Dynamisches Zertifikatsmanagement zur Laufzeit einer technischen Anlage

Die Erfindung betrifft ein Leitsystem für eine technische Anlage, insbesondere eine Fertigungs- oder Prozessanlage. Außerdem betrifft die Erfindung ein Verfahren zum Verwalten von Zertifikaten einer technischen Anlage mittels eines Leitsystems. Zudem betrifft die Erfindung die Verwendung eines Leitsystems zum Betrieb einer technischen Anlage.

Eine Registrierungsstelle (engl. Registration Authority, kurz: RA) hat als eine zentrale Komponente einer Public Key Infrastruktur (PKI) einer Automatisierungsanlage insbesondere die Aufgabe, die Zertifikatsanträge (engl. Certificate Signing Requests, kurz: CSR) von diversen Anlagenkomponenten entgegenzunehmen und sie zu validieren. Eine solche Registrierungsstelle ist beispielsweise in der EP 3 402 152 Al beschrieben .

Wird für das Zertifikatsmanagement der Automatisierungsanlage ein Standardprotokoll (z.B. CMP nach RFC4210) verwendet, kann es sich bei den Zertifikatsanträgen um Anträge zwecks der initialen Beantragung (Bootstrapping) oder Erneuerung (Update) handeln. Beim Bootstrapping wird der Zertifikatsantrag in der Regel mit dem Gerätezertifikat (engl. Manufacturer Device Certificate, kurz: MDC) signiert, während beim Update das zuletzt ausgestellte operative Zertifikat (engl. Operating Certificate, kurz: OC) zum Signieren verwendet wird. An dieser Stelle sei bemerkt, dass alternativ oder zusätzlich zum Gerätezertifikat, welches während der Fertigung von einer Hersteller-Zertifizierungsstelle (engl. Certification Authority, kurz: CA) ausgestellt wird, ein sogenanntes Kundenzertifikat (engl. Customer Device Certificate, kurz: CDC) verwendet werden kann, welches das Gerät nach einer entsprechen- den Prüfung in der Automatisierungsanlage (des Kunden) erhalten hat .

Der Registrierungsstelle, die einen Zertifikatsantrag validiert, liegt beim Bootstrapping (d.h. dem initialen Ausrollen) eines CDC oder eines OC das entsprechende MDC oder CDC des Antragstellers und bei der Erneuerung dieses Zertifikats das für den Antragsteller zuletzt ausgestellte OC vor. In einem erstrebenswerten Ausführungsszenario beantragen die Anlagenkomponenten, die die sog. operativen Zertifikate für die Nutzung von verschiedenen sicheren Protokollen wie z.B. TLS, OPC UA benötigten, diese Zertifikate selbst. Dabei richtet eine Anlagenkomponente in der Rolle eines Clients bzw. eines Antragstellers ihren Antrag an eine Registrierungsstelle, die den Antrag validiert und an eine Zertifizierungsstelle weiterleitet. Die Zertifizierungsstelle befindet sich beispielsweise in der Anlage ( „Onsite-CA" ) oder einem Trust Center

( „Of f site-CA" oder „CA as a Service") . Dabei ist die Adresse der Registrierungsstelle (die beispielsweise bei der Nutzung von HTTP/HTTPS als Transportprotokoll zur Übertragung von Zertifikatsanträgen unter Verwendung des CMP-Protokolls durch eine URL repräsentiert wird) in der Regel in der Konfigurationsdatei der Anlagenkomponente auf geführt. Zusätzlich können auch weitere Angaben (z.B. der Port, über den die RA angesprochen werden darf) in der Konfiguration mitberücksichtigt werden .

Es ist nicht notwendig und in bestimmten Umgebungen sogar zu unterbinden, dass Geräte einer Automatisierungsanlage miteinander kommunizieren können, wenn es durch die Projektierung der Anlage nicht vorgesehen ist. Zudem können nicht notwendige, aber offene (und somit mögliche) Kommunikationsbeziehungen die Sicherheit, die Stabilität und die Verfügbarkeit eines Leitsystems der Automatisierungsanlage unnötig einschränken . Des Weiteren können ( gemäß der aktuellen Konfiguration als nicht notwendig erweisende ) Zerti fikatsanträge , die von den Anlagenkomponenten durch die Registrierungsstelle an die Zerti fi zierungsstelle „pauschal durchgereicht" werden, zu einem unnötig erhöhten Kommunikationsaufkommen führen . Dadurch kann insbesondere die Anlagenverfügbarkeit beeinträchtigt werden . Ferner führen die unnötigerweise ausgestellten operativen Zerti fikate dazu, dass die Zerti fikatsspeicher der Anlagenkomponenten durch „zu viele" , teilweise unnötige Zerti fikate befüllt werden, was bei manchen Komponenten zu Performance- Problemen führen kann .

In der DE 10 2013 205 051 Al ist ein Verfahren zum Aktualisieren eines digitalen Geräte-Zerti f ikats eines Automatisierungsgeräts einer Automatisierungsanlage of fenbart .

Der Erfindung liegt die Aufgabe zugrunde , ein Leitsystem für eine technische Anlage anzugeben, welches bei einer Konfigurationsänderung der technischen Anlage eine unmittelbare Anpassung der an Komponenten der technischen Anlage zu vergebenden Zerti fikate ermöglicht .

Diese Aufgabe wird gelöst durch ein Leitsystem für eine technische Anlage , insbesondere eine Fertigungs- oder Prozessanlage , mit den Merkmalen des Anspruchs 1 . Außerdem wird die Aufgabe gelöst durch ein Verfahren zum Verwalten von Zerti fikaten einer technischen Anlage mittels eines Leitsystems mit den Merkmalen des Anspruchs 6 . Zudem wird die Aufgabe gelöst durch eine Verwendung eines Leitsystems gemäß Anspruch 11 . Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Ansprüchen .

Ein erfindungsgemäßes Leitsystem für eine technische Anlage , insbesondere eine Fertigungs- oder Prozessanlage , die mittels einer in dem Leitsystem hinterlegten Automatisierungskonfiguration automatisierbar ist , insbesondere für eine Fertigungsoder Prozessanlage , wobei in der Automatisierungskonfigurati- on Kommunikationsbeziehungen zwischen einzelnen Komponenten der technischen Anlage hinterlegt sind, umfasst wenigstens einen Operator Station Server zur Bedienung und Beobachtung der technischen Anlage .

Es ist dadurch gekennzeichnet , dass Änderungen der Kommunikationsbeziehungen in der Automatisierungskonfiguration der technischen Anlage , die durch einen Wegfall einer Komponente , den Austausch einer Komponente oder durch das Hinzufügen einer Komponente bedingt sind, zur Lauf zeit der technischen Anlage zu erfassen, und welcher dazu ausgebildet ist , anhand der erfassten Änderungen zu prüfen, ob innerhalb der technischen Anlage für den Fall eines Hinzufügens neuer Komponenten neue Zerti fikate beantragt , für den Fall des Austauschs von Komponenten bestehende Zerti fikate geändert oder für den Fall des Wegfalls von Komponenten bestehende Zerti fikate revoziert werden müssen, und wobei der Zerti fikatsdienst dazu ausgebildet ist , das Beantragen, Ändern oder Revozieren von Zerti fikaten j eweils automatisiert in Reaktion auf die zuvor vorgenommene Prüfung zu initiieren .

