WO2017045789A1 - Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes - Google Patents

Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes Download PDF

Info

Publication number
WO2017045789A1
WO2017045789A1 PCT/EP2016/064785 EP2016064785W WO2017045789A1 WO 2017045789 A1 WO2017045789 A1 WO 2017045789A1 EP 2016064785 W EP2016064785 W EP 2016064785W WO 2017045789 A1 WO2017045789 A1 WO 2017045789A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
production
digital twin
unit
communication channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2016/064785
Other languages
English (en)
French (fr)
Inventor
Kai Fischer
Markus Heintel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to US15/750,538 priority Critical patent/US10999293B2/en
Priority to CN201680054046.9A priority patent/CN108141437B/zh
Priority to EP16741872.2A priority patent/EP3295646B1/de
Publication of WO2017045789A1 publication Critical patent/WO2017045789A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2365Ensuring data consistency and integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Definitions

  • the invention relates to a method, a corresponding computer program product, a manufacturing unit and a Anord ⁇ voltage for checking a consistency between the reference data of a manufactured object and data of a digital twin of the manufactured object, wherein two separate communication channels are used ⁇ .
  • IT systems are used to control production processes or individual production steps. These IT systems control the manufacturing process based on a digital image of the Ferti generating installation or a digital image of a to be produced workpiece.
  • the digital image is also called digital twin or digital twin.
  • the digital twin of the workpiece is synchronized with the condition of the workpiece during manufacture.
  • IT systems with their underlying communication network are often more vulnerable. In particular, the consistency between the physical world and the virtual representation is crucial in the form of digital twin for safe requirementsab ⁇ run. Therefore, manipulations on a workpiece or on its digital twin should be recognizable.
  • a unique reference to a workpiece or workpiece carrier, for example by means of a passive marker such as a bar code or NFC chip.
  • This reference can be read out by a production plant and enables a clear assignment of the workpiece or the assignment to its digital twin.
  • a workpiece itself over IT capabilities and can actively send a reference to a manufacturing plant. With this method, a reference of the workpiece is transmitted unsecured to a processing machine. As soon as it is possible to read out, for example, an RFID chip, unsecured transmission can be carried out, even by readers not provided for this purpose, which are manipulated, for example.
  • a workpiece could transmit a manipulated reference value.
  • the invention relates to a method for checking the consistency between the reference data of a manufactured object and data of a digital twin of the manufactured object, wherein the reference data on a first communication channel and the data of the digital twin be transmitted over a second communication channel, and wherein a first Sprinttra ⁇ supply via the is the first communication channel to a physical availability of the manufactured object is coupled within a Ferti generating installation, and a second transmission over the second communication channel to an access to a communication network of the production plant coupled.
  • a work piece or work piece carrier is meant, for example, such as a workpiece, which is machined in a manufacturing process. It can be a production step within a refining process or an assembly of several workpieces into one product.
  • the reference data of the production object contain at least information that allows the identification of the production object. For example, a numbering of the Fer ⁇ authorization objects within a production system is provided, which uniquely identifies each workpiece or object for machining a workpiece.
  • the reference data may include a reference value dedicated to identifying purposes.
  • the digital twin of the production object of the production plan is deposited at ⁇ play, is to be according to which the production process is performed. For example, status information on the status of the production object is stored in the current form on the workpiece.
  • the digital twin reflects anläge the currently existing physical arrangement in a manufacturing plant or a status of a production, such as a Cyber Physical Production Sys ⁇ tems, shortly CPPS. This allows for synchronization and bi ⁇ directional change effective averaging or consultation with the digital world in a PLM or engineering system.
  • the digital twin contains, for example, information about the capacities or environmental conditions, production steps or tasks within the Cyber Physical Production System. For example, a memory content is updated after each manufacturing step to adjust the status.
  • the first communication channel is based on a physical availability of the production object within a production plant. coupled.
  • the first communication channel is only active or only usable if the production object is in a specific spatial environment within the production plant.
  • the first communication channel is based on a physical proximity of the real workpiece to a sphere of action of the communication partner. This may be, for example, a production unit.
  • the second communication channel is coupled to an access to a communication network of the manufacturing plant.
  • the second communication channel can only be used if a use or access or access to an IT system of the manufacturing plant is possible.
  • such a second communication channel via the communication network of the production plant for Ferti generating installation during a production process is permanently ak ⁇ tivated and usable.
  • the access to the communication network can be coupled to an authentication of the production system, so that only authorized requests receive access. The security is therefore based on security of the communication network, for example by cryptographic keys or certificates.
  • the first communication channel for example, only at predetermined time span ⁇ usable, in which the workpiece or the production object is close enough, for example, or with a pas ⁇ send orientation in the vicinity of a production unit. In this case, safety is ensured by the physical availability of the workpiece.
  • data relating to the manufacturing object thus distributed over two independent paths in the system.
  • a production machine can read out data of the physi ⁇ rule workpiece directly, and moreover off data of the digi ⁇ talen twin of the workpiece via the second Kommunikati ⁇ onskanal example, from a computer communication network read.
  • the use of two independent communication channels increases the security of the digital twin data because an attacker must successfully compromise or manipulate two independent communication channels simultaneously for a successful attack on a manufacturing step.
  • Both communication channels are advantageously provided in a digital automation system without necessary retrofitting.
  • An IT communication infrastructure such as Profibus or Industrial Ethernet, can be used for the purposes of transmitting the data of the digital twin in addition to the usual purposes.
  • the physical transport of the manufactured object causes advantageous ⁇ example automatically that the production object resides in accordance with the production schedule for specific times in an operating area of a production unit.
  • a communication path which is based on physical proximity, such as optical Kom ⁇ munikationsmaschine or Nahfeldkommunikationsmaschine are provided for reading out reference values.
  • the consistency check between data of the physical work and data that are stored in a digital twin of the workpiece ensures integrity and / or Au ⁇ thentizmaschine one of the two data sets, provided the other can be trusted. Thus, manipulations of data of the digital image in the digital twin or manipulations on the workpiece or workpiece carrier can be detected. If one of the two communication channels is protected or the workpiece or the digital twin of the workpiece is protected, the consistency check can provide information about the integrity of the other channel or data set.
  • the consistency check is performed for the purpose of being able to react in the event of an inconsistency. For example, a test result is output and only in the case of a confirmed consistency is there then a further step, for example a processing of the production object by the production unit. For example, a transmission of the data of the digital twin is possible only in cases in where there is a test result, proving the consistency between the reference data and the data of the digital twin, so that it can be closed so that a particular integrity of the digital Da ⁇ th twin. It follows ER- advantageously a coupling of the data of the di ⁇ gitalen twin with a specific physical workpiece.
  • the first communication channel is based on a physical proximity and is in particular aligned for an optical communication method or for a near field communication method.
  • a manufacturing object via the first communication channel only if, for example, the physical distance is small enough.
  • Nahfeldkommunikationsbacter such as NFC, short for near-field communication, applied, which allows for short distances of a few centimeters, a data transfer.
  • the successful use of the first communication channel is only possible in a limited spatial area within the manufacturing plant.
  • a data transfer from particular manipulated reference data of another or manipulated manufactured object, which is not within the production plant, in particular in a radius about the production unit, located in the defined geographical area, may thus be transmitted in an advantageous manner not through the first communica ⁇ tion channel ,
  • the second communication channel is based on a communication infrastructure, in particular on a Profibus or Industrial Ethernet structure.
  • a communication infrastructure in particular on a Profibus or Industrial Ethernet structure.
  • a first checksum is additionally transmitted as reference data via the data of the digital twin and a second one is generated Checksum over the over the second communication channel via ⁇ transmitted data of the digital twin formed and the two ⁇ te checksum compared with the first checksum and tested for Kon ⁇ consistency.
  • a marker for example in the form of a serial number or an internal production numbering, is transmitted as the reference value.
  • the first checksum over the data of the digital twin is a hash value.
  • a hash function is applied to the data of the digital twin and only the checksum from which the data of the digital twin can not be deduced due to the properties of one-way functions are stored on the production object.
  • the reference value as well as the first checksum of the data of the digital twin are processed by a processor of a production plant.
  • the reference value is part of the checksum, that is to say a check sum formation is linked via a data record from the data of the digital twin or
  • the data of the digital twin is requested via the second communication channel.
  • ⁇ game as they are deposited on a central Steuerungskompo ⁇ component in a memory.
  • the processor based on the information received over the second communication channel ⁇ , for example via an Industrial Ethernet system, the digital data by a twin checksum.
  • the hash value of the digital twin data is formed.
  • This is the second checksum.
  • This is based on the security of the second communication channel or the integrity of the memory.
  • the method allows Integri ⁇ tuschsschutz the data of the digital twin.
  • a symmetrical key or information for generating a symmetrical key are additionally transmitted as reference data.
  • the data of the digital twin is stored with the symmetric key in encrypted form and can be decrypted with the symmetric key.
  • a ceremoniessma ⁇ machine the reference value and the key or keys ⁇ information over the first communication channel can be received by a processor when the workpiece is located in the area of influence of the production machine.
  • the data of the digital twin is transmitted in encrypted form over the second communication channel from a memory.
  • the data of the digital twin can be decrypted.
  • An attacker that wants to manipulate the data of the digital twin would have to have knowledge of the symmetric key in order to have available in non-encrypted form ⁇ within the communication network, the data of the digital twin and then to manipulate if necessary.
  • An exchange of encrypted data by an attacker and a transmission of the manipulated data can, for example, using additional measures, for example, advantageous in the use of
  • the proposed embodiment advantageously prevents reading of the data of the digital twin on the part of the communication network.
  • the data is never available in unencrypted form.
  • the data are present in unencrypted form only on the production unit and only after the symmetric key could be determined via the first communication channel.
  • Confidential data in the digital Gemini are advantageously readable only when a manufacturing unit or machine has physical access to the workpiece.
  • the manufacturing unit itself can only gain access to the data of the twin in unencrypted form and process it if it has physical access to the workpiece.
  • confidential process instructions can be encoded within the As ⁇ th the digital twin to advantageous ⁇ exemplary manner. Less critical data can be unencrypted to reduce the computational effort.
  • a key agreement or distribution of the key material may be done in a confidential environment during an initialization phase.
  • a symmetrical key or information for generating a symmetric key is additionally transmitted as reference data.
  • a first message authentication code is additionally transmitted via the data of the digital twin and a second message authentication code is formed via the data transmitted over the second communication channel data of the digital twin by means of the symmetric key.
  • the ERS ⁇ te message authentication code is compared with the second message authentication code and checked for Konsis ⁇ competence out.
  • an integrity protection of the data of the digital twin by means of the MAC checksum or the keyed hash checksum. It is thus ensured that the data of the digital twin has not been changed or manipulated after an initial deposit of the checksum, for example in the memory accessed by the communication network, or changes in the data in the digital twin only by authorized entities using the key. Since must at first be tinctrei ⁇ cher synchronization between the first message authentication code and the second message authentication code before, for example, further processing of the data of the digital twin is possible, at the same time ensures that the transmission over the first communication channel, which the key material ready ⁇ posed successfully.
  • the au- of the manufactured object is detected capacity.
  • a successful consistency check can in turn be a prerequisite for further production steps or releases or access permission in the production process.
  • the mechanisms to protect the confidentiality and the Si ⁇ cher too the integrity or authenticity can be advantageously combined.
  • the information is formed as a start value and is suitable for generating the SYMMETRI ⁇ 's key using a key derivation function.
  • a key derivation function is suitable for generating the SYMMETRI ⁇ 's key using a key derivation function.
  • a production-specific key or production-object-specific information is By incorporating production-specific features into a key derivation function, the production-object-specific features are determined in particular by means of the reference value or by means of a physical derivation function
  • unclonable function are generated.
  • an individual key per production object or workpiece can be generated or transmitted.
  • the data of the digital Twins are only decipherable or a MAC checksum about only verified if the fertigungsobj ektspezi- fish matching key was made available by the first communication ⁇ channel.
  • an op ⁇ table physically unclonable function, short PUF can be used, which detects the individual surface structure of a workpiece. So data from the digital twin is only decrypted if the reference data has been transferred, he ⁇ successfully over the first communication channel in an advantageous manner by the appropriate production object that is clearly characterized on the physico unklonbare function.
  • an input value of a one-way function is transmitted as reference data and the data of the digital twin is transmitted via the second communication channel if a result value of the one-way function matches the input value with a stored result value.
  • a result value E is obtainable by applying a hash function to an input value P.
  • the reference data P is added to the input value.
  • Access to the data of the digital twin via the second communication channel should only be possible if a hash value formation of the matching result value E can be detected by applying the hash function to the correct input value P. This proof is advantageously carried out before transmission of the data of the digital twin, so that the knowledge of the input value is used as an authorization feature .
  • the correct score value E Be ⁇ stand part of the data of the digital twin. It checks the con ⁇ consistency between the reference data including input value P and the data of the digital twin inclusive resulting value E. Turn is only possible to access the data from the Digitized ⁇ len twin by a production unit if the physical proximity to the production object is because knowledge of the input value P must be obtained. Moreover, depending on the configuration of the input value, a manipulation of the data on the workpiece or production object or the production object itself can be recognizable, since then the correct input value will generally not be available. For cases in which the correct input value is present despite manipulation of the data or the workpiece, an additional comparison of the data with the reference data can take place in order to be able to detect a deviation and thus a manipulation.
  • the consistency check can involve a direct comparison of two data sets, in particular two checksums, or a plausibility check of a reference value obtained from decrypted reference data, or a check for matching of two keys used or a query of a secret.
  • the invention further relates to a computer program product with a computer program which has means for carrying out the method described above when the computer program is executed on a program-controlled device.
  • a computer program product such as a computer program means, for example, as a storage medium, such as memory card, USB stick, CD-ROM, DVD or in the form of a downloadable file from a server in a network provided or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program. program product or the computer program agent.
  • a program-controlled device is in particular a STEU ⁇ er coupled, such as a microprocessor, in question.
  • the invention further relates to a production unit aufwei ⁇ send a first interface to a manufacturing object, where ⁇ reference data of the produc ⁇ tion object can be received over the first interface, wherein a first transmission of the reference data is coupled to a physical proximity between manufacturing unit and manufacturing object, and a second interface to a communication network of a production plant, wherein data of a digital twin of the production object can be received via the second interface, wherein a second transmission of the data of the digital twin is coupled to an access to the communication network, and a test unit for testing a Consistency between reference data of the production object and the data of the digital twin of the production object.
  • the invention further relates to an arrangement for manufacturing ⁇ object, manufacturing unit, memory unit and processor having a first communication channel between production object and manufacturing unit based on a physical proximity Zvi ⁇ 's production unit and production object for the transmission of reference data of the manufactured object, and with a two- ⁇ th communication channel of a communication network Zvi ⁇ 's production unit and storage unit for the transmission of data of a digital twin of the manufactured object, wherein the processor is suitable for testing a consistency between the reference data and the data of the digital twin.
  • the processor is integrated in the production unit, or is provided by a cloud service or is integrated into a control unit of a Fer ⁇ actuating system, in particular together with the memory unit.
  • Figure 1 is a schematic representation of a workpiece at
  • Figure 2 is a schematic representation of the communication steps according to a first variant of the Ausry ⁇ tion example
  • Figure 3 is a schematic representation of the communication ⁇ steps according to a second variant of the Ausry- tion example
  • Figure 4 is a schematic representation of the communication ⁇ steps according to a third variant of the Ausry ⁇ tion example
  • Figure 5 is a schematic representation of the communication ⁇ steps according to a fourth variant of the Ausry ⁇ tion example.
  • FIG. 1 schematically shows the passage of several production steps through a workpiece in an automated production plant. It is, for example, a production line in which a work piece WP depending Ferti ⁇ supply unit Pa, Pb pass through one or more production steps. For example, it is the interaction ⁇ build more components or a refining of the tool piece, or a coating, or a repositioning on a workpiece carrier.
  • the workpiece WP is, for example, with the aid of a conveyor belt C in the range of action ver ⁇ VARIOUS production units Pa, Pb transported.
  • the surface of the workpiece WP is processed by a first production unit Pa. It is for example a grinding machine.
  • the production unit Pb is, for example, a machine for applying a coating or for mounting of tools, such as screws or the like.
  • the workpiece WP has a memory which can store a reference data set Dl. It may be, for example, a barcode or NFC chip.
  • a passive marker is provided in which a power supply from outside via an antenna takes place. Once that chip reaches the vicinity of a reader of the first Ferti ⁇ supply unit Pa, the first communication channel Chi can be used between the workpiece WP and manufacturing unit Pa. Via this first communication channel Chi, which is based on the proximity of the workpiece WP to a first interface IF1, a reference value is transmitted which identifies the workpiece WP.
  • the reference value is part of the Re ⁇ ference data set Dl.
  • the production unit Pa can use the second communication channel.
  • an IT communication network is used, via which the production unit Pa data of the digital twin D2 of the workpiece WP are transmitted.
  • the IT communication network can also be provided for data traffic of the various production units Pa, Pb of a production facility with one another and of production units with control units.
  • the production unit Pa accesses data from a memory M of a control computer via the second communication channel Ch2.
  • the consistency check is performed in particular ⁇ sondere on a provided on the production unit Pro ⁇ cessor or in a separate unit, which also frees access to the production unit on data over the second communications channel Ch2 only in dependence on the result of the consistency check.
  • Figure 2 shows a first variant of the game personssbei ⁇ a schematic representation of the data transmitted via the communication channels Various ⁇ NEN data.
  • the order of the data transfer steps is to be understood from top to bottom.
  • the reference value R1 and the checksum H1 are transmitted via the data of the digital twin as a reference data record D1.
  • the checksum Hl is the hash value of the data of the digital twin.
  • the manufacturing unit Pa which the workpiece WP Example ⁇ , on the basis of the data of the digital twin D2 wei ⁇ should terver matter, uses the reference value R, by over a second communication channel Ch2 example of ovum ner central control unit or a cloud service, the data of the digital twin D2, which are stored there on a memory M to request.
  • the data of the digital twin D2 are made available to the production unit and the latter forms a second test sum H2 on the basis of the digital data D2.
  • is a consistency between the reference data Dl and the data of the digital twin D2 and it can be an authenticity of accepted received via the IT communications network. If a different checksum results, a change in the data of the digital twin D2 or a change in the first checksum H1 or a faulty reference R1 can be deduced. In any case, the integrity of the data of the digital twin is not readily apparent.
  • theiquessanla ⁇ ge In particular, attacks are detected in an advantageous manner, which cause a manipulation of the data of the digital twin D2.
  • an exchange of the workpiece WP or manipulation of the workpiece WP is he ⁇ known, provided the unique reference does not fit or to digita ⁇ len twin was replaced checksum St. to secure the digital data of the twin D2 or altered.
  • the workpiece WP communicates with the reference data set D 1 a reference value R 1 as well as cryptographic key material K.
  • This variant is illustrated in FIG. 3.
  • a key for example a symmetric key, is transmitted directly.
  • the production unit Pa receives according to this variant data of the digital twin D2 in encrypted form D2ENC. This is done via the second communication channel Ch2.
  • the associated encrypted data record D2ENC is requested by means of the reference value.
  • the data sets of potential production objects, ie their digital twin data already exist in encrypted form on the production unit Pa and by means of the reference value the subsequent consistency check is carried out.
  • Figure 4 illustrates an alternative to the variant in Fi gur ⁇ 3, wherein a message authentication code MAC2 is transferred over the second communication channel CH2 to the production unit Pa. It is a checksum formed by means of a cryptographic key over the data of the digital twin D2. By means of the cryptographic key K received via the first communication channel Chi, a second message authentication code MAC2 is formed and this is compared with the first message authentication code MAC1. If these match or are consistent with transmission errors, there is consistency between the reference data, including the key material, and the digital twin data, protected by MAC. It can be concluded that the transferred over the first communication channel Chi reference value Rl and the cryptographic key K from the correct, matching the digi tal ⁇ twin workpiece WP were received and have not been tampered.
  • the Be ⁇ calculation should be done at an early, trusted phase. Alternatively, the calculation may be done by appropriately authorized entities at run time.
  • an input value PI or a so-called predefined value is provided via the first communication channel in addition to the reference value R1.
  • a cryptographic check sum yields the result E1 via the input value PI.
  • the input value PI becomes transmitted over the second communication channel CH2 in the communication ⁇ network of the production plant, in particular to a central control unit processor.
  • This calculation ⁇ net earnings El of applying a hash function to the input value PI.
  • the manufacturing unit Pa has over ei ⁇ ner test unit to be able to show their correct input value PI. Due to the one-way nature of the hash function, this is only possible if the input value PI of the production plant was transmitted via the first communication channel. Over the second communication channel of the cor ⁇ rect input value PI is, however, not available. In particular, within the communication network there is only one reference result E2, with which El has to agree, so that the data of the digital twin D2 are likewise transmitted to the production unit Pa via the second communication channel.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Factory Administration (AREA)

Abstract

Die Erfindung betrifft ein Verfahren, ein zugehörigen Computerprogrammprodukt, eine Fertigungseinheit sowie eine Anordnung zur Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes, wobei zwei getrennte Kommunikationskanäle genutzt werden.

Description

Beschreibung
Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Ferti- gungsobj ektes
Die Erfindung betrifft ein Verfahren, ein zugehörigen Computerprogrammprodukt, eine Fertigungseinheit sowie eine Anord¬ nung zur Prüfung einer Konsistenz zwischen Referenzdaten ei- nes Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes, wobei zwei getrennte Kommunikations¬ kanäle genutzt werden.
In modernen Automatisierungsanlagen werden zur Steuerung von Fertigungsprozessen oder einzelnen Produktionsschritten IT- Systeme eingesetzt. Diese IT-Systeme kontrollieren den Ferti- gungsprozess basierend auf einem digitalen Abbild der Ferti¬ gungsanlage oder einem digitalen Abbild eines zu produzierenden Werkstücks. Das digitale Abbild wird auch digitaler Zwil- ling oder Digital Twin genannt. Der digitale Zwilling des Werkstücks wird während der Fertigung mit dem Zustand des Werkstücks synchronisiert. Der Einsatz von IT-Systemen in der Industrieautomatisierung erfordert angepasste Maßnahmen zur Gewährleistung der IT-Sicherheit. IT-Systeme mit deren zu- grundeliegendem Kommunikationsnetzwerk sind oftmals leichter angreifbar. Insbesondere ist die Konsistenz zwischen physischer Welt und virtueller Repräsentation in Form des digitalen Zwillings entscheidend für einen sicheren Produktionsab¬ lauf. Daher sollen Manipulationen an einem Werkstück oder an seinem digitalen Zwilling erkennbar sein.
Es ist allgemein bekannt, eine eindeutige Referenz auf einem Werkstück oder einem Werkstückträger anzubringen, beispielsweise mittels eines passiven Markers wie eines Barcodes oder NFC-Chips . Diese Referenz kann von einer Fertigungsanlage ausgelesen werden und ermöglicht eine eindeutige Zuordnung des Werkstücks bzw. die Zuordnung zu seinem digitalen Zwilling. Es ist überdies bekannt, dass ein Werkstück selbst über IT-Fähigkeiten verfügt und einer Fertigungsanlage aktiv eine Referenz senden kann. Mit diesen Verfahren wird ungesichert eine Referenz des Werkstücks an eine bearbeitende Maschine übermittelt. Sobald ein Auslesen beispielsweise eines RFID- Chips möglich ist, kann eine ungesicherte Übertragung durchgeführt werden, auch durch nicht zu diesem Zweck vorgesehene Lesegeräte, die beispielsweise manipuliert sind. Zudem könnte ein Werkstück einen manipulierten Referenzwert übertragen. Das Vorsehen kryptographischer Verfahren zum Schutz des Referenzwertes erfordert einen aufwändigen Key Management Pro- zess, bei welchem gegebenenfalls durch jedes Werkstück ein¬ zeln Schlüsselmaterial ausgestellt und verwaltet werden muss. Bei einer Vielzahl von Werkstücken innerhalb einer Ferti- gungsanlage ist dieser Prozess komplex und verwaltungsinten¬ siv .
Daher ist es Aufgabe der vorliegenden Erfindung, ein Verfahren, ein Computerprogrammprodukt hierfür, ein Fertigungsob- jekt sowie eine Anordnung bereitzustellen, welche auf einfa¬ che Weise die Sicherheit bei der Verarbeitung von Daten eines digitalen Zwillings eines Fertigungsobjektes erhöhen.
Diese Aufgabe wird durch die Gegenstände der unabhängigen An- sprüche gelöst. Vorteilhafte Ausgestaltungen sind in den ab¬ hängigen Ansprüchen angegeben.
Die Erfindung betrifft ein Verfahren zur Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes, wobei die Referenzdaten über einen ersten Kommunikationskanal und die Daten des digitalen Zwillings über einen zweiten Kommunikationskanal übertragen werden, und wobei eine erste Übertra¬ gung über den ersten Kommunikationskanal an eine physische Verfügbarkeit des Fertigungsobjektes innerhalb einer Ferti¬ gungsanlage gekoppelt ist und eine zweite Übertragung über den zweiten Kommunikationskanal an einen Zugriff auf ein Kommunikationsnetzwerk der Fertigungsanlage gekoppelt ist. Unter einem Fertigungsobjekt wird beispielsweise ein Werk¬ stück oder Werkstückträger verstanden, beispielsweise ein Werkstück, welches in einem Fertigungsprozess bearbeitet wird. Es kann sich um einen Herstellungsschritt innerhalb ei¬ nes Veredelungsprozesses handeln oder um einen Zusammenbau mehrerer Werkstücke zu einem Produkt.
Die Referenzdaten des Fertigungsobjektes enthalten zumindest eine Information, die die Identifikation des Fertigungsobjektes ermöglicht. Beispielsweise ist eine Nummerierung der Fer¬ tigungsobjekte innerhalb einer Fertigungsanlage vorgesehen, welche jedes Werkstück oder jedes Objekt zur Bearbeitung eines Werkstückes eindeutig identifiziert. Die Referenzdaten können dafür einen Referenzwert enthalten, der speziell zu Zwecken der Identifizierung vorgesehen ist.
Auf dem digitalen Zwilling des Fertigungsobjektes ist bei¬ spielsweise der Fertigungsplan hinterlegt, nach welchem der Fertigungsprozess durchgeführt werden soll. Beispielsweise sind Statusinformationen zum Status des Fertigungsobjektes in aktueller Form auf dem Werkstück hinterlegt. Der digitale Zwilling spiegelt die momentan bestehende physische Anordnung in einer Fertigungsanlage oder einen Status einer Fertigungs- anläge, beispielsweise eines Cyber Physical Production Sys¬ tems, kurz CPPS . Dies ermöglicht eine Synchronisation und bi¬ direktionale Wechselwirklung oder Absprache mit der digitalen Welt in einem PLM- oder Engineering System. Der digitale Zwilling enthält beispielsweise Informationen über die Kapa- zitäten oder Umgebungsbedingungen, Produktionsschritte oder Aufgaben innerhalb des Cyber Physical Production Systems. Beispielsweise wird ein Speicherinhalt nach jedem Fertigungs¬ schritt aktualisiert, um den Status anzupassen. Es sind zwei Kommunikationskanäle, ein erster Kommunikations¬ kanal und ein zweiter Kommunikationskanal vorgesehen. Der erste Kommunikationskanal ist an eine physische Verfügbarkeit des Fertigungsobjektes innerhalb einer Fertigungsanlage ge- koppelt. Beispielsweise ist der erste Kommunikationskanal nur aktiv oder nur nutzbar, falls sich das Fertigungsobjekt in einer bestimmten räumlichen Umgebung innerhalb der Fertigungsanlage aufhält. Somit beruht der erste Kommunikationska- nal auf einer physischen Nähe des realen Werkstücks zu einem Wirkungsbereich des Kommunikationspartners. Dabei kann es sich beispielsweise um eine Fertigungseinheit handeln.
Der zweite Kommunikationskanal ist an einen Zugriff auf ein Kommunikationsnetzwerk der Fertigungsanlage gekoppelt. Bei¬ spielsweise kann der zweite Kommunikationskanal nur genutzt werden, falls eine Nutzung oder ein Zugang oder ein Zugriff auf ein IT-System der Fertigungsanlage möglich ist. Insbesondere ist ein solcher zweiter Kommunikationskanal über das Kommunikationsnetzwerk der Fertigungsanlage für eine Ferti¬ gungsanlage während eines Produktionsprozesses dauerhaft ak¬ tiviert und nutzbar. Beispielsweise kann eine Fertigungsein¬ heit mit anderen Fertigungseinheiten der Fertigungsanlage permanent Daten austauschen. Es kann überdies der Zugriff auf das Kommunikationsnetzwerk an eine Authentisierung der Fertigungsanlage gekoppelt sein, so dass nur autorisierte Anfragen Zugriff erhalten. Die Sicherheit beruht also auf Absicherung des Kommunikationsnetzwerkes, beispielsweise durch kryptogra- phische Schlüssel oder Zertifikate. Der erste Kommunikations- kanal ist hingegen beispielsweise nur in vorgegebenen Zeit¬ spannen nutzbar, in welchem sich das Werkstück oder das Fertigungsobjekt beispielsweise nahe genug oder mit einer pas¬ senden Ausrichtung in der Nähe einer Fertigungseinheit befindet. Hier wird also die Sicherheit durch die physische Ver- fügbarkeit des Werkstücks hergestellt.
Auf vorteilhafte Weise werden Daten, die das Fertigungsobjekt betreffen, somit über zwei unabhängige Wege in der Anlage verteilt. Dadurch, dass das Werkstück selbst Informationen tragen kann, kann eine Fertigungsmaschine Daten des physi¬ schen Werkstücks direkt auslesen und überdies Daten des digi¬ talen Zwillings des Werkstücks über den zweiten Kommunikati¬ onskanal beispielsweise aus einem IT-Kommunikationsnetz aus- lesen. Die Verwendung zweier unabhängiger Kommunikationskanäle erhöht die Sicherheit der Daten des digitalen Zwillings, da ein Angreifer für einen erfolgreichen Angriff auf einen Fertigungsschritt zwei unabhängige Kommunikationskanäle gleichzeitig erfolgreich kompromittieren oder manipulieren muss. Beide Kommunikationskanäle sind vorteilhafterweise in einem digitalen Automatisierungssystem ohne notwendige Nachrüstung vorgesehen. Eine IT-Kommunikationsinfrastruktur, wie beispielsweise Profibus oder Industrial Ethernet, kann neben den üblichen Einsatzwecken auch zu Zwecken der Übertragung der Daten des digitalen Zwillings genutzt werden. Der physische Transport des Fertigungsobjektes bewirkt vorteilhafter¬ weise automatisch, dass sich das Fertigungsobjekt gemäß dem Produktionsplan für bestimmte Zeiten in einem Wirkungsbereich einer Fertigungseinheit aufhält. Ein Kommunikationsweg, der auf physischer Nähe beruht, wie beispielsweise optische Kom¬ munikationsverfahren oder Nahfeldkommunikationsverfahren, sind zum Auslesen von Referenzwerten vorgesehen.
Die Konsistenzprüfung zwischen Daten des physischen Werkstücks und Daten, die in einem digitalen Zwilling des Werkstücks gespeichert sind, sichert eine Integrität und/oder Au¬ thentizität einer der beiden Datensätze, sofern dem anderen vertraut werden kann. Somit sind Manipulationen von Daten des digitalen Abbildes im digitalen Zwilling oder Manipulationen am Werkstück oder Werkstückträger detektierbar . Ist einer der beiden Kommunikationskanäle geschützt bzw. das Werkstück oder der digitale Zwilling des Werkstücks geschützt, so kann die Konsistenzprüfung Auskunft über die Integrität des jeweils anderen Kanals oder Datensatzes geben.
Die Konsistenzprüfung erfolgt zu dem Zweck, im Falle einer Inkonsistenz reagieren zu können. Beispielsweise erfolgt ein Ausgeben eines Prüfergebnisses und nur im Falle einer bestä- tigten Konsistenz erfolgt daraufhin ein weiterer Schritt, beispielsweise eine Verarbeitung des Fertigungsobjektes durch die Fertigungseinheit. Beispielsweise ist eine Übertragung der Daten des digitalen Zwillings nur möglich in Fällen, in denen ein Prüfergebnis vorliegt, das die Konsistenz zwischen den Referenzdaten und den Daten des digitalen Zwillings belegt, so dass damit insbesondere auf eine Integrität der Da¬ ten des digitalen Zwillings geschlossen werden kann. Es er- folgt auf vorteilhafte Weise eine Kopplung der Daten des di¬ gitalen Zwillings mit einem spezifischen physikalischen Werkstück .
Gemäß einer Ausgestaltung beruht der erste Kommunikationska- nal auf einer physischen Nähe und ist insbesondere für ein optisches Kommunikationsverfahren oder für ein Nahfeldkommu- nikationsverfahren ausgerichtet. Somit kommt es zu einer Übertragung der Referenzdaten von einem Fertigungsobjekt über den ersten Kommunikationskanal nur, falls beispielsweise der physische Abstand klein genug ist. Beispielsweise wird ein
Nahfeldkommunikationsverfahren wie NFC, kurz für Near-Field- Communication, angewandt, welches für kurze Strecken von wenigen Zentimetern eine Datenübertragung ermöglicht. Somit ist nur in einem begrenzten räumlichen Bereich innerhalb der Fer- tigungsanlage die erfolgreiche Nutzung des ersten Kommunika- tionskanales möglich. Eine Datenübertragung von insbesondere manipulierten Referenzdaten eines anderen oder manipulierten Fertigungsobjektes, welches sich nicht in dem festgelegten räumlichen Gebiet innerhalb der Fertigungsanlage, insbesonde- re in einem Radius um die Fertigungseinheit, befindet, können somit auf vorteilhafte Weise nicht über den ersten Kommunika¬ tionskanal übermittelt werden.
Gemäß einer Ausgestaltung beruht der zweite Kommunikationska- nal auf einer Kommunikationsinfrastruