| EP3764221A1 | 2021-01-13 | |||
| US20200387147A1 | 2020-12-10 |
| Patentansprüche 1 . Verfahren zum Testen einer neuen Version einer Firmware (FW) eines Verbindungsgeräts (3), wobei das Verbindungsgerät (3) in einer Automatisierungsanlage (14) zwischen den Feldgeräten (1) der Automatisierungsanlage (14) eines Anlagenbetreibers und einer externen Server-Plattform (4) im sog. Produktionssystem oder P-System angeordnet ist, mit folgenden Verfahrensschritten: - die neue Version der Firmware (FW) wird über Internet oder über ein anderweitiges Netzwerk an ein Qualitätssystem oder Q-System übermittelt, wobei das Q-System dem P- System zugeordnet ist, - die Qualität von zumindest einigen Aktionen/Reaktionen der neuen Firmware (FW) auf simulierte Ereignisse, die den in der Automatisierungsanlage (14) real ablaufenden Ereignissen zumindest weitgehend nachgebildet sind, wird auf dem Q-System vor Installation auf dem P-System getestet, die neue Version der Firmware (FW) wird auf dem Verbindungsgerät (3) des P-Systems installiert, wenn die auf dem Q-System getesteten Aktionen/Reaktionen der neuen Firmware (FW) auf die simulierten Ereignisse die vom Anlagenbetreiber vorgegebenen Qualitätskriterien erfüllen. 2. Verfahren nach Anspruch 1 , wobei dem Q-System für die Qualitätsbeurteilung der neuen Version der Firmware (FW) Simulationsregeln in Form von Softwareprogrammen (13) zur Verfügung gestellt werden, die zumindest weitgehend einzelne Ereignisse simulieren, die im P-System ablaufen und bei denen das Verbindungsgerät (3) agiert oder reagiert. 3. Verfahren nach Anspruch 1 , wobei der Datenverkehr auf dem Verbindungsgerät (3) im P-System über einen vorgegebenen Zeitraum aufgezeichnet wird, wobei während des vorgegebenen Zeitraums die Vorgänger-Version der neuen Version der Firmware (FW) auf dem Verbindungsgerät (3) installiert ist, die die vorgegebenen Qualitätskriterien des Anlagenbetreibers erfüllt, und wobei die Daten des aufgezeichneten Datenverkehrs dem Q-System als Testdaten für die Qualitätsbeurteilung der neuen Version der Firmware (FW) zur Verfügung gestellt werden. 4. Verfahren nach Anspruch 1 , wobei dem Q-System für die Qualitätsbeurteilung der neuen Version der Firmware (FW) Simulationsdaten zur Verfügung gestellt werden, die in einem externen virtuellen Simulationssystem (11), das zumindest in Teilen der Automatisierungsanlage (14) nachgebildet ist, generiert wurden. 5. Verfahren nach Anspruch 1 , wobei dem Q-System für die Qualitätsbeurteilung der neuen Version der Firmware (FW) Simulationsdaten zur Verfügung gestellt werden, die in einem externen realen Simulationssystem (11), das zumindest in Teilen der Automatisierungsanlage (14) mit realen Feldgeräten bei der Erfüllung realer oder simulierter Mess- oder Stellaufgaben nachgebildet ist, generiert wurden. 6. Verfahren nach zumindest einem der vorhergehenden Ansprüche, wobei die Ergebnisse der im Q-System durchgeführten Qualitätsbeurteilung ausgegeben und dem Bedienpersonal (BP) der Automatisierungsanlage (14) angezeigt werden. 7. Verfahren nach Anspruch 6, wobei die neue Version der Firmware (FW) auf dem Verbindungsgerät (3) im P-System installiert wird, wenn die neue Version der Firmware (FW) die für die Qualitätsbeurteilung herangezogenen Qualitätskriterien im Q-System in ausreichendem Maße erfüllt, oder wobei die Installation der neuen Version der Firmware (FW) auf dem Verbindungsgerät (3) des P-Systems verweigert wird, wenn die neue Version der Firmware (FW) die für die Qualitätsbeurteilung herangezogenen Qualitätskriterien im Q-System nicht oder nicht in ausreichendem Maße erfüllt. 8. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei von jedem der Feldgeräte (1) in der Automatisierungsanlage zumindest eine Prozessgröße eines Prozessmediums ermittelt oder geregelt oder gesteuert wird. 9. Vorrichtung zur Durchführung des Verfahrens, wie es in zumindest einem der Ansprüche 1-8 beschrieben ist, mit einem Verbindungsgerät (3), das in einer Automatisierungsanlage (14) mit einer Vielzahl von Feldgeräten (1) zwischen den Feldgeräten (1) der Automatisierungsanlage (14) und einer externen Serverplattform (4) angeordnet ist, wobei dem Verbindungsgerät (3) ein Testsystem (6) zugeordnet ist, das zur Überprüfung der Qualität der neuen Version der für das Verbindungsgerät (3) bestimmten Firmware (FW) dient, wobei die Qualität hinsichtlich vorgegebener Qualitätskriterien überprüft wird und wobei das Testsystem (6) folgende Komponenten aufweist: - eine in Echtzeit arbeitende Recheneinheit (7), auf der die neue Version der Firmware (FW) des Verbindungsgeräts (3) installiert ist, - eine Simulationseinheit (9), die in Kommunikation mit der in Echtzeit arbeitenden Recheneinheit (7) steht und die der Recheneinheit (7) Testdaten zur Verfügung stellt, wobei mittels der Aktionen und Reaktionen der neuen Version der Firmware (FW) auf zur Verfügung gestellte Testdaten überprüft wird, ob die Firmware (FW) die vorgegebenen Qualitätskriterien des Anlagenbetreibers erfüllt, - eine Listener-Einheit (8), die den Datenverkehr zwischen der Recheneinheit (7) und der Simulationseinheit (9) mithört, - eine Ausgabeeinheit (10), auf der die von der Listener-Einheit (8) mitgehörten und ggf. weiterverarbeiteten Daten ausgegeben werden. 10. Vorrichtung nach Anspruch 9, wobei es sich bei dem Verbindungsgerät (3) um ein Edge Device handelt. 11. Vorrichtung nach einem der Ansprüche 9 und/oder 10, wobei das Testsystem (6) eine Kommunikationsschnittstelle zum Internet aufweist, und wobei die neue Version der Firmware (FW) des Verbindungsgeräts (3) über Internet auf die Recheneinheit (7) des Testsystems (6) geladen wird. 12. Vorrichtung nach einem der Ansprüche 9 und/oder 10, wobei das Testsystem (6) eine Kommunikationsschnittstelle zu einem Netzwerk der Automatisierungsanlage (14) aufweist, und wobei die neue Version der Firmware (FW) des Verbindungsgerätes (3) über das Netzwerk auf die Recheneinheit (7) des Testsystems (6) geladen wird. 13. Vorrichtung nach zumindest einem der Ansprüche 9-12, wobei ein externes Simulationssystem (11) vorgesehen ist, in dem die Automatisierungsanlage (14) zumindest teilweise real oder virtuell nachgebildet ist, und wobei das externe Simulationssystem (11) mit dem Testsystem (6), insbesondere der Simulationseinheit (9) des Testsystems (6), über Internet verbunden ist. 14. Vorrichtung nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Qualitätskriterien sich beispielsweise auf die Durchführung von Diagnoseverfahren an den Feldgeräten (1) oder die auf Anforderung von Diagnosedaten oder von Parameterdaten von den Feldgeräten (1) beziehen. 15. Vorrichtung nach einem oder mehreren der vorhergehenden Ansprüche 9-14, wobei über Ethernet kommunizierende Feldgeräte (1.1. ... 1.m) der Automatisierungsanlage (14) direkt mit dem Verbindungsgerät (3) bzw. dem Edge Device in Kommunikationsverbindung stehen, während Feldgeräte (1.1 , ...1.n), die über ein in der Automatisierungstechnik gebräuchliches Feldbus-Protokoll oder proprietäres Feldbus- Protokoll kommunizieren über ein Gateway (2) mit dem Verbindungsgerät (3) kommunizieren, das zwischen die Feldgeräte (1.1 , ...1 .n) und das Verbindungsgerät (3) bzw. das Edge Device geschaltet ist. |
Die Erfindung betrifft ein Verfahren zum Testen einer neuen Version der Firmware eines Verbindungsgeräts, das in einer Automatisierungsanlage zwischen den Feldgeräten der Automatisierungsanlage und einer externen Server-Plattform angeordnet ist. Weiterhin betrifft die Erfindung eine Vorrichtung, die zur Durchführung des Verfahrens zum Testen einer neuen Version einer Firmware für ein Verbindungsgerät geeignet ist.
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen der Automatisierungstechnik zum Einsatz kommen. Sie werden in vielen Bereichen der Prozessautomatisierung und der Fertigungsautomatisierung eingesetzt. Als Feldgeräte werden im Zusammenhang mit der Erfindung alle Geräte angesehen, die prozessnah eingesetzt werden und die prozessrelevante Information liefern und/oder verarbeiten. Feldgeräte erfassen und/oder beeinflussen - je nach Einsatzbereich - physikalische, chemische oder biologische Prozessgrößen von zumindest einem Prozessmedium.
Zur Erfassung von Prozessgrößen dienen Messgeräte, die üblicherweise aus einer Sensoreinheit und einer Messumformereinheit bestehen. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH- Messung oder Füllstandmessung verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand oder den Durchfluss. Zur Beeinflussung von Prozessgrößen kommen Aktoren wie Pumpen oder Ventile zum Einsatz, über die beispielsweise der Durchfluss einer Flüssigkeit in einer Rohrleitung oder der Füllstand in einem Behälter geregelt wird. Zusätzlich zu den zuvor genannten Messgeräten und Aktoren werden unter dem Begriff “Feldgeräte“ auch Remote I/Os, Funkadapter, Komponenten des Kommunikationsnetzwerkes, wie beispielsweise Gateways, oder - allgemein gesprochen - Geräte verstanden, die auf der Feldebene bzw. Prozessebene in der Automatisierungsanlage angeordnet sind. Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe entwickelt, hergestellt und vertrieben.