Bei der technischen Anlage kann es sich um eine Anlage aus der Prozessindustrie wie beispielsweise eine chemische , pharmazeutische , petrochemische oder eine Anlage aus der Nah- rungs- und Genussmittelindustrie handeln . Hiermit umfasst sind auch j egliche Anlagen aus der Produktionsindustrie , Werke , in denen z . B . Autos oder Güter aller Art produziert werden . Technische Anlagen, die zur Durchführung des erfindungsgemäßen Verfahrens geeignet sind, können auch aus dem Bereich der Energieerzeugung kommen . Windräder, Solaranlagen oder Kraftwerke zur Energieerzeugung sind ebenso von dem Begri f f der technischen Anlage umfasst .

Unter einem „Operator Station Server" wird vorliegend ein Server verstanden, der zentral Daten eines Bedien- und Beobachtungssystems sowie in der Regel Alarm- und Messwertarchive eines Leitsystems der technischen Anlage erfasst und Benutzern zur Verfügung stellt . Der Operator Station Server stellt in der Regel eine Kommunikationsverbindung zu Automatisierungssystemen der technischen Anlage her und gibt Daten der technischen Anlage an sogenannte Clients weiter, die zur Bedienung und Beobachtung eines Betriebs der einzelnen Funktionselemente der technischen Anlage dienen . Der Operator Station Server kann über Client-Funktionen verfügen, um auf die Daten (Archive , Meldungen, Tags , Variablen) anderer Operator Station Server zuzugrei fen . Dadurch sind Bilder eines Betriebs der technischen Anlage auf dem Operator Station Server mit Variablen anderer Operator Station Server ( Server- Server-Kommunikation) kombinierbar . Bei dem Operator Station Server kann es sich, ohne sich darauf zu beschränken, um einen S IMATIC PCS 7 Industrial Workstation Server der Firma SIEMENS handeln .

Unter einem Leitsystem wird im vorliegenden Kontext ein computergestütztes , technisches System verstanden, das Funktionalitäten zum Darstellen, Bedienen und Leiten einer technischen Fertigungs- oder Produktionsanlage umfasst . Das Leitsystem umfasst im vorliegenden Fall Sensoren zur Ermittlung von Messwerten sowie verschiedene Aktoren . Zudem umfasst das Leitsystem sogenannte prozess- oder fertigungsnahe Komponenten, die zur Ansteuerung der Aktoren bzw . Sensoren dienen . Darüber hinaus weist das Leitsystem u . a . Mittel zur Visualisierung der technischen Anlage und zu einem Engineering auf . Unter dem Begri f f Leitsystem sind zusätzlich auch weitere Recheneinheiten für komplexere Regelungen und Systeme zur Datenspeicherung und -Verarbeitung zu fassen .

Unter einem Zerti fikat wird ein digitaler Datensatz verstanden, der bestimmte Eigenschaften ( in diesem Fall von Maschinen, Geräten, Applikationen und dergleichen) bestätigt . Eine Authenti zität und Integrität des Zerti fikats können in der Regel mittels kryptografischer Verfahren veri fi ziert werden . Unter einer Automatisierungskonfiguration wird im vorliegenden Kontext ein Zusammenwirken von verschiedenen Anlagenkomponenten der technischen Anlage verstanden, die beispielsweise in Form einer Automatisierungskonfigurationsdatei von dem Operator Station Server erfasst (und weiter verarbeitet ) werden können . In der Automatisierungskonfiguration können hierzu unter anderem Kommunikationsbeziehungen zwischen den einzelnen Anlagenkomponenten hinterlegt sein . Die Automatisierungskonfiguration dient dabei in der Regel nicht nur dem Bedienen und Beobachten der technischen Anlage auf dem Operator Station Server, sondern wird auf Anlagenkomponenten (Automatisierungsgeräte , dezentrale Peripherien, Messumformer etc . ) übertragen, um deren Betrieb zu automatisieren .

