Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul und Attestierungseinrichtung

Die Erfindung betri f ft ein Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul zur Überwachung einer Betriebs zuverlässigkeit sowie eine Attestierungseinrichtung .

Für industrielle Steuergeräten und eingebettete Systeme werden regelmäßig sogenannte Watchdogs eingesetzt . Solche Watchdogs sind Überwachungsmodule , welche eine Betriebs zuverlässigkeit einer Komponente oder eines Systems , etwa der industriellen Steuergeräte oder der eingebetteten Systeme , überwachen . Dazu erfassen die Überwachungsmodule fortlaufend, d . h . ununterbrochen oder wiederholt , ein Betriebs zuverlässigkeitssignal . Ein Ausbleiben eines solchen Betriebs zuverlässigkeitssignals deutet auf eine Fehl funktion der überwachten Komponente hin . Die Überwachungsmodule sind daher meist ausgebildet , bei einem Ausbleiben eines Betriebs zuverlässigkeitssignals die Komponente oder das System in einen sicheren Zustand zu versetzen, also vorzugsweise herunterzufahren, sicher abzuschalten, einen sicheren Betriebsmodus wie insbesondere einen Fail-Saf e-Betriebsmodus herbei zuführen oder einen Neustart der Komponente oder des Systems herbei zuführen .

In of fenen, flexibel anpassbaren industriellen Automatisierungs-Umgebungen müssen solche Überwachungsmodule ebenso flexibel nutzbar und anpassbar sein . Dies betri f ft insbesondere solche Anwendungs fälle , in welchen Steuergeräte virtualisiert und computerimplementiert realisiert werden, sodass die Funktionalität der Steuergeräte auf einer Standard-Computer- Plattform ausgeführt wird, etwa als virtuelle Maschine , als Container oder als Softwareprozess . Es besteht folglich ein Bedarf an einem verlässlichen Betrieb von of fenen, virtualisierten Automatisierungssystemen, welche Überwachungsmodulen aufweisen .

Es ist daher Aufgabe der Erfindung, ein verbessertes Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul anzugeben . Insbesondere soll das Verfahren die Betriebssicherheit von Automatisierungssystemen erhöhen, vorzugsweise von of fenen und virtualisierten Automatisierungssystemen . Ferner ist es Aufgabe der Erfindung, eine Attestierungseinrichtung anzugeben, mit welcher das verbesserte Verfahren durchgeführt werden kann .

Diese Aufgabe der Erfindung wird mit einem Verfahren zum Betrieb eines Automatisierungssystems mit den in Anspruch 1 angegebenen Merkmalen sowie mit einer Attestierungseinrichtung mit den in Anspruch 9 angegebenen Merkmalen gelöst . Bevorzugte Weiterbildungen der Erfindung sind in den zugehörigen Unteransprüchen, der nachfolgenden Beschreibung und der Zeichnung angegeben .

Das erfindungsgemäße Verfahren dient zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul , also zum Betrieb eines Automatisierungssystems , das mindestens ein Überwachungsmodul aufweist . Dabei ist das Überwachungsmodul j eweils ausgebildet , zur Überwachung einer Betriebs zuverlässigkeit j e eines Teils des Automatisierungssystems fortlaufend ein Betriebs zuverlässigkeitssignal des Teils des Automatisierungssystems zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen . Bei dem erfindungsgemäßen Verfahren wird ein Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls kryptographisch geschützt attestiert . Vorzugsweise wird dabei der Zustand der Erfassung des Betriebszuverlässigkeitssignals nicht durch das mindestens eine Überwachungsmodul selbst attestiert . Unter einem Betriebs zuverlässigkeitssignal ist im Rahmen der vorliegenden Erfindung ein Signal zu verstehen, welches einen zuverlässigen Betriebs zustand des Teils des Automatisierungssystems angibt , insbesondere eine Positivbestätigung eines die Betriebs zuverlässigkeit dieses Teils des Automatisierungssystems überwachenden Watchdogs .