In zunehmendem Maße ist am “Rande“ eines Netzwerks der Automatisierungstechnik zumindest ein Verbindungsgerät angeordnet, das seiner Anordnung entsprechend als Edge Device bezeichnet wird. Insbesondere in lloT Umgebungen kommt ein Edge Device als Knotenpunkt zwischen dem Feldbus-Netzwerk der Automatisierungstechnik, bestehend aus einer Vielzahl von Feldgeräten, die über zumindest ein Feldbusprotokoll miteinander oder mit einer übergeordneten Steuereinheit kommunizieren, und einer externen Servereinheit, dem lloT oder - allgemein gesprochen - der Cloud. Ein Edge Device stellt je nach Anforderungen diverse Schnittstellen zu kabelgebundenen und funkbasierten Übertragungstechnologien und Kommunikationsstandards, wie Ethernet, WLAN oder Mobilfunk wie LTE (4G), 5G, usw. zur Verfügung.
Die Datenmenge, die von in der Automatisierungstechnik verwendeten Feldgeräten pro Zeiteinheit erzeugt wird, steigt stetig an. Um die Daten möglichst in Echtzeit auszuwerten oder weiterzuverarbeiten oder in die Cloud zu laden, ist es sinnvoll, die Datenmenge zu reduzieren und vor Ort zu entscheiden, welche Daten im Edge Device verarbeitet werden, bevor sie weitergeleitet werden. Das entsprechende Schlagwort zur Lösung dieses Problems ist Edge Computing. Hier wird nahe am Ort des Entstehens der Daten entschieden, welche Daten der von den Feldgeräten generierten Daten an externe Server-Plattformen übertragen und gespeichert werden und welche Daten vor Ort im Edge Device ausgewertet und weiterverwendet werden. Durch die Datenverarbeitung in Echtzeit lässt sich eine akzeptable Latenzzeit erreichen, was insbesondere bei zeitkritischen Anwendungen wichtig ist. Wichtig in der Automatisierungstechnik ist z.B., dass zuverlässig in einem Zeitraum mindestens eine Meldung von einem Feldgerät erhalten wird. Die Zuverlässigkeit bei der rechtzeitigen Lieferung von Information ist Voraussetzung für eine Trendbildung und/oder eine Vorhersage. Durch die bedarfsgerechte Datenverarbeitung lässt sich eine effiziente Kommunikation für Anwendungen, wie z.B. Predictive Maintenance, also der vorausschauenden Wartung, oder Machine Learning erreichen. Ein Hochladen in die Cloud bzw. zu einer externen Server- Plattform erfolgt nur dann, wenn Informationen sich nicht lokal auswerten lassen, detaillierte Analysen erforderlich sind oder Daten archiviert werden sollen. Somit lassen sich auch die Kosten eines Anlagenbetreibers für die Nutzung externer Kommunikationsnetze erheblich reduzieren. Grob gesprochen handelt es sich bei dem Edge Device um eine Komponente, mit Rechen- und Speicherressourcen.
Ein nicht zu vernachlässigender Vorteil ist weiterhin, dass die Daten beim Edge Computing im lokalen Netzwerk des Anlagenbetreibers verbleiben. Oftmals handelt es sich im Bereich der industriellen Prozessautomatisierung um sensible Prozessdaten, von denen der Anlagenbetreiber keineswegs möchte, dass sie ins Internet übertragen werden.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine entsprechende Vorrichtung zur Durchführung des Verfahrens bereitzustellen, mit dem die Qualität einer neuen Version der Firmware eines Verbindungsgeräts vorab getestet wird.
Die Aufgabe wird gelöst durch ein Verfahren zum Testen einer neuen Version einer Firmware eines Verbindungsgeräts, wobei das Verbindungsgerät in einer Automatisierungsanlage im Produktivsystem oder P-System zwischen den Feldgeräten der Automatisierungsanlage und einer externen Server- Plattform angeordnet ist. Das Verfahren weist die folgenden Verfahrensschritte auf: die neue Version der Firmware wird über Internet oder über ein Netzwerk der Automatisierungsanlage an ein Testsystem - Qualitätssystem oder Q-System - übermittelt, die Qualität von zumindest einigen Aktionen/Reaktionen der neuen Firmware auf simulierte Ereignisse, die den in der Automatisierungsanlage real ablaufenden Ereignissen zumindest weitgehend nachgebildet sind, wird vor Installation auf dem P-System auf dem Q-System getestet, die neue Version der Firmware wird vom Bedienpersonal der Automatisierungsanlage auf dem P-System installiert, wenn die getesteten Aktionen/Reaktionen der neuen Firmware auf die simulierten Ereignisse die vom Anlagenbetreiber vorgegebenen Qualitätskriterien auf dem Q-System erfüllen.