Im Rahmen der vorliegenden Erfindung werden Änderungen an der Automatisierungskonfiguration zur Lauf zeit der technischen Anlage von dem Zerti fikatsdienst des Operator Station Servers dynamisch erkannt und hinsichtlich ihrer Relevanz für das Zerti fikatsmanagement des Leitsystems der technischen Anlage überprüft . Somit kann gewährleistet werden, dass die Zerti fikate auch zum operativen Stand - im Einklang mit dem Minima- litätsprinzip der Namur oder der Anforderung „Least Functionality" nach IEC 62443 - optimal passen und nicht vorab schon (beispielsweise operative ) Zerti fikate auf dem Operator Station Server vorhanden sind, die möglicherweise gar nicht benötigt werden . Auch lässt sich somit eine Konsistenz zwischen dem Zerti fikatsbedarf und dem Ladezustand des Operator Station Servers erreichen . Durch das erfindungsgemäße Leitsystem kann ef fektiv verhindert werden, dass Anlagenkomponenten Zerti fikate ( zu diversen Verwendungs zwecken) bekommen, die sie gemäß den im j eweiligen Anlagen- und Pro ektkontext geplanten Kommunikationsbeziehungen nicht benötigen .

Moderne Leitsysteme werden durch Modularisierung flexibel und „dynamisch" änderbar gestaltet . Nach der Pro ektierung von Teilanlagen, technischen Einrichtungen und modularen Anlagenteile ist es das Ziel möglichst flexible in unterschiedlichen Kombinationen unterschiedliche Produkte herstellen zu können, ohne dass hierbei ein erneutes (Re- ) Engineering notwendig ist. Dies bedeutet, dass sich Konfigurationsdaten im weitesten Sinne auch zur Laufzeit ändern (müssen) - wie z.B. den Tausch von Package Units mit entsprechenden Rückwirkungen auf die Verbindungskonfiguration. Durch diese Erfindung kann bei jeglicher Konfigurationsänderung zur Laufzeit eine unmittelbare Anpassung der operativen Zertifikate aus den Konfigurationsdaten heraus angestoßen werden.

Zudem kann das erfindungsgemäße Leitsystem dazu beigetragen, das Kommunikationsaufkommen in der technischen Anlage nicht unnötig zu erhöhen. Dadurch wird insbesondere ein Beitrag zur Aufrechterhaltung des stabilen Normalbetriebs und zur optimalen Anlagenverfügbarkeit geleistet. Es kann außerdem bewirkt werden, dass die Zertifikatsspeicher der einzelnen Anlagen- komponentendurch nicht durch zu viele, teilweise unnötige Zertifikate befüllt werden, was bei manchen Komponenten zu Perf ormance-Problemen führen kann.

Vorteilhafterweise ist der Zertifikatsdienst dazu ausgebildet, einem Bediener der technischen Anlage das Ergebnis der vorgenommenen Prüfung mittels einer Mitteilung mitzuteilen.

Besonders bevorzugt ist der Zertifikatsdienst dazu ausgebildet, das Revozieren von Zertifikaten stellvertretend für die Anlagenkomponenten, deren Zertifikat revoziert werden soll, bei einer Zertifizierungsstelle der technischen Anlage zu beantragen. Dabei kann er sich einer Registrierungsstelle bedienen oder den Antrag direkt an die Zertifizierungsstelle richten .

Die Zertifizierungsstelle, die Zertifikate für Anlagenkomponenten (z.B. Endgeräte und Applikationen) ausstellt, wird auch als eine sogenannte „Issuing CA (Certification Authority)" bezeichnet. Eine derartige Issuing CA ist in der Regel stets online und stellt, basierend auf eingehenden Zertifi- katsanträgen, Zerti fikate für diverse Antragsteller aus , die sie mit ihrem eigenen I ssuing CA Zerti fikat signiert . Die Vertrauenswürdigkeit der I ssuing CA wird dadurch sichergestellt , dass ihr eigenes I ssuing CA Zerti fikat durch das Zerti fikat einer vertrauenswürdigen Wurzel zerti fi zierungsstelle ( auch als „Root CA" bezeichnet ) , die sich in einer abgesicherten Umgebung befindet , signiert ist . Hierbei ist zu beachten, dass die Root CA die meiste Zeit of fline ist und nur dann - unter der Einhaltung strengster Sicherheitsvorkehrungen - aktiviert bzw . eingeschaltet wird, wenn sie ein Zertifikat für eine zugehörige I ssuing CA ausstellen soll . Die Root CA kann sich außerhalb der technischen Anlage befinden .

