WO2009040206A1 - Verfahren zur zugriffskontrolle auf eine automatisierungsanlage - Google Patents

Verfahren zur zugriffskontrolle auf eine automatisierungsanlage Download PDF

Info

Publication number
WO2009040206A1
WO2009040206A1 PCT/EP2008/061277 EP2008061277W WO2009040206A1 WO 2009040206 A1 WO2009040206 A1 WO 2009040206A1 EP 2008061277 W EP2008061277 W EP 2008061277W WO 2009040206 A1 WO2009040206 A1 WO 2009040206A1
Authority
WO
WIPO (PCT)
Prior art keywords
emergency
access rights
activation
safety mode
measures
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2008/061277
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Florian Kohlmayer
Andreas KÖPF
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to US12/679,725 priority Critical patent/US8890652B2/en
Priority to AT08803303T priority patent/ATE517376T1/de
Priority to CN200880108586.6A priority patent/CN101809518B/zh
Priority to EP08803303A priority patent/EP2193406B1/de
Publication of WO2009040206A1 publication Critical patent/WO2009040206A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24159Several levels of security, passwords

Definitions

  • Access control is a key security feature that sets and enforces who can perform what action. For example, it can be determined which accesses by operating personnel can be made to operate and observe a process or production or a process or manufacturing process.
  • RBAC RoIe Based Access Control
  • RBAC RoIe Based Access Control
  • Groups are defined according to the tasks involved. Access rights are assigned to individual groups. Individual employees are assigned to the groups corresponding to their tasks and thus receive the access rights required for their task.
  • RBAC means that a single employee performs different tasks at different times, fulfilling different roles at different times. If the tasks of the employee change between several points in time, he performs a role change in each case in order to obtain the access rights assigned to the currently perceived role.
  • a method according to the invention for controlling access to an automation system provides that access rights predetermined by the access control depend on the operating state of the automation system, wherein extended access rights are granted in normal operation, at least in an emergency, independently of the access rights in normal operation.
  • roles are defined that correspond to the different operating states of an automation system. There is no random role change as with RBAC, but the access rights depend on the operating status. In normal operation, a high degree of security is achieved and access rights can be set restrictively, since only in a special operating state, such as during maintenance work or in an emergency, then required, extended access rights are granted. This can too is considered to be a kind of override functionality that under certain circumstances can override access control.
  • An advantageous embodiment of the invention provides that the automation system is monitored to detect the operating state.
  • the monitoring can take place automatically by means of suitable sensors or be carried out by operating and maintenance personnel.
  • an emergency is triggered automatically as soon as certain process variables of the automation system exceed predetermined limit values. It is also conceivable that an emergency is triggered manually by the operating and monitoring personnel.
  • An advantageous embodiment of the invention provides that the access rights are set tightly in normal operation in order to avoid incorrect operation and unauthorized access.
  • Another advantageous embodiment of the invention provides that the access rights are defined role-based in normal operation.
  • a further advantageous embodiment of the invention provides that in normal operation to obtain access rights and / or to obtain additional and / or other access rights, an identification of the accessing or authentication is performed for example by a log-in procedure.
  • the log-in procedure can be configured as desired, for example by entering the user name and / or password, by an authentication token, such as by means of a chip card or wirelessly, or by a fingerprint or other biometric identification.
  • An additional advantageous embodiment of the invention provides that when an emergency occurs, an alarm is triggered for automatic alerting and activation of emergency measures, for example, emergency crews can confirm the emergency.
  • a particularly advantageous embodiment of the invention provides that, at least during an emergency or in an operating state in which extended access rights are granted, the actions and accesses made by an operating and maintenance personnel are recorded and / or, for example, by a video camera Logging a logging server. If necessary, access rights can be exceeded if required. However, this is recorded both by recording and logging the accesses made, as well as by activating a video surveillance and it can be checked whether this actually happened for legitimate reasons.
  • An advantageous embodiment of the invention provides that at least in an emergency, a special emergency safety mode is provided in which the intended for normal operation hard or tight control and allocation of access rights is replaced by softer measures that are, however, subsequently evaluated or be evaluated.
  • the replacement of harsh security measures in normal operation by soft security measures in one Emergency enables all necessary measures to be carried out by operating and monitoring personnel. Abuse is nevertheless prevented because the fact of the emergency triggering as well as the actions taken and the accesses are subsequently traceable.
  • the softer measures include granting extended access rights and / or optionally disabling the control and granting of access rights, thereby allowing all actions and accesses.
  • the softer measures include a waiver of an authentication, for example by login, so that everyone can use a control and monitoring device controlling the automation system.
  • an activation of a video surveillance or activating a video recording can take place in order to determine from the recorded video material who has triggered the emergency security mode and who has performed which accesses or actions.
  • the emergency security mode preferably comprises a plurality of sub-levels with different access rights, which can be activated or activated step-by-step. Since possibly even slightly higher access rights are sufficient to be able to fend off the worst in an emergency, as a first aid, the emergency safety mode preferably comprises several sub-levels. These can be activated step by step. In a first emergency activation stage, for example, only the most necessary rights can be granted, for example to delay an imminent emergency and initiate simple countermeasures. If further measures are necessary to prevent the emergency, then also a second emergency activation stage must be activated, which grants even more extensive, for example unrestricted access. For example, it is conceivable that permanent configuration changes can also be made.
  • the activation of such a second emergency activation stage can then be more elaborately protected than that of the first emergency activation stage.
  • the first emergency activation stage can be activated by mouse click on the user interface of the operating and monitoring device, and the second emergency activation stage only via a physical safety switch, which can be actuated for example only after driving a protective screen.
  • An activation of the emergency safety mode can be done manually, for example by pressing a special button on a graphical user interface.
  • a special button is provided on a graphical user interface, the actuation of which leads to a manual change to the emergency safety mode.
  • the manual change to the emergency safety mode can be accessible to all employees, or only to certain authenticated employees, for example only to the foreman or the foreman.
  • a physical safety switch may, for example, be a key switch, or a button with a impact disc, as it is known, for example, from fire detectors, or two spatially remote switch, which must be operated by at least two people, preferably simultaneously. In the latter case, both switches can be attached to the automation system, but at such a distance that they can not be operated simultaneously by one person alone.
  • the two switches can also be arranged spatially separated from one another so that a switch, for example, attached to the automation system itself and the second switch in a remote security center.
  • the physical switch can be coupled with a fire or alarm button, which in addition an alarm occurs when actuated, such as a plant fire brigade.
  • a manual activation of the emergency security mode takes place by a special log-in procedure, for example an input of a special emergency password or use of a special emergency authentication token, such as an emergency chip card.
  • An activation of the emergency safety mode is preferably carried out automatically depending on the operating state of the automation system.
  • certain parameters of the automation system are monitored and, for example, automatically determined by comparison with predetermined limits for these parameters, whether a normal operating state, or an emergency exists.
  • pressure and temperature can be measured by suitable, preferably redundantly arranged sensors, and can be automatically monitored and determined by comparison with specified limits, such as a maximum allowable maximum temperature, a maximum allowable maximum pressure, a minimum temperature, a minimum pressure whether the readings for pressure and temperature in the automation system when performing a specific Process process within a certain allowable operating range, ie a normal operating condition is present or not, so there is an emergency.
  • the engine speed can be monitored and compared with setpoints.
  • the emergency safety mode may persist after activation until it is manually deactivated again, for example by actuating a switch or the like.
  • the emergency security mode is automatically deactivated again after the activation after a certain predetermined period of time.
  • the emergency safety mode can be automatically deactivated after activation after averting an emergency, for example when the measured values detected by sensors are again within a permissible operating range.
  • the emergency safety mode remains activated only as long as a corresponding activation switch or the like is kept pressed or operated.
  • Fig. 1 is a schematic representation of an automation system.
  • An automation system 01 shown in FIG. 1 comprises a stirrer 02, which is driven by a motor 03.
  • the stirrer 02 stirs a substance in a container 04.
  • the container 04 contains a heater 05 and a temperature sensor 06, which are both connected to a process computer 07.
  • Pipelines for transporting the substance into and out of the container 04 are not shown.
  • the process computer 07 is connected to an operating and monitoring device 08. concluded.
  • the operating and monitoring device 08 is connected to an emergency switch 09, a video camera 10, and a logging server 11.
  • the operating and maintenance staff 12 monitors and controls the process of stirring the substance in the container 04 via the operating and monitoring device 08.
  • the operating and maintenance personnel 12 actuates the emergency switch 09, whereupon the operator and maintenance personnel 12 unrestricted access rights and thus unrestricted access receives.
  • the actions and accesses made by the operating and maintenance personnel 12 are recorded by the video camera 10 and logged on the logging server 11.
  • a close access control is performed for the regular operation of an automation system with an operating and monitoring device, in which the operating personnel must authenticate, for example by a log-in, and only make accesses to the operating and monitoring device, which also are allowed on the basis of a defined access control policy.
  • the aim is less to achieve high confidentiality of the transmitted automation data, but rather to avoid incorrect operation and unauthorized access.
  • the log-in procedure can be configured as desired, for example by entering the user name and / or password, by an authentication token, such as by means of a chip card or wirelessly, or by a fingerprint or other biometric identification.
  • extended access rights are necessary there.
  • extended access rights are granted in emergencies. It allows a fast and flexible action that is not hindered or unnecessarily complicated by IT security measures.
  • a special emergency safety mode / a special emergency safety configuration is provided.
  • logging Recording and logging of the accesses, so-called logging. This can be done on the operating and monitoring device itself or on a specially provided for this purpose, for example, in an emergency-proof, such as fireproof and / or explosion-proof space housed logging server.
  • an emergency-proof such as fireproof and / or explosion-proof space housed logging server.
  • Triggering an alarm to allow emergency personnel to confirm the emergency.
  • access rights can be exceeded if required. However, this is done both by recording and logging the accesses, as also by the activation of a video surveillance detained and it can be checked whether this actually happened for legitimate reasons.
  • the emergency security mode can comprise several sub-levels. These can be activated step by step. In a first emergency activation stage, for example, only the most necessary rights can be granted, for example to delay an imminent emergency and initiate simple countermeasures. If further measures are necessary to prevent an emergency, then a second emergency activation stage must be activated, which grants even more extensive access, for example unrestricted access. For example, it is conceivable that permanent configuration changes can also be made. The activation of such a second emergency activation stage can then be more elaborately protected than that of the first emergency activation stage.
  • the first emergency activation stage can be activated by mouse click on the user interface of the operating and monitoring device, and the second emergency activation stage can only be activated via a physical safety switch which can be actuated, for example, only after a protective window has been knocked in.
  • the change to the emergency safety mode can be done in different ways. It is important that the special meaning is clear and thus an activation for convenience in the regular operational operation is omitted.
  • a first variant which ensures that activation of the emergency safety mode for convenience in regular operational operation is omitted, can be achieved, for example, by means of a special button on a graphical user interface, the actuation of which results in a manual change to the emergency safety mode.
  • manual switching to emergency safety mode may be accessible to all employees, or only to certain authenticated employees, such as the foreman or foreman only.
  • a second variant which ensures that emergency safety mode activation is omitted for convenience in regular operational operation is the use of a physical safety switch to activate the emergency safety mode.
  • a physical safety switch can be, for example, a key switch, or a push-button with an impact disk, as is known, for example, from fire detectors, or two spatially remote switches, which must preferably be actuated simultaneously by at least two people. In the latter case, both switches can be mounted on the automation system, but at such a distance that they can not be operated simultaneously by one person alone. The two switches can also be arranged spatially separated from one another such that a switch is mounted, for example, on the automation system itself and the second switch in a remote security center.
  • the physical safety switches described can be coupled with a real fire or alarm button, which in addition an alarm occurs when actuated, such as a plant fire brigade.
  • a third variant which ensures that activation of the emergency security mode is omitted for convenience in regular operational operation, provides for a special log-in procedure, such as entry of a special emergency password or use of a special emergency authentication token, such as a emergency smart card.
  • a fourth variant which ensures that activation of the emergency safety mode for convenience in regular operational operation is omitted, is automatically dependent on the operating state of the automation system. For this purpose, voted parameters of the automation system and, for example, automatically determined by comparison with predetermined limits for these parameters, whether a normal operating state, or an emergency exists.
  • process engineering automation systems for example
  • Pressure and temperature can be measured by suitable, preferably redundantly arranged sensors, which can be automatically monitored and determined by comparison with specified limits, such as a maximum allowable maximum temperature, a maximum allowable maximum pressure, a minimum temperature, a minimum pressure, if the measured values for pressure and Temperature in the automation system in the implementation of a specific process process within a certain allowable operating range, ie a normal operating condition exists or not, so there is an emergency.
  • specified limits such as a maximum allowable maximum temperature, a maximum allowable maximum pressure, a minimum temperature, a minimum pressure
  • the emergency safety mode either remains permanently after activation until it is manually deactivated again, for example by actuating a switch or the like, or it is automatically deactivated again after a certain predetermined period of time.
  • the emergency safety mode can also be deactivated automatically after an emergency has been averted, for example if the measured values recorded by sensors are once again within the permissible operating range.
  • the emergency safety mode remains activated only as long as a corresponding activation switch or the like is actuated or kept actuated.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Alarm Systems (AREA)
  • Storage Device Security (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage. Es wird ein Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage (01) beschrieben, bei dem durch die Zugriffskontrolle vorgegebene Zugriffsrechte vom Betriebszustand der Automatisierungsanlage (01) abhängen, wobei zumindest in einem Notfall unabhängig von den Zugriffsrechten im Normalbetrieb erweiterte Zugriffsrechte, als im Normalbetrieb gewährt werden.

