自动化单元与自动化服务器的动态对应制造技术

自动化系统，包括至少一个自动化单元和多个自动化服务器，以及经通信网络互相连接的中央管理单元。自动化服务器使用通报给它的自动化单元的证书与自动化单元通信。自动化服务器事先验证证书。根据与相应的自动化服务器的通信，自动化单元控制工业技术设施的设施部件。为了验证证书，自动化服务器检查证书的信任链，并且通过访问阻止列表检查其有效性。中央管理单元通报给自动化服务器信任链，以实现与自动化单元的通信。中央管理单元撤回自动化服务器的信任链，或将自动化单元的证书登记到阻止列表中来禁止通信。只有当事先所有其他自动化服务器被撤回相应的信任链，证书被登记在阻止列表中或证书在其他方面失效时，通报相应的信任链。信任链。信任链。

【技术实现步骤摘要】
自动化单元与自动化服务器的动态对应


[0001]本专利技术涉及一种自动化系统的运行方法，
[0002]‑
其中，自动化系统包括至少一个自动化单元和多个自动化服务器，
[0003]‑
其中，自动化服务器经由通信网络与自动化单元连接，
[0004]‑
其中，自动化服务器利用通报给自动化服务器的自动化单元的证书与自动化单元通信，
[0005]‑
其中，在与自动化单元通信之前，自动化服务器验证自动化单元的证书Z，
[0006]‑
其中，根据与相应的自动化服务器的通信，自动化单元控制工业技术设施的设施部件，
[0007]‑
其中，为了验证证书，自动化服务器一方面检查证书的信任链，另一方面通过访问阻止列表来检查证书的有效性，
[0008]‑
其中，阻止列表存储在一存储位置上，并且到该存储位置上的引用包含在通报的证书中。
[0009]本专利技术还涉及一种自动化系统，
[0010]‑
其中，自动化系统包括至少一个自动化单元和多个自动化服务器，
[0011]‑
其中，自动化服务器经由通信网络与自动化单元连接，
[0012]‑
其中，自动化服务器被编程为，自动化服务器利用通报给自动化服务器的自动化单元的证书与自动化单元通信，并且在与自动化单元通信之前验证自动化单元的证书，
[0013]‑
其中，自动化服务器被编程为，自动化服务器根据与相应的自动化服务器的通信控制工业技术设施，
[0014]‑
其中，自动化服务器被编程为，为了验证证书，自动化服务器一方面检查证书的信任链，另一方面通过访问阻止列表检查证书的有效性，
[0015]‑
其中，阻止列表存储在一存储位置，并且到该存储位置的引用包含在通报的证书中。

技术介绍

[0016]在工艺技术的工业设施中，越来越多地要求具有灵活性和可扩展性。这使得设施部件被作为小单元来单独开发或生产。这些单元尤其在制药工业中经常被称作成套设备。相应的设施部件由自动化单元、例如可编程逻辑控制器控制。
[0017]多个设施部件共同构成工业设施。所属的自动化单元由经由通信网络(例如以太网)与自动化单元连接的自动化服务器控制。自动化单元根据与相应的自动化服务器的通信控制其相应的设施部件。它们从自动化服务器接收相应的控制命令或其他命令，并将相应的自动化单元的传感器信号、由此导出的信号或内部状态返回给自动化服务器。
[0018]除了上面描述的方案的模块性以外，这在将单个设施部件动态地配属给特定工业设施的方面也具有优点。例如特定设施部件最初可以是第一工业设施的一个组件，并且可以在随后的时间点从第一工业设施中被划分出去并被配属给第二工业设施。
[0019]为了在第一工业设施的框架下使用后在第二工业设施的框架下使用，设施部件自然必须从第一工业设施划分出去并划分到第二工业设施中。这种转移本身、即这种设施部件的尺寸机械物理转移不是本专利技术的主题。但必须确保在从第一工业设施划分出去之前由第一工业设施的自动化服务器且仅由自动化服务器访问相应的自动化单元，并且从划分到第二工业设施中开始由第二工业设施的自动化服务器且仅由自动化服务器访问相应的自动化单元。除了设施部件的尺寸机械物理转移之外还必须实现相关联的自动化单元的相关联的通信技术转移。
[0020]在现有技术中，针对通信技术的转移，对两个涉及的自动化服务器的工程化都要改变。相应的工程化包含参数化，其指明哪个设施部件(准确来说，从相应的自动化服务器的角度看的哪个设施部件)必须存在，以执行相应的自动化任务。工程还包含相应的自动化单元通信路径的信息。
[0021]这样的处理方法繁琐、耗时且易出错。其繁琐、耗时，是因为必须针对第一工业设施的自动化服务器还有第二工业设施的自动化服务器来分别改变工程化，并且必须将工程化装载到相应的自动化服务器中。其易出错，是因为这种工程化本身可能是有错误的，并且在次序方面可能发生错误。尤其可能发生的是，特定设施部件的自动化单元在某一时间点被配属于第二工业设施的自动化服务器，在该时间点，该自动化单元还被配属于第一工业设施的自动化服务器。在这种情况下，两个自动化服务器相互竞争。如果反过来确保了设施部件的自动化单元首先在第一自动化服务器被划分出去，然后才被划分到第二自动化服务器中，那么在从一个自动化服务器划分出去再被划分到另外的自动化服务器中，这之间出现了相对较大的时间间隔，而此时不能使用所属的设施部件。因此，产能下降。