Der Zerti fikatsdienst kann die einzelnen Anlagenkomponenten auch direkt dazu auf fordern, ihr Zerti fikat revozieren zu lassen oder sich ein neues , ggf . geändertes Zerti fikat zu beantragen .

Im Rahmen einer vorteilhaften Weiterbildung des Leitsystems umfasst dieses zusätzlich wenigstens einen Engineering Station Server . Dieser ist dazu ausgebildet und vorgesehen, eine geänderte Automatisierungskonfiguration der technischen Anlage zu erzeugen . Der Operator Station Server ist dabei dazu ausgebildet , die geänderte Automatisierungskonfiguration der technischen Anlage von dem Engineering Station Server zu empfangen und dem Zerti fi zierungsdienst zur weiteren Verarbeitung bereitzustellen . Es handelt sich dabei um eine überarbeitete , geänderte Automatisierungskonfiguration ( im Vergleich zu einer früheren, dem Operator Station Server bekannten Automatisierungskonfiguration) .

Ein erfindungsgemäßes Verfahren zum Verwalten von Zerti fikaten einer technischen Anlage mittels eines Leitsystems , welches wenigstens einen Operator Station Server aufweist , umfasst die folgenden Schritte : a) Ändern einer Automatisierungskonfiguration der technischen Anlage ; b) Erfassen der geänderten Automatisierungskonfiguration der technischen Anlage zur Lauf zeit der technischen Anlage durch einen auf dem Operator Station Server implementierten Zerti fikatsdienst ; c) Mittels der erfassten geänderten Automatisierungskonfiguration prüfen durch den Zerti fikatsdienst , ob innerhalb der technischen Anlage neue Zerti fikate beantragt , bestehende Zerti fikate geändert und/oder bestehende Zerti fikate revo- ziert werden müssen; d) In Reaktion auf die vorgenommene Prüfung, automatisierte Initiierung des Beantragens , Änderns oder Revozierens der betref fenden Zerti fikate durch den Zerti fikatsdienst .

Vorteilhafterweise wird einem Bediener der technischen Anlage das Ergebnis der vorgenommenen Prüfung mittels einer Mitteilung übermittelt .

Der Zerti fikatsdienst kann das Revozieren von Zerti fikaten stellvertretend für die Anlagenkomponenten, deren Zerti fikat revoziert werden soll , bei einer Zerti fi zierungsstelle der technischen Anlage beantragen .

Besonders bevorzugt umfasst das Leitsystem zusätzlich wenigstens einen Engineering Station Server . Die Änderung der Automatisierungskonfiguration der technischen Anlage wird durch den Engineering Station Server vorgenommen, wobei der Engineering Station Server die geänderte Automatisierungskonfiguration der technischen Anlage an den Operator Station Server überträgt , welcher die geänderte Automatisierungskonfiguration der technischen Anlage von dem Engineering Station Server empfängt und dem Zerti fi zierungsdienst zur weiteren Verarbeitung bereitstellt .

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise , wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung des Aus führungsbei- spiels , das im Zusammenhang mit der Zeichnung näher erläutert wird .

In der Figur ist ein erfindungsgemäßes Leitsystem 1 einer als Prozessanlage ausgebildeten technischen Anlage dargestellt . Das Leitsystem 1 weist einen Engineering Station Server 2 , einen Operator Station Server 3 , einen Verwaltungsserver 4 , einen Operator Station Client 5 und einen Engineering Station Client 7 auf .

Der Engineering Station Server 2 , der Operator Station Server 3 , der Verwaltungsserver 4 , der Operator Station Client 5 und der Engineering Station Client 7 sind über einen Terminalbus 6 miteinander und optional mit nicht dargestellten weiteren Komponenten des Leitsystems 1 wie einem Prozessdatenarchiv verbunden .

Ein Benutzer bzw . Operator kann zum Zwecke des Bedienens und Beobachtens über den Operator Station Client 5 mittels des Terminalbus 6 auf den Operator Station Server 3 zugrei fen .

Ein Proj ekteur bzw . Bediener hat mittels des Engineering Station Clients 7 mittels des Terminalbus 6 im Kontext eines Engineerings / Proj ektierens / Konfigurierens Zugri f f auf den Engineering Station Server 2 . Der Terminalbus 6 kann, ohne sich darauf zu beschränken, beispielsweise als Industrial Ethernet ausgebildet sein .

Der Engineering Station Server 2 weist eine Schnittstelle 8 auf , die mit einem Anlagenbus 9 verbunden ist . Über diese Schnittstelle 8 kann der Engineering Station Server 2 mit einem in der Figur dargestellten Automatisierungsgerät 10 sowie mit optional vorhandenen weiteren Komponenten der Prozessanlage (nicht dargestellt ) kommuni zieren . Der Anlagenbus 9 kann, ohne sich darauf zu beschränken, beispielsweise als Industrial Ethernet ausgebildet sein . Das Automatisierungsgerät 10 kann mit einer beliebigen Anzahl an Subsystemen (nicht dargestellt ) verbunden sein . Auf dem Verwaltungsserver 4 ist eine Registrierungsstelle 11 und eine Zerti fi zierungsstelle 12 implementiert . Die Zerti fizierungsstelle 12 kann alternativ auch auf einem dedi zierten Server (nicht dargestellt ) implementiert sein .

Im Folgenden wird ein erfindungsgemäßes Verfahren erläutert : Ein Bediener ändert mittels des Engineering Station Clients 7 eine Automatisierungskonfiguration in einer computerimplementierten Konfigurationsumgebung 13 auf dem Engineering Station Server 2 . Dabei kann die Automatisierungskonfiguration Informationen über ein Prozessabbild, Anlagenbilder, Distributionen zwischen verschiedenen Servern, Fremdsysteme zur Anbindung von sogenannten Package Units ( z . B . via OPC UA) oder Navigationshierarchien enthalten . Insbesondere kann die Automatisierungskonfiguration Kommunikationsbeziehungen zwischen einzelnen Anlagenkomponenten aufweisen .

Ein auf dem Engineering Station Server 2 implementierter Kompilierungsdienst 14 übersetzt die geänderte Automatisierungskonfiguration in einen für den Operator Station Server 3 und das Automatisierungsgerät 10 verständlichen Code (Verbindungspfeil I ) und überträgt die geänderte und übersetzte Automatisierungskonfiguration zu dem Operator Station Server 3 und dem Automatisierungsgerät 10 (Verbindungspfeile I la und I lb ) . In dem Operator Station Server 3 wird die geänderte Automatisierungskonfiguration von einem computerimplementierten Konfigurationsdienst 15 empfangen und einem computerimplementierten Zerti fikatsdienst 16 bereitgestellt (Verbindungspfeil I I I ) .

Der Zerti fikatsdienst 16 prüft daraufhin, ob sich aus der geänderten Automatisierungskonfiguration eine Notwendigkeit ergibt , ein bestehendes Zerti fikat einer Anlagenkomponente zu revozieren oder zu erneuern, oder ein neues Zerti fikat für eine Anlagenkomponente zu erstellen . Das Ergebnis dieser Prüfung wird einem Operator der Prozessanlage , ausgehend von ei- nem Visualisierungsdienst 17 des Operator Station Servers 3, mittels des Operator Station Clients 5 grafisch dargestellt (Verbindungspfeil V) . Es kann vorgesehen sein, dass der Operator selbst entscheiden kann, wie weiter vorgegangen werden soll. Es ist aber auch möglich, dass der Zertifikatsdienst 16 die im Folgenden beschriebenen Schritte automatisch (d.h. ohne eine Anweisung des Operators abzuwarten) durchführt.

Stellt der Zertifikatsdienst 16 fest, dass ein neues Zertifikat (insbesondere ein neues operatives Zertifikat) benötigt wird, kann er direkt die Registrierungsstelle 11 triggern, die sich um die Beantragung eines neuen Zertifikats kümmern soll. Hierzu kann sie einen entsprechenden Zertifikatsantrag an die Zertifizierungsstelle 12 richten. Es ist aber auch möglich, dass die Registrierungsstelle 11 die betreffende Anlagenkomponente triggert, selbst einen Zertifikatsantrag an die Zertifizierungsstelle 12 zu richten, den die Registrierungsstelle 11 dann an die Zertifizierungsstelle 12 weiterleitet .

Der Zertifikatsdienst 16 kann auch direkt, stellvertretend für die betreffende Anlagenkomponente, einen Zertifikatsantrag an die Zertifizierungsstelle 12 richten.

Hat der Zertifikatsdienst 16 ein neues Zertifikat erhalten, verteilt er dieses über eine spezielle Schnittstelle 18 an die betreffende (n) Anlagenkomponente (n) (Verbindungspfeil VI) .

Stellt der Zertifikatsdienst 16 fest, dass ein bereits bestehendes Zertifikat (insbesondere ein operatives Zertifikat) nicht mehr benötigt wird, kann er dieselben, zuvor erläuterten Schritte wie bei der Neubeantragung eines Zertifikats durchführen. Dasselbe gilt im Fall, dass ein bestehendes Zertifikat geändert werden muss. Ein Engineering Station Server 2 ist nicht zwingend notwendig, um die Vorteile der beschriebenen Erfindung zu erhalten . Die geänderte Automatisierungskonfiguration kann auch im Rahmen eines sogenannten „Online Engineerings" direkt dem Konfigurationsdienst 15 zur Verfügung gestellt werden . Bei einem solchen „Online Engineering" werden zur Lauf zeit der Prozessanlage Änderungen an der Automatisierungskonfiguration vorgenommen, ohne hierbei auf ein zentrales Engineering ( auf dem Engineering Station Server 2 ) mit entsprechendem Übersetzten und Laden zurückzugrei fen . Dies ist insbesondere für flexible und dynamische technische Anlagen wichtig, in denen beispielsweise durch Reorganisation von Package Units unterschiedliche Produkte hergestellt werden . Für neue Package Units , bzw . für nicht mehr verwendete Package Units ist ein Zerti fikatsmanagement erforderlich . Die Reorganisation der Package Units kann hier durch einen Operator über den Operator Station Client 5 in einer entsprechenden Anwendung vorgenommen werden, wobei die Anwendung die Automatisierungskonfiguration anpasst und dem Konfigurationsdienst zur Verfügung stellt .

Unter einer „Package Unit" wird dabei ein modularer Anlagenteil verstanden, der in einem Engineering als eine abgeschlossene Einheit integriert werden kann . Package Units sind typischerweise umfangreicher als beispielsweise Messstellen oder technische Einrichtungen . Eine Package Unit kann sogar eine ganze Teilanlage mit einer kompletten verfahrenstechnischen Struktur darstellen, die mehrere technische Einrichtungen ( z . B . Tanks ) umfasst , die wiederum mehrere Messstellen ( z . B . Ventile , Monitore , Regler, Motoren... ) umfassen .

Obwohl die Erfindung im Detail durch das bevorzugte Aus führungsbeispiel näher illustriert und beschrieben wurde , so ist die Erfindung nicht durch die of fenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .