Systeme und Verfahren zur digitalen Beglaubigung von Nutzungsdaten einer Automatisierungsanlage

Die Erfindung betri f ft ein System zur digitalen Beglaubigung von Nutzungsdaten einer Automatisierungsanlage .

Darüber hinaus betri f ft die Erfindung ein computerimplementiertes Verfahren zur Überprüfung und vorzugsweise zur digitalen Beglaubigung von Nutzungsdaten einer Automatisierungsanlage .

Mit zunehmender Digitalisierung werden Maschinen und Geräte „smarter" und können Leistungs- , Betriebs- und Nutzungsdaten zur Verfügung stellen . Bereits heute wird diese Fähigkeit genutzt , um steuernd auf die Produktions-Ef fektivität von Maschine und Fabrik Einfluss zu nehmen ( z . B . mittels sog . Condition Monitoring) .

Im Leasing kann ein Leasingeber den Wert einer Maschine (Asset ) als finanzielle Sicherheit nutzen . Erbringt er seinem Finanzregulator einen glaubwürdigen und vertrauenswürdigen Nachweis , dass die Maschine am vereinbarten Nutzungsort regulär arbeitet , dann kann er den Aufwand für Vorsorge deutlich reduzieren . Um diesen Nachweis zu verschaf fen, muss der Leasinggeber seinen vertrauenswürdigen Mitarbeiter oder einen Dritten, demgegenüber der Leasinggeber vertrauen kann, entsenden, damit dieser/diese sich ein Bild vom Zustand der Maschine vor Ort machen kann . Dabei treten mehrere Probleme auf . Kann die Maschine z . B . nicht einfach und zeitnah besucht werden, kann es zur Folge haben, dass die Maschine als Sicherheit für den Leasinggeber entwertet wird . Der vertragsgemäße Zustand ( die finanzielle Sicherheit ) kann nur mit Kostenaufwand wiederhergestellt werden . Wenn der Leasingnehmer nach Leasingende die Maschine zurückgibt , kann der Leasinggeber diese Maschine in einem Zweitmarkt einem anderen Nutzer zum Kauf anbieten . Der andere Nutzer muss auf die Aussagen des Verkäufers zu Zustand und Abnutzung vertrauen können, was einerseits in „unvertrauten" Geschäftsbeziehungen zum Scheitern des Geschäfts führen kann . Außerdem kann der Käufer mit falschen Aussagen zum Zustand der Maschine übervorteilt werden .

Ein weiteres Bezahlmodell betri f ft eine nutzungsbasierte Miete . Im Gegensatz zu zeitbasierter Miete (wie z . B . bei Wohnungsmiete ) wird hier Miete bezahlt abhängig beispielsweise von Zusatzschichten, Überlastsituationen oder Leistungsindikatoren . In all diesen Fällen muss der Betreiber der Maschine auf die vor Ort unmanipuliert ermittelten Maschinendaten und der Nutzer auf eine daraus korrekt abgeleitete Abrechnung vertrauen können, die von einem unabhängigen Prüfer oder Auditor nachvoll zogen werden kann .

Darüber hinaus werden Maschinen zerti fi ziert , um ihre regelkonforme Funktion zu belegen . Diese Regeln werden z . B . von einer Versicherungswirtschaft genutzt ( z . B . Schi f f fahrt Approbationen) , um qualitativ hochwertige Maschinen besser bewerten zu können . Sie werden aber auch von staatlichen Behörden aufgestellt und können von Land zu Land teilweise stark variieren, z . B . länderspezi fische Zulassungen zur Nutzung von Funkfrequenzen, die zudem bei neuen Technologien sich in kurzen Zeitabständen ändern können . Vor diesem Hintergrund ist es notwendig, dass der Betreiber der Maschine der staatlichen Behörde einen glaubwürdigen und vertrauenswürdigen Nachweis eines regelkonformen Betriebs der Maschine erbringt .

Die Aufgabe der vorliegenden Erfindung kann somit darin gesehen werden, Systeme und Verfahren bereitzustellen, die eine manipulationssichere und vertrauenswürdige Hinterlegung der relevanten Nutzungsdaten einer Automatisierungsanlage und deren Überprüfung durch einen Dritten ermöglichen .

Die Aufgabe wird mit einem System der eingangs genannten Art erfindungsgemäß dadurch gelöst , dass das System ein erstes Modul , beispielsweise ein Edge-Device oder eine Steuerung, insbesondere eine CNC-Steuerung, ein zweites Modul , beispielsweise einen zur Bildung von Prüfsummen, insbesondere von Hashwerten ausgebildeten Dienst , und ein drittes Modul , einen Prüfer bzw . eine prüfende Instanz , insbesondere einen prüfenden Dienst , wobei das erste Modul dazu konfiguriert ist , automatisierungsanlagenbezogene Daten zu erfassen, wobei die automatisierungsanlagenbezogenen Daten zumindest Betriebsdaten umfassen, basierend auf den Betriebsdaten manipulationsgeschützte Nutzungsdaten zu erzeugen, und die manipulationsgeschützten Nutzungsdaten an das zweite Modul zu übermitteln, wobei das zweite Modul dazu konfiguriert ist , zumindest einen Teil der manipulationsgeschützten Nutzungsdaten zu bestimmen, eine Prüfsumme von dem mindestens einen Teil der manipulationsgeschützten Nutzungsdaten vorzugsweise mittels einer kryptographischen Hash-Funktion zu bilden, die Prüfsumme wenigstens einem Knoten eines Distributed-Ledger-Net zwerks zu übergeben, und die manipulationsgeschützten Nutzungsdaten und vorzugsweise Information darüber, welches Verfahren zum Bilden der Prüfsumme verwendet wurde , in einem vorzugsweise sicheren Bereich außerhalb des Distributed-Ledger-Net zwerks zu hinterlegen, wobei das dritte Modul an dem Distributed- Ledger-Net zwerk teilnimmt und dazu konfiguriert ist , die manipulationsgeschützten Nutzungsdaten und vorzugsweise die Information darüber, welches Verfahren zum Bilden der Prüfsumme verwendet wurde , auf Anfrage aus dem vorzugsweise sicheren Bereich zu erhalten und anhand der Prüfsumme die Richtigkeit der manipulationsgeschützten Nutzungsdaten zu überprüfen . Dabei muss das dritte Modul nicht notwendigerweise über einen oder mehrere Knoten verfügen ( i . S . v . besitzen oder administrieren) . Es genügt ein Zugang und lesender Zugri f f des dritten Moduls auf irgendeinen der Knoten des Distributed-Ledger- Net zwerkes .

Die Automatisierungsanlage kann beispielsweise als eine Pro- duktions- oder Fertigungsanlage ausgebildet sein .

Die automatisierungsanlagenbezogenen Daten können außerdem

Leistungsdaten umfassen, wobei das erste Modul dazu konfigu- riert sein kann, basierend auf den Betriebs- und Leistungsdaten manipulationsgeschützte Nutzungsdaten zu erzeugen .

