本发明专利技术涉及一种将技术模块集成到技术设施的上级控制层中的方法。本发明专利技术还涉及一种技术设施的技术模块,该技术模块包括至少一个技术功能,并且该技术模块被设计用于集成到技术设施的上级控制层中。技术模块的特征在于,在技术模块中存储了关于至少一个技术功能的功能权限。
Methods and technical modules integrated into the superior control layer of technical facilities
【技术实现步骤摘要】
技术模块集成到技术设施上级控制层中的方法和技术模块
本专利技术涉及一种用于将技术模块集成到技术设施的工程系统中的方法。此外,本专利技术还涉及一种技术设施的技术模块。另外,本专利技术还涉及一种具有多个技术模块和工程系统的技术设施。
技术介绍
在制药工业和特种化学中,尤其要求技术设施的运营者能够对市场需求的变化做出特别快速的反应。模块化的设施使得设施运营者能够极大缩短所谓的“上市时间”,并且通过设施的低开销改建能够对市场条件的变化做出快速反应。为此,设施运营者能够在模块化的单元(例如处理单元)处建立资源池,设施运营者凭借资源池能够借助于所谓的编排(orchestration)来组合出具体的设施。如果要改建设施,则将单个模块(例如封装单元)取下并且以其他的(例如能力更强的)模块或封装单元来代替。“模块”或“封装单元”在本文中应理解为技术设施的以下部分,其能够作为一个独立的单元集成到技术设施的中央工程系统中。模块一般是各个测量部或技术装置。“模块”还能够表达具有完整工艺技术结构的技术设施的子设施,该工艺技术结构包括多个技术装置(例如罐),这些技术装置又包括多个测量部(例如阀、监视器、控制器、电机等)。在文献WO2016/074730A1中描述了一种方法,模块化的技术设施如何能够借助于模块的自描述信息被创建。这种方法以各个模块的可在线提供的自描述信息为基础。如果将模块或者封装单元引入到工程系统中,那么紧接着必须为其中包括的各种技术装置和测量部定义或者分配功能权限。在此,在安全管理方面缺少参考。因此,定义或者分配功能权限的过程现今极其繁琐。通常,功能权限被“快速”地并且在安全方面非最优地(这尤其意味着“限制不足”)分配。这从信息技术安全角度来看代表着很大的风险。因此,对于同一个模块或者同一个封装单元来说(当它们逐步结合到各种工艺技术项目中时),其应用可能每次以不同的功能权限为基础。这在以下情况下是尤其关键的:模块/封装单元具有只允许专业人员操作、监控或调整的关键设施部分。
技术实现思路
本专利技术的目的是,提供一种用于将技术模块集成到技术设施的工程系统中的简单并且同时更安全的方法。该目的通过一种用于将技术模块集成到技术设施的工程系统中的方法来实现,其中,技术模块包括至少一个技术功能。此外,该目的还通过一种技术设施的技术模块来实现。此外,该目的还通过具有多个技术模块和工程系统的技术设施来实现。根据本专利技术的方法的特征在于,在集成到工程系统中之前,在技术模块中存储了关于至少一个技术功能的功能权限。“技术模块”应理解为独立的技术单元,该技术单元能够集成到上级控制层中。这种技术模块能够例如是工业设施的多个测量部或者更大的设施部分的联合。但是,技术模块不必来自该工业设施的领域,而能够例如是汽车、船舶等的马达模块。上级控制层能够是任意系统,特别是过程控制系统的工程系统,其被设计用于以控制技术/自动化技术来耦联和协调各个技术模块。术语“技术功能”应被广泛的解释。在此,例如能够涉及阀门的打开或者关闭、马达的启动或者停止、或者罐的填充或排空。在此,为模块的各个技术功能所存储的功能权限不必强制相同。模块例如能够包括罐、分离器以及加热装置。为了能够使用加热器的技术功能,能够例如分配简单的操作员功能权限。在此,“使用”能够例如意味着“操作”和“监视”。相比之下,为了能够使用加热装置的技术功能,能够分配更高的功能权限,该功能权限例如还只允许“监视”加热装置。如果将模块集成到上级控制层中,那么模块的不同的技术功能或者技术区域就已经被预先分配了(对此必要的或者有意义的)功能权限。由此,避免了在上级控制层中协调模块时用于定义和分配功能权限的开销。另外,能够以简单的方法和方式有效地防止,当模块结合在不同的(例如工艺技术)项目中时,对于同一个模块或者同一个封装单元来说,其应用可能以不同的功能权限为基础。由此,在使用关键设施部分作为模块时,事先已经能够解决信息技术的安全考虑。如果操作员的用户角色希望使用模块的具体技术功能,则能够在上级控制层中为用户角色授予为此所需要的权限。但是,模块的各个技术功能的事先分配的权限级别是永久性的。在上级控制层中不可能将用于各个技术功能的权限级别降级,这带来了显著的安全性增益。优选地,在存储功能权限之前,在安全检查的范畴中首先确定,待存储的功能权限根据预定的用户角色而在技术设施中必须具有何种最小范围,其中,根据信息技术安全检查(IT-安全检查)的结果规定待存储在技术模块中的功能权限的范围。在此,用户角色例如是操作员或者管理员。在这种分析的范畴内,从模块的结构出发,研究哪个最小功能权限对于相应的现有用户角色是必要的。随后,将该最小功能权限分配给各个用户角色并且存储在模块中。通过该方法的优选改进方案,能够确保分配以下最小功能权限,其从安全角度看来是有利的。在本专利技术的有利改进方案的范畴中,在功能权限存储在技术模块中之后紧接着检查:在规定功能权限的范围之后,技术设施是否能够无障碍地运行。由此能够确保,对现有用户角色的功能权限的定义和分配在任何条件下都能够实现技术设施的无障碍运行。在此,尤其能够检查:上级控制层是否也能够使用相应技术模块的所有技术功能(假设有相应的授权)。另外,所述目的通过技术设施的技术模块来实现,该技术模块包括至少一个技术功能并且设计用于集成到技术设施的上级控制层中。根据本专利技术,技术模块的特征在于,在模块中存储了关于至少一个技术功能的功能权限。优选地,借助合适的认证方法,至少将存储的功能权限面向技术设施的上级控制层标记为可信赖的。特别优选地,整个技术模块面向上级控制层被标记为可信赖的。各个功能权限和/或整个技术模块有利地通过用于完整性保护或者用于认证的合适机制来防止未授权的操纵。为此,技术模块的生产者能够例如为各个技术功能和/或整个技术模块配备(各一个)安全存储的私钥(英语为“privatekey”)和配属的(生产者)证书。在此,在面向技术设施的上级控制层验证证书时,能够识别对功能权限的操纵。由此,就相关于第三方无授权访问的IT安全来说,能够提高技术模块的防护等级。此外,所述目的还通过具有多个技术模块和上级控制层的技术设施来实现,其中,至少一个技术模块如上所述地设计。尽管在细节上通过优选的实施例详细说明和描述了本专利技术,但是本专利技术不局限于公开的实例,并且本领域的技术人员能够从中推导出其他变型,而不脱离本专利技术的保护范围。具体实施方式在一个实施例中,技术模块是工业设施的一部分,该技术模块包括以下信息:-设施图像:其以标准格式被提供,为了通过操作员站服务器来操作或者监视,其被设置用于操作员站客户端中的可视化。-接口:接口说明被用于,结合其他设施部分来操作、观察技术模块和使技术模块自动化。-设备:一种技术等级,用于结构性地描述技术模块(例如缓冲罐、反应器、混合器等);设施图像和接口相应地映射到设备(英语“Equipment”)上;例如,通过混合器的设施图像将用于控制混合器的信号提本文档来自技高网...
【技术保护点】
1.一种用于将技术模块集成到技术设施的上级控制层中的方法,其中,所述技术模块包括至少一个技术功能,其特征在于,在集成到所述上级控制层中之前,在所述技术模块中存储关于至少一个所述技术功能的功能权限。/n
【技术特征摘要】
20181126 EP 18208248.71.一种用于将技术模块集成到技术设施的上级控制层中的方法,其中,所述技术模块包括至少一个技术功能,其特征在于,在集成到所述上级控制层中之前,在所述技术模块中存储关于至少一个所述技术功能的功能权限。
2.根据权利要求1所述的方法,其中,在存储所述功能权限之前,在安全检查的范畴内首先确定,待存储的功能权限根据预定的用户角色在所述技术设施中必须具有何种最小范围,其中,根据信息技术安全检查的结果规定待存储在所述技术模块中的所述功能权限的范围。
3.根据权利要求2所述的方法,其中,在所述技术模块中存储有所述功能权限之后检查,在规定了所述功能权限的范围之后是否能够实现所述技术设施的无故障运行。
4...
【专利技术属性】
技术研发人员:本杰明·卢茨,安娜·帕尔明,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。