Description

Beschreibung
Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage
Mit Einzug der Informationstechnik (IT) in die Automatisierung und der zunehmenden Integration mit Büroumgebungen steigt auch der Bedarf an Sicherheitslösungen für Automatisierungsumgebungen. Zugriffskontrolle ist dabei eine wesent- liehe Sicherheitsfunktionalität, durch die festgelegt und durchgesetzt wird, wer welche Handlungen durchführen kann. So kann beispielsweise festgelegt werden, welche Zugriffe durch Bedienpersonal zum Bedienen und Beobachten eines Verfahrens oder einer Fertigung oder eines Verfahrens- oder Fertigungs- Prozesses erfolgen können.
Drei Hauptsäulen der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Bezogen auf typische Büroumgebungen spielt meist Vertraulichkeit und Integrität der Daten die höchste Rolle. Im Automatisierungsumfeld ist meist jedoch die Verfügbarkeit wichtiger als die Vertraulichkeit der Daten. Üblicherweise werden hierbei kaum hochgeheime Daten, sondern hauptsächlich Steuer- und Statusbefehle über das Netzwerk ü- bertragen .
Aufgrund der Einsatzumgebung müssen dort spezielle Randbedingungen berücksichtigt werden. So darf beispielsweise in einer verfahrenstechnischen Automatisierungsumgebung ein Herstel- lungsprozess/ der Prozessindustrie ein physikalischer Pro- zess, wie beispielsweise das Erwärmen und Rühren eines Klebstoffes, bei einem Sicherheits-Notfall in der Anlagensteuerung nicht einfach angehalten werden. Ebenso darf umgekehrt in einem Notfall, beispielsweise bei einer Überhitzung des Klebstoffs, durch IT-Sicherheitsmaßnahmen ein Eingreifen durch Bedienpersonal nicht verhindert werden. Eng gesetzte Zugriffsrechte, wie dies aus Sicht der IT-Sicherheit wünschenswert ist, dürfen nicht dazu führen, dass in einem sol- chen Notfall erforderliche manuelle Eingriffe unterbunden o- der unnötig erschwert werden.
Bekannt ist eine Rollenbasierte Zugriffskontrolle (RBAC; RoIe Based Access Control) . In der Praxis wird darunter oft lediglich eine rollenbasierte Administration von Zugriffsrechten verstanden. Dabei werden Gruppen definiert entsprechend den anfallenden Aufgaben. Zugriffsrechte werden einzelnen Gruppen zugewiesen. Einzelne Mitarbeiter werden den ihren Aufgaben entsprechenden Gruppen zugeordnet und erhalten so die für ihre Aufgabe erforderlichen Zugriffsrechte.
Vom theoretischen Gesichtspunkt aus betrachtet bedeutet RBAC, dass ein einzelner Mitarbeiter zu unterschiedlichen Zeitpunk- ten unterschiedliche Aufgaben wahrnimmt, entsprechend zu unterschiedlichen Zeitpunkten unterschiedliche Rollen wahrnimmt. Ändern sich zwischen mehreren Zeitpunkten die Aufgaben des Mitarbeiters, führt er dazu jeweils einen Rollenwechsel durch, um der jeweils aktuell wahrgenommenen Rolle zugeordne- te Zugriffsrechte zu erhalten.
Durch Covington et Al „Securing Context-Aware Applications Using Environment Roles", Proceedings of the sixth ACM Symposium on Access control modeis and technologies, Chantilly, Virginia, United States, pp 10 - 20, 2001, ISBN: 1-58113-350-2 ist außerdem eine Kontext-basierte Zugriffskontrolle in der Pflege und Überwachung älterer Menschen zu Hause bekannt, bei der Zugriffsrechte von einer auch als Umgebungsinformation bezeichneten Kontext-Information abhängig sind. Diese Kon- text- oder auch Zusammenhang-Information betrifft die Tageszeit, den Wochentag, den Aufenthaltsort oder den aktuellen Status eines Arbeitsablaufs. Die Zugriffsrechte sind bestimmten Umgebungs-Rollen zugeordnet. Unterschiedliche Umgebungs- Rollen können durch Kontext-Informationen ausgelöst werden. Eine Aktivierung einer Umgebungs-Rolle kann eine Aktion automatisch auslösen. So wird beispielsweise bei einer Aktivierung der Umgebungs-Rolle „verletzt" automatisch ein Notruf aufgebaut . Als eine Aufgabe der Erfindung kann es angesehen werden, eine besser an eine Automatisierungsumgebung angepasste Zugriffskontrolle bereit zu stellen.
Die Aufgabe wird erfindungsgemäß gelöst durch die Merkmale des Anspruchs 1.
Ein erfindungsgemäßes Verfahren zur Zugriffskontrolle auf ei- ne Automatisierungsanlage sieht vor, dass durch die Zugriffskontrolle vorgegebene Zugriffsrechte vom Betriebszustand der Automatisierungsanlage abhängen, wobei zumindest in einem Notfall unabhängig von den Zugriffsrechten im Normalbetrieb erweiterte Zugriffsrechte, als im Normalbetrieb gewährt wer- den.
Indem zumindest in Notfällen ein Notfall-Zugriff mit erweiterten Zugriffsrechten gewährt wird, wird ein schnelles und flexibles Handeln ermöglicht, das nicht durch IT- Sicherheitsmaßnahmen behindert oder unnötig erschwert wird.
Vorteile der Erfindung gegenüber dem Stand der Technik ergeben sich insbesondere daraus, dass für den regulären, operativen Betrieb der Automatisierungsanlage Zugriffsrechte nach den Erfordernissen des regulären Betriebs restriktiv gesetzt werden können. Für besondere Betriebszustände, insbesondere in einem Notfall, werden entsprechend erweiterte Zugriffsrechte gewährt.
Es werden im Prinzip Rollen definiert, die den unterschiedlichen Betriebszuständen einer Automatisierungsanlage entsprechen. Es erfolgt nicht wahlfrei ein Rollenwechsel wie bei RBAC, sondern die Zugriffsrechte hängen vom Betriebszustand ab. Im Normalbetrieb wird ein hohes Maß an Sicherheit er- reicht und Zugriffsrechte können restriktiv gesetzt werden, da nur in einem besonderen Betriebszustand, wie beispielsweise bei Wartungsarbeiten oder in einem Notfall, dann benötigte, erweiterte Zugriffsrechte gewährt werden. Dies kann auch als eine Art Override-Funktionalität betrachtet werden, bei der unter bestimmten Umständen die Kontrolle der Zugriffsrechte außer Kraft gesetzt werden kann.
Weiterhin wird die Verwaltung der Zugriffsrechte vereinfacht, da nur die Zugriffsrechte für den Normalbetrieb exakt und eng festgelegt werden müssen. In besonderen Sondersituationen werden erweiterte Zugriffsrechte gewährt unter der Annahme, dass qualifiziertes und vertrauenswürdiges Bedien- und War- tungspersonal unter solchen Umständen Zugriffsrechte nicht missbraucht. Dieses Vertrauen ist darauf begründet, dass ohnehin eine hohe Verantwortung gegenüber dem Bedien- und Wartungspersonal besteht, da es Wartungsaufgaben, wie beispielsweise Werkzeugwechsel oder Kalibrierung oder ein kontrollier- tes Herunterfahren eines Verfahrensprozesses vornehmen muss, die nicht oder nicht vollständig automatisiert sind.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass zur Erfassung des Betriebszustands die Automatisierungsanlage überwacht wird. Die Überwachung kann mittels geeigneter Sensoren automatisch erfolgen oder durch Bedien- und Wartungspersonal durchgeführt werden.
Vorzugsweise wird ein Notfall automatisch ausgelöst, sobald bestimmte Prozessgrößen der Automatisierungsanlage vorgegebene Grenzwerte überschreiten. Ebenfalls ist denkbar, dass ein Notfall durch das Bedien- und Überwachungspersonal manuell ausgelöst wird.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass die Zugriffsrechte im Normalbetrieb eng festgelegt sind, um Fehlbedienungen und unauthorisierte Zugriffe zu vermieden.
Eine andere vorteilhafte Ausgestaltung der Erfindung sieht vor, dass die Zugriffsrechte im Normalbetrieb rollenbasiert festgelegt sind. Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht vor, dass im Normalbetrieb zur Erlangung von Zugriffsrechten und/oder zur Erlangung zusätzlicher und/oder anderer Zugriffsrechte eine Identifikation des Zugreifenden bzw. eine Authentisierung beispielsweise durch eine Log-In Prozedur durchgeführt wird. Die Log-In Prozedur kann beliebig ausgestaltet sein, beispielsweise durch Eingabe von Username und/oder Passwort, durch ein Authentisierungstoken, wie etwa mittels einer Chipkarte oder drahtlos, oder durch einen Fin- gerabdruck oder eine sonstige biometrische Identifikation.
Eine zusätzliche vorteilhafte Ausgestaltung der Erfindung sieht vor, dass bei Auftreten eines Notfalls ein Alarm ausgelöst wird zur automatischen Alarmierung und Aktivierung von Notfallmaßnahmen, beispielsweise damit Einsatzkräfte den Notfall bestätigen können.
Eine besonders vorteilhafte Ausgestaltung der Erfindung sieht vor, dass zumindest während eines Notfalls bzw. in einem Be- triebszustand, bei dem erweiterte Zugriffsrechte gewährt sind, die von einem Bedien- und Wartungspersonal vorgenommenen Aktionen und Zugriffe beispielsweise von einer Videokamera aufgezeichnet und/oder beispielsweise auf einem Logging- Server protokolliert werden. Zugriffsrechte können so bei Be- darf, gewissermaßen auf Wunsch überschritten werden. Dies wird aber sowohl durch das Aufzeichnen und Protokollieren der vorgenommenen Zugriffe, als auch durch die Aktivierung einer Video-Überwachung festgehalten und es kann so nachgeprüft werden, ob dies tatsächlich aus berechtigtem Anlass geschah.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass zumindest in einem Notfall ein spezieller Notfall- Sicherheitsmodus vorgesehen ist, bei dem die für den Normalbetrieb vorgesehene harte bzw. enge Kontrolle und Vergabe von Zugriffsrechten durch weichere Maßnahmen ersetzt wird, die jedoch nachträglich auswertbar sind bzw. ausgewertet werden. Das Ersetzen von im normalen Betrieb gültigen harten Sicherheitsmaßnahmen durch weiche Sicherheitsmaßnahmen in einem Notfall ermöglicht, dass alle erforderlichen Maßnahmen vom Bedien- und Überwachungspersonal durchgeführt werden können. Ein Missbrauch wird dennoch verhindert, da die Tatsache der Notfall-Auslösung sowie die vorgenommenen Aktionen und die erfolgten Zugriffe nachträglich nachvollziehbar sind.
Vorzugsweise umfassen die weicheren Maßnahmen ein Gewähren erweiterter Zugriffsrechte und/oder gegebenenfalls ein Deaktivieren der Kontrolle und Vergabe von Zugriffsrechten, wo- durch alle Handlungen und Zugriffe erlaubt werden.
Alternativ ist denkbar, dass die weicheren Maßnahmen einen Verzicht auf eine Authentisierung, beispielsweise durch Login, umfassen, wodurch Jedermann eine die Automatisierungsan- läge steuernde Bedien- und Überwachungseinrichtung nutzen kann .
Zur nachträglichen Auswertung der weicheren Maßnahmen erfolgt vorzugsweise ein Aufzeichnen und Protokollieren der vorgenom- menen Zugriffe. Dies kann auf der Bedien- und Überwachungseinrichtung selbst oder auf einem eigens hierfür vorgesehenen, beispielsweise in einem notfallfesten, beispielsweise feuersicheren und/oder explosionssicheren Raum untergebrachten Logging-Server geschehen.
Zur nachträglichen Auswertung der weicheren Maßnahmen kann beispielsweise eine Aktivierung einer Video-Überwachung bzw. Aktivieren einer Video-Aufzeichnung erfolgen, um so anhand des aufgezeichneten Video-Materials festzustellen, wer den Notfall-Sicherheitsmodus ausgelöst hat und wer welche Zugriffe bzw. Aktionen durchgeführt hat.
Vorzugsweise umfasst der Notfall-Sicherheitsmodus mehrere Unterstufen mit unterschiedlichen Zugriffsrechten, welche schrittweise aktivierbar sind bzw. aktiviert werden. Da eventuell schon minimal höhere Zugriffsrechte ausreichen, um quasi als erste Hilfe das Schlimmste in einem Notfall abwehren zu können, umfasst der Notfall-Sicherheitsmodus vorzugsweise mehrere Unterstufen. Diese lassen sich schrittweise aktivieren. In einer ersten Notfall-Aktivierungsstufe können beispielsweise nur die allernötigsten Rechte gewährt werden, um beispielsweise einen bevorstehenden Notfall hinauszuzögern und einfache Gegenmaßnahmen einzuleiten. Falls weitergehende Maßnahmen notwendig sind, um den Notfall zu verhindern, so muss dann auch noch eine zweite Notfall-Aktivierungsstufe aktiviert werden, die noch weitergehenden, beispielsweise uneingeschränkten Zugriff gewährt. Beispielsweise ist denkbar, dass dabei auch dauerhafte Konfigurationsänderungen vorgenommen werden können. Die Aktivierung einer solchen zweiten Notfall-Aktivierungsstufe kann dann aufwändiger geschützt sein, als die der ersten Notfall-Aktivierungsstufe. So ist beispielsweise denkbar, dass die erste Notfall-Aktivierungsstufe per Mausklick an der Benutzeroberfläche der Bedien- und Überwachungseinrichtung, und die zweite Notfall-Aktivierungsstufe nur über einen physikalischen Sicherheitsschalter, der beispielsweise erst nach Einschlagen einer Schutzscheibe betätigbar ist, aktiviert werden kann.
Eine Aktivierung des Notfall-Sicherheitsmodus kann manuell erfolgen, beispielsweise durch eine Betätigung einer speziellen Schaltfläche auf einer graphischen Bedienoberfläche. Damit eine Aktivierung des Notfall-Sicherheitsmodus aus Bequem- lichkeit im regulären operativen Betrieb unterbleibt, ist hierbei eine speziellen Schaltfläche auf einer graphischen Bedienoberfläche vorgesehen, durch deren Betätigung ein manueller Wechsel in den Notfall-Sicherheitsmodus erfolgt. Dabei kann der manuelle Wechsel in den Notfall-Sicherheitsmodus für alle Mitarbeiter zugänglich sein, oder nur für bestimmte au- thentisierte Mitarbeiter, beispielsweise nur für den oder die Vorarbeiter .