Es versteht sich von selbst, dass die Firmware eines Edge Device weiterentwickelt wird, beispielsweise um Security Patches um Sicherheitslücken zu schließen, aber auch ggf. neue technische Funktionen zu integrieren oder um die Leistung oder die bereits integrierten Funktionen des Edge Device zu verbessern. Um Ausfälle der Anlage zu vermeiden oder um Sicherheit zu haben, dass keine sensiblen Daten das lokale Netzwerk unautorisiert verlassen, sind Anlagenbetreiber in hohem Maße daran interessiert, zumindest gewisse Funktionen der neuen Version einer Firmware zu überprüfen, bevor diese im Produktivsystem (P-System) installiert wird.
Erfindungsgemäß befinden sich das P-System und das Q-System in der Sphäre des Anlagenbetreibers.
Durch das erfindungsgemäße Verfahren wird die Qualität der neuen Version des Firmware Updates vor Installation auf dem Edge Device des Produktivsystems in der Sphäre des Anlagenbetreibers getestet. Das Testen im sog. Q-System kann durch das Bedienpersonal des Anlagenbetreibers vor Ort erfolgen. Das erfindungsgemäße Verfahren macht es möglich, während der Testphase ggf. Sicherheitslücken in der Datenkommunikation oder einen nicht vom Anlagenbetreiber autorisierten Transfer von Firmendaten zu einer externen Server-Plattform zu erkennen. Weiterhin lässt sich überprüfen, ob die Feldgeräte der Automatisierungsanlage in Kommunikation mit dem Edge Device das Verhalten aufweisen, das sie bestimmungsgemäß aufweisen sollen. Unerwünschte Verhaltensänderungen im Produktivsystem, die die neue Version der Firmware verursachen würde, lassen sich effektiv vorab erkennen. Durch das Vorab- Testen der Firmware des Edge Device im Q-System anhand von Testdaten, die die qualitätskritischen Testfunktionen möglichst wirklichkeitsgetreu nachbilden oder ihnen entsprechen, erhält der Anlagenbetreiber die Sicherheit, die vor Freischalten einer neuen Firmware erforderlich ist. Letzteres ist natürlich besonders wichtig, wenn die Automatisierungsanlage, bei der das Edge Device zum Einsatz kommt, hohen Sicherheitsstandards bezüglich der Weitergabe von internen Daten nach außen genügen muss. Durchaus kann es sein, dass ein Anlagenbetreiber Prozessdaten seiner Automatisierungsanlage als geheim einstuft und sie nur einem beschränkten Personenkreis überhaupt zugänglich machen möchte. Solche Daten müssen in der Sphäre des Anlagenbetreibers verbleiben. Eine weitere Befürchtung der Anlagenbetreiber ist, dass ein Edge Device unautorisierte Änderungen im Feld vornimmt - dass also z.B. ein Edge Gerät das Verhalten eines Feldgeräts so verändert, dass die Automatisierung und damit das erzeugte Produkt, unbeabsichtigte Änderungen erfährt.
Eine Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass dem Q-System für die Qualitätsbeurteilung der neuen Version der Firmware Softwareprogramme zur Verfügung gestellt werden, die zumindest weitgehend einzelne Ereignisse simulieren, die in der Automatisierungsanlage unter realen Bedingungen ablaufen und bei denen das Verbindungsgerät agiert oder reagiert.
Weiterhin wird in einer Ausgestaltung des erfindungsgemäßen Verfahrens vorgeschlagen, den Datenverkehr auf dem Verbindungsgerät des P-Systems über einen vorgegebenen Zeitraum aufzuzeichnen, wobei während des vorgegebenen Zeitraums eine vorhergehende Version der Firmware auf dem Verbindungsgerät des P-Systems installiert ist, die die vorgegebenen Qualitätskriterien des Anlagenbetreibers erfüllt. Die aufgezeichneten Daten werden dem Q-System als Testdaten für die Qualitätsbeurteilung der neuen Firmware zur Verfügung gestellt.
Darüber hinaus sieht eine Weiterbildung des erfindungsgemäßen Verfahrens vor, dass dem Q-Bereich für die Qualitätsbeurteilung der neuen Version der Firmware Simulationsdaten zur Verfügung gestellt werden, die in einem externen virtuellen Simulationssystem, das zumindest in Teilen die Automatisierungsanlage nachbildet, generiert wurden.
Alternativ wird vorgeschlagen, dass dem Q-System für die Qualitätsbeurteilung der neuen Version der Firmware Simulationsdaten zur Verfügung gestellt werden, die in einem externen Simulationssystem, das zumindest in Teilen die Automatisierungsanlage mit realen Feldgeräten bei der Erfüllung realer oder simulierter Mess- oder Stellaufgaben nachbildet, generiert wurden.
In einer Ausgestaltung des erfindungsgemäßen Verfahrens wird weiterhin angeregt, die Ergebnisse der im Q-System durchgeführten Qualitätsbeurteilung ausgegeben und dem Bedienpersonal der Automatisierungsanlage angezeigt werden. Die neue Version wird gemäß einer Weiterbildung auf dem Verbindungsgerät im P- System installiert, wenn die neue Version der Firmware die für die Qualitätsbeurteilung herangezogenen Qualitätskriterien im Q-System in ausreichendem Maße erfüllt. Erfüllt die neue Version der Firmware die für die Qualitätsbeurteilung herangezogenen Qualitätskriterien im Q-System nicht oder nicht in ausreichendem Maße, so wird die Installation der neuen Version der Firmware auf dem Verbindungsgerät des P-Systems verweigert.
Wie bereits in der Beschreibungseinleitung dargelegt, erfüllen die Feldgeräte in der Automatisierungsanlage je nach Ausgestaltung unterschiedliche Mess- oder Regel- /Steuerfunktionen. Allgemein gesprochen ermitteln Feldgeräte physikalische, chemische oder biologische Prozessgrößen zumindest eines Prozessmediums, oder sie greifen steuernd oder regelnd in die Prozesse ein, die in der Automatisierungsanlage ablaufen.
Weiterhin wird die Aufgabe gelöst durch eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens zum Testen einer neuen Version einer Firmware eines Verbindungsgeräts, wobei das Verbindungsgerät im P-System in einer Automatisierungsanlage zwischen den Feldgeräten der Automatisierungsanlage und einer externen Server- Plattform angeordnet ist. Dem Verbindungsgerät ist ein Q-System mit einem Testsystem zugeordnet, das zur Überprüfung der Qualität der neuen Version der für das Verbindungsgerät des P-Systems bestimmten Firmware dient, wobei die Qualität hinsichtlich vorgegebener Qualitätskriterien überprüft wird. Das Testsystem weist die folgenden Komponenten auf:
- eine in Echtzeit arbeitende Recheneinheit, auf der die neue Version der Firmware des Verbindungsgeräts installiert ist,
- eine Simulationseinheit, die in Kommunikation mit der in Echtzeit arbeitenden Recheneinheit steht und die der Recheneinheit Testdaten zur Verfügung stellt, wobei mittels der Aktionen und Reaktionen der neuen Version der Firmware auf zur Verfügung gestellte Testdaten überprüft wird, ob die Firmware die vorgegebenen Qualitätskriterien des Anlagenbetreibers erfüllt,
- eine Listener-Einheit, die den Datenverkehr zwischen der Recheneinheit und der Simulationseinheit mithört,
- eine Ausgabeeinheit, auf der die von der Listener-Einheit mitgehörten und ggf. weiterverarbeiteten Daten ausgegeben werden.
Gemäß einer Weiterbildung der erfindungsgemäßen Vorrichtung handelt es sich bei dem Verbindungsgerät um ein Edge Device. Die Funktion eines Edge wurde bereits an vorhergehender Stelle beschrieben. Darüber hinaus wird in Verbindung mit der erfindungsgemäßen Vorrichtung vorgeschlagen, dass das Testsystem eine Kommunikationsschnittstelle zum Internet aufweist, so dass die neue Version der Firmware des Verbindungsgeräts bzw. des Edge Device über Internet auf die Recheneinheit des Testsystems geladen wird. So kann beispielsweise der Hersteller des Edge Device dem Anlagenbetreiber die neue Version der Firmware über Internet auf dem Testsystem bereitstellen. Die Installation der neuen Version der Firmware auf dem T estsystem erfolgt, sobald der Anlagenbetreiber dies autorisiert.
Alternativ weist das Testsystem eine Kommunikationsschnittstelle zu einem Netzwerk der Automatisierungsanlage auf, so dass die neue Version der Firmware des Verbindungsgeräts über das Netzwerk auf die Recheneinheit des Testsystems ladbar ist und dort installiert werden kann.
Eine Ausführungsform der erfindungsgemäßen Vorrichtung sieht ein externes Simulationssystem vor, in dem die Automatisierungsanlage zumindest teilweise real oder virtuell nachgebildet ist. Das externe Simulationssystem ist mit dem Testsystem, insbesondere mit der Simulationseinheit des Testsystems des Verbindungsgeräts bzw. des Edge Devices über Internet verbunden. Die virtuellen oder realen Testdaten werden der Simulationseinheit unmittelbar zur Verfügung gestellt.
Die von dem Anlagenbetreiber vorgegebenen Qualitätskriterien können vielfältig sein. Sie sind auf die speziellen Anforderungen des Anlagenbetreibers der jeweiligen Automatisierungsanlage abgestellt. Es kann sich beispielsweise um eine Aufforderung zur Durchführung eines Diagnoseverfahrens an den Feldgeräten handeln, oder um eine Anforderung zur Bereitstellung von Diagnosedaten oder von Parameterdaten von den Feldgeräten, oder um die Visualisierung der Datenkommunikation an die externe Server- Plattform.