Das zweite Modul ist vorzugsweise dazu konfiguriert , aus den ihm übermittelten manipulationsgeschützten Nutzungsdaten j ene Daten heraus zufiltern, die für eine vordefinierte Anwendung relevant sind . Dies können beispielsweise abrechnungs- , zer- ti f i zierungs- , versicherungsrelevante Daten sein, usw .

Das erste Modul kann zusätzlich dazu konfiguriert sein, die Betriebsdaten und vorzugsweise die Leistungsdaten beispielsweise automatisierungsanlagenlokal ( d . h . innerhalb der Automatisierungsanlage ) sicher abzulegen .

Darüber hinaus kann das erste Modul zusätzlich dazu konfiguriert sein, die Betriebsdaten und vorzugsweise die Leistungsdaten an das zweite Modul zu übermitteln, wobei das zweite Modul zusätzlich dazu konfiguriert sein kann, die Betriebsdaten und vorzugsweise die Leistungsdaten entsprechend zu verarbeiten beispielsweise aus mindestens einem Teil der Betriebsdaten und vorzugsweise der Leistungsdaten eine Prüfsumme , zum Beispiel einen Hashwert zu bilden, und die verarbeiteten Betriebsdaten und vorzugsweise Leistungsdaten in dem Distributed-Ledger-Net zwerk abzulegen . Zusätzlich kann das zweite Modul die (nicht verarbeiteten) Betriebsdaten und vorzugsweise Leistungsdaten in einem vorzugsweise sicheren Bereich außerhalb des Distributed-Ledger-Net zwerkes hinterlegen .

Die erfindungsgemäße Verwendung von den Nutzungsdaten und vorzugsweise den Betriebs- und den Leistungsdaten ermöglicht , eine einfache Digitalisierung von enen Prozessen durchzuführen, bei welchen die Automatisierung einer Anlage per se nicht im Vordergrund steht und eine aufwändige Auswertung der Nutzungsdaten nicht erforderlich ist . Prozesse dieser Art sind vorwiegend Prozesse , bei welchen verschiedene Parteien unterschiedliches wirtschaftliches Interesse haben können, und enthalten z . B . Prozesse der Finanz- und Versicherungs- wirtschaft aber auch rechtliche Prozesse , z . B . bei der Anwendung von länderspezi fischen ( ortsabhängigen) Zerti fikaten .

Verwendung von dem Distributed-Ledger-Net zwerk ermöglicht außerdem eine bessere Skalierung bei der Nutzung von Maschinendaten .

Außerdem hat die Verwendung des Distributed-Ledger-Net zwerks den Vorteil , dass der Dritte nicht vertrauenswürdig sein muss . Der Dritte kann auf die Korrektheit der im Distributed- Ledger-Net zwerk, vorzugsweise in der Blockchain-Net zwerk vorliegenden Daten vertrauen, weil sie technisch bedingt praktisch nicht im Nachhinein veränderbar sind .

Im Zusammenhang mit der vorliegenden Erfindung wird unter dem Begri f f „automatisierungsanlagenbezogene Daten" j ene Daten verstanden, die in einem Bezug zu einer Automatisierungsanlage stehen . Dies können beispielsweise Leistungsdaten, Betriebsdaten, Prozessdaten, Daten über Standort der Anlage etc . umfassen .

Distributed-Ledger-Net zwerk wird auch Distributed-Ledger- Technologie-Net zwerk ( DLT-Netzwerk) oder verteiltes auf DLT- Technologie basiertes Datenbankmanagementsystem ( DBS ) genannt .

Der Begri f f DBS - verteilter Datenbank - kann sich im Allgemeinen auf eine dezentrale verteilte Datenbank, eine Blockchain, ein Distributed Ledger, ein verteiltes Speichersystem ( engl . Distributed memory system) , ein auf der Distributed- Ledger-Technologie ( DLT ) basiertes System ( DLTS ) , ein Revisi- on-Secure-Database-System, eine Cloud, einen Cloud-Service , eine Blockchain-in-a-Cloud, ein peet-to-peer Datenbanksystem, etc . Dabei können verschiedene Implementierungen einer Blockchain oder eines DLTS infrage kommen . Z . B . ist eine Blockchain oder ein DLTS denkbar, die/das mittels eines gerichteten azyklischen Graphen ( DAG) , eines kryptographischen Puzzles , eines Hash-Graphen oder mittels einer zumindest zwei dieser Varianten umfassenden Kombination implementiert werden . Es ist durchaus möglich, verschiedene Konsensusalgorithmen ( engl . consensus algorithms ) zu implementieren . Beispielsweise kann ein Konsensusalgorithmus mittels eines kryptographischen Puz zles , einer Gossip-about-Gossip-Methode , einer Virtual-Voting-Methode oder einer Kombination davon implementiert werden . Wenn beispielsweise eine Blockchain verwendet wird, kann dies insbesondere eine Bitcoin-basierte Implementierung oder eine Ethereum-basierte Implementierung sein . Der Begri f f „verteilte Datenbank" kann sich auch auf ein DBS beziehen, bei welchem zumindest ein Teil seiner Knoten und/oder Geräte und/oder Infrastruktur von einer Cloud implementiert sind . Beispielsweise können die entsprechenden Komponenten als Knoten/Geräte in der Cloud ( z . B . als virtuelle Knoten in einer virtuellen Maschine ) implementiert sein .

Es ist durchaus denkbar, die oben beschriebenen Implementierungss zenarien oder nur ihre Teilaspekte miteinander zu kombinieren . Beispielsweise kann ein Hash Graph als eine Blockchain verwendet werden, wobei die Blockchain ein Block-Batch sein kann .

Im Zusammenhang mit der vorliegenden Erfindung kann ein „Modul" von einem Prozessor und/oder einem Speicher zum Speichern von einem Programmcode implementiert sein . Ein Modul kann in einer Hardware und/oder in einer Software und/oder in einer Firmware implementiert sein . Beispielsweise kann der Prozessor dazu konfiguriert sein, die in dem Programmcode enthaltenen Bef ehle/ Instruktionen aus zuführen, die die hierin geschriebenen Verfahren oder Schritte der hierin beschriebenen Verfahren implementieren . Ein Modul kann auch als ein Knoten eines verteilten Datenbanksystems ( DBS ) ausgebildet sein, welches spezi fische Funktionen bzw . Merkmale des entsprechenden Moduls implementiert bzw . aufweist . Die entsprechenden Module können beispielsweise als getrennte/ separate/ individuelle Module implementiert sein . Die entsprechenden Module können weitere Elemente umfassen . Diese weiteren Elemente können beispielsweise eine oder mehrere Schnittstellen (beispielsweise Datenbankschnittstellen, Kommunikationsschnittstellen, wie zum Beispiel eine Netzwerkschnittstelle oder WLAN-Schnittstelle ) und/oder eine Auswerteeinheit (z.B. einen Prozessor) und/oder einen Speicher. Mittels der Schnittstellen ist es möglich, Daten auszutauschen (z.B. zu erhalten, zu kommunizieren, zu übermitteln, bereitzustellen, etc.) Mittels der Auswerteeinheit ist es möglich, Daten auf einer computerimplementierten und/oder automatisierten Art und Weise zu vergleichen, zu validieren, zu verarbeiten, zuzuordnen, zu errechnen, etc. Mittels des Speichers ist es möglich, Daten auf einer computerimplementierten und/oder automatisierten Art und Weise zu speichern, abzurufen, bereitzustellen, etc. Es ist durchaus denkbar, dass mehrere Module von einem üblichen Prozessor implementiert werden.