技术实现思路

[0022]本专利技术的目的在于，提供一种简单且高效的自动化单元的通信技术转移，即从一个自动化服务器的划分出去再划分到另外的自动化服务器中。
[0023]该目的通过根据本专利技术的运行方法实现。运行方法的有利的设计方案是各个实施例的主题。
[0024]根据本专利技术，如此设计开头所述类型的运行方法，
[0025]‑
自动化系统还包括经由通信网络与自动化服务器和自动化单元连接的中央管理单元，
[0026]‑
中央管理单元向相应的自动化服务器通报相应的信任链，以实现相应的自动化服务器与自动化单元的通信，
[0027]‑
中央管理单元从相应的自动化服务器撤回相应的信任链，或使得自动化单元的证书登记到阻止列表中，以禁止相应的自动化服务器与自动化单元的通信，并且
[0028]‑
仅在撤回之前所有其他的自动化服务器的设定用于与自动化单元通信的信任链以或将直到该时间点自动化单元有效的证书登记到阻止列表或自动化单元的证书在其他方面失效时，中央管理单元向相应的自动化服务器通报相应的信任链。
[0029]本专利技术基于这样的认知，即使用安全的通信记录完成相应的自动化服务器和自动化单元之间的通信，使用符合X.509标准的证书Z。这种类型的协议是OPC、UA、TLS等等。所提到的证书是在X.509标准的框架内限定的。然而，仅当单元不只已经获得了其通信伙伴的证
书，而且单元还可以通过相关联的信任链验证获得的证书，并且证书未被登记在阻止列表中或者证书没有因其他方面无效时，才进行单元与通信伙伴的通信。另外的无效性可能随时间进程而出现，因为证书通常仅在有限的时间段内有效。
[0030]中央管理单元负责，使自动化服务器仅在确保没有其他自动化服务器具有有效的、未封禁的证书以及其所属的信任链时才可以使用证书。只要存在这种危险，就不将该证书通报给相应的(新)自动化服务器。在个别情况下，这可以暂时包括一种状态，即用于与同一自动化单元通信所必需的数据不提供给唯一的自动化服务器。但在任何情况下都不会出现：用于与同一自动化单元通信所必需的数据被提供给超过一个自动化服务器。
[0031]通过这种处理方法，仅对自动化服务器建立一次工程化，并且接下来不再进行改变。这意味着自动化服务器按照相应的参数化来确定其是否必须与自动化单元通信以执行对该自动化服务器特定的自动化任务，但是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于自动化系统的运行方法，
‑
其中，所述自动化系统包括至少一个自动化单元(5)和多个自动化服务器(11、11
’
)，
‑
其中，所述自动化服务器(11、11
’
)经由通信网络(10)与所述自动化单元(5)连接，
‑
其中，所述自动化服务器(11、11
’
)利用通报给所述自动化服务器的所述自动化单元(5)的证书(Z)来与所述自动化单元(5)通信，
‑
其中，在与所述自动化单元(5)通信之前，所述自动化服务器(11、11
’
)验证所述自动化单元(5)的所述证书(Z)，
‑
其中，所述自动化单元(5)根据与相应的所述自动化服务器(11、11
’
)的通信来控制工业技术设施(1、1
’
)的设施部件(3)，
‑
其中，为了验证所述证书(Z)，所述自动化服务器(11、11
’
)一方面检查所述证书(Z)的信任链且另一方面通过访问阻止列表(24)检查所述证书(Z)的有效性，
‑
其中，所述阻止列表(24)存储在一存储位置上，到所述存储位置上的引用(23)包含在通报的所述证书(Z)中，其特征在于，
‑
所述自动化系统还包括中央管理单元(25)，所述中央管理单元经由所述通信网络(10)与所述自动化服务器(11、11
’
)和所述自动化单元(5)连接，
‑
所述中央管理单元(25)向相应的所述自动化服务器(11、11
’
)通报相应的信任链，以实现相应的所述自动化服务器(11、11
’
)与所述自动化单元(5)的通信，
‑
所述中央管理单元(25)从相应的所述自动化服务器(11、11
’
)撤回相应的信任链，或使得直到当前时间点有效的所述自动化单元(5)的证书(Z)被登记到所述阻止列表(24)中，以禁止相应的所述自动化服务器(11、11
’
)与所述自动化单元(5)的通信，并且
‑
所述中央管理单元(25)仅在以下时刻才向相应的所述自动化服务器(11、11
’
)通报相应的信任链：当所述中央管理单元事先已经从所有其他的自动化服务器(11、11
’
)撤回设定用于与所述自动化单元(5)通信的信任链、或使得直到当前时间点仍有效的所述自动化单元(5)的所述证书(Z)登记到所述阻止列表(24)中、或所述自动化单元(5)的所述证书(Z)以其他方式无效时。2.根据权利请求1所述的运行方法，其特征在于，所述自动化服务器(11、11
’
)根据相应的参数化确定，所述自动化服务器是否必须与所述自动化单元(5)通信以执行针对所述自动化服务器特定的自动化任务，并且对所述自动化服务器(11、11
’
)的参数化(P、P
’
)与对信任链的通报和撤回无关以及与对所述证书(Z)的封禁无关。3.根据权利请求1或2所述的运行方法，其特征在于，
‑
为了获得相应的信任链，相应的所述自动化服务器(11、11
’
)在所述中央管理单元(25)处请求所述自动化单元(5)的对应关系，并且
‑
基于所述请求，所述中央管理单元(25)撤回通报给另外的自动化服务器(11、11
’
)的所述自动化单元(5)的证书(Z)的信任链、或使得通报给另外的自动化服务器(11、11
’
)的所述自动化单元(5)的证书(Z)被封禁，并且将相应的信任链通报给进行请求的自动化服务器(11、11
’
)。4.一种自动化系统，
...

【专利技术属性】
技术研发人员：本杰明，
申请(专利权)人：西门子股份公司，
类型：发明
国别省市：