Alternativ kann eine manuelle Aktivierung des Notfall- Sicherheitsmodus durch eine Betätigung eines physikalischen Sicherheitsschalters erfolgen. Bei einem solchen physikalischen Sicherheitsschalter kann es sich beispielsweise um einen Schlüsselschalter handeln, oder um einen Taster mit Ein- schlagscheibe, wie er beispielsweise von Feuermeldern bekannt ist, oder um zwei räumlich entfernte Schalter, welche von mindestens zwei Personen vorzugsweise gleichzeitig betätigt werden müssen. Bei letzterem können beide Schalter an der Au- tomatisierungsanlage angebracht sein, aber in einem solchen Abstand, dass sie nicht von einer Person alleine gleichzeitig betätigt werden können. Die beiden Schalter können auch derart räumlich voneinander getrennt angeordnet sein, dass ein Schalter beispielsweise an der Automatisierungsanlage selbst angebracht ist und der zweite Schalter in einer entfernten Sicherheitszentrale .
Der physikalische Schalter kann mit einem Feuer- oder Alarmknopf gekoppelt sein, wodurch bei einer Betätigung zusätzlich eine Alarmierung erfolgt, beispielsweise einer Werksfeuerwehr .
Weiterhin ist denkbar, dass eine manuelle Aktivierung des Notfall-Sicherheitsmodus durch eine spezielle Log-In Prozedur erfolgt, beispielsweise eine Eingabe eines speziellen Notfall-Passworts oder eine Nutzung eines speziellen Notfall- Authentisierungstokens, wie etwa eine Notfall-Chipkarte.
Eine Aktivierung des Notfall-Sicherheitsmodus erfolgt vor- zugsweise automatisch abhängig vom Betriebszustand der Automatisierungsanlage. Hierzu werden bestimmte Parameter der Automatisierungsanlage überwacht und beispielsweise durch Vergleich mit vorgegebenen Grenzwerten für diese Parameter automatisch entschieden, ob ein normaler Betriebszustand, oder ein Notfall vorliegt. In Verfahrenstechnischen Automatisierungsanlagen können beispielsweise Druck und Temperatur durch geeignete, vorzugsweise redundant angeordnete Sensoren gemessen werden, wobei durch Vergleich mit festgelegten Grenzwerten, wie etwa einer maximal zulässigen Höchsttemperatur, ei- nem maximal zulässigen Höchstdruck, einer Mindesttemperatur, einem Mindestdruck automatisch überwacht und festgestellt werden kann, ob die Messwerte für Druck und Temperatur in der Automatisierungsanlage bei der Durchführung eines bestimmten Verfahrensprozesses innerhalb einem bestimmten, zulässigen Betriebsbereich liegen, also ein normaler Betriebszustand vorliegt, oder nicht, also ein Notfall vorliegt. Alternativ kann auch die Motordrehzahl überwacht und mit festgelegten Sollwerten verglichen werden.
Der Notfall-Sicherheitsmodus kann nach der Aktivierung bestehen bleiben, bis er manuell wieder deaktiviert wird, beispielsweise durch Betätigen eines Schalters oder dergleichen.
Alternativ ist denkbar, dass der Notfall-Sicherheitsmodus nach der Aktivierung nach einer bestimmten vorgegebenen Zeitspanne automatisch wieder deaktiviert wird.
Ebenso kann der Notfall-Sicherheitsmodus nach der Aktivierung nach Abwenden eines Notfalls automatisch deaktiviert werden, beispielsweise wenn die von Sensoren erfassten Messwerte wieder innerhalb eines zulässigen Betriebsbereichs liegen.
Weiterhin ist denkbar, dass der Notfall-Sicherheitsmodus nur so lange aktiviert bleibt, wie ein entsprechender Aktivierungsschalter oder dergleichen betätigt bzw. betätigt gehalten wird.
Die Erfindung wird nachfolgend anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert. Es zeigt:
Fig. 1 eine schematische Darstellung einer Automatisierungsanlage .
Eine in Fig. 1 dargestellte Automatisierungsanlage 01 umfasst einen Rührer 02 der von einem Motor 03 angetrieben ist. Der Rührer 02 rührt eine Substanz in einem Behälter 04. Im Behälter 04 befindet sich eine Heizung 05 und ein Temperaturfühler 06, die beide mit einem Prozessrechner 07 verbunden sind.
Rohrleitungen zum Stofftransport der Substanz in den und aus dem Behälter 04 sind nicht dargestellt. Der Prozessrechner 07 ist an eine Bedien- und Überwachungseinrichtung 08 ange- schlössen. Die Bedien- und Überwachungseinrichtung 08 ist mit einem Notfall-Schalter 09, einer Videokamera 10, sowie einem Logging-Server 11 verbunden. Das Bedien- und Wartungspersonal 12 überwacht und steuert den Verfahrensprozess des Umrührens der Substanz im Behälter 04 über die Bedien- und Überwachungseinrichtung 08. Im Falle eines Zwischen- oder Notfalls betätigt das Bedien- und Wartungspersonal 12 den Notfall- Schalter 09, worauf das Bedien- und Wartungspersonal 12 uneingeschränkte Zugriffsrechte und damit uneingeschränkten Zugriff erhält. Gleichzeitig werden jedoch die vom Bedien- und Wartungspersonal 12 vorgenommenen Aktionen und Zugriffe von der Videokamera 10 aufgezeichnet und auf dem Logging- Server 11 protokolliert.
Erfindungsgemäß wird für den regulären Betrieb einer Automatisierungsanlage mit einer Bedien- und Überwachungseinrichtung eine enge Zugriffskontrolle durchgeführt, bei der sich das Bedienpersonal authentisieren muss, beispielsweise durch einen Log-In, und nur Zugriffe auf die Bedien- und Überwa- chungseinrichtung vornehmen kann, die außerdem anhand einer definierten Zugriffskontrollpolitik erlaubt sind. Ziel ist dabei weniger, eine hohe Vertraulichkeit der übertragenen Automatisierungsdaten zu erreichen, sondern vielmehr Fehlbedienungen und unauthorisierte Zugriffe zu vermeiden. Die Log-In Prozedur kann beliebig ausgestaltet sein, beispielsweise durch Eingabe von Username und/oder Passwort, durch ein Au- thentisierungstoken, wie etwa mittels einer Chipkarte oder drahtlos, oder durch einen Fingerabdruck oder eine sonstige biometrische Identifikation.
Um in Notfällen, die naturgemäß unvorhersehbare Aspekte enthalten können, geeignet reagieren zu können, sind dort erweiterte Zugriffsrechte notwendig. Erfindungsgemäß werden in Notfällen erweiterte Zugriffsrechte gewährt. Es wird so ein schnelles und flexibles Handeln ermöglicht, das nicht durch IT-Sicherheitsmaßnahmen behindert oder unnötig erschwert wird. Hierzu ist ein spezieller Notfall-Sicherheitsmodus / eine spezielle Notfall-Sicherheitskonfiguration vorgesehen.
Dabei wird die für den Normalbetrieb bzw. regulären Betrieb vorgesehene Zugriffskontrolle ersetzt durch weichere Maßnahmen, die jedoch nachträglich auswertbar sind:
- Gewähren erweiterter Zugriffsrechte und/oder gegebenenfalls Deaktivieren der Zugriffskontrolle, wodurch alle Zugriffe erlaubt werden. - Verzicht auf Authentisierung beispielsweise durch Login, wodurch jeder die Bedien- und Überwachungseinrichtung nutzen kann.
- Aufzeichnen und Protokollieren der vorgenommenen Zugriffe, so genanntes Logging. Dies kann auf der Bedien- und Überwachungseinrichtung selbst oder auf einem eigens hierfür vorgesehenen, beispielsweise in einem notfallfesten, beispielsweise feuersicheren und/oder explosionssicheren Raum untergebrachten Logging-Server durchgeführt werden. - Aktivierung einer Video-Überwachung bzw. Aktivieren einer Video-Aufzeichnung, um so anhand des aufgezeichneten Video-Materials festzustellen, wer den Notfall- Sicherheitsmodus ausgelöst hat und wer welche Zugriffe bzw. Aktionen durchgeführt hat. - Auslösung eines Alarms, damit Einsatzkräfte den Notfall bestätigen können.