Ein Programmcode - wie beispielsweise ein Smart-Contract - kann sich auf eine Programmanweisung (einen Programmbefehl) oder mehrere Programmanweisungen (Programmbefehle) beziehen, die in Verbindung mit der vorliegenden Offenbarung in einer oder mehreren Transaktionen gespeichert werden. Der Programmcode kann ausführbar sein und kann beispielsweise vom DBS ausgeführt werden. Dies kann beispielsweise durch eine Lauf- zeitumgebung, z.B. einer virtuellen Maschine, implementiert werden, wobei die Laufzeitumgebung oder der Programmcode vorzugsweise vollständig sind. Der Programmcode wird vorzugsweise von der Infrastruktur des DBS ausgeführt. Hierzu kann eine virtuelle Maschine durch die Infrastruktur des DBS implementiert werden. Es ist möglich, den Programmcode beim Validieren einer entsprechenden Transaktion auszuführen. Smart Contracts beziehen sich in der Regel nur auf das Handling des Blockchain-Relevanten Ablaufs (z.B. Bitcoin: Prüfung ob der Sender von digitaler Währung tatsächlich Zugriff auf das Konto hat, etc . )

Eine Prüfsumme, z.B. eine Datenblockprüf summe, eine Datenprüfsumme, eine Knotenprüf summe, eine Transaktionsprüf summe, eine Verkettungsprüf summe oder dergleichen, kann sich im Rahmen der vorliegenden Offenbarung auf eine kryptografische Prüfsumme oder einen kryptografischen Hash oder Hashwert beziehen . Solche Prüfsummen können insbesondere über einen Datensatz und/oder Daten und/oder eine oder mehrere Transaktionen und/oder einen Unterabschnitt eines Datenblocks bestimmt werden, z . B . den Blockkopf eines Blocks der Blockchain oder den Datenblockkopf eines Datenblocks eines DBS oder nur eines Teils der Transaktion eines Datenblocks . Eine Prüf summe kann spezi fisch durch eine Prüfsumme oder Prüfsummen oder einen Hashwert oder Hashwerte eines Hashbaums implementiert werden, z . B . einen Merkle-Baum, einen Patricia-Baum . Darüber hinaus kann eine Prüfsumme auch durch eine digitale Signatur oder einen Authenti fi zierungscode für kryptografische Nachrichten implementiert werden . Mit Hil fe von Prüfsummen ist es möglich, einen kryptografischen Schuf z/Manipulationsschut z z . B . für Nutzungsdaten und für Transaktionen samt der zugehörigen Daten und Datensätzen auf verschiedenen Ebenen des DBS zu implementieren . Wenn beispielsweise ein höheres Maß an Sicherheit erforderlich ist , können Prüfsummen auf Transaktionsebene erstellt und validiert werden . Wenn beispielsweise ein geringeres Sicherheitsniveau erforderlich ist , können Prüfsummen auf Blockebene erstellt und validiert werden - z . B . über den gesamten Block oder nur über einen Teil des Datenblocks und/oder einen Teil der Transaktion .

Ein Smart-Contract-Prozess oder eine Smart-Contract-Funk- tionalität kann sich auf die Aus führung eines Programmcodes , z . B . eines Steuerbefehls , in einem Prozess mittels des DBS oder der j eweiligen Infrastruktur beziehen .

Wie oben erläutert , kann sich ein Smart-Contract auf einen aus führbaren Programmcode beziehen . Der Smart-Contract wird vorzugsweise in einer Transaktion des DBS - z . B . einer Blockchain - gespeichert , z . B . in einem Datenblock des DBS . Beispielsweise kann der Smart-Contract auf die gleiche Weise ausgeführt werden, wie dies mit Bezug auf „Programmcode" vorstehend beschrieben wurde . Bei einer Aus führungs form kann mit Vorteil vorgesehen sein, dass die automatisierungsanlagenbezogenen Daten zusätzlich weitere Daten, beispielsweise Standort-Daten umfassen, wobei das erste Modul dazu konfiguriert ist , die weiteren Daten digital zu signieren und zu verschlüsseln und diese digital signierten und verschlüsselten weiteren Daten an das zweite Modul zu übermitteln, wobei das zweite Modul dazu konfiguriert ist , zumindest einen weiteren Teil der digital signierten und verschlüsselten weiteren Daten wenigstens einem Knoten des Distributed-Ledger-Net zwerks zu übergeben, wobei das drittel Modul dazu konfiguriert ist , die Richtigkeit des weiteren Teils der Daten zu überprüfen .

Es kann zweckmäßig sein, wenn die Betriebsdaten und vorzugsweise die Leistungsdaten vertrauenswürdig sind, insbesondere sind die Betriebsdaten und vorzugsweise die Leistungsdaten von an Werkzeugmaschinen der Automatisierungsanlage angeordneten, vorzugsweise zerti fi zierten Sensoren erfasst . Bei einer Aus führungs form kann es zum Beispiel vorgesehen sein, dass die Sensoren zumindest ein Zerti fikat umfassen . Das Zerti fikat kann beispielsweise von der Zerti fi zierungsstelle ( engl . Certi fication authority) des Maschinenherstellers und/oder des Herstellers des ersten Moduls ausgestellt worden sein . In diesem Fall weisen die Sensoren eine ab Werk eindeutige ID auf . Das bringt den Vorteil , dass bereits die von den Sensoren erfassten Messwerte vertrauenswürdig sind . Vorzugsweise genügen die Betriebsdaten und vorzugsweise die Leistungsdaten einem standardisierten Daten- oder Maschinenmodell . Damit kann später bei einer Begutachtung oder Prüfung der Nutzungs- und vorzugsweise der Betriebsdaten z . B . dem allgemeinen Parameternamen „Drehzahl" oder „Energieverbrauch" eindeutig seine Bedeutung in einer Maschine zugewiesen werden, ohne die individuelle Maschinentopologie zu kennen .

Bei einer Aus führungs form kann es vorteilhaft sein, wenn das erste Modul oder/und das zweite Modul dazu konfiguriert ist/ sind, Daten zu verschlüsseln . Bei einer Aus führungs form kann mit Vorteil vorgesehen sein, dass das dritte Modul dazu konfiguriert ist , im Falle einer erfolgreichen Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten, die manipulationsgeschützten Nutzungsdaten elektronisch zu beglaubigen, wobei die elektronische Beglaubigung vorzugsweise einen Zeitstempel aufweist .

Bei einer Aus führungs form kann es vorgesehen sein, dass das dritte Modul dazu konfiguriert ist , im Falle einer fehlgeschlagenen Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten, die Automatisierungsanlage zu steuern, vorzugsweise adäquat zu steuern . In diesem Fall kann es vorgesehen sein, dass das dritte Modul eine Schnittstelle aufweist , über die es auf die Infrastruktur der Automatisierungsanlage zugrei fen und die entsprechenden Maschinen ( z . B . Werkzeugmaschinen, Produktionsmaschinen, etc . ) und/oder Assets in der Anlage steuern kann . Es kann beispielsweise vorgesehen sein, dass das dritte Modul dazu konfiguriert ist , die entsprechende Maschine abzuschalten oder vorzugsweise j egliche Kommunikation mit dieser Maschine (bis auf weiteres ) zu unterbinden .

Bei einer Aus führungs form kann mit Vorteil vorgesehen sein, dass das Distributed-Ledger-Net zwerk ein Blockchain-Net zwerk, vorzugsweise ein privates Blockchain-Net zwerk ist .

Bei einer Aus führungs form kann mit Vorteil vorgesehen sein, dass das Distributed-Ledger-Net zwerk zumindest einen Smart- Contract umfasst , wobei das zweite Modul dazu konfiguriert ist , mit dem zumindest einen Smart-Contract zu kommuni zieren, und das dritte Modul dazu konfiguriert ist , die Überprüfung der Richtigkeit mithil fe des zumindest einen Smart-Contracts automatisiert durchzuführen .

Dabei kann es vorgesehen sein, dass das erste Modul dazu eingerichtet ist , Daten von zumindest einer Maschine der Automatisierungsanlage zu erfassen, und das dritte Modul dazu eingerichtet und/oder konfiguriert ist , abhängig von einem Er- gebnis der Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten und mittels des zumindest einen Smart-Contacts Verhalten der zumindest einen Maschine zu beeinflussen . Dabei kann es zweckmäßig sein, wenn der zumindest eine Smart-Contract entsprechende Schnittstelle (n) ( z . B . zu der Automatisierungsanlage und zu dem dritten Modul ) aufweist . Das dritte Modul kann abhängig von dem Ergebnis der Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten eine entsprechende Änderung in dem zumindest einen Smart-Contract bewirken . Beim nächsten Aufruf des zumindest einen Smart-Contacts seitens der zumindest einen Maschine kann die zumindest eine Maschine beispielsweise Nutzungsvoraussetzungen überprüfen . Wird der Smart-Contract durch das dritte Modul derart geändert , dass eine der Voraussetzungen nicht erfüllt ist , weil die Maschine beispielsweise nicht gemäß einem in dem Smart-Contract vereinbarten Betriebsmodus benutzt wird, stellt die Maschine dies beim nächsten Aufruf des Smart-Contacts fest und kann deswegen von sich aus die weitere Nutzung verweigern .

Die Aufgabe der Erfindung wird auch mit einem eingangs genannten computerimplementierten Verfahren erfindungsgemäß dadurch gelöst , dass automatisierungsanlagenbezogene Daten erfasst werden, wobei die automatisierungsanlagenbezogenen Daten zumindest Betriebsdaten beispielsweise einer Werkzeug- oder Produktionsmaschine umfassen, basierend auf den Betriebsdaten manipulationsgeschützte , vorzugsweise digital signierte Nutzungsdaten erzeugt werden, zumindest ein Teil der manipulationsgeschützten Nutzungsdaten bestimmt wird, eine Prüfsumme von dem mindestens einen Teil der manipulationsgeschützten Nutzungsdaten gebildet wird, die Prüfsumme wenigstens einem Knoten eines Distributed- Ledger-Net zwerks übergeben wird, die manipulationsgeschützten Nutzungsdaten in einem vorzugsweise sicheren Bereich außerhalb des Distributed- Ledger-Net zwerks hinterlegt werden, eine Anfrage erfolgt , die manipulationsgeschützten Nutzungsdaten aus dem vorzugsweise sicheren Bereich zwecks Überprüfung ihrer Richtigkeit und vorzugsweise Information darüber, welches Verfahren zum Bilden der Prüfsumme verwendet wurde , zur Verfügung zu stellen, in Reaktion auf die Anfrage die manipulationsgeschützten Nutzungsdaten aus dem vorzugsweise sicheren Bereich zwecks Überprüfung ihrer Richtigkeit und vorzugsweise Information darüber, welches Verfahren zum Bilden der Prüfsumme verwendet wurde , zur Verfügung gestellt werden, anhand der Prüfsumme die Richtigkeit der manipulationsgeschützten Nutzungsdaten überprüft wird .

Es kann dabei zweckdienlich sein, wenn die Anfrage an eine Instanz gestellt wird, die die manipulationsgeschützten Nutzungsdaten und vorzugsweise die Information darüber, welches Verfahren zum Bilden der Prüfsumme verwendet wurde , zur Verfügung stellen kann . Dabei kann es zweckmäßig sein, wenn die Anfrage von einer weiteren Instanz - von einer prüfenden Instanz , z . B . eine Behörde - gestellt wird, die die Richtigkeit der Manipulation geschützten Nutzungsdaten prüfen kann, d . h . auf die Prüfsumme zugrei fen kann . Die Prüfinstanz kann beispielsweise als das vorgenannte dritte Modul ausgebildet sein .

Bei einer Aus führungs form kann es mit Vorteil vorgesehen sein, dass die automatisierungsanlagenbezogenen Daten zusätzlich weitere Daten, beispielsweise Standort-Daten umfassen, wobei die weiteren Daten digital signiert und verschlüsselt werden, ein weiterer Teil der Daten aus den digital signierten und verschlüsselten weiteren Daten gewählt und wenigstens einem Knoten des Distributed-Ledger-Net zwerks übergeben wird, die Richtigkeit des weiteren Teils der Daten, vorzugsweise durch den Dritten / die prüfende Instanz überprüft wird . Bei einer Aus führungs form kann es vorteilhaft sein, wenn im Falle einer erfolgreichen Überprüfung der Richtigkeit der Daten ( der manipulationsgeschützten Nutzungsdaten und vorzugsweise weiterer Daten, z . B . Geolocation etc . ) , die überprüften Daten elektronisch beglaubigt werden, wobei die elektronische Beglaubigung vorzugsweise einen Zeitstempel aufweist . Diese Beglaubigung kann beispielsweise durch einen digitalen Notariatsdienst in der Blockchain erfolgen .

Bei einer Aus führungs form kann mit Vorteil vorgesehen sein, dass im Falle einer fehlgeschlagenen Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten, die Automatisierungsanlage - wie oben beschrieben adäquat - zu steuern .

Bei einer Aus führungs form kann es zweckmäßig sein, wenn das Distributed-Ledger-Net zwerk zumindest ein Smart-Contract umfasst , wobei die Überprüfung der Richtigkeit der manipulationsgeschützten Nutzungsdaten und vorzugsweise der weiteren Daten mittels des zumindest einen Smart-Contracts automatisiert durchgeführt wird .

Der zumindest eine Smart-Contract umfasst Regeln, deren Nichteinhaltung zu einer vordefinierten Reaktion seitens des Smart-Contracts führt . Beispielsweise kann der zumindest eine Smart-Contract eine zwangsweise Abschaltung einer Einrich- tung/einer Maschine durchsetzen oder bewirken, wenn bestimmte Wartungsarbeiten nicht erbracht wurden, die für einen Versicherungsschutz zwingend sind und für alle Parteien zwei felsfreie Dokumentation des Tatbestandes vorliegt . Auch weitere Maßnahmen sind denkbar . Beispielsweise kann bei einer Nichteinhaltung von Umgebungsbedingungen wie Temperatur, Luftfeuchtigkeit etc . eine of fi zielle Warnung herausgegeben und/oder die Einrichtung/die Maschine zumindest vorläufig aus dem Kommunikationsnetz ausgeschlossen werden .

Somit kann bei einer Aus führungs form mit Vorteil vorgesehen sein, dass der zumindest eine Smart-Contract abhängig von einem Ergebnis der Überprüfung der Daten ausgeführt wird und mindestens eine als Knoten des Distributed-Ledger-Net zwerks ausgebildete Maschine in Reaktion auf ein Ergebnis der Ausführung des zumindest einen Smart-Contracts eine Aktion durchführt , beispielsweise sich ausgeschaltet oder die Kommunikation zu anderen Maschinen in einem Automatisierungsanlagennetz blockiert .

Die Maschine ( oder ein Teil der Maschine oder Anlage ) kann beispielsweise den zumindest einen Smart Contract aus führen lassen oder der zumindest eine Smart Contract kann von einer anderen Stelle ausgeführt werden . Anschließend kann die Maschine auf Grundlage des Ergebnisses der Aus führung des Smart-Contracts eine bestimmte Aktion durchführen ( z . B . sich aus zuschalten oder die Kommunikation einer anderen Maschine zu blockieren) .

Zusammenfassend ermöglicht die Erfindung dem Betreiber der Maschine/der Automatisierungsanlage , einen glaubwürdigen und vertrauenswürdigen Nachweis eines regelkonformen Betriebs der Maschine/der Automatisierungsanlage einem Dritten beispielsweise einer staatlichen Behörde gegenüber zu erbringen .

Außerdem erlaubt eine automatische Bereitstellung und Auswertung der Nutzungsdaten (und unter Umständen weiterer Daten, z . B . auch der Betriebsdaten und vorzugsweise der Leistungsdaten) und damit die Steuerung der bestehenden und zukünftigen Finanzprozesse neue , digitale Finanzinstrumente kostengünstig in der Industrie einzusetzen .

Darüber hinaus können Standards und Regeln von Behörden und Regulatoren verlässlich durchgesetzt und für alle Parteien transparent dokumentiert werden . Die Dokumentation ist glaubwürdig bzw . vertrauenswürdig . Die automatische Durchsetzung der staatlichen Regulatorien erlaubt es in Zukunft Produkte mit Bedarf an derartigen Zulassungen schnell und kostengünstig in der Industrie weltweit einzusetzen . Im Folgenden wird die Erfindung anhand der in den Figuren dargestellten Aus führungsbeispiele näher beschrieben und erläutert . Es zeigen :

FIG 1 ein System zur Überprüfung der Richtigkeit der Nutzungsdaten einer Automatisierungsanlage ,

FIG 2 durch eine Fräsmaschine erzeugte Daten in Form einer Zeitreihe ,

FIG 3 einen Auditprozess , bei dem Nutzungsdaten einer Automatisierungsanlage überprüft werden,

FIG 4 ein System zum Kontrollieren einer Automatisierungsanlage mittels eines Smart-Contracts .

FIG 1 zeigt ein System 1 , welches dem erfindungsgemäßen System entspricht . Zur Veranschaulichung sind in der FIG 1 eine Automatisierungsanlage 2 , ein Cloud-System 3 , ein Maschinenhersteller 4 beziehungsweise Hersteller von industriellen Kontrollsystemen und ein Blockchain-Net zwerk 5 gezeigt .

Der Einfachheit der Darstellung halber ist die Automatisierungsanlage als eine einzige Produktionsmaschine 20 und ein einziges Edge-Gerät 21 umfassende Produktionsanlage 2 dargestellt . Das Edge-Gerät 21 weist eine Cloud-Schnittstelle zu dem Cloud-System 3 auf . Das Edge-Gerät 21 ist ein loT ( Internet of Things ) - Gerät .

Die Produktionsanlage 2 ( „Shop floor" ) kann natürlich mehrere Edge-Geräte und mehrere Maschinen umfassen . Nicht selten umfasst eine Automatisierungsanlage ein aus dutzenden oder gar hunderten Maschinen bestehendes Maschinennetzwerk und ein mehrere (möglicherweise auch dutzende oder hunderte ) Edge- Geräte umfassendes industrielles Kontrollsystem . Die Maschinen können beispielsweise als Roboter, Werkzeugmaschinen, Fertigungsmaschinen, AGVs (Autonomous Guided Vehicles ) , usw . ausgebildet sein . Die Maschinen können als loT-Geräte ausgebildet sein oder solche umfassen . Das Edge-Gerät 21 ist über eine Maschinenschnittstelle mit der Produktionsmaschine 21 und/oder mit an der Produktionsmaschine 21 angebrachten Sensoren verbunden, um die Produktionsmaschine 21 betref fende Betriebsdaten zu erfassen . Ferner ist das Edge-Gerät 21 dazu konfiguriert auf Basis der Betriebsdaten Nutzungsdaten zu erzeugen . Die Betriebsdaten können beispielsweise Anzahl der Drehteile pro Stunde , Werkstoffe etc . umfassen . Die Nutzungsdaten können beispielsweise Anzahl der Betriebsstunden, Energieverbrauch etc . umfassen .

Die Unterschiede zwischen Betriebs- und Nutzungsdaten sind in FIG 2 nun am Beispiel einer Fräsmaschine 200 verdeutlicht .

