer herkömmlichen mechanischen Plombe ausgestaltet und mittels eines Drahts 13 an der
Automatisierungskomponente 2 angebracht. Der Draht 13 ist dabei sowohl an dem Gehäusedeckel 21 , als auch an dem übrigen Gehäuse der Automatisierungskomponente angebracht. Die Versiegelungseinheit 1 weist eine Elektronikeinheit 12 auf, welche die Versiegelungseinheit 1 in einem ersten Betriebsmodus betreibt. In diesem Betriebsmodus beaufschlagt eine Detektionseinheit 1 1 der Versiegelungseinheit 1 den Draht 13 mit einer geringen Spannung und misst gleichzeitig den durch den Draht 13 fließenden Strom. Der Draht 13 bildet somit mit der Detektionseinheit 1 1 einen geschlossenen Stromkreis aus.
Im Falle, dass eine unbefugte Person Zugriff auf den Parametersatz P1 der
Automatisierungskomponente 2 erhalten möchte, muss diese zwangsläufig den Gehäusedeckel 21 öffnen. Hierzu ist es notwendig, den Draht zu entfernen, bzw. zu durchbrechen, so dass der geschlossene Stromkreis unterbrochen wird. Die Detektionseinheit 1 1 registriert einen signifikant veränderten Stromwert, bzw. detektiert keinen Stromfluss, und gibt ein Signal an die
Elektronikeinheit 12 aus.
Die Elektronikeinheit 12 wechselt daraufhin in einen zweiten Betriebsmodus. In diesem löst die Versiegelungseinheit 1 Alarm aus. Vor Ort wird der Alarm durch ein Blinksignal auf einem
Anzeigemittel 14, bspw. eine LED, angezeigt. Neben dem Anzeigemittel kann die
Versiegelungseinheit 1 ebenfalls über akustische Wiedergabemittel verfügen, welche ein akustisches Signal aussenden.
Des Weiteren sendet die Versiegelungseinheit 1 mittels einer Kommunikationseinheit 15 ein Alarmtelegramm 16 über Funk aus. Hierfür verwendet die Kommunikationseinheit 16 ein energiesparendes Kurzstreckenprotokoll, beispielsweise Bluetooth LE. Neben der reinen
Alarminformation enthält das Alarm-Telegramm 16 eine Information über den Zeitpunkt des Durchtrennens des Drahtes 13.
Anschließend wird das Alarm-Telegramm 16 von einem Gateway 3 empfangen, welches die Leitwarte der Anlage informiert. Das Gateway 3 kann außerdem selbst über akustische oder optische Wiedergabemittel verfügen, mittels welchen es den Alarm vor Ort anzeigen kann. Bei der Inbetriebnahme der Versiegelungseinheit 1 muss diese dem Gateway 3 bekannt gemacht werden. Dies kann beispielsweise durch ein von WLA-Routern bekanntes„Pairing"-Verfahren, initiiert beispielsweise durch Druck einer Taste des Gateways, realisiert werden. Die zum Betrieb der von den Komponenten 1 1 , 12, 14, 15 der Versiegelungseinheit 1 benötigten elektrischen Energie wird von einer in der Versiegelungseinheit 1 befindlichen
Energieversorgungseinheit 17 bereitgestellt. Bei dieser handelt es sich beispielsweise um eine Batterie. Damit die Batterie durch Unbefugte nicht entfernbar ist, gibt es, außer bspw. einer Öffnung im Gehäuse für einen Batterie-Isolationsstreifen, keinen Zugang von dem Gehäuse der
Versiegelungseinheit 1 zu der Energieversorgungseinheit 17. Die Versiegelungseinheit 1 ist daher als Sicherheitskomponente zum einmaligen Gebrauch konzipiert. Zur Inbetriebnahme wird der Draht 13 durch Gehäuse und Gehäusedeckel 21 der Automatisierungskomponente 1 geführt und in der Versiegelungseinheit 1 eingerastet. Anschließend wird der Batterie-Isolationsstreifen, welcher eine Trennung von Energieversorgungseinheit 17 und den restlichen Komponenten 1 1 , 12, 14, 15 der Versiegelungseinheit 1 darstellt, entfernt.
In regelmäßigen Zeitabständen sendet die Kommunikationseinheit 16 ein Statustelegramm an das Gateway 3 aus. Dieses dient dem Zweck um mitzuteilen, dass die Versiegelungseinheit 1 nach wie vor wie gewünscht funktioniert. Im Falle dass die Versiegelungseinheit 1 defekt ist, bzw. die
Energieversorgung ausgefallen ist, kann dies über das ausbleibende Statustelegramm registriert werden. Ebenso kann vorgesehen sein, dass im Falle, dass die Energiemenge der
Energieversorgungseinheit einen kritischen Wert erreicht, ein Telegramm ausgesendet wird.