Mit dem erfindungsgemäßen Verfahren kann der aktuelle Zustand des mindestens einen Überwachungsmoduls auch auf einem externen System infolge der kryptographischen Attestierung verlässlich ausgewertet werden . Dadurch können bei einer festgestellten Beeinträchtigung der Betriebs zuverlässigkeit des Teils des Automatisierungssystems einzuleitende Maßnahmen auf anderen Teilen des Automatisierungssystems eingeleitet werden als j enem, auf dem das mindestens eine Überwachungsmodul realisiert oder implementiert ist . Es ist nicht wie bei herkömmlichen Überwachungsmodulen erforderlich, dass das Überwachungsmodul selbst über direkte , lokale elektrische Signale einen Reboot des von ihm überwachten Teils des Automatisierungssystems anstoßen können muss . Daher kann das erfindungsgemäße Verfahren vorteilhaft in of fenen, verteilten und insbesondere softwarebasierten und/oder virtualisierten Automatisierungssystemen angewandt werden . Zweckmäßig können von Überwachungsmodulen überwachte Teile des Automatisierungssystems virtualisierte PLCs auf Industrial Edge oder 5G- basierten Computing Plattformen sein . Idealerweise wird das erfindungsgemäße Verfahren nicht von dem mindestens einen Überwachungsmodul selbst ausgeführt .

Bei dem erfindungsgemäßen Verfahren wird der Zustand der Erfassung des mindestens einen Überwachungsmoduls zweckmäßig derart kryptographisch attestiert , dass der Zustand der Erfassung in einer Datenstruktur dokumentiert wird und die Datenstruktur kryptographisch geschützt wird . Zweckmäßig wird die Datenstruktur kryptographisch geschützt , indem die Datenstruktur digital signiert wird und/oder verschlüsselt wird und/oder ein Prüfwert , insbesondere ein Hashwert , der Datenstruktur geschützt hinterlegt wird . Besonders vorteilhaft kann eine kryptographisch geschützte Datenstruktur wie insbesondere ASN . l und/oder XML-Encryption/XML-Signature und/oder JSON Web Encryption JWE und/oder Veri fiable Credential herangezogen werden .

Das erfindungsgemäße Verfahren lässt sich vorteilhaft mit einer Hardwarekomponente oder ebenfalls vorteilhaft mit einem Computerprogrammprodukt durchführen . So kann das erfindungsgemäße Verfahren vorteilhaft mit einer Firmware ausgeführt werden, die innerhalb einer vertrauenswürdigen Aus führungsumgebung, etwa einem „ Trusted Executi on Environment ( TEE ) , realisiert ist . Das Computerprogrammprodukt kann zweckmäßig als Software , insbesondere als virtuelle Maschine oder als Container oder als App, realisiert sein, die vorzugsweise in einer Cloud- oder Edge-Aus führungsumgebung ausgeführt wird .

Vorzugsweise ist bei dem erfindungsgemäßen Verfahren das mindestens eine Überwachungsmodul ausgebildet , im Falle , dass eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt wird, den Teil in einen sicheren Betriebs zustand zu versetzen . Zweckmäßig bildet bei dem erfindungsgemäßen Verfahren das mindestens eine Überwachungsmodul einen Watchdog .

Bevorzugt gibt bei dem Verfahren gemäß der Erfindung der Zustand der Erfassung des Betriebs zuverlässigkeitssignals an, ob das Betriebs zuverlässigkeitssignal ausbleibt . Somit wird zumindest ein solcher Zustand der Erfassung kryptographisch attestiert , der einen unzuverlässigen Betriebs zustand angibt oder zumindest potenziell angibt . Mittels des erfindungsgemäßen Verfahrens können vorteilhaft Maßnahmen ergri f fen werden, um die Zuverlässigkeit des Betriebs wieder herzustellen oder zumindest den betref fenden Teil des Automatisierungssystems in einen sicheren Betriebs zustand zu versetzen . Besonders bevorzugt werden bei dem erfindungsgemäßen Verfahren diese Maßnahmen ergri f fen, wenn das Betriebs zuverlässigkeitssignal ausbleibt . In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens gibt der Zustand der Erfassung des Betriebs zuverlässigkeitssignals an, seit welchem Zeitpunkt das Betriebs zuverlässigkeitssignal ausbleibt oder zu welchem Zeitpunkt das letzte Betriebs zuverlässigkeitssignal erfasst worden ist oder ob eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt ist . Anhand der detaillierten Information über den Zustand der Erfassung kann bei dem erfindungsgemäßen Verfahren eine Plausibilitätsprüfung des Zustands der Erfassung erfolgen, bevor er kryptographisch geschützt attestiert wird .

Bei dem erfindungsgemäßen Verfahren wird bevorzugt mit einem solchen Teil des Automatisierungssystems kryptographisch gesichert attestiert , dessen Betriebs zuverlässigkeit nicht von dem mindestens einen Überwachungsmodul überwacht wird .

In einer bevorzugten Weiterbildung des Verfahrens gemäß der Erfindung erfolgt der Betrieb eines solchen Automatisierungssystems , welches zwei oder mehrere Überwachungsmodule aufweist , wobei j eweils ein Zustand der Erfassung des Betriebszuverlässigkeitssignals der zwei oder mehreren Überwachungsmodule kryptographisch geschützt attestiert wird . Auf diese Weise können bei dem erfindungsgemäßen Verfahren die Zustände mehrerer Überwachungsmodule gemeinsam berücksichtigt werden .

Besonders bevorzugt wird bei dem erfindungsgemäßen Verfahren ermittelt , ob eine Beeinträchtigung der Betriebs zuverlässigkeit von allen Überwachungsmodulen oder von einer Mindestanzahl der Überwachungsmodule oder von einem Mindestanteil der Überwachungsmodule festgestellt wird .

In dieser Weiterbildung des erfindungsgemäßen Verfahrens kann geprüft werden, ob die Zustände der Erfassung von Betriebs zu- verlässigkeitssignalen eines Überwachungsmoduls mit den Zuständen anderer Überwachungsmodule übereinstimmen . Insbesondere kann mittels des erfindungsgemäßen Verfahrens eine Attestierung eines Zustands der Erfassung eines Betriebs zuverlässigkeitssignals dann erfolgen, wenn die Zustände innerhalb eines Zeitfensters von mehreren Überwachungsmodulen übereinstimmen, vorzugsweise wenn die Zustände von einer Mindestanzahl von Überwachungsmodulen oder einem Mindestanteil von Überwachungsmodulen oder sämtlichen Überwachungsmodulen miteinander übereinstimmen . Vorzugweise ist unter einem Zustand ein solcher Zustand zu verstehen, welcher eine Beeinträchtigung der Betriebs zuverlässigkeit angibt oder nicht .

Bei dem Verfahren gemäß der Erfindung umfasst der Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls vorzugsweise j eweils zumindest eine Identi fi zierungsinformation des mindestens einen Überwachungsmoduls . Auf diese Weise kann eine Zuverlässigkeit des Zustands abhängig von der Identi fi zierungsinformation beurteilt werden .

Bevorzugt wird bei dem erfindungsgemäßen Verfahren abhängig vom kryptographisch geschützt attestierten Zustand der Teil des Automatisierungssystems , dessen Betriebs zuverlässigkeit mit dem mindestens einen Überwachungsmodul überwacht wird, in einen sicheren Betriebs zustand versetzt oder heruntergefahren oder neugestartet .

Das erfindungsgemäße Attestierungsmodul ist ausgebildet zur Attestierung eines Zustands eines oder mehrerer Überwachungsmodule , die ihrerseits ausgebildet sind, zur Überwachung einer Betriebs zuverlässigkeit eines Teils eines Automatisierungssystems fortlaufend ein Betriebs zuverlässigkeitssignal des Teils des Automatisierungssystems zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen . Das erfindungsgemäße Attestierungsmodul ist ausgebildet , einen Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls kryptographisch geschützt zu attestieren .

Bevorzugt ist das erfindungsgemäße Attestierungsmodul nicht mit einem solchen Teil des Automatisierungssystems implemen- tiert , dessen Betriebs zuverlässigkeit mit einem der Überwa- chungsmodule überwacht wird . Auf diese Weise kann eine mangelnde Zuverlässigkeit des Teils , auf welchem das Überwa- chungsmodul implementiert ist , sich nicht auf das erfindungsgemäße Attestierungsmodul auswirken .

Vorzugsweise ist das erfindungsgemäße Attestierungsmodul ausgebildet , Verfahrensschritte der zuvor beschriebenen Weiterbildungen des erfindungsgemäßen Verfahrens aus zuführen .

Nachfolgend wird die Erfindung anhand eines in der Zeichnung dargestellten Aus führungsbeispiels näher erläutert . Die einzige Zeichnungs figur 1 zeigt ein Automatisierungssystem mit einer erfindungsgemäßen Attestierungseinrichtung und mehreren Überwachungsmodulen bei der Durchführung eines Aus führungsbeispiels des erfindungsgemäßen Verfahrens schematisch in einer Prinzipski z ze .

Zeichnungs figur 1 zeigt einen Betrieb eines verteilten und teilweise virtualisierten industriellen Automatisierungssystems AUT in Gestalt eines cyber-physischen Systems ( engl . „cyber physical system" ) , welches im dargestellten Aus führungsbeispiel zugleich ein Internet-der-Dinge-System bildet .