Die weitere Ausgestaltung der erfindungsgemäßen Vorrichtung bezieht sich auf die Ausgestaltung des Kommunikationsnetzwerkes in der Automatisierungsanlage. Über Ethernet kommunizierende Feldgeräte der Automatisierungsanlage sind direkt mit dem Verbindungsgerät bzw. dem Edge Device in Kommunikationsverbindung. Feldgeräte, die über ein in der Automatisierungstechnik gebräuchliches Feldbus-Protokoll oder über ein proprietäres Feldbus-Protokoll kommunizieren stehen über ein dazwischengeschaltetes Gateway mit dem Verbindungsgerät in Kommunikationsverbindung. Das Gateway ist zwischen die Feldgeräte und das Verbindungsgerät bzw. das Edge Device geschaltet.
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt: Fig. 1 : eine schematische Darstellung des Produktivsystem oder P-Systems einer Automatisierungsanlage in Kommunikationsverbindung mit einer externen Server- Plattform,
Fig. 2: ein Blockschaltbild, in dem unterschiedliche Ausgestaltungen des Qualitätssystems oder Q-Systems dargestellt sind, und
Fig. 3: ein Flussdiagramm, das eine Ausgestaltung des erfindungsgemäßen Verfahrens visualisiert.
Fig. 1 zeigt eine schematische Darstellung von auf der Feldebene angeordneten Feldgeräten 1 einer Automatisierungsanlage 14, die über geeignete Übertragungswege 5 in Kommunikationsverbindung mit einem externen Server oder einer externen Server- Plattform 4 stehen. Die Server-Plattform 4 ist Teil des lloT 15. Bei den Feldgeräten 1.1 , ... 1.n bzw. 1.1 , ...1.m handelt es sich um Messgeräte, Aktoren oder anderweitige elektronische Komponenten der Automatisierungsanlage, auf die in der Beschreibungseinleitung bereits Bezug genommen wurde. Der Datenaustausch zwischen der Feldebene, also einem lokalen Netzwerk, und dem lloT erfolgt über ein Edge Device 3, dessen Funktion ebenfalls bereits an vorhergehender Stelle beschriebenen wurden.
Dargestellt sind im linken Bereich von Fig. 1 Feldgeräte 1.1 , ... 1.n, die über eines der in der Automatisierungstechnik gebräuchlichen Feldbusprotokolle, z.B. ein HART Bus Protokoll, kommunizieren. Ein Gateway 2 kommuniziert mit dem Edge Device 3, in dem es die von den Feldgeräten 1.1 , ... 1.n mittels des Feldbusprotokolls gelieferten Daten auf ein Internetprotokoll bzw. die vom Edge Device 3 übermittelten Daten auf das Feldbusprotokoll transformiert. Die im rechten Bereich von Fig. 1 dargestellten Feldgeräte 1.1 , ... 1.m kommunizieren bereits über ein Internetprotokoll, z.B. Ethernet IP, so dass sich die Zwischenschaltung eines Gateways 2 hier erübrigt.
Mit der gestrichelten Linie ist die Grenze zwischen der Feldebene bzw. der Prozessebene, in der sich die Feldgeräte 1 der Automatisierungsanlage 14 befinden, und dem Internet of Things 15 mit der Server-Plattform 4 und der Server-Plattform 16 gekennzeichnet. Das Edge Device 3 ist quasi das Tor von der abgeschlossenen Kommunikationssphäre der Automatisierungsanlage 14 zum lloT 15. Das Edge Device 4 muss so konzipiert sein, dass es den jeweiligen Sicherheitsanforderungen, die ein Anlagenbetreiber stellt, genügt: Keine unautorisierten “Daten“ dürfen dieses Tor passieren. Weiterhin darf das Edge Device 3 auf der Feldebene natürlich keine Aktionen in die Wege leiten, die in irgendeiner Weise den Prozessablauf in der Automatisierungsanlage stören oder eine Sicherheitslücke “nach außen“ öffnen. Das Aktivieren einer neuen Version der Firmware FW des Edge Device 3 stellt fraglos ein potentielles Sicherheitsrisiko dar. Daher ist es für einen Anlagenbetreiber sehr wichtig, mit Daten aus der realen Prozessanlage oder mit Daten, die die reale Prozessanlage zumindest näherungsweise simulieren, kritische Sicherheitsfunktionen der Firmware FW vor Ort zu überprüfen, und zwar bevor die Firmware FW auf dem Edge Device 3 zur Installation freigegeben wird.
In Fig. 2 ist ein Blockschaltbild mit unterschiedlichen Ausgestaltungen des erfindungsgemäßen Qualitätssystems bzw. Q-Systems zu sehen. Insbesondere ist das dargestellte Testsystem 6 zum Vorab-Testen einer neuen Version der Firmware FW eines Edge Device 3 für die Durchführung des erfindungsgemäßen Verfahrens geeignet. Nur wenn die neue Version der Firmware FW für das Edge Device 3 im Q-System die getesteten Qualitätskriterien erfüllt, wird die neue Version der Firmware FW auf dem Edge Device 3 im Produktivsystem bzw. P-System installiert. Allgemein kann das Edge Device 3 auch als Verbindungsgerät zwischen einem lokalen Netzwerk der Automatisierungstechnik und dem Internet, insbesondere einer Server Plattform oder dem Industrial Internet of Things - lloT - bezeichnet werden.
Das Testsystem 6 befindet sich in dem lokalen Netzwerk bzw. der Sphäre des Anlagenbetreibers. Hergestellt wird die neue Version der Firmware FW für das Edge Device 3 im lokalen Netzwerk bzw. in der Sphäre des Herstellers/Lieferanten und wird von einem Server 16 über Internet auf das Testsystem 6 des Anlagenbetreibers übermittelt und dort installiert.
Das Testsystem 6 dient zur Vorab-Überprüfung der Qualität einer neuen Version der Firmware FW für das Verbindungsgerät 3, wobei die Qualität der Aktionen und Reaktionen des Edge Device 3 vor Ort hinsichtlich von Qualitätskriterien beurteilt wird, die vom Anlagenbetreiber definiert werden. Das Testsystem 6 verfügt über eine in Echtzeit arbeitende Recheneinheit 7, eine Listener Einheit 8 und eine Simulationseinheit 9. Auf der in Echtzeit arbeitenden Recheneinheit 7 wird die neue Version der Firmware FW des Edge Device 3 installiert. Die Simulationseinheit 9 steht über Ethernet IP in Kommunikationsverbindung mit der in Echtzeit arbeitenden Recheneinheit 7. Der Recheneinheit 7 werden Testdaten zur Verfügung gestellt, wobei mittels der Aktionen und Reaktionen der neuen Version der Firmware FW des Edge Device 3 auf die Testdaten überprüft wird, ob die Firmware FW die vorgegebenen Qualitätskriterien des Anlagenbetreibers erfüllt.
Die Ergebnisse der Überprüfung müssen für den Anlagenbetreiber überprüfbar sein.
Daher wird die Entscheidung hinsichtlich der korrekten Funktionsweise des Edge Device 3 mit der neuen Firmware FW vor Ort in der Sphäre des Anlagenbetreibers getroffen. Mittels einer Listener-Einheit 7 wird der Datenverkehr zwischen der Recheneinheit 6 und der Simulationseinheit 8 mitgehört. Die Listener-Einheit 8 ist mit einer Ausgabeeinheit 10 verbunden, auf der die von der Listener-Einheit 8 mitgehörten und ggf. weiterverarbeiteten Daten - in Reaktion auf die vom Anlagenbetreiber vorgegebenen Testdaten - ausgegeben werden. Von einem entsprechend geschulten Bedienpersonal BP werden die bzw. angezeigten Daten auf ihre Kongruenz mit den Vorgaben des Anlagenbetreibers überprüft und nachfolgend akzeptiert oder abgelehnt.
Die Testdaten selbst können unterschiedlich generiert werden. So kann es sich um Softwareprogramme 13 handeln, die zumindest weitgehend die Aktionen oder Reaktionen des Edge Device 3 simulieren, die in der Automatisierungsanlage unter realen Bedingungen ablaufen. Anhand der auf der Anzeigeeinheit 10 dargestellten Daten/Information kann von dem Bedienpersonal BP entschieden werden, ob die Aktionen/Reaktionen in der vom Anlagenbetreiber definierten Art und Weise von dem Edge Device 3 ausgeführt werden.
Eine alternative Methode zur Generierung der Testdaten sieht vor, dass der Datenverkehr auf dem in der Automatisierungsanlage 14 installierten Edge Device 3 über einen vorgegebenen Zeitraum aufgezeichnet wird. Der vorgegebene Zeitraum ist so bemessen, dass alle Aktionen/Reaktionen, die hinsichtlich ihrer Qualität überprüft werden müssen, während des Zeitraums auftreten. Auf dem produktiv arbeitenden Edge Device 3 ist zur Zeit der Aufzeichnung noch die akzeptierte Vorgänger-Version der Firmware FW installiert, die die Qualitätsanforderungen des Anlagenbetreibers erfüllt. Die aufgezeichneten Testdaten werden der in Echtzeit arbeitenden Recheneinheit 7 des Testsystems 6 für die Qualitätsbeurteilung der neuen Firmware FW zur Verfügung gestellt. So lässt sich feststellen, ob die kritischen Aktionen/Reaktionen von der neuen Version der Firmware FW des Edge Device 3 gleich oder abweichend gehandhabt werden. Anhand der Art der Abweichung entscheidet das Bedienpersonal, ob das Sicherheitskriterium zur Freigabe erfüllt ist oder nicht.
Eine weitere Variante zur Bereitstellung von Testdaten schlägt vor, dass es sich bei den Testdaten um Simulationsdaten handelt, die in einem externen virtuellen Simulationssystem 12, das zumindest in Teilen die reale Automatisierungsanlage 14 nachbildet, generiert wurden. Alternativ werden dem Testsystem 6 Simulationsdaten zur Verfügung gestellt, die in einem externen, realen Simulationssystem 12, das zumindest in Teilen die Automatisierungsanlage 14 mit realen Feldgeräten 1 nachbildet, generiert wurden.