Das Ersetzen von im normalen Betrieb gültigen harten Sicherheitsmaßnahmen durch weiche Sicherheitsmaßnahmen in einem Notfall ermöglicht, dass alle erforderlichen Maßnahmen vom
Bedien- und Überwachungspersonal durchgeführt werden können. Ein Missbrauch wird dennoch verhindert, da die Tatsache der Notfall-Auslösung sowie die vorgenommenen Aktionen und die erfolgten Zugriffe nachträglich nachvollziehbar sind.
Zugriffsrechte können so bei Bedarf, gewissermaßen auf Wunsch überschritten werden. Dies wird aber sowohl durch das Aufzeichnen und Protokollieren der vorgenommenen Zugriffe, als auch durch die Aktivierung einer Video-Überwachung festgehalten und es kann so nachgeprüft werden, ob dies tatsächlich aus berechtigtem Anlass geschah.
Da eventuell schon minimal höhere Zugriffsrechte ausreichen, um quasi als erste Hilfe das Schlimmste in einem Notfall abwehren zu können, kann der Notfall-Sicherheitsmodus mehrere Unterstufen umfassen. Diese lassen sich schrittweise aktivieren. In einer ersten Notfall-Aktivierungsstufe können bei- spielsweise nur die allernötigsten Rechte gewährt werden, um beispielsweise einen bevorstehenden Notfall hinauszuzögern und einfache Gegenmaßnahmen einzuleiten. Falls weitergehende Maßnahmen notwendig sind, um den Notfall zu verhindern, so muss dann auch noch eine zweite Notfall-Aktivierungsstufe ak- tiviert werden, die noch weitergehenden, beispielsweise uneingeschränkten Zugriff gewährt. Beispielsweise ist denkbar, dass dabei auch dauerhafte Konfigurationsänderungen vorgenommen werden können. Die Aktivierung einer solchen zweiten Notfall-Aktivierungsstufe kann dann aufwändiger geschützt sein, als die der ersten Notfall-Aktivierungsstufe. So ist beispielsweise denkbar, dass die erste Notfall-Aktivierungsstufe per Mausklick an der Benutzeroberfläche der Bedien- und Überwachungseinrichtung, und die zweite Notfall-Aktivierungsstufe nur über einen physikalischen Sicherheitsschalter, der bei- spielsweise erst nach Einschlagen einer Schutzscheibe betätigbar ist, aktiviert werden kann.
Der Wechsel in den Notfall-Sicherheitsmodus kann auf unterschiedliche Weise erfolgen. Wichtig ist dabei, dass die spe- zielle Bedeutung klar ist und so eine Aktivierung aus Bequemlichkeit im regulären operativen Betrieb unterbleibt.
Eine erste Variante die sicherstellt, dass eine Aktivierung des Notfall-Sicherheitsmodus aus Bequemlichkeit im regulären operativen Betrieb unterbleibt, kann beispielsweise anhand einer speziellen Schaltfläche auf einer graphischen Bedienoberfläche erreicht werden, durch deren Betätigung ein manueller Wechsel in den Notfall-Sicherheitsmodus erfolgt. Dabei kann der manuelle Wechsel in den Notfall-Sicherheitsmodus für alle Mitarbeiter zugänglich sein, oder nur für bestimmte au- thentisierte Mitarbeiter, beispielsweise nur für den oder die Vorarbeiter .
Eine zweite Variante die sicherstellt, dass eine Aktivierung des Notfall-Sicherheitsmodus aus Bequemlichkeit im regulären operativen Betrieb unterbleibt, ist eine Verwendung eines physikalischen Sicherheitsschalters zur Aktivierung des Not- fall-Sicherheitsmodus . Bei einem solchen physikalischen Sicherheitsschalter kann es sich beispielsweise um einen Schlüsselschalter handeln, oder um einen Taster mit Einschlagscheibe, wie er beispielsweise von Feuermeldern bekannt ist, oder um zwei räumlich entfernte Schalter, welche von mindestens zwei Personen vorzugsweise gleichzeitig betätigt werden müssen. Bei letzterem können beide Schalter an der Automatisierungsanlage angebracht sein, aber in einem solchen Abstand, dass sie nicht von einer Person alleine gleichzeitig betätigt werden können. Die beiden Schalter können auch der- art räumlich voneinander getrennt angeordnet sein, dass ein Schalter beispielsweise an der Automatisierungsanlage selbst angebracht ist und der zweite Schalter in einer entfernten Sicherheitszentrale. Die beschriebenen physikalischen Sicherheitsschalter können mit einem echten Feuer- oder Alarmknopf gekoppelt sein, wodurch bei einer Betätigung zusätzlich eine Alarmierung erfolgt, beispielsweise einer Werksfeuerwehr.
Eine dritte Variante die sicherstellt, dass eine Aktivierung des Notfall-Sicherheitsmodus aus Bequemlichkeit im regulären operativen Betrieb unterbleibt, sieht eine spezielle Log-In Prozedur vor, beispielsweise eine Eingabe eines speziellen Notfall-Passworts oder eine Nutzung eines speziellen Notfall- Authentisierungstokens, wie etwa eine Notfall-Chipkarte.
Eine vierte Variante die sicherstellt, dass eine Aktivierung des Notfall-Sicherheitsmodus aus Bequemlichkeit im regulären operativen Betrieb unterbleibt, ist automatisch abhängig vom Betriebszustand der Automatisierungsanlage. Hierzu werden be- stimmte Parameter der Automatisierungsanlage überwacht und beispielsweise durch Vergleich mit vorgegebenen Grenzwerten für diese Parameter automatisch entschieden, ob ein normaler Betriebszustand, oder ein Notfall vorliegt. In Verfahrens- technischen Automatisierungsanlagen können beispielsweise
Druck und Temperatur durch geeignete, vorzugsweise redundant angeordnete Sensoren gemessen werden, wobei durch Vergleich mit festgelegten Grenzwerten, wie etwa einer maximal zulässigen Höchsttemperatur, einem maximal zulässigen Höchstdruck, einer Mindesttemperatur, einem Mindestdruck automatisch überwacht und festgestellt werden kann, ob die Messwerte für Druck und Temperatur in der Automatisierungsanlage bei der Durchführung eines bestimmten Verfahrensprozesses innerhalb einem bestimmten, zulässigen Betriebsbereich liegen, also ein normaler Betriebszustand vorliegt, oder nicht, also ein Notfall vorliegt.
Der Notfall-Sicherheitsmodus bleibt nach der Aktivierung entweder dauerhaft bestehen, bis er manuell wieder deaktiviert wird, beispielsweise durch Betätigen eines Schalters oder dergleichen, oder er wird nach einer bestimmten vorgegebenen Zeitspanne automatisch wieder deaktiviert. Der Notfall- Sicherheitsmodus kann auch nach Abwenden eines Notfalls automatisch deaktiviert werden, beispielsweise wenn die von Sen- soren erfassten Messwerte wieder innerhalb des zulässigen Betriebsbereichs liegen. Als weitere Möglichkeit ist denkbar, dass der Notfall-Sicherheitsmodus nur so lange aktiviert bleibt, wie ein entsprechender Aktivierungsschalter oder dergleichen betätigt bzw. betätigt gehalten wird.

Claims

Patentansprüche
1. Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage (Ol) , dadurch gekennzeichnet, dass durch die Zugriffskontrolle vorgegebene Zugriffsrechte vom Betriebszustand der Automatisierungsanlage (Ol) abhängen, wobei zumindest in einem Notfall unabhängig von den Zugriffsrechten im Normalbetrieb erweiterte Zugriffsrechte gewährt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Erfassung des Betriebszustands die Automatisierungs- anläge (Ol) überwacht wird.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Überwachung mittels geeigneter Sensoren (06) automa- tisch erfolgt.
4. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Überwachung durch ein Bedien- und Wartungspersonal (12) erfolgt.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Notfall automatisch ausgelöst wird, sobald bestimmte Prozessgrößen der Automatisierungsanlage (01) vorgegebene Grenzwerte überschreiten.
6. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass ein Notfall manuell ausgelöst wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zugriffsrechte im Normalbetrieb eng festgelegt sind, um Fehlbedienungen und unauthorisierte Zugriffe zu vermieden.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zugriffsrechte im Normalbetrieb rollenbasiert festgelegt sind.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Normalbetrieb zur Erlangung von Zugriffsrechten und/oder zur Erlangung zusätzlicher und/oder anderer Zugriffsrechte eine Identifikation des Zugreifenden bzw. eine Authentisierung durchgeführt wird.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei Auftreten eines Notfalls ein Alarm ausgelöst wird zur automatischen Alarmierung und Aktivierung von Notfallmaß- nahmen.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest in einem Notfall die von einem Bedien- und Wartungspersonal (12) vorgenommenen Aktionen und Zugriffe aufgezeichnet und/oder protokolliert werden.
12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest in einem Notfall ein spezieller Notfall- Sicherheitsmodus vorgesehen ist, bei dem die für den Normalbetrieb vorgesehene harte Kontrolle und Vergabe von Zugriffsrechten durch weichere Maßnahmen ersetzt wird, die nachträglich auswertbar sind bzw. ausgewertet werden.
13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die weicheren Maßnahmen ein Gewähren erweiterter Zugriffsrechte und/oder ein Deaktivieren der Kontrolle und Vergabe von Zugriffsrechten umfassen, wodurch alle Handlungen und Zugriffe erlaubt werden.
14. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die weicheren Maßnahmen einen Verzicht auf eine Authen- tisierung umfassen, wodurch Jedermann eine die Automatisie- rungsanlage (Ol) steuernde Bedien- und Überwachungseinrichtung (08) nutzen kann.
15. Verfahren nach Anspruch 12, 13 oder 14, dadurch gekennzeichnet, dass zur nachträglichen Auswertung der weicheren Maßnahmen ein Aufzeichnen und Protokollieren der vorgenommenen Zugriffe erfolgt .
16. Verfahren nach einem der Ansprüche 12 bis 15, dadurch gekennzeichnet, dass zur nachträglichen Auswertung der weicheren Maßnahmen eine Aktivierung einer Video-Überwachung (10) bzw. Aktivieren einer Video-Aufzeichnung erfolgt.
17. Verfahren nach einem der Ansprüche 12 bis 16, dadurch gekennzeichnet, dass der Notfall-Sicherheitsmodus mehrere Unterstufen mit unterschiedlichen Zugriffsrechten umfasst, welche schrittweise aktivierbar sind bzw. aktiviert werden.
18. Verfahren nach einem der Ansprüche 12 bis 17, dadurch gekennzeichnet, dass eine Aktivierung des Notfall-Sicherheitsmodus manuell erfolgt .
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Aktivierung des Notfall-Sicherheitsmodus durch eine Betätigung einer speziellen Schaltfläche auf einer graphischen Bedienoberfläche erfolgt.
20. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Aktivierung des Notfall-Sicherheitsmodus durch eine Betätigung eines physikalischen Sicherheitsschalters (09) erfolgt.
21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass der physikalische Schalter (09) mit einem Feuer- oder Alarmknopf gekoppelt ist.
22. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Aktivierung des Notfall-Sicherheitsmodus durch eine spezielle Log-In Prozedur erfolgt.
23. Verfahren nach einem der Ansprüche 12 bis 17, dadurch gekennzeichnet, dass eine Aktivierung des Notfall-Sicherheitsmodus automatisch abhängig vom Betriebszustand der Automatisierungsanlage (01) erfolgt.
24. Verfahren nach einem der Ansprüche 12 bis 23, dadurch gekennzeichnet, dass der Notfall-Sicherheitsmodus nach der Aktivierung beste- hen bleibt, bis er manuell wieder deaktiviert wird.
25. Verfahren nach einem der Ansprüche 12 bis 23, dadurch gekennzeichnet, dass der Notfall-Sicherheitsmodus nach der Aktivierung nach einer bestimmten vorgegebenen Zeitspanne automatisch wieder deaktiviert wird.
26. Verfahren nach einem der Ansprüche 12 bis 23, dadurch gekennzeichnet, dass der Notfall-Sicherheitsmodus nach der Aktivierung nach
Abwenden eines Notfalls automatisch deaktiviert wird.
27. Verfahren nach einem der Ansprüche 12 bis 23, dadurch gekennzeichnet, dass der Notfall-Sicherheitsmodus nur so lange aktiviert bleibt, wie ein entsprechender Aktivierungsschalter (09) betätigt wird.
PCT/EP2008/061277 2007-09-25 2008-08-28 Verfahren zur zugriffskontrolle auf eine automatisierungsanlage Ceased WO2009040206A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US12/679,725 US8890652B2 (en) 2007-09-25 2008-08-28 Method for the access control to an automation unit
AT08803303T ATE517376T1 (de) 2007-09-25 2008-08-28 Verfahren zur zugriffskontrolle auf eine automatisierungsanlage
CN200880108586.6A CN101809518B (zh) 2007-09-25 2008-08-28 用于对自动化设备进行访问控制的方法
EP08803303A EP2193406B1 (de) 2007-09-25 2008-08-28 Verfahren zur zugriffskontrolle auf eine automatisierungsanlage

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102007045772.5 2007-09-25
DE102007045772A DE102007045772A1 (de) 2007-09-25 2007-09-25 Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage

Publications (1)

Publication Number Publication Date
WO2009040206A1 true WO2009040206A1 (de) 2009-04-02

Family

ID=40227786

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/061277 Ceased WO2009040206A1 (de) 2007-09-25 2008-08-28 Verfahren zur zugriffskontrolle auf eine automatisierungsanlage

Country Status (7)

Country Link
US (1) US8890652B2 (de)
EP (1) EP2193406B1 (de)
CN (1) CN101809518B (de)
AT (1) ATE517376T1 (de)
DE (1) DE102007045772A1 (de)
ES (1) ES2368670T3 (de)
WO (1) WO2009040206A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8890652B2 (en) 2007-09-25 2014-11-18 Siemens Aktiengesellschaft Method for the access control to an automation unit

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2224300B1 (de) * 2009-02-27 2018-07-11 Siemens Aktiengesellschaft Verfahren zur Bereitstellung von Datenzugriff in einem industriellen Automatisierungssystem, Computerprogrammprodukt und industrielles Automatisierungssystem
US20110010624A1 (en) * 2009-07-10 2011-01-13 Vanslette Paul J Synchronizing audio-visual data with event data
DE102010041338A1 (de) * 2010-09-24 2012-03-29 Siemens Aktiengesellschaft Durch ein Identifikationselement aktivierbare medizinische Vorrichtung
WO2012078475A2 (en) * 2010-12-07 2012-06-14 Gautam Dasgupta Emergency response management apparatuses, methods and systems
CH706997A1 (de) * 2012-09-20 2014-03-31 Ferag Ag Zugriffskontrolle auf Bedienmodule einer Bedieneinheit.
US20140266715A1 (en) * 2013-03-15 2014-09-18 Honeywell International Inc. Access Control Systems with Variable Threat Level
GB201315117D0 (en) * 2013-08-23 2013-10-09 Dinky Assets Ltd A combination care monitoring and access control system
CN106534222A (zh) * 2017-01-10 2017-03-22 深圳市思榕科技有限公司 一种密码权限控制登陆系统
US10705948B2 (en) 2017-10-30 2020-07-07 Bank Of America Corporation Robotic process automation simulation of environment access for application migration
CN112118299B (zh) * 2020-09-04 2023-01-13 四川蜂巢智造云科技有限公司 一种用于设备管理数据与生产业务数据分离的系统
JP7567455B2 (ja) * 2020-12-24 2024-10-16 トヨタ自動車株式会社 管理システム、管理方法、及びプログラム
US11798331B2 (en) 2022-03-08 2023-10-24 Motorola Solutions, Inc. Method and apparatus for increasing security at an access point
EP4488774A1 (de) * 2023-07-04 2025-01-08 Siemens Aktiengesellschaft Verfahren und anordnung zum gesicherten zugriff auf eine industrielle automatisierungskomponente

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1621944A2 (de) * 2004-07-29 2006-02-01 Rockwell Automation Technologies, Inc. Sicherheitssystem und Verfahren für ein industrielles Automatisierungssystem

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19801137A1 (de) * 1998-01-14 1999-07-22 Siemens Ag Fehlersichere Prozesseingabe und Prozessausgabe
US6201996B1 (en) * 1998-05-29 2001-03-13 Control Technology Corporationa Object-oriented programmable industrial controller with distributed interface architecture
US6422463B1 (en) * 1999-12-31 2002-07-23 Jonathan C. Flink Access control system
US7043310B2 (en) * 2001-02-16 2006-05-09 Siemens Aktiengesellschaft Device and process for operation of automation components
US20040162996A1 (en) * 2003-02-18 2004-08-19 Nortel Networks Limited Distributed security for industrial networks
DE10313409A1 (de) * 2003-03-25 2004-11-18 Continental Teves Ag & Co. Ohg Verfahren zum Vermeiden von fehlerhaften Aktuatorzugriffen in einem multifunktionalen elektronischen Gesamtregelungssystem
US7895234B2 (en) * 2003-09-22 2011-02-22 Rockwell Automation Technologies, Inc. Systems and methods for sharing portal configurations
US7415720B2 (en) * 2003-10-31 2008-08-19 Samsung Electronics Co., Ltd. User authentication system and method for controlling the same
JP2005293282A (ja) * 2004-03-31 2005-10-20 Toshiba Corp 情報処理装置、情報処理装置の起動方法および情報処理装置の起動プログラム
DE102007045772A1 (de) 2007-09-25 2009-04-02 Siemens Ag Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1621944A2 (de) * 2004-07-29 2006-02-01 Rockwell Automation Technologies, Inc. Sicherheitssystem und Verfahren für ein industrielles Automatisierungssystem

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
COVINGTON M J ET AL: "SECURING CONTEXT-AWARE APPLICATIONS USING ENVIRONMENT ROLES", PROCEEDINGS OF THE 6TH. ACM SYMPOSIUM ON ACCESS CONTROL MODELS AND TECHNOLOGIES. SACMAT 2001. ( FORMERLY ACM WORKSHOPS ON ROLE-BASED ACCE SS CONTROL ). CHANTILLY, VA, MAY 3-4, 2001; [ACM SYMPOSIUM ON ACCESS CONTROL MODELS AND TECHNOLOGIES. (FORMERLY, 3 May 2001 (2001-05-03), pages 10 - 20, XP001054982, ISBN: 978-1-58113-350-9 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8890652B2 (en) 2007-09-25 2014-11-18 Siemens Aktiengesellschaft Method for the access control to an automation unit

Also Published As

Publication number Publication date
CN101809518B (zh) 2014-08-13
US8890652B2 (en) 2014-11-18
US20100201480A1 (en) 2010-08-12
ATE517376T1 (de) 2011-08-15
DE102007045772A1 (de) 2009-04-02
ES2368670T3 (es) 2011-11-21
EP2193406A1 (de) 2010-06-09
CN101809518A (zh) 2010-08-18
EP2193406B1 (de) 2011-07-20

Similar Documents

Publication Publication Date Title
EP2193406B1 (de) Verfahren zur zugriffskontrolle auf eine automatisierungsanlage
EP2691940B1 (de) Verwaltung von zugriffsrechten auf betriebs- und/oder steuerungsdaten von gebäuden oder gebäudekomplexen
EP2353123A2 (de) Anforderungsbasiertes personenauthentifikationsverfahren
EP3907569B1 (de) Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode
EP3103057A1 (de) Verfahren zum zugang zu einem physisch abgesicherten rack sowie computernetz-infrastruktur
EP3967003B1 (de) Servicevorrichtung für eine brandschutzanlage, entsprechende brandschutzanlage, system zum betreiben einer brandschutzanlage sowie zugehöriges verfahren
EP1883867A1 (de) Verfahren zum einstellen eines elektrischen feldgerätes
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
EP3967002B1 (de) Servicevorrichtung für eine brandschutzanlage, entsprechende brandschutzanlage, system zum betreiben einer brandschutzanlage sowie zugehöriges verfahren
EP2605095A1 (de) Bearbeitungsmaschine mit Zugriffskontrolle über Rechnernetz
EP3314844B1 (de) Datenverarbeitungseinrichtung und verfahren zum betrieb derselben
DE102019127490A1 (de) Verfahren zum Bedienen eines Messinstruments
DE102013201937A1 (de) Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage
WO2003038764A2 (de) Sicherheitseinrichtung
EP3980223A1 (de) Verfahren und system zur automatischen absicherung eines mittels einer mobilen bedienvorrichtung gesteuerten betriebs eines robotersystems
EP3772728A1 (de) Prüfverfahren und prüfsystem zur prüfung eines systems zur überwachung der schutzbereitschaft einer brandschutzanlage
DE102021126959A1 (de) Zusatzmodul für Manipulationsschutz eines Sensors
DE102013112730B4 (de) Rechnerzentrum und Verfahren zum Betrieb eines Rechnerzentrums
WO2020225086A1 (de) Servicevorrichtung, brandschutzanlage mit einer servicevorrichtung, system zum betreiben einer brandschutzanlage und zugehöriges verfahren
EP3820081A1 (de) Verfahren zur durchführung einer erlaubnisabhängigen kommunikation zwischen wenigstens einem feldgerät der automatisierungstechnik und einem bediengerät
WO2020225080A1 (de) Servicevorrichtung für eine brandschutzanlage, entsprechende brandschutzanlage, system zum betreiben einer brandschutzanlage sowie zugehöriges verfahren
EP4254864A1 (de) Verfahren zum betreiben eines vernetzten iot-geräts in einem automatisierungsnetzwerk, computerprogramm, iot-gerät und automatisierungsnetzwerk
EP3723339B1 (de) Sichere freigabe einer geschützten funktion
EP4138052B1 (de) Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt
DE102024204415A1 (de) Verfahren zum ferngesteuerten Freigeben einer Bedienfunktion eines Feldgeräts, Computerprogrammprodukt, Feldgerät und System

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200880108586.6

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08803303

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2008803303

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12679725

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE