Verfahren und Vorrichtung zum Überwachen eines Produktion- Steuerrechners

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung mindestens eines Produktion-Steuerrechners zur Herstellung von Produkten. Produktion-Steuerrechner können zur Durchführung von Produktion-Steuervorgängen eingesetzt werden, bei denen beliebige Produkte bzw. Gegenstände industriell gefertigt werden. Ein Produktion-Steuerrechner kann beispielsweise eine Fertigungs ^¬ einheit steuern, die über Aktoren und Sensoren verfügt. Dabei gibt der Produktion-Steuerrechner Steuersignale an die Fertigungseinheit ab, welche die Aktoren der Fertigungseinheit steuern und empfängt von der Fertigungseinheit Mess- bzw. Sensorsignale von den Sensoren der Fertigungseinheit. Der Produktion-Steuerrechner ist dabei über ein Netzwerk mit der Fertigungseinheit verbunden und führt zeitnah oder in Echt ^¬ zeit einen Produktion-Steuervorgang zur Herstellung von Produkten bzw. Gegenständen durch. Bei den Gegenständen bzw. Produkten kann es sich um beliebige Produkte handeln, beispielsweise mechanische Gegenstände, wie Bauteile, oder che- mische Produkte, wie beispielsweise Tabletten, pulverförmige oder flüssige Produkte.

Tritt in einem Steuerprogramm des Produktion-Steuerrechners ein Fehler auf, führt dies zu einem fehlerhaften Produktion- Steuervorgang und schließlich zu fehlerhaft hergestellten

Produkten. Darüber hinaus kann ein fehlerhafter Produktion- Steuervorgang auch die Sicherheit von Mitarbeitern des Herstellers und vor allem auch von Abnehmern der Produkte gefährden. Beispielsweise kann ein fehlerhafter Produktion- Steuervorgang dazu führen, dass Aktoren der Fertigungseinheit im Bereich der Fertigungseinheit befindlichen Arbeiter gefährden. Weiterhin kann ein fehlerhafter Produktion- Steuervorgang zu Fehlern bei den Produkten führen, die bei dem Abnehmer des Produktes einen Schaden verursacht. Besteht beispielsweise der Produktionsvorgang in der Herstellung von Medikamenten bzw. Tabletten, kann ein fehlerhafter Produktion-Steuervorgang zu einer fehlerhaften Dosierung von Substan- zen innerhalb des Produktes führen, der beim Endabnehmer, der das Medikament einnimmt, zu Gesundheitsschäden führen kann.

Ein Fehler bei der Steuerung des Produktion-Steuervorgangs durch den Produktion-Steuerrechner kann aufgrund einer feh- lerhaften Konfigurationseinstellung des Produktion- Steuerrechners entstehen, wobei ein derartiger Konfigurati ^¬ onsfehler sowohl unabsichtlich hervorgerufen werden kann oder auch infolge eines Angriffs durch einen böswilligen Dritten. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang durch eine beabsichtigte oder nicht beabsichtigte Beeinflus ^¬ sung der Kommunikation des Produktion-Steuerrechners mit der von ihm gesteuerten Fertigungseinheit entstehen. Beim Auftreten von Fehlern kann man für das Steuerprogramm des Produktion-Steuerrechners, sofern diese Fehler bemerkt werden, soge- nannte Sicherheitspatches zur Behebung der Programmfehler einspielen. Allerdings bleiben fehlerhafte Produktionsvorgänge unter Umständen für eine längere Zeit unbemerkt, so dass die fehlerhaften Produkte bis zu dem Kunden gelangen und dort Schäden hervorrufen können. Gegenüber Angriffen durch Dritte besteht bisher nur die Möglichkeit, einen Produktion- Steuerrechner in einem geschlossenen abgeschotteten Netzwerk zu betreiben. Allerdings müssen auch derart abgeschottete Netzwerke gewartet werden, wobei Wartungsgeräte bzw. War ^¬ tungsrechner an das Netzwerk angeschlossen werden, die unter Umständen eine schadhafte Software bzw. einen Virus oder der ^¬ gleichen aufweisen.

Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Überwachen eines Produkti- on-Steuerrechners zu schaffen, bei der die Sicherheit gegen ^¬ über fehlerhaften Produktion-Steuervorgängen erhöht wird. Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.

Die Erfindung schafft ein Verfahren zum Überwachen mindestens eines Produktion-Steuerrechners,

wobei zu einem durch den Produktion-Steuerrechner durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befin ^¬ det .

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion- Steuerrechners .

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion- Steuerrechners .

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Si- cherheitsüberprüfungseinheit , die in dem Produktion- Steuerrechner enthalten bzw. darin integriert ist.

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Si- cherheitsüberprüfungseinheit , die mit dem Produktion- Steuerrechner, beispielsweise über ein Netzwerk, verbunden ist .

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das Kommunikationsverhalten des Produktion- Steuerrechners anhand von Eingabesignalen an den Produktion- Steuerrechner und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner abgegeben werden, beobachtet und anschließend durch die Sicherheitsüberprüfungseinheit ausge ^¬ wertet .

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Eingabe- und/oder Ausgabesignale des Produktion-Steuerrechners rückwirkungsfrei erfasst und an ei ^¬ nen zweiten identisch implementierten Produktion- Steuerrechner übertragen, wobei die Sicherheitsüberprüfungs ^¬ einheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners o- der indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion- Steuerrechner die erfassten Ein- und/oder Ausgabesignale der überwachten Produktion-Steuerrechners synchron mit einer Sig- nal1aufzeitVerzögerung .

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Pro ^¬ duktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale des überwachten Produktion-Steuerrechners asynchron, beispielsweise nach Abschluss des Produktion-Steuervorganges.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners aufgezeichnet, beispielsweise auf einem Datenträger.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut.

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner virtuell identisch zu dem Produktion-Steuerrechner auf einem Server oder Rechner implementiert. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine direkte Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit, indem diese auf Referenz ^¬ daten zugreift, um zu verifizieren, ob sich der Produktion- Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens vergleicht die Sicherheitsüberprüfungseinheit die Konfigurationsdaten des Produktion-Steuerrechners und/oder des zweiten Produktion-Steuerrechners mit den Referenzdaten, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfi ^¬ gurationszustand befindet.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten des Produktion- Steuerrechners in den zweiten Produktion-Steuerrechner vor der Sicherheitsüberprüfung kopiert.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens geben die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion- Steuerrechner implementierten Softwarekomponente an.

Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten duroh berechnete Prüf ^¬ summen der jeweiligen Softwarekomponenten gebildet .

Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Konfigurationseinstel- lungen in mindestens einer Konfigurationsdatei des Produkti- onssteuerrechners gebildet. Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine Fehlerbehandlung, falls die Sicherheitsüberprü ^¬ fung ergibt, dass der Produktion-Steuerrechner nicht in einem integeren Konfigurationszustand während des Produktion- Steuervorganges ist.

Diese Fehlerbehandlung umfasst bei einer möglichen Ausführungsform das Abgeben einer Alarmmeldung.

Bei einer weiteren Ausführungsform umfasst die Fehlerbehand lung das Anhalten des Herstellungsprozesses zur Herstellung der Produkte durch die Fertigungseinheit.

Bei einer weiteren Ausführungsform des erfindungsgemäßen Ver fahrens umfasst die Fehlerbehandlung eine Steigerung der Qua litätsprüfung bei den durch den Herstellungsprozess herge ^¬ stellten Produkten.

Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens umfasst die Fehlerbehandlung das Senden einer Fehlerbenachrichtigung an ein Produktionsmanagementsys- tem.

Bei einer weiteren möglichen Ausführungsform des erfindungs gemäßen Verfahrens umfasst die Fehlerbehandlung das Einschreiben einer Fehlernachricht in einen oder in mehrere Da tenträger, die die hergestellten Produkte begleiten. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung vor dem Herstellungsprozess zur Herstellung der Produkte.

Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung während des Herstellungsprozesses zur Herstellung der Produkte. Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung nach dem Herstel- lungsprozess zur Herstellung der Produkte. Die Erfindung schafft ferner ein System zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner, der einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungsein- heit erfolgt, welche verifiziert, ob sich der Produktion- Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicher ^¬ heitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners durch.

Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicher ^¬ heitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners durch.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems erfasst eine Signalabzweigeinheit Ein- und/oder Aus ^¬ gabesignal des überwachten Produktion-Steuerrechners rückwir ^¬ kungsfrei und überträgt diese abgezweigten Ein- und/oder Aus ^¬ gabesignale an einen zweiten identisch implementierten Produktion-Steuerrechner, wobei die Sicherheitsüberprüfungsein- heit die Sicherheitsüberprüfung direkt durch Auswerten von

Konfigurationsdaten des zweiten Produktion-Steuerrechners o- der indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt. Bei einer möglichen Ausführungsform des erfindungsgemäßen

Systems ist der zweite Produktion-Steuerrechners physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut . Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechner virtuell i- dentisch zu dem überwachten Produktion-Steuerrechner auf einem Server oder Rechner implementiert.

Die Erfindung schafft ferner eine Sicherheitsüberprüfungsein heit zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner, welcher einen Produktion- Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion- Steuerrechner während des Produktionsvorganges in einem inte geren Zustand befindet.

Bei einer Ausführungsform der erfindungsgemäßen Sicherheits- Überprüfungseinheit erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des überwachten Pro- duktion-Steuerrechners .

Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüber ^¬ prüfung indirekt durch Beobachten eines Kommunikationsverhal ^¬ tens des überwachten Produktion-Steuerrechners.

Bei einer Ausführungsform der erfindungsgemäßen Sicherheits- Überprüfungseinheit ist diese in dem Produktion-Steuerrechner enthalten bzw. darin integriert Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist die Sicherheitsüberprü- fungseinheit mit dem Produktion-Steuerrechner über ein Netzwerk verbunden. Die Erfindung schafft ferner einen Produktion-Steuerrechner, der eine Sicherheitsüberprüfungseinheit enthält, welche eine Sicherheitsüberprüfung bei dem Produktion-Steuerrechner durchführt, wobei die Sicherheitsüberprüfungseinheit zur Aus- führung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während eines Produktion- Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet.

Die Erfindung schafft ferner einen Überwachungs-Produktion- Steuerrechner, wobei dem Überwachungs-Produktion- Steuerrechner die Ein- und/oder Ausgabesignale oder die Konfigurationsdaten eines überwachten Produktion-Steuerrechners zugeführt werden und wobei der Überwachungs-Produktion- Steuerrechner identisch zu dem überwachten Produktion- Steuerrechner aufgebaut ist,

wobei eine mit dem Überwachungs-Produktion-Steuerrechner verbundene Sicherheitsüberprüfungseinheit überprüft, ob sich der Überwachungs-Produktion-Steuerrechner während eines Produktion-Steuervorganges des überwachten Produktion-Steuerrechners in einem integeren Zustand befindet.

Im Weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Überwachen eines Produktion-Steuerrechners unter Bezugnahme auf die bei ^¬ gefügten Figuren erläutert.

Es zeigen:

Fig. 1 ein Blockschaltbild eines möglichen Ausführungs ^¬ beispiels eines erfindungsgemäßen Systems mit ei ^¬ nem überwachten Produktion-Steuerrechner gemäß der Erfindung;

Fig. 2A, 2B Diagramme zur Darstellung möglicher Ausführungsbeispiele eines erfindungsgemäßen Systems mit ei ^¬ nem überwachten Produktion-Steuerrechner;

Fig. 3 ein Ablaufdiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners; ein weiteres Ablaufdiagramm zur Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners; Fig. 5 ein Blockschaltbild zur Darstellung eines weite ^¬ ren möglichen Ausführungsbeispiels eines erfin ^¬ dungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner; Fig. 6 ein weiteres Blockschaltbild zur Darstellung ei ^¬ ner möglichen Ausführungsform eines erfindungsgemäßen Systems mit einem überwachten Produktion- Steuerrechner ; Fig. 7 ein Diagramm zur Darstellung einer möglichen Ausführungsvariante des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner.

Fig. 1 zeigt ein Beispiel für ein System 1, das einen über- wachten Produktion-Steuerrechner 5 gemäß der Erfindung enthält. Das in Fig. 1 dargestellte Produktionssystem 1 enthält zwei Fertigungszellen FZ1, FZ2 zur Herstellung von Geräten bzw. Produkten oder Zwischenprodukten. Bei dem dargestellten Beispiel für ein Produktionssystem 1 weist jede der beiden Fertigungszellen FZ1, FZ2 einen lokalen Bus auf, an den mehrere Einheiten angeschlossen sind. Die Fertigungszelle FZ1 weist einen lokalen Bus 2-1 auf, der mit einem industriellen Netzwerk 3 verbunden ist, an welchen verschiedene Fertigungs ^¬ zellen FZ angeschlossen sind. Bei dem in Fig. 1 dargestellten Beispiel sind an dem lokalen Bus 2-1 der Fertigungszelle FZ1 ein Roboterarm 4, ein Produktion-Steuerrechner bzw. ein Produktion-Steuerrechnermodul 5 zur Ansteuerung des Roboterarms 4 sowie eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Integrität des Produktion-Steuermoduls 5 während des Produktion-Steuervorganges bzw. während der Ansteuerung des Roboterarms 4 überwacht, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion- Steuervorgangs in einem integeren Zustand befindet. Die zwei- te Fertigungszelle FZ2 weist bei dem in Fig. 1 dargestellten Beispiel einen Schweißautomat 6 als Fertigungseinheit auf, die über einen lokalen Bus 2-2 mit einem Steuerrechner 7 verbunden ist. Bei dem in Fig. 1 dargestellten Beispiel weist die zweite Fertigungszelle FZ2 keine Sicherheitsüberprüfungs- einheit auf. Das Industrienetzwerk 3 ist über einen Firewall 8 mit einem weiteren Netzwerk, beispielsweise einem Büronetzwerk 9, verbunden, an dem ebenfalls ein Rechner 10 angeschlossen ist. Weiterhin ist in dem dargestellten Beispiel ein Produktionsserver 11 vorgesehen, der ein Teil eines Produktionsmanagementsystems sein kann. Dieser Produktionsserver 11 ist mit dem Industrienetzwerk 3 verbunden. Weiterhin weist das Industrienetzwerk 3 bei dem dargestellten Beispiel einen WLAN Accesspoint 12 auf, der über eine drahtlose Schnittstel- le mit einem Wartungsrechner bzw. einem Wartungsgerät 13 kommuniziert .

Der Produktion-Steuerrechner 5 steuert den Produktionsvorgang der Fertigungseinheit 4 innerhalb der Fertigungszelle FZ1. Während dieses Produktion-Steuervorganges über den lokalen

Bus 2-1 der Fertigungszelle 1 erfolgt durch die Sicherheits ^¬ überprüfungseinheit 6, die ebenfalls an dem lokalen Bus 2-1 angeschlossen ist, eine Sicherheitsüberprüfung, ob sich der Produktion-Steuerrechner 5 während des Produktion- Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet. Die Sicher ^¬ heitsüberprüfungseinheit 6 verifiziert, ob sich der Produkti ^¬ on-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet, wobei dies direkt oder in- direkt erfolgen kann. Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit 6 durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktion- Steuervorganges. Die Konfigurationsdaten umfassen Konfigura- tionsparameter, z.B. eine konfigurierbaren Temperaturschwellwert, eine Solldrehzahl eines am Ende des Roboterarms 4 be ^¬ festigten Werkzeugs wie ein Fräskopf (nicht dargestellt) oder eine Trajektorie, entlang der der Roboterarm 4 unter Kontrol- le des Produktion-Steuerrechners 5 geführt wird. Sie können weiterhin Betriebssoftware und/oder Steueranweisungen des Produktion-Steuerrechners 5 umfassen. Bei einer alternativen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberführungseinheit 6 indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5, beispielsweise durch Beobachtung der Signale auf dem loka ^¬ len Steuerbus 2-1. Bei dem in Fig. 1 dargestellten Ausführungsbeispiel ist die Sicherheitsüberprüfungseinheit 6 mit dem Produktion-Steuerrechner 5 über einen lokalen Bus 2-1 bzw. über ein Netzwerk verbunden. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch innerhalb des Produktion-Steuerrechners 5 befinden bzw. darin integriert sein.

Bei der in Fig. 1 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 über einen lokalen Bus 2-1 mit dem überwachten Produktion-Steuerrechner 5 und der Fertigungseinheit 4 verbunden. Bei alternativen Ausführungsformen kann sich der Produktion-Steuerrechner 5 an einem anderen Ort innerhalb des Produktionssystems befinden. Bei einer mögli ^¬ chen Variante ist die Sicherheitsüberprüfungseinheit 6 nicht an den lokalen Bus 2-1 sondern an dem Industrienetzwerk 3 angeschlossen. Bei einer möglichen Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 durch den Firewall 8 ge ^¬ trennt von dem Industrienetzwerk 3 in dem Büronetzwerk 9 vorgesehen .

Der Produktionssteuervorgang durch den Produktionssteuerrech- ner 5 zur Steuerung des Herstellungsprozesses bzw. Produkti ^¬ onsprozesses durch eine Fertigungseinheit 4, beispielsweise einen Roboterarm, erfolgt bei einer möglichen Ausführungsform in Echtzeit. Dabei werden Steuersignale an Aktoren der Ferti ^¬ gungseinheit 4 in Echtzeit zur Steuerung des Produktion- Steuervorganges übertragen und Sensordaten von Sensoren der Fertigungseinheit 4 in Echtzeit an den Produktion- Steuerrechner 5, beispielsweise über einen lokalen Bus, zurückübertragen . Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5. Ist die Sicherheitsüberprüfungsein- heit 6 nicht in dem Produktion-Steuerrechner 5 integriert kann dies beispielsweise dadurch geschehen, dass die Konfigu ^¬ rationsdaten des Produktion-Steuerrechners 5 zur Sicherheits ^¬ überprüfungseinheit 6 kopiert werden, welche die kopierten Konfigurationsdaten dann auswertet.

Bei einer möglichen Ausführungsform greift die Sicherheitsüberprüfungseinheit 6 aus Referenzdaten zu, um zu verifizie ^¬ ren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszu- stand befindet. Die Sicherheitsüberprüfungseinheit 6 ver ^¬ gleicht dabei vorzugsweise die Referenzdaten mit den Konfigu ^¬ rationsdaten des Produktion-Steuerrechners 5, um zu verifi ^¬ zieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurations- zustand befindet. Die für den Vergleich notwendigen Referenzdaten können sich beispielsweise in einer Datenbank befinden, auf die die Sicherheitsüberprüfungseinheit 6 Zugriff hat. Die Überprüfung der Konfigurationsdaten durch Vergleich mit den Referenzdaten kann bei einer möglichen Ausführungsform der Sicherheitsüberprüfungseinheit 6 in Echtzeit ausgeführt wer ^¬ den. Die mit den Referenzdaten verglichenen Konfigurationsdaten können unterschiedliche Daten umfassen, insbesondere Kon ^¬ figurationsdaten, welche einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner 5 implementier- ten Softwarekomponente angeben. Bei einer derartigen Soft ^¬ warekomponente kann es sich um eine Applikations- Softwarekomponente aber auch um eine Betriebssystem- Softwarekomponente z.B. eine Treiber-Softwarekomponente han ^¬ deln. Bei einer weiteren Ausführungsform weisen die Konfigu- rationsdaten eine berechnete Prüfsumme der jeweiligen Soft ^¬ warekomponente auf. Dabei wird für die jeweilige Softwarekom ^¬ ponente eine Prüfsumme berechnet und mit Referenzdaten ver ^¬ glichen, um festzustellen, ob sich der Produktion- Steuerrechner 56 in einem integeren Zustand befindet. Weiterhin können die Konfigurationsdaten Versionsnummern der auf dem Produktion-Steuerrechner 5 implementierten Softwarekomponenten umfassen. Bei einer weiteren Ausführungsform können die Konfigurationsdaten auch Konfigurationseintellungen in mindestens einer Konfigurationsdatei des Produktion- Steuerrechners 5 aufweisen. Bei einer möglichen Ausführungs ^¬ form erfasst die Sicherheitsüberprüfungseinheit 6 die Konfi ^¬ guration des Produktion-Steuerrechners 5 indem sie ein Daten- abbild bzw. Image der Konfiguration des Produktion- Steuerrechners 5 abzieht und mit den Referenzdaten ver ^¬ gleicht. Beispielsweise können über ein Kommandozeilen- Interface Prüfsummen von Betriebssystemen und/oder Anwendungsprogrammdateien sowie von Konfigurationsdateien berech- net werden und das Ergebnis an die Sicherheitsüberprüfungs ^¬ einheit 6 übertragen werden. Alternativ kann eine Datenkopie der Konfigurationseinstellungen auf die Sicherheitsüberprü- fungseinheit 6 geladen werden, beispielsweise in Form eines Virtual Machine Images.

Das Prüfergebnis der Sicherheitsüberprüfung kann bei einer möglichen Ausführungsform von der Sicherheitsüberprüfungseinheit 6 an den überwachten Produktion-Steuerrechner 5 übertragen werden, wobei dieser bei einer möglichen Ausführungsform die empfangenen Prüfergebnisse der hergestellten bzw. produzierten Gegenständen oder Produkten einer Produktionscharge zuordnen kann. Bei einer möglichen Ausführungsform schreibt der Produktion-Steuerrechner 5 das Prüfergebnis in einen Datenträger ein, der die hergestellten Produkte begleitet. Bei- spielsweise kann eine Produktionscharge, etwa eine Gruppe hergestellter Bauteile über einen Datenträger verfügen, der die Produktionscharge während des Produktionsvorganges be ^¬ gleitet, wobei der Produktion-Steuerrechner 5 das Prüfergeb ^¬ nis in diesen Datenträger bzw. Speicher einschreibt. Bei ei- ner alternativen Ausführungsform kann jedes hergestellte Produkt bzw. Gegenstand über einen eigenen beschreibbaren Datenträger bzw. Speicher verfügen, in dem der Produktion- Steuerrechner 5 das jeweilige Prüfergebnis einschreibt. Auf diese Weise ist es möglich, nach Abschluss des Produktions ^¬ vorganges festzustellen, welche Gegenstände bzw. welche Pro ^¬ duktionschargen während eines fehlerhaften bzw. nicht integeren Zustandes des zugehörigen Produktion-Steuerrechners 5 hergestellt wurden. Diese Gegenstände bzw. Produkte können nach Abschluss des Herstellungsprozesses dann einer zusätzli ^¬ chen Qualitätssicherungsmaßnahme zugeführt bzw. aussortiert werden . Die Fig. 2A, 2B zeigen mögliche Varianten eines erfindungsge ^¬ mäßen Produktionssystems mit einem überwachten Produktion- Steuerrechner 5. Bei der in Fig. 2A dargestellten Ausführungsvariante sind in einem Speicher bzw. einer Konfigurati ^¬ onsdatei des Produktion-Steuerrechners 5 Konfigurationsdaten abgelegt, die durch eine externe Sicherheitsüberprüfungsein- heit 6 verifiziert werden, um festzustellen, ob sich der Produktion-Steuerrechner 5 während eines Produktion- Steuervorganges bei dem eine Fertigungseinheit 4 gesteuert wird, in einem integeren Zustand befindet. Bei der in Fig. 2A dargestellten Ausführungsvariante ist die Sicherheitsüberprü- fungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert, sondern beispielsweise über ein Netzwerk mit dem Pro ^¬ duktion-Steuerrechner 5 verbunden. Bei der in Fig. 2B dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 in dem Produktion- Steuerrechner integriert und führt lokal die Sicherheitsüberprüfung durch, indem sie verifiziert, ob sich der Produktion- Steuerrechner 5 während des Produktion-Steuervorganges in ei- nem integeren Zustand befindet.

Fig. 3, 4 zeigen verschiedene Ausführungsvarianten des erfindungsgemäßen Verfahrens zum Überwachen mindestens eines Pro ^¬ duktion-Steuerrechners 5.

Fig. 3 zeigt eine Ausführungsvariante, wobei die Überwachung nach Abschluss des Herstellungsprozesses bzw. des Herstel ^¬ lungsvorganges erfolgt. In einem Startschritt S3-0 wird der Produktionsvorgang durch den Produktion-Steuerrechner 5 gestartet. In einem weiteren Schritt S3-1 erfolgt der Produktion- Steuervorgang, indem der Produktion-Steuerrechner 5 einen o- der mehrere Steuerbefehle zur Fertigungseinheit 4 abgibt und gegebenenfalls Sensorsignale von der Fertigungseinheit 4 emp ^¬ fängt und auswertet. Wird in einem Schritt S3-2 festgestellt, dass der Produktion-Steuervorgang zur Herstellung der Produkte abgeschlossen ist, werden bei dem in Fig. 3 dargestellten Ausführungsbeispiel in einem Schritt S3-3 Steuerrechner- Konfigurationsinformationen bzw. Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 ermittelt. Anschließend erfolgt in einem Schritt S3-4 eine Analyse bzw. eine Auswer ^¬ tung der ermittelten Steuerrechner-Konfigurationsdaten, beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten.

In einem weiteren Schritt S3-5 wird durch die Sicherheits- Überprüfungseinheit 6 festgestellt, ob eine Abweichung zwi ^¬ schen den ermittelten Steuerrechner-Konfigurationsdaten und den Referenz-Konfigurationsdaten besteht oder nicht. Besteht eine Abweichung, werden beispielsweise in einem Schritt S3-6 die während des Produktion-Steuervorganges erzeugten Produkte bzw. Gegenstände als „Ausschuss" markiert. Dies kann gesche ^¬ hen, indem beispielsweise ein Produktionsserver 11 entsprechend benachrichtigt wird, wobei der Produktionsserver 11 ei ^¬ nen Teil eines Produktionsmanagementsystems bilden kann. Al ^¬ ternativ kann die Markierung der möglicherweise fehlerhaften Produkte geschehen, indem das negative Prüfergebnis in einen Datenträger eingeschrieben wird, der die hergestellten Produkte während des Produktionsvorganges begleitet. Wird im Schritt S3-5 umgekehrt keine Abweichung zwischen den Konfigu ^¬ rationsdaten des Produktion-Steuerrechners 5 und den Refe- renz-Konfigurationsdaten festgestellt, werden in einem

Schritt S3-7 die in dem Produktionsvorgang bzw. Herstellungs- prozess hergestellten Produkte als fehlerfrei markiert, indem man dies beispielsweise dem Produktionsserver 11 meldet oder eine entsprechende Meldung in den zugehörigen Datenträger einschreibt. Der Vorgang endet im Schritt S3-8.

Fig. 4 zeigt ein Ablaufdiagramm einer alternativen Variante des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners 5. Bei dieser Variante erfolgt eine Si ^¬ cherheitsüberprüfung während der Durchführung des Produktionsvorganges . In einem Schritt S4-0 startet der Produktion-Steuerrechner 5 den Produktion-Steuervorgang.

In einem Schritt S4-1 erfolgt die Durchführung der Steuerauf ^¬ gabe durch den Produktion-Steuerrechner 5, indem dieser bei- spielsweise Steuerbefehle an die Fertigungseinheit 4 abgibt.

In einem weiteren Schritt S4-2 erfolgt eine Ermittlung von Steuerrechner-Konfigurationsdaten durch die Sicherheitsüber- prüfungseinheit 6.

In einem weiteren Schritt S4-3 werden die ermittelten Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprü- fungseinheit 6 analysiert bzw. ausgewertet, wobei dies bei ^¬ spielsweise durch Vergleich mit Referenz-Konfigurationsdaten erfolgt, auf welche die Sicherheitsüberprüfungseinheit 6 Zugriff hat.

In einem weiteren Schritt S4-4 überprüft die Sicherheitsüberprüfungseinheit 6, ob eine Abweichung zwischen den Referenz- Konfigurationsdaten und den ermittelten Steuerrechner- Konfigurationsdaten besteht. Ist dies der Fall, kann beispielsweise im Schritt S4-5 ein Abbruch der Steueraufgabe durch die Sicherheitsüberprüfungseinheit 6 veranlasst werden und der Produktionsvorgang wird gestoppt. In einem weiteren Schritt S4-6 kann dann die bisher erzeugte Produktionscharge bzw. die bisher erzeugten und hergestellten Produkte als fehlerhaft markiert werden. Ergibt umgekehrt die Überprüfung in dem Schritt S4-4, dass keine Abweichung zwischen den Refe- renz-Konfigurationsdaten und den ermittelten Steuerrechner- Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktionsvorganges aufgetreten sind, wird in Schritt S4-7 geprüft, ob der Produktionssteuervorgang die jeweilige Produktionscharge abgeschlossen ist oder nicht. Ist der Pro ^¬ duktionsvorgang für die Produktionscharge, bei der eine Viel ^¬ zahl von Produkten bzw. Gegenständen hergestellt werden können, nicht abgeschlossen, kehrt der Vorgang zu Schritt S4-1 zurück und der Produktion-Steuerrechner 5 gibt den nächsten Steuerbefehl für den Produktion-Steuervorgang an die Fertigungseinheit 4 ab. Ist der Produktion-Steuervorgang für die Produktionscharge abgeschlossen, werden in einem Schritt S4-8 die produzierten bzw. hergestellten Gegenstände bzw. Produkte als fehlerfrei markiert. Der Vorgang endet im Schritt S4-9.

Ein Vorteil der in Fig. 4 dargestellten Vorgehensweise besteht darin, dass ein Produktionsvorgang zur Herstellung einer Produktionscharge bei der ersten auftretenden Abweichung in Schritt S4-5 abgebrochen werden kann, so dass nicht weite- re fehlerhafte und möglicherweise fehlerhafte Produkte durch einen nicht in einem integeren Zustand befindlichen Produktion-Steuerrechner hergestellt werden können. Hierdurch kann eine Verschwendung von Ressourcen vermieden werden. Weitere Varianten des erfindungsgemäßen Verfahrens zur Überwachung eines Produktion-Steuerrechners 5 sind möglich. Die Überwachung bzw. Sicherheitsüberprüfung kann vor, während o- der nach dem Herstellungsprozess zur Herstellung der Produkte erfolgen. Weiterhin muss die Sicherheitsüberprüfung nicht di- rekt durch Auswerten von Konfigurationsdaten des Produktion- Steuerrechners 5 erfolgen, sondern kann auch indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion- Steuerrechners 5 geschehen. Fig. 5 zeigt ein weiteres Ausführungsbeispiel für ein Produk ^¬ tionssystem 1 mit einem überwachten Produktion-Steuerrechner 5. Bei dieser Ausführungsvariante erfolgt die Sicherheits ^¬ überprüfung indirekt durch Beobachten eines Kommunikations- Verhaltens des Produktion-Steuerrechners 5. Das Produktions ^¬ system 1 in dem Ausführungsbeispiel der Fig. 5 weist mindes ^¬ tens eine Signalabzweigeinheit 14 auf, die Ein- und/oder Aus ^¬ gabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner 5' überträgt. Bei dem in Fig. 5 dargestellten Ausführungsbeispiel befindet sich die Signalabzweig ^¬ einheit 14 zwischen dem Produktion-Steuerrechner 5 und einer durch den Produktion-Steuerrechner 5 gesteuerten Fertigungs- einheit 4. Bei den abgezweigten Ein- und/oder Ausgabesignalen kann es sich um Steuersignale und Sensorsignale handeln. Der identisch implementierte zweite Produktion-Steuerrechner 5' erhält somit dieselben Ein- oder Ausgabesignale wie der über ^¬ wachte Produktion-Steuerrechner 5. Bei der in Fig. 5 darge- stellten Ausführungsvariante ist an dem zweiten identisch implementierten Produktion-Steuerrechner 5' eine Sicherheits- überprüfungseinheit 6 angeschlossen, welche die Sicherheits ^¬ überprüfung durchführt. Diese Sicherheitsüberprüfung kann durch Auswerten von Konfigurationsdaten des zweiten Produkti- on-Steuerrechners 5' direkt erfolgen oder indirekt durch Beo ^¬ bachten eines Kommunikationsverhaltens des zweiten Produkti ^¬ on-Steuerrechners 5' durch die Sicherheitsüberprüfungseinheit 6. Bei der in Fig. 5 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 eine externe Einheit, die beispielsweise über ein Netzwerk mit dem zweiten identisch implementierten Produktion-Steuerrechner 5' verbunden ist. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch integriert innerhalb des zweiten Produktion-Steuerrechners 5' befinden. Bei einer mög- liehen Ausführungsvariante erhält die Sicherheitsüberprü- fungseinheit 6, wie sie in Fig. 5 dargestellt ist, auch die Ein- und/oder Ausgabesignale, welche von der Signalabzwei ^¬ geeinheit 14 geliefert werden, um indirekt das Kommunikati ^¬ onsverhalten des zweiten Produktion-Steuerrechners 5' mit zu überwachen und auszuwerten. Bei einer möglichen Variante ist der zweite Produktion-Steuerrechner 5' physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut. Bei einer alternativen Ausführungsform ist der zweite Produktion- Steuerrechner 5' virtuell gleich zu dem überwachten Produktion-Steuerrechner 5 auf einem Server bzw. Rechner implementiert . Fig. 6 zeigt ein spezifisches Ausführungsbeispiel des erfin ^¬ dungsgemäßen Systems mit einem überwachten Produktion- Steuerrechner 5. Bei dem in Fig. 6 dargestellten Ausführungsbeispiel weist der Produktion-Steuerrechner 5 eine CPU 5A, einen Programmspeicher 5B, insbesondere eine Festplatte oder Festspeicher, einen Arbeitsspeicher 5C und eine Ein-

/Ausgabeeinheit 5D bzw. eine Schnittstelle auf. Die Ein- /Ausgabeeinheit 5D des Produktion-Steuerrechner 5 ist bei ^¬ spielsweise über einen lokalen Bus mit einer Fertigungseinheit 4 verbunden, die über Aktoren A und Sensoren S verfügt. Weiterhin weist die Ein-/Ausgabeeinheit 5D des Produktion- Steuerrechners 5 eine Kommunikationsschnittstelle auf, bei ^¬ spielsweise eine serielle Schnittstelle mit einem Netzwerk, die mit dem in Fig. 1 dargestellten Industrienetzwerk 3 verbunden sein kann. In dem in Fig. 6 dargestellten Ausführungs- beispiel erfasst die Signalabzweigeinheit 14 Ein- und/oder

Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungs ^¬ frei z.B. mittels einer transparenten Erfassungseinheit TCU (transparent capturing unit) , indem sie die auf dem lokalen Bus 2 zwischen der Eingabe-/Ausgabeeinheit 5D und der gesteu- erten Fertigungseinheit 4 übertragenen bzw. ausgetauschten Signale abgreift. Die abgegriffenen Signale können von der transparenten Erfassungseinheit 14A in einem lokalen Zwischenspeicher 14B der Abzweigeinheit 14 zwischengespeichert werden. Von einer Kommunikationseinheit 14C der Abzweigein- heit werden anschließend die gegebenenfalls zwischengespei ^¬ cherten abgezweigten Signale an eine Ein-/Ausgabeeinheit 5D' des Überwachungs-Produktion-Steuerrechners 5' übertragen. Der Überwachungs-Produktion-Steuerrechner 5' kann bei einer möglichen Ausführungsform physikalisch und identisch zu dem Pro- duktion-Steuerrechner 5 aufgebaut sein. Wie in Fig. 6 dargestellt, weist der zweite Produktion-Steuerrechner bzw. der Überwachungs-Produktion-Steuerrechner 5' ebenfalls eine CPU 5Α' , einen Programmspeicher 5B' , einen Arbeitsspeicher 5C auf. In den Speichern 5B' , 5C können Konfigurationsdaten des überwachten Produktion-Steuerrechners 5 z.B. über eine sepa ^¬ rate Schnittstelle kopiert werden. Bei dem Überwachungs- Produktion-Steuerrechner 5' handelt es sich gewissermaßen um einen gedoppelten Produktion-Steuerrechner, der mit den gleichen Eingabesignalen beaufschlagt wird wie der überwachte Produktion-Steuerrechner 5 und die gleichen Ausgabesignale bzw. Steuersignale generiert. Der gedoppelte Produktion- Steuerrechner 5' wird durch die Sicherheitsüberprüfungsein- heit 6 auf seinen integeren Zustand hin überwacht. Die Si ^¬ cherheitsüberprüfungseinheit 6 überprüft, ob der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' während des Produktionsvorganges nicht manipuliert ist. Bei einer mögli ^¬ chen Ausführungsform, wie sie in Fig. 6 dargestellt, erhält die Sicherheitsüberprüfungseinheit 6 einen Referenz- Datenspeicher 6A zum Abspeichern von Referenzdaten und eine Vergleichseinheit bzw. Prüfeinheit 6B, welche die gespeicher ^¬ ten Referenzdaten mit den Konfigurationsdaten des Produktion- Steuerrechners 5' vergleicht. Diese Konfigurationsdaten kön- nen aus den Speichern 5B' , 5C des Überwachungs-Produktion- Steuerrechners 5' ausgelesen werden. Abhängig von dem Prüfer- gebnis bewertet die Signalüberwachungseinheit 6, ob der Pro ^¬ duktionssteuervorgang durch den überwachten Produktion- Steuerrechner 5 in einem integeren Zustand durchgeführt wor- den ist oder nicht. Der gedoppelte bzw. Überwachungs- Produktion-Steuerrechner 5' kann wie in Fig. 6 dargestellt in Hardwareimplementiert und physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut sein. Alternativ kann es sich bei dem Überwachungs-Produktion-Steuerrechner 5' um einen virtuellen Steuerrechner handeln, das heißt ein

Steuerrechner, der als virtuelle Maschine auf einem Hypervi- sor ausgeführt wird, beispielsweise auf einem PC oder einem Server. Abhängig von dem Prüfergebnis , welches durch die Sig ^¬ nalüberprüfungseinheit 6 geliefert wird, kann eine Fehlerbe- handlung erfolgen. Eine Fehlerbehandlung kann beispielsweise das Abgeben eines Alarmsignals umfassen. Ferner ist es mög ^¬ lich, dass der gesamte Herstellungsprozess zur Herstellung der Produkte durch die Fertigungseinheit 4 sofort oder verzö- gert angehalten wird. Weiterhin kann eine Qualitätssiche ^¬ rungsmaßnahme nach Abschluss des Herstellungsprozesses für die hergestellten Produkte vorgenommen werden. Weiter ist es möglich, dass die Sicherheitsüberprüfungseinheit 6 eine Fehl- erbenachrichtung an ein Produktion-Managementsystem abgibt. Bei einer weiteren alternativen Ausführungsform kann die Sicherheitsüberprüfungseinheit 6 das Einschreiben einer Fehler ^¬ nachricht in einem oder in mehrere die hergestellten Produkte begleitende Datenträger veranlassen. Hierfür können die her- gestellten Produkte jeweils einzeln oder als Gruppe mit einem Speichermodul oder einem RFID-Chip versehen sein. Wird ein Sicherheitsproblem durch die Sicherheitsüberprüfungseinheit 6 erkannt, so kann die betroffene Produktcharge geeignet wei ^¬ terbehandelt werden, beispielsweise als Ausschuss oder es können zusätzliche Prüfungen zu Qualitätssicherungen vorgenommen. Falls bereits während der Durchführung der Produkti ^¬ on-Steueraufgabe in einer Sicherheitsüberprüfung ein Sicherheitsproblem erkannt wird, so kann auch direkt ein Abbruch des Herstellungsprozesses erfolgen oder ein Wechsel in einem betriebssicheren Zustand z.B. durch Erzeugen eines Notaus- Signals. Bei einer möglichen Ausführungsform erhält der Überwachungs-Produktion-Steuerrechner 5' Eingabesignale abgesehen von einer SignalleitZeitverzögerung zeitgleich wie der überwachte Produktion-Steuerrechner bzw. synchron zu dem über- wachten Produktion-Steuerrechner. Bei einer alternativen Ausführungsform erhält der zweite Produktion-Steuerrechner 5' die Ein- bzw. Ausgabesignale asynchron. Da der zweite Überwa ^¬ chungs-Produktion-Steuerrechner 5' denselben Randbedingungen wie der erste zu überwachende Produktion-Steuerrechner 5 aus- gesetzt ist, können auf ihm ohne Störung oder Beeinflussung des Produktionsvorganges Sicherheitsüberprüfungen durchge ^¬ führt werden, beispielsweise ein Virenscanner, ein Sicherheitsmonitoring kritischer Speicherbereiche sowie eine Überwachung, ob die Betriebssystemdateien des Überwachungs- Produktion-Steuerrechners 5' modifiziert werden. Bei einer möglichen Variante wird der erste Produktion-Steuerrechner 5 zweimal mit den gleichen Eingabesignalen beaufschlagt, wobei einmal die Durchführung im Realbetrieb erfolgt und das andere Mal in einem simulierten Betrieb ohne reale Produktion. Wird bei der Sicherheitsüberprüfung ein kritischer Zustand erkannt, so wird bei einer möglichen Ausführungsform der Produktion-Steuerrechner 5 bzw. der Produktionsvorgang in einem sicheren Betriebsmodus überführt bzw. gefahren, so dass keine Gefährdung in dem realen Produktionssystem auftritt.

Das Datenimage für den zweiten Produktion-Steuerrechners 5' bzw. die Konfigurationsdaten sind vorzugsweise identisch mit dem Datenimage für den ersten Produktion-Steuerrechner. Bei einer möglichen Ausführungsform kann das Datenimage bzw. die abgezogenen Konfigurationsdaten modifiziert werden, indem zusätzlich das Datenimage eines Virenscanners, eines Personal- Firewalls oder eines Intrusion Detection Systems installiert werden. Möglich ist, dass auch innerhalb der Laufzeitumgebung des zweiten Produktion-Steuerrechners ein Sicherheitsproblem erkannt werden kann. Weiterhin ist es möglich, dass auf dem zweiten Produktion-Steuerrechners 5' ein oder mehrere Si ^¬ cherheitspatches beispielsweise Bildbetriebssystemupdates in- stalliert werden. Bei einer weiteren Variante werden zwei Da ^¬ tenimages bzw. Konfigurationsdatenkopien erzeugt, wobei ein zweiter und gegebenenfalls ein zusätzlich dritter Rechner mit den erfassten Signalen beaufschlagt wird. Dabei kann bei ^¬ spielsweise ein Datenimage identisch sein zu dem des ersten Produktion-Steuerrechner und das andere Datenimage wie oben beschrieben modifiziert werden. Bei dieser Ausführungsvariante ist es möglich, einen Vergleich der Ausgangssignale der beiden virtuellen Rechner durchzuführen. Bei einer Abweichung wird dann ein Sicherheitsproblem erkannt. Bei einer möglichen weiteren Variante können im Parallelbetrieb in dem zweiten virtuellen Produktion-Steuerrechner Betriebssystem-Updates oder Applikationspatches installiert werden, um dabei im rea ^¬ len Produktionsbetrieb parallel zum ersten Rechner den Ein- fluss neuer Patches bzw. Updates auf die generelle Funktiona- lität des ersten Produktion-Steuerrechners 5 beobachten zu können. Nach einer definierten Testzeit können die Updates bzw. Patches dann in einer Maintenance bzw. Wartungsphase auf dem ersten Produktion-Steuerrechner 5 vorgenommen werden. Bei einer weiteren Ausführungsvariante verfügt der erste Pro ^¬ duktion-Steuerrechner 5 über vorgegebene Hardware-basierte Sicherheitsmittel beispielsweise TPM, die zu einem Initiali- sierungszeitpunkt beispielsweise beim Booten des ersten Pro ^¬ duktion-Steuerrechners 5 die Plattform auf eventuelle Ände ^¬ rungen untersucht und das Ergebnis als Integrity Check Value ICV an den zweiten Produktion-Steuerrechner übermittelt. Der zweite Produktion-Steuerrechner 5' kann dann zusätzlich zu den oben beschriebenen Auswertungen auch das Prüfergebnis ICV mit einem zuletzt gespeicherten ICV-Prüfergebnis vergleichen und bei Abweichungen den ersten Produktion-Steuerrechner 5 in einen sicheren Zustand bringen. Bei einer möglichen Variante kann diese Überprüfung mittels Integrity Check Values ICV auch im laufenden Betrieb wiederholt erfolgen.

Fig. 7 zeigt ein Diagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zur Überwachung mindestens eines Produktion-Steuerrechners 5. In dem dargestellten Zeit- ablauf werden drei Herstellungsprozesse bzw. Produktionsvor ^¬ gänge durchgeführt. Zu unterschiedlichen Zeitpunkten werden Prüfergebnisse von der Sicherheitsüberprüfungseinheit 6 er ^¬ mittelt. Diese Sicherheitsüberprüfungsergebnisse werden dabei einem Produktionsschritt zugeordnet. Bei einer möglichen Aus- führungsform wird ein Zeitfenster ermittelt, zu dem die Produktion-Steuervorgänge durchgeführt werden. Gegebenenfalls kann auch ein modifiziertes Zeitfenster ermittelt werden, beispielsweise indem durch einen Zeitraum vor und nach Durchführung des Produktionsvorganges berücksichtigt wird, bei- spielsweise eine Minute, eine Stunde oder ein Tag. Es kann dann untersucht werden, ob in dem für eine erzeugte Produkti ^¬ onseinheit bzw. eine Produktionscharge in den verwendetem Zeitfenster ein negatives Prüfergebnis vorliegt. Falls ja, können die erzeugten Produkte bzw. die gesamte Produktions- Charge als fehlerhaft bzw. potentiell fehlerhaft markiert werden . Für jede Produktionsaufgabe bzw. für jeden Produktion- Steuervorgang kann ein StartZeitpunkt und ein Endezeitpunkt ermittelt bzw. festgelegt werden. Das Prüfintervall für die ^¬ sen Produktion-Steuervorgang erstreckt sich in diesem Bei- spiel auf einen für die Produktionsaufgabe relevanten Zeit ^¬ raum .

Im ersten Beispielfall, das heißt dem Produktion- Steuervorgang 1, liegen bei dem dargestellten Beispiel Mel- düngen vor, die angeben, dass während des Produktion- Steuervorganges keine auffälligen Prüfergebnisse ermittelt wurden. Die in dem ersten Produktion-Steuervorgang 1 erzeugten Produkte werden daher als ordnungsmäßig hergestellt ge ^¬ kennzeichnet .

In dem zweiten Beispielfall, das heißt der Produktion- Steueraufgäbe 2, liegen für einen Zeitraum etwa in der Mitte des Produktion-Steuervorganges keine Prüfergebnisse vor. Da ^¬ her kann bei diesem Beispiel nicht mit hinreichender Zuver- lässigkeit eine Aussage darüber getroffen werden, ob die in der zweiten Produktionsaufgabe erzeugten Produkte fehlerhaft hergestellt worden sind oder nicht. Daher werden die während des zweiten Produktion-Steuervorgangs erzeugten Produkte als möglicherweise fehlerhaft gekennzeichnet.

In dem dritten Beispielfall, das heißt dem Produktion- Steuervorgang 3 werden in einem Zeitraum etwa in der Mitte der Produktion-Steueraufgäbe negative Ergebnisse bzw. Fehler ^¬ meldungen generiert, das heißt der zugehörige Produktion- Steuerrechner wird durch die zugehörige Sicherheitsüberprü- fungseinheit als fehlerhaft erkannt. Die in dem dritten Pro ^¬ duktion-Steuervorgang 3 erzeugten Produkte bzw. Gegenstände werden daher als fehlerhaft hergestellt gekennzeichnet. Mit dem erfindungsgemäßen Verfahren und System können schadhafte Auswirkungen infolge eines Angriffs auf einen Produktion- Steuerrechner vermieden bzw. die Auswirkungen reduziert werden. Möglicherweise schadhafte Produkte bzw. Gegenstände kön ^¬ nen entsprechend markiert bzw. gekennzeichnet werden, so dass sie im Nachgang entweder als Ausschuss aussortiert werden o- der weiteren als Sicherheitsüberprüfungen im Zuge einer Qualitätssicherungsmaßnahme unterzogen werden. Ein in Echtzeit arbeitender echtzeit-kritischer Produktion- Steuerrechner 5 kann mit Hilfe eines virtuellen Doppels zwei Sicherheitsanalysen unterzogen werden, ohne dass der operative Betrieb des Produktion-Steuerrechners 5 gestört wird. Die erfindungsgemäße Vorrichtung bzw. das erfindungsgemäße System zur Integritätsüberwachung eines Produktion-Steuerrechners 5 eignet sich für jegliche Fertigung bzw. Herstellung von Gegenständen bzw. Produkten. Bei den Produkten kann es sich um materielle Gegenstände, aber auch um immaterielle Gegenstän ^¬ de, beispielsweise Dateien oder dergleichen handeln.