Alternativ wird anstatt des Statustelegramms, bzw. des Telegramms im energiekritischen Fall, in festgelegten Intervallen ein optisches, bzw. akustisches Signal mittels des Anzeigemittels 14, bzw. der akustischen Wiedergabemittels auszugeben. Hierbei kann sich das jeweilige Signal von dem im Alarmfall ausgegebenen Signal unterscheiden, bspw. in Lautstärke, Intensität, Tonhöhe, Farbe, Länge, etc. Im Großteil aller Manipulationsversuche wird die unbefugte Person durch den Alarm davon abgehalten, die Manipulation der Automatisierungskomponente 1 fortzuführen. Dennoch ist es im Interesse des Anlagenbetreibers, den Grad der Manipulation festzustellen. Zu diesem Zweck wird ein Parametersatz P2 außerhalb der Automatisierungskomponente 1 gespeichert. Dieser stellt eine Kopie des in der Automatisierungskomponente 1 befindlichen Parametersatzes P1 dar. Im in Fig. 1 gezeigten Ausführungsbeispiel wird dieser Parametersatz P2 auf einer Datenbank 4, welche auf einem cloudfähigen Server implementiert ist, gespeichert.
Nach Information der Leitwarte durch das Gateway 3 über den Alarmfall, wird, beispielsweise mittels eines Workstation PCs in der Leitwarte, auf die Datenbank 4 zugegriffen und der Parametersatz P2 heruntergeladen. Außerdem wird der aktuell in der Automatisierungskomponente 1 befindliche Parametersatz beschafft. Anschließend wird eine Validierung des Parametersatzes P1 durchgeführt, indem dieser mit dem Parametersatz P2 verglichen wird. Hierdurch werden eventuelle Änderungen der Parameterwerte detektiert. Im Falle, dass Änderungen aufgetreten sind, kann der aktuell in der Automatisierungskomponente 1 befindliche Parametersatz P1 durch den Parametersatz P2 ersetzt werden. Für die Validierung kann außerdem die Versiegelungseinheit 1 herangezogen werden. Mittels eines Algorithmus wird ein Hashwert aus dem Parametersatz P1 gebildet. Dieser Hashwert wird auf der Versiegelungseinheit 1 gespeichert. Für die Validierung wird der aktuell in der
Automatisierungskomponente befindliche Parametersatz P1 vor Ort bspw. mittels einer
Bedieneinheit ausgelesen. Aus diesem ausgelesenen Parametersatz P1 wird dann ebenfalls ein Hashwert gebildet. Dieser Hashwert wird mit dem auf der Versiegelungseinheit 1 gespeicherten
Hashwert verglichen. Lediglich bei einer Abweichung des Hashwerts findet die weitergehende, oben beschriebene, Validierung statt.
Die Ausgestaltung der in Fig. 1 gezeigten Versiegelungseinheit 1 , bzw. des beschrieben Verfahrens, ist lediglich als beispielhaft zu betrachten. In einer anderen Variante kann die Versiegelungseinheit 1 beispielsweise an der Automatisierungskomponente 2 angeheftet sein, bzw. sich in der
Automatisierungskomponente 2 befinden, bzw. im Gehäuse der Automatisierungskomponente 2 angebracht sein. Die Detektionseinheit 1 1 umfasst in diesem Fall einen Sensor 1 1 1 , welcher eine Lageveränderung der Automatisierungskomponente 2 aufnehmen kann und daraufhin das Signal an die Elektronikeinheit 12 aussenden kann. Alternativ kann die Versiegelungseinheit 1 auch an einer Gruppe von Automatisierungskomponenten, einer sogenannten Automatisierungseinheit, angebracht sein. Bezugszeichenliste
1 Versiegelungseinheit
1 1 Detektionseinheit
1 1 1 Sensor
12 Elektronikeinheit
13 Kabel/Draht
14 Anzeigemittel
15 Kommunikationseinheit
16 Alarm-Telegramm
17 Energieversorgungseinheit
2 Automatisierungskomponente
21 Bauteil der
Automatisierungskomponente/Gehäusedeckel 22 Sensoreinheit
3 Funk-Gateway
4 Datenbank
P1 aktuell in der Automatisierungskomponente vorhandener Parametersatz
P2 außerhalb der Automatisierungskomponente befindlicher Parametersatz