FIG 2 zeigt durch die Fräsmaschine 200 erzeugte Betriebsdaten in Form einer Zeitreihe 201 . Konkret bildet die Zeitreihe 201 beispielhaft ab, wie stark eine Spindel der Fräsmaschine 200 in Abhängigkeit von der Zeit T beansprucht wird . Es ist zu sehen, wann und mit welcher Frequenz ( „U/min" - Umdrehungen pro Minute ) die Spindel in Betrieb genommen wird - „On" , und wann ihr Betrieb beendet wird - „Of f" . Ein der Fräsmaschine 200 zugeordnetes und mit ihr in Verbindung stehendes Edge- Gerät 202 ist dazu konfiguriert , die Betriebsdaten zu erfassen aus den Betriebsdaten Nutzungsdaten zu erzeugen . Die Nutzungsdaten können z . B . in Form einer Reihe von Zeitfenstern Wl , ... W37 einer vorbestimmten Länge (hier 15 Minuten) vorliegen . Jedes der Fenster Wl bis W37 kann Informationen darüber enthalten, wie lang die Spindel innerhalb dieses Zeitfensters in Betrieb ( „On" ) war und wie lang die Spindel unter einer vordefinierten hohen Last ( „HL" ) stand . Dem Fenster W36 ist beispielsweise zu entnehmen, dass die Spindel die ganze Zeit ( 15 Min) in Betrieb war und davon 2 Minuten unter der hohen Last stand . Es versteht sich, dass die Länge der Fenster nicht auf 15 Minuten beschränkt ist . Diese Länge kann auch von Fenster zu Fenster variieren . Eine Länge des Fensters von 24 Stunden ist durchaus plausibel . Die Last , die als hoch betrachtet wird, kann ebenfalls vordefiniert werden . Beispielsweise kann eine Last von 3700 U/min als hoch erachtet werden . Obendrein kann das Edge-Gerät 21 dazu eingerichtet sein, seinen Standort und/oder den Standort der Maschine 20 zu ermitteln . Dafür kann das Edge-Gerät 21 beispielsweise eine W3C API aufweisen, wobei der ( die ) Standort ( e ) mittels GPS , IP, GSM, WLAN etc . ermitteln werden können .

Außerdem kann das Edge-Gerät 21 dazu eingerichtet sein, KPI ( engl . Key Performance Indicator ) und weitere produktionsbezogene bzw . -relevante Daten zu erfassen .

Zusammenfassend ist das Edge-Gerät 21 dazu eingerichtet produktionsanlagenbezogene Daten zu erfassen, wobei die produktionsanlagenbezogenen Daten die Nutzungsdaten umfassen und zusätzlich noch weitere Daten, wie z . B . die Standort- und/oder die KPI- und/oder Maschinenrestwertdaten etc . umfassen können . Das Edge-Gerät 21 verfügt über die Fähigkeit Daten digital zu signieren und diese optional zu verschlüsseln .

FIG 1 ist weiterhin zu entnehmen, dass das Edge-Gerät 21 die produktionsanlagenbezogenen Daten über seine Cloud-Schnitt- stelle an das Cloud-System 3 übermittelt . Der Integrität der produktionsanlagenbezogenen Daten wegen ist das Edge-Gerät 21 überdies dazu konfiguriert , die produktionsanlagenbezogenen Daten digital zu signieren, bevor es diese an das Cloud- System 3 übermittelt . Vorzugsweise kommuni ziert das Edge- Gerät 21 dabei mit einem Softwaremodul 30 , welches sich in dem Cloud-System 3 befindet .

Das Softwaremodul 30 ist dazu konfiguriert , zumindest einen Teil der digital signierten Nutzungsdaten zu bestimmen und aus dem Teil der digital signierten Nutzungsdaten eine Prüfsumme zu bilden . Vorzugsweise bildet das Softwaremodul 30 die Prüfsumme basierend auf einem kryptographischen Verfahren, um eine sogenannte kryptographische Prüfsumme oder einen kryptographischen Hash oder einen Hashwert zu erzeugen .

Weiters kann das Softwaremodul 30 dazu ausgebildet sein, zumindest einen weiteren Teil der weiteren digital signierten produktionsanlagenbezogenen Daten zu bestimmen und diesen weiteren Teil zu verschlüsseln .

Der Teil der digital signierten Nutzungsdaten, den das Softwaremodul 30 bestimmt aus dem das Softwaremodul 30 eine Prüfsumme , vorzugsweise einen Hashwert bildet , kann beispielsweise abrechnungsrelevante Daten und/oder finanzrelevante Daten ( z . B . Leasing-Vertrag-relevante Daten) und/oder rechtlich relevante Daten ( z . B . Daten, die für eine Funkzulassung relevant sind) umfassen oder aus diesen Daten bestehen .

Darüber hinaus ist das Softwaremodul 30 dazu eingerichtet und/oder konfiguriert , mit mindestens einem Knoten 51 des Blockchain-Net zwerkes 5 zu kommuni zieren, um dem mindestens einem Knoten 51 die Prüfsumme , vorzugsweise den Hashwert des Teils der digital signierten Nutzungsdaten zu übergeben . Der Knoten 51 speichert anschließend die entsprechende Transaktion, die beispielsweise einen Zeitstempel und die Prüfsumme enthält , in Dateien und Blocks und verteilt die Dateien und Blocks an die anderen Knoten 52 , 53 , 54 weiter .

Außerdem kann das Softwaremodul 30 dazu eingerichtet und/oder konfiguriert sein, den verschlüsselten weiteren Teil der weiteren digital signierten produktionsanlagenbezogenen Daten, z . B . KPI s und/oder die GPS-Koordinaten der Maschine 20 dem mindestens einen Knoten 51 zu übergeben .

Zusammenfassend ist das Softwaremodul 30 dazu eingerichtet , eine Prüfsumme eines bestimmten Teils der digital signierten Nutzungsdaten, beispielsweise des abrechnungsrelevanten Teils der Nutzungsdaten, und optional weitere verschlüsselte Daten dem mindestens einen Knoten 51 zu übergeben . Das Softwaremodul 30 ist befähigt , die empfangenen Daten zu verschlüsseln .

Überdies ist das Softwaremodul 30 dazu konfiguriert und/oder eingerichtet , die digital signierten Nutzungsdaten in einer Datenbank 40 des Maschinen- und/oder Edge-Geräte-Herstellers 4 abzulegen . Auch andere Nutzungsdaten in der Datenbank abge- legt werden . Es kann vorteilhaft sein, beispielsweise die GPS-Daten der Maschinen, den "Heavy Load" Faktor, der sich später gut eignet , überdurchschnittliche Abnutzungen oder Defekte richtig einzuschätzen usw .

Die Nutzungsdaten kann der Hersteller auf einem Dashboard 41 graphisch darstellen und/oder Rechnungen 42 für die Benutzung der Maschine 20 in der Automatisierungsanlage 2 erstellen . Der Maschinenhersteller 4 kann die Maschine 20 an den Besitzer der Automatisierungsanlage 2 z . B . geleast haben .

Das Blockchain-Net zwerk 5 umfasst mindestens noch einen weiteren Knoten . Der Einfachheit der Darstellung halber sind in FIG 1 drei weitere Blockchain-Knoten 52 , 53 , 54 gezeigt . Das Blockchain-Net zwerk 5 kann natürlich noch viel mehr weitere Knoten umfassen .

Beispielsweise handelt es sich um ein privates Blockchain- Netzwerk 5 oder ein sogenanntes Konsortium Blockchain Netzwerk, bei dem die Teilnahme am Blockchain-Net zwerk 5 auf nur bestimmte Teilnehmer beschränkt ist . Die Teilnehmer können beispielsweise eine Finanz- und/oder eine Zulassungsbehörde umfassen . Im industriellen Umfeld werden beispielsweise private Blockchains eingesetzt , bei welchen das Konsensus- Verfahren innerhalb eines Konsortiums stattfindet , dessen Mitglieder beispielsweise einander oder einer Verwaltungsinstanz bekannt sind oder ein bestimmtes Vertrauensniveau erfüllen .

Das Blockchain-Net zwerk 5 kann allerdings auch als ein öffentliches Blockchain-Net zwerk, wie z . B . Ethereum ausgebildet sein .

An dieser Stelle sei betont , dass sowohl die Automatisierungsanlage 2 als auch das Cloud-System 3 dem Maschinenhersteller 4 gehören können ( der Besitzer der Automatisierungsanlage 2 , des Cloud-Systems 3 und des Maschinenherstellers 4 kann die gleiche j uristische oder natürliche Person sein) . Denkbar ist aber auch, dass die Automatisierungsanlage 2, das Cloud-System 3, und der Maschinenhersteller 4 unterschiedlichen juristischen oder natürlichen Personen gehören.

Darüber hinaus kann das Softwaremodul 30 in dem Edge-Gerät 21 angeordnet sein und über das Cloud-System 3 oder direkt mit dem mindestens einen Knoten 51 des Blockchain-Net zwerkes 5 kommunizieren. Möglich ist auch, dass die Ebene des Maschinen- und/oder Edge-Geräte-Herstellers 4 ganz (Dashboard 41, Rechnungen 42, Datenbank 40) oder teilweise (Datenbank 40) in dem Cloud-System 3 angeordnet sind.

Die Datenbank 40 befindet sich außerhalb des Blockchain- Netzwerkes 5. Dadurch kann verhindert z.B. werden, dass die Blockchain-Net zwerk Teilnehmer ohne eine Zugangsberechtigung die Nutzungsdaten einsehen können.

Dennoch können die Teilnehmer des Blockchain-Net zwerkes 5, die beispielsweise einen oder mehr der weiteren Knoten umfassen, auf die Prüfsumme des Nutzungsdatenauszugs und, wenn vorhanden, auf die verschlüsselten weiteren Daten, z.B. auf die Standort- und/oder Maschinenrestwertdaten zugreifen.

In FIG 3 ist ein Auditprozess veranschaulicht. Bei dem Auditprozess wird die Richtigkeit der Rechnungen 42 überprüft, die der Maschinenhersteller 4 dem Besitzer der Produktionsanlage 2, der die Maschine 20 in dem Shop-Floor der Anlage 20 benutzt, zukommen lässt. Die Überprüfung kann beispielsweise im Auftrag des Besitzers der Produktionsanlage 2 von einem Dritten 6 durchgeführt werden, wobei der Dritte 6 über einen oder mehr Knoten - in dem Fall die Knoten 53, 54 - des Blockchain- Netzwerks 5 verfügen kann aber nicht muss. Der Dritte 6 kann beispielsweise lediglich über einen Zugang und lesenden Zugriff auf irgendeinen der Knoten 51, 52, 53, 54 verfügen.

Zunächst beantragt der Dritte 6 z.B. mittels einer Nachricht 60 beim Maschinenhersteller 40 ene zu überprüfenden Nutzungsdaten, zu denen die Rechnungen vorliegen. Darüber hinaus kann der Auditor 6 , falls notwendig eine Charakterisierung des Verfahrens beantragen, mit welchem die Prüfsumme , insbesondere der Hashwert gebildet wurde , der dem mindestens einen Knoten 51 des Blockchain-Net zwerks 5 übergeben wurde . Nachdem dem Antrag des Auditors 6 Folge geleistet wurde , kann dieser eine Prüfsumme , vorzugsweise einen Hashwert aus den zur Verfügung gestellten Nutzungsdaten 61 bilden und sie beziehungsweise ihn mit der beziehungsweise dem in dem Blockchain- Netzwerk 5 hinterlegten Prüfsumme beziehungsweise Hashwert vergleichen .

Das oben Gesagte gilt sinngemäß auch für die Überprüfung von den verschlüsselten Daten, die in dem Knoten 51 vorliegen können . In diesem Fall enthält der Auditor 6 von dem Maschinenhersteller auch einen Schlüssel zur Entschlüsselung der verschlüsselten, dem Knoten 51 übergebenen Daten .

FIG 4 zeigt ein System 100 , das beispielsweise als eine Erweiterung des Systems 1 der FIG 1 und 3 ausgebildet sein kann . FIG 4 zeigt die Maschine 20 , die beispielsweise drei Sensoren Z I , Z2 , Z3 aufweist . Die Daten von den Sensoren Z I , Z2 , Z3 werden von dem Edge-Gerät 21 erfasst , wobei das Edge- Gerät 21 darüber hinaus die erfassten Daten trans formieren, digital signieren und optional verschlüsseln kann . Wie bereits erwähnt , kann das Edge-Gerät 21 zusätzlich die Geolocation des Betriebsortes z . B . mittels einer W3C Geolocation API 210 ermitteln . Die W3C Geolocation API kann unter Nutzung von GPS , GSM, WLAN, oder IP-Adresse einen entsprechend genauen geografischen Standort ermitteln .

Die Sensoren Z I , Z2 , Z3 sind vorzugsweise zerti fi ziert , so dass bereits der Messwert vertrauenswürdig ist , und verfügen insbesondere über eine ab Werk eindeutige Identi fikation ID, die vor Ort an der Maschine 20 oder am Prozess (nicht gezeigt ) Betriebsdaten ermitteln . Diese Betriebsdaten genügen vorzugsweise einem standardisierten Daten- oder Maschinenmodell . Damit kann später bei einer Begutachtung oder Prüfung der Betriebsdaten z . B . dem allgemeinen Parameternamen „Dreh- zahl" oder „Energieverbrauch" eindeutig seine Bedeutung in einer Maschine zugewiesen werden, ohne die individuelle Maschinentopologie zu kennen.