Zum Betrieb des Automatisierungssystems AUT werden mehrere Überwachungsmodule WDA genutzt , welche j eweils eine Zuverlässigkeit eines Betriebs einer Komponente des Automatisierungssystems AUT überwachen . Dazu erfassen die Überwachungsmodule WDA j eweils fortdauernd eine Betriebs zuverlässigkeitsinformation in Form von Positivbestätigungen WDRes .

Die Überwachungsmodule WDA sind im gezeigten Aus führungsbeispiel zur Überwachung eines Feldgeräts FD des Automatisierungssystems AUT sowie zur Überwachung der Betriebssicherheit einer Umgebungsbedingung der physikalischen Umgebung PW, etwa einer Temperaturbedingung, sowie zur Überwachung einer speicherprogrammierbaren Steuerung vPLC einer Edge-Computing- Plattform ECP sowie einer weiteren Komponente der Edge- Computing-Platt f orm ECP eingerichtet .

Beim Ausbleiben der Positivbestätigung WDRes geben die Über- wachungsmodule WDA ein Alarmsignal . Die Überwachungsmodule sind in an sich bekannter Weise als Watchdogs realisiert . Die Watchdogs erfassen fortdauernd Positivbestätigungen der Komponenten, deren Betriebs zuverlässigkeit sie überwachen . Die Überwachungsmodule WDA sind im gezeigten Aus führungsbeispiel logische Überwachungsmodule WDA, d . h . die Überwachungsmodule WDA bilden Apps oder Computerprogramme auf den j eweiligen Komponenten, etwa dem Feldgerät FD, der Edge-Computing- Plattform ECP oder sonstigen Teilen des Automatisierungssystems AUT .

Bei einem Auftreten eines solchen Alarmsignals eines Überwa- chungsmoduls WDA ist die j eweilige Komponente FD oder vPLC oder das gesamte Automatisierungssystem AUT in einen sicheren Betriebsmodus zu bringen . Alternativ kann das Automatisierungssystem AUT neu gestartet werden oder sicher heruntergefahren werden .

Zur Beurteilung einer Zuverlässigkeit der Überwachungsmodule WDA weist das Automatisierungssystem AUT eine Attestierungseinrichtung AW auf . Die Attestierungseinrichtung AW erfasst Positivbestätigungen WDRes der Überwachungsmodule WDA. Die Attestierungseinrichtung prüft , ob die j eweiligen Positivbestätigungen WDRes der Überwachungsmodule WDA j eweils hinreichend gültig sind, d . h . nicht länger zurückliegen als eine vorgegebene Höchstdauer . Unterschiedliche Überwachungsmodule WDA weisen dabei eine j eweils eigene Höchstdauer auf .

Die Attestierungseinrichtung AW trägt die erfassten Positivbestätigungen WDRes j edes Überwachungsmoduls WDA in eine Zustandsliste in einem Zustandsspeicher WDS ein und signiert diese Zustandsliste digital mittels eines Attestierungsschlüssels AF . Die digital signierte Zustandsliste bildet eine kryptographische Attestierung WDAtt des Zustands der Er- fassung der Betriebs zuverlässigkeit durch die Überwachungsmo- dule WDA. Die Attestierungseinrichtung AW kann die Zustandsliste vor dem Signieren vorverarbeiten, beispielsweise filtern oder anonymisieren oder pseudonymisieren .

Die Attestierung WDAtt der Attestierungseinrichtung AW kann beispielsweise zudem eine Aktualitätsinformation aufweisen, etwa einen Zeitstempel oder einen Nonce-Wert oder einen Chal- lenge-Wert . Zudem kann die Attestierung WDAtt eine Information zu dem Gerät oder der Aus führungsumgebung aufweisen, auf dem oder der die Attestierungseinrichtung AW realisiert ist . Im gezeigten Aus führungsbeispiel ist die Attestierungseinrichtung AW als logische Attestierungseinrichtung AW auf Rechnerressourcen des Automatisierungsnetzwerks AUT realisiert .

Andere Rechnerressourcen des Automatisierungsnetzwerks AW als j ene , auf welchem die Attestierungseinrichtung AW realisiert ist , können abhängig von der kryptographisch geschützten Attestierung WDAtt eine Aktion durchführen oder anstoßen . Im dargestellten Fall stößt eine Monitoring-App AUTM des Automatisierungssystems AUT in einem Cloud-Backend CCP eine Aktion auf einer speicherprogrammierbaren Steuerung vPLC der Edge- Computing-Platt f orm ECP an . Zudem wird das Automatisierungssystem AUT mittels der Monitoring-App AUTM in einen sicheren Betriebs zustand versetzt .