自动化技术现场设备和现场设备的安全操作的方法与流程

本发明涉及一种自动化技术现场设备。本发明还涉及一种用于现场设备的安全操作的方法。

背景技术：

1、在自动化技术中，特别是在其子现场过程自动化和制造自动化中，经常使用用于检测和/或影响物理、化学或生物过程变量的现场设备。测量设备被用于检测过程变量。这些测量设备例如用于压力和温度测量、电导率测量、流量测量、ph测量、填充液位测量等，并且检测压力、温度、电导率、ph值、填充液位、流量等的对应过程变量。致动器系统被用于影响过程变量。致动器的示例是泵或阀，其能够影响管道中的流体流或罐中的填充水平。除了上述测量设备和致动器之外，现场设备还被理解为包括远程i/o、无线电适配器或通常布置在场级的设备。现场设备通常是在过程或工厂附近使用并且供应或处理与过程或工厂相关的信息的设备。

2、如果现场设备将被维修或维护，则维修技术人员接收适当的工单。工单通过手被移交或经由合适的系统(例如资产管理系统或erp系统)到达服务技术人员。然而，该系统也可以是卡索引盒。

3、自动化技术中的每个现场设备通常具有能够经由其操作现场设备的永久可用的操作接口(或访问接口)。与本发明有关的术语“现场设备的操作”应被广义地解释。因此，操作可以是功能测试、参数化或校准过程或现场设备的修复。然而，现场设备的操作还可以包括增强参数、安装软件/固件更新或简单地显示来自现场设备的期望信息。服务技术人员使用该访问来执行工单。在完成工单后，对现场设备的访问保持不变。

4、能够经由用户管理和/或访问控制来保护对现场设备的永久访问。访问控制可以通过输入pin或密码或通过读取存储在rfid芯片上的信息来执行，使得只有某些人或人群接收对现场设备的访问。然而，在许多情况下，对现场设备的永久访问完全不受保护。

5、考虑其中对具有用户管理和/或访问控制的现场设备的访问是永久可用的情况。如果用户具有访问授权，他能够在没有限制的情况下操作现场设备。不存在执行单个特定工单的授权。因此，甚至超出实际工单的范围，每个授权用户可能无意地或有意地调整和/或操纵现场设备。

6、如今，存在包括用户管理系统的解决方案。例如，de 102019131860a1描述了一种方法，在该方法中创建订单票据，该订单票据由服务技术人员用于登录到现场设备，并且这些订单票据被用于定义服务技术人员的授权(例如，在现场设备上执行某些操作动作的权利)。然而，当今已知的解决方案中的访问权限和访问限制仅涉及所配置的用户，该用户能够根据其权限操作具有部分或全部范围的设备。这些访问权限和限制是永久可用的。

技术实现思路

1、本发明基于为了操作现场设备的目的而进一步保护对现场设备的访问的目标。

2、该目标由根据权利要求1所述的自动化技术的现场设备以及根据权利要求10所述的方法实现。在权利要求中指定了有利的实施例。

3、关于自动化技术现场设备，提供了其中现场设备具有被设计为检测过程工程过程的物理变量的至少一个传感器和/或被设计为影响过程工程过程的物理变量的至少一个致动器，或者这种传感器和/或致动器被分配给现场设备，其中现场设备具有用于操作现场设备的至少一个电子单元，其中在现场设备中定义至少两个操作阶段，其中一个或多个授权信息项被分配给操作阶段中的每一个，其中授权信息项定义被授权访问现场设备的至少一个用户和/或现场设备上的至少一个许可的操作动作，并且其中电子单元被设计为在当前操作阶段中操作现场设备，其中当前操作阶段是所定义的操作阶段中的一个。

4、根据本发明，规定访问授权和访问限制被定义，使得它们能够随时间被改变。为此目的，规定多个操作阶段被分配给现场设备，其中，取决于现场设备当前正在被操作的当前操作阶段，包含访问授权和限制的授权信息项改变。这确保仅在相应操作阶段中许可的操作动作能够在现场设备处执行和/或这些操作动作只能由特定用户或特定用户组执行，从而增加操作安全性。

5、已经在说明书的介绍部分中描述了可以实现本发明的现场设备的示例。

6、根据现场设备的有利设计，规定电子单元被设计为检查访问请求以确定包含在访问请求中的、关于用户和/或包含的操作动作的信息项是否被包含在分配给当前操作阶段的授权信息项中。如果检查成功，则仅许可该访问请求。这意味着访问请求中包含的关于用户的信息项和/或包含的操作动作实际上被包含在分配给当前操作阶段的授权信息项中-例如，如果包含用户的信息的授权信息项中的至少一个被分配给当前操作阶段，则该用户可以对现场设备执行某些操作动作。