Zusätzlich zu dem Blockchain-Net zwerk 5 der Figuren 1 und 3 umfasst das Blockchain-Net zwerk 500 der FIG 4 zumindest ein Smart-Contract 5101, 5102. Im Smart-Contract können Bedingungen abgebildet werden, unter welchen eine Nutzung der Maschine 20 möglich ist. Beispielsweise können dabei Nutzungsbedingungen, wie z.B. Pay-per-Use-Bedingungen geregelt werden. Somit kann der zumindest eine (auf dem Blockchain-Net zwerk 500 ausführbare) Smart-Contract 5101, 5102 die Beziehung zwischen den Parteien des Systems 100, z.B. zwischen dem Maschinenhersteller 4 und dem Besitzer der Produktionsanlage 2 regeln.

Die Smart-Contracts 5101, 5102 können in dem Knoten 510 erzeugt und gespeichert sein, dem das Softwaremodul 30 die Prüfsumme beziehungsweise den Hashwert und die optional verschlüsselten weiteren Daten übergibt. Denkbar ist aber auch, dass ein anderer, beliebiger Knoten den (die) Smart Contract (s) 5101, 5102 ausführt, da jeder Knoten gleichberechtigt auf alle Blöcke zugreifen kann. Dabei kann das Softwaremodul 30 mit dem (den) Smart-Contract ( s ) 5101, 5102 kommunizieren. Dabei können die vom Softwaremodul 30 übergebenen Daten mittels des zumindest einen Smart-Contracts 5101, 5102 um eine amtlich beglaubigte und aktuelle Uhrzeit/Datum 5103, z.B. aus dem Zeitserver der PTB (Physikalisch-Technischen Bundesanstalt) ergänzt werden.

Beispielsweise kann das Edge-Device 21 die ID beziehungsweise die Software-Version, Betriebsdaten und Ort der Sensoren ZI, Z2, Z3 erfassen und diese mit den Kriterien „Betriebstüchtig" oder „außer Betrieb" bewerten. Das Ergebnis kann digital signiert, verschlüsselt, z.B. mittels des Edge-Geräts 21 und mittels des Softwaremoduls 30 in das Blockchain-Net zwerk 500 eingetragen werden. Somit kann das Edge-Device 21 über das zweite Modul 30 ( den Haswerte erzeugenden Dienst ) mit dem zumindest einen Smart- Contract 5101 , 5102 in der Blockchain 5 kommuni zieren .

Ein Leasinggeber 7 kann nun die für ihn verschlüsselten Daten in seinem Knoten 52 mit dem zumindest einen Smart-Contract 5101 , 5102 auswerten und sich davon überzeugen, zu welchem Zeitpunkt , an welchem Ort und in welchem Zustand die Maschine 20 war . Vorteilhafterweise kann der Leasinggeber die Auswertung digital mit seinen Finanzprozessen verbinden, um eine vollständig digitale Aus führung zu nutzen .

Außerdem kann diese Auswertung einem Regulator 8 gegenüber, auch Jahre später, glaubwürdig nachgewiesen werden, unter Verweis auf Daten, die auch für den Regulator 8 in dessen Knoten 53 zugänglich sind .

Wenn beispielsweise das Edge-Device 21 nur die ID/Software- Version und der Ort digital signiert und verschlüsselt und an das Softwaremodul 30 übermittelt , welches diese Daten in das Blockchain-Net zwerk 500 einträgt , dann kann der zumindest eine Smart-Contract 5101 , 5102 automatisch und vorzugsweise laufend alle eingetragenen Datensätze durch Vergleich mit dem Orakel des Maschinenanbieters 4 ( „diese SW-Version ist zu diesem Zeitpunkt in diesem Land regelkonform" ) überprüfen und die Nutzung einer nichtkonf ormen Maschine durch eine entsprechende Rückmeldung an das Edge-Device 21 unterbinden .

Vorteilhafterweise kann dies einer Behörde 8 gegenüber, auch Jahre später, glaubwürdig nachgewiesen werden, unter Verweis auf Daten, die auch für die Behörde 8 in ihrem Knoten 53 zugänglich sind .

Zusätzlich oder alternativ kann das Edge-Device 21 seine ID/Sof tware-Version und einen Ort , an dem es sich befindet , digital signieren und vorzugsweise verschlüsselt in die Blockchain 5 über das zweite Modul 30 eintragen . Der zumindest eine Smart-Contract 5101, 5102 kann laufend und automatisch alle eingetragenen Datensätze durch Vergleich mit dem Orakel des Geräteanbieters 4 („diese Software-Version ist zu diesem Zeitpunkt in diesem Land regelkonform") überprüfen und die Nutzung eines nichtkonf ormen Gerätes durch Information an das Edge-Device 21 unterbinden. Diese Umsetzung kann einer Behörde gegenüber, auch Jahre später, glaubwürdig nachgewiesen werden, unter Verweis auf Daten, die auch für die Behörde in dessen Knoten 53, 53, 54 „Behörde" 6, 7 oder 8 der Blockchain 5 zugänglich sind.

Überdies kann auch die Maschine 20 selbst einen Knoten des Blockchain-Net zwerks 500 bilden. Dabei kann der zumindest eine Smart-Contract 5101, 5102 abhängig von einem Ergebnis der Überprüfung der Daten ausgeführt werden. In Reaktion auf ein Ergebnis der Ausführung des zumindest einen Smart-Contracts 5101, 5102 kann die Maschine 20, die mit dem(n) Smart-Contract (s) kommunizieren kann, eine entsprechende Aktion durchführen, beispielsweise sich ausgeschaltet oder die Kommunikation zu anderen Maschinen in einem Automatisierungsanlagennetz blockieren (Pfeil 5104 in FIG 4) . Das Ergebnis der Ausführung des (r) Smart-Contracts 5101, 5102 hängt davon ab, ob die dort festgelegten Regularien eingehalten werden oder nicht. Dies kann muss aber nicht mithilfe des Edge-Geräts 21 erfolgen .

Vorteilhaft dabei ist, dass die Massendaten des industriellen Prozesses (die Betriebsdaten) vor Ort an der Anlage 2 bleiben können. In das Distributed-Ledger-Net zwerk 5, z.B. in die Blockchain werden nur jene Daten übertragen, die direkt zur schnellen Auswertung durch einen Regulator oder Behörde 6, 7, 8 relevant sind (z.B. „Gerät ist konform") bzw. welche helfen im Streitfall die Richtigkeit historischer Nutzungs- und vorzugsweise der Betriebsdaten zu belegen (z.B. wöchentliches Hash auf die vor Ort gespeicherten Nutzungs- und vorzugsweise der Betriebsdaten) . Obwohl die Erfindung im Detail durch Aus führungsbeispiele näher illustriert und beschrieben wurde , ist die Erfindung nicht durch die of fenbarten Beispiele eingeschränkt . Variationen hiervon können vom Fachmann abgeleitet werden, ohne den Schutzumfang der Erfindung, wie er durch die nachfolgenden Patentansprüche definiert wird, zu verlassen . Insbesondere können die im Zusammenhang mit dem Verfahren beschriebenen Merkmale auch bei dem System zum Einsatz kommen bzw . dieses vervollständigen und vi ce versa .