Fig. 3 zeigt ein Flussdiagramm, das eine Ausgestaltung des erfindungsgemäßen
Verfahrens visualisiert. Bei Punkt 20 wird das Verfahren gestartet. Im Verantwortungsbereich des Herstellers des Edge Device 3 wird die neue Version der Firmware FW des Edge Device 3 entwickelt. Die neue Version der Firmware FW wird per Internet in das Firmennetzwerk der Automatisierungsanlage 14 übermittelt. In Abhängigkeit davon, ob dort ein Testsystem 6 für die neue Version der Firmware FW zur Verfügung steht oder nicht (Punkt 22), spaltet sich das Verfahren in zwei Zweige auf.
Steht kein Testsystem 6 zur Verfügung, so wird die neue Version der Firmware FW dem Edge Device 3 bereitgestellt (Punkt 23) und bei Punkt 24 auf dem Edge Device 3 installiert. Dies ist immer üblich, wenn zwischen Anlagenbetreiber und Hersteller ein uneingeschränktes Vertrauensverhältnis herrscht. Es versteht sich von selbst, dass die Überprüfung aller wichtigen Funktionen der neuen Version der Firmware FW bereits herstellerseitig geprüft wurde. Anschließend erfüllt die Firmware FW ihre Funktionen, wie das Lesen von Mess- oder Stelldaten und Prozessdaten aus der Automatisierungsanlage 14 und die Übermittelung der Daten ggf. in aufbereiteter Form an eine externe Server- Plattform 4 (Punkt 25). Die unter Punkt 25 zu erfüllenden Funktionen werden von dem Edge Device 3 so lange kontinuierlich ausgeführt, bis das Edge Device 3 heruntergefahren wird (Punkt 26). Bei Punkt 27 wird das Verfahren beendet.
Soll aus Sicherheitsaspekten ein Q-System zur Überprüfung der Qualität der neuen Version der Firmware FW eingesetzt werden, so wird die Firmware FW an das Testsystem 6 über Internet übermittelt (Punkt 28) und unter Punkt 29 auf der in Echtzeit arbeitenden Recheneinheit 7 des Testsystems 6 installiert. Der Firmware FW werden reale oder simulierte Mess- oder Prozessdaten zur Überprüfung sicherheitskritischer Funktionen des Edge Device 3 zur Verfügung gestellt. Zwecks Überprüfung, welche Daten die Sphäre des Anlagenbetreibers verlassen oder betreten, werden die entsprechenden an eine Test-Cloud kommunizierten Daten bewertet. Diese Bewertung und ggf. Autorisierung geschieht durch das Bedienpersonal B der Automatisierungsanlage 14. Die Daten, die kritische Funktionen des Edge Device 3 betreffen, werden an einer Ausgabeeinheit 10, insbesondere einer Anzeigeeinheit, dargestellt und manuell von dem Bedienpersonal B autorisiert oder abgelehnt (Punkte 30, 31).
Dieser Vorgang wiederholt sich so lange, bis alle Ergebnisse der Daten der getesteten sicherheitskritischen Funktionen des Edge Device 3 in der Automatisierungsanlage 14 überprüft sind. Nur wenn die Testergebnisse die erwarteten, mit den Sicherheitsanforderungen des Anlagenbetreibers übereinstimmenden Informationen liefern (Punkt 32), wird die neue Version der Firmware FW auf dem Edge Device 3 der Automatisierungsanlage 14 installiert (Punkt 23) - nur dann also gelangt sie in P-System. Wird eine der vom Anlagenbetreiber als sicherheitskritisch eingestuften Funktionen der neuen Version der Firmware FW verworfen, erfolgt keine Produktivschaltung der Firmware FW, und das Testverfahren wird bei Punkt 33 beendet. Mittels des erfindungsgemäßen Testverfahrens wird dem Anlagenbetreiber die nötige Sicherheit gegeben, die benötigt wird, das Downloaden und Installieren einer neuen Version der Firmware FW eines Edge Device 4 über das Internet zu akzeptieren. Durch das Testverfahren wird für den Anlagenbetreiber alles transparent, was der Anlagenbetreiber wissen möchte. Nach der Überprüfung ist beispielsweise transparent, welche Diagnosedaten von den Feldgeräten 1 abgefragt werden, wie die abgefragten Daten interpretiert werden, welche Testroutinen durchgeführt werden und welche Daten in das Internet hochgeladen werden.
Bezugszeichenliste
1 Feldgerät
2 Gateway
3 Edge Device / Verbindungsgerät
4 externe Server-Plattform
5 Kommunikationsverbindung
6 Testsystem / Q-System
7 Echtzeit-Recheneinheit
8 Listener-Einheit
9 Simulationseinheit
10 Ausgabeeinheit / Anzeigeeinheit
11 Simulationssystem
13 Softwareprogramm
14 Automatisierungsanlage
15 lloT
16 Server