7、有利地，根据本发明的现场设备的电子单元被设计为改变当前操作阶段。在该意义上的“改变”意味着其中操作现场设备被操作的当前操作阶段被所定义的操作阶段中的、不是当前操作阶段的一个操作阶段替换。由此改变当前授权信息项，因为仅分配给新当前操作阶段的那些授权信息项有效。因此，用户能够完全失去访问，或者能够允许或限制其他操作动作。

8、根据现场设备的一个实施例，当以下事件中的一个或多个发生时，由电子单元改变当前操作阶段：

9、-由现场设备，特别是经由控制线或通信网络，优选地现场总线系统，接收外部控制信号。该控制信号由外部单元发送并由现场设备的通信接口接收。控制线是例如经由由申请人提供的“cdi”接口在操作设备和现场设备之间的连接，特别是专有的连接。现场总线是用于自动化系统的专用通信网络。已知的现场总线协议是例如hart、foundationfieldbus或profibus，或基于以太网的现场总线协议，诸如以太网/ip。还能够规定通信网络或控制线被设计为无线的并且使用例如蓝牙或wifi作为通信协议。

10、-由用户特别是经由现场设备的操作元件专门选择或改变操作阶段中的一个。这种操作元件能够是例如布置在现场设备的壳体上的一个或多个按钮。如果显示器具有触摸功能，则现场设备的显示单元也能够被设计为显示元件。

11、-经由现场设备的通信接口接收订单票据，该订单票据包含用于改变操作阶段的命令。如例如在de 102019 131 860a1中描述的订单票据包含或对应于事务。事务是被认为是逻辑单元的一系列程序步骤，因为它们在无错误和完全执行之后将数据集保留在一致状态。除了改变操作阶段的命令之外，在订单票据中定义要执行的工单的订单数据。订单数据可以例如是以下数据：服务雇员或用户的、现场设备的或工单的唯一标识符，例如维护任务、所定义的参数的解锁、校准、现场设备的交换等，以及可选地要执行工单的时间段。此外，订单票据能够被加密，使得其只能被打开并且其内容被预期接收者处理。

12、现场设备还可能取决于时间或日期改变其操作阶段。例如，现场设备在夜间在与白天不同的操作阶段操作。例如，在夜间，只有服务技术人员的夜班有权访问，而不是日班，反之亦然。

13、在现场设备的一个实施例中，规定所定义的操作阶段是以下各项中的至少两个：

14、-生产阶段，即，现场设备的生命周期中的阶段，其中现场设备被生产并且接收初始配置或参数化。

15、-安装阶段，即，现场设备的生命周期中的阶段，其中现场设备被安装在预期测量位置并且接收现场设备能够利用其在测量位置执行其预期任务的配置或参数化。

16、-现场设备的常规操作阶段。在该阶段中，现场设备履行其任务，例如收集测量值或影响过程工程过程的变量。

17、-现场设备的验证操作的阶段。例如，如果现场设备执行包括高价值业务(例如，作为监管转移测量位置的一部分从油船转移石油)的测量任务，则可以预期由现场设备记录的测量值必须满足所需的准确度。

18、-维护阶段。在该阶段中，检查现场设备的误差和/或精度和/或校正现场设备中的误差。

19、根据现场设备的有利实施例，规定至少一个操作动作是以下各项中的一个或多个：

20、-现场设备的校准。这里，现场设备被设置为使得其测量值对应于已知条件下的预定参考值。其中，为此目的，设置和/或改变现场设备的参数值。

21、-现场设备的配置或参数化。其中，现场设备的参数值在这里被设置和/或改变。

22、-对现场设备或现场设备的组件的维护动作。为此目的替换和/或修复现场设备的组件。为此目的，其能够被提供用于暂时停止或限制现场设备的操作。

23、-对现场设备的至少一个通信接口的访问。这里，通信接口针对用户被启用，使得它们能够使用另一设备经由通信接口访问现场设备并且发起其他操作动作。

24、-经由至少一个操作元件访问现场设备。这里，操作元件针对用户被启用，使得它们能够经由操作设备访问现场设备并且发起其他操作动作。

25、现场设备的其他实施例规定，在授权信息项中定义并被批准访问现场设备的用户包括至少一个用户组。因此，能够规定不仅在授权信息项中定义专门的个体用户，而且还有向其分配特定属性或特定属性的多个用户，例如生产工人或服务技术人员。例如，在安装阶段期间，所有工人和服务技术人员的组可以有权访问，但是在设备仅批准所有服务技术人员的组之后。

26、关于该方法，规定其用于根据本发明的现场设备的安全操作。该方法包括以下方法步骤：

27、-由所述现场设备接收访问请求，其中，与用户和/或至少一个操作动作相关的至少一个信息项被包含在访问请求中；

28、-检查与访问请求中包含的、与用户和/或至少一个操作动作相关的至少一个信息是否被包含在分配给当前操作阶段的授权信息项中；以及

29、-在成功检查的情况下允许访问现场设备。

30、如果检查成功，则仅许可访问请求。这意味着访问请求中包含的关于用户的信息项和/或包含的操作动作实际上被包含在分配给当前操作阶段的授权信息项中——例如，如果包含用户的信息的授权信息项中的至少一个被分配给当前操作阶段，则该用户可以对现场设备执行某些操作动作。

31、根据本发明的方法的有利实施例，规定访问请求包含在订单票据中。如例如在de102019 131 860a1中描述的订单票据包含或对应于事务。事务是被认为是逻辑单元的一系列程序步骤，因为它们在无错误和完全执行之后将数据集保留在一致状态。除了改变操作阶段的命令之外，在订单票据中定义要执行的工单的订单数据。订单数据可以例如是以下数据：服务雇员或用户的、现场设备的、工单的唯一标识符，例如维护任务、所定义的参数的解锁、校准、现场设备的交换等，以及可选地要执行工单的时间段。另外，订单票据能够被加密，使得其只能被打开并且其内容被预期接收者处理。

32、关于访问请求，规定它由第一外部单元创建并发送到现场设备。

33、在该方法的第一变型中，第一外部单元是计算机单元，特别是pc或膝上型计算机，或移动终端设备，特别是智能手机或平板电脑。这里的操作单元有利地具有合适的操作程序，例如，当使用移动终端设备(例如，由申请者提供的“smartblue”app)时的操作app，或者例如，当使用计算机单元作为第一外部单元(例如，由申请者分发的fdt框架应用“fieldcare”)时，特别地根据fdt标准设计的帧应用。

34、特别地，第一外部单元经由有线或无线通信连接将访问请求发送到现场设备。例如，现场总线被用于有线通信连接。现场总线是用于自动化系统的专用通信网络。已知的现场总线协议是例如hart、foundation fieldbus或profibus，或基于以太网的现场总线协议，诸如以太网/ip。例如，如果通信连接是无线的，则蓝牙或wifi能够被用作通信协议。

35、在该方法的第二变型中，规定第一外部单元是订单服务器，其在来自用户的请求之后创建订单票据并将该订单票据特别是经由互联网发送到现场设备。订单服务器能够是基于云的平台或独立服务器的一部分。基于云的平台(也简称为“云”)是能够经由互联网向/从其发送和接收数据并且一个或多个应用位于其上的服务器。订单服务器能够例如被实现为基于云的平台上的应用。

36、根据本发明的方法的有利实施例规定，在检查的进程中，另外检查经由现场设备的哪个通信接口接收到访问请求，仅在用户被授权经由该通信接口访问的情况下和/或如果经由该通信接口执行操作动作被许可，访问被允许。例如，可以规定某些操作动作仅经由操作单元或经由第一外部单元以及在现场设备上分配给它的通信接口被许可，并且经由其他通信接口的访问不被许可，反之亦然。

37、该方法的一个实施例规定在许可的访问之后，由现场设备创建确认票据并将该确认票据发送到第一外部单元或第二外部单元，该确认票据包含关于现场设备的当前操作阶段和所执行的操作动作的信息项。对于用于审计/检查员/fda或其他外部机构(例如，用于压载水处理厂的正确功能的证明的端口检查员)的高级系统(例如，erp)中的文档，并且为了数据完整性，确认票据包含以下数据：

38、-现场设备和连接的传感器单元或致动器单元的序列号和tag。

39、-现场设备及其组件的固件版本。

40、-最后执行的校准的日期，以及现场设备及其传感器单元或致动器单元的校准状态。

41、-现场设备的当前参数集。

42、这减少了文档工作量，并且同时增加数据完整性，因为在现场设备上执行的操作动作的时间戳也被包含在确认票据中。

43、第二外部单元能够是在上述基于云的平台上运行的服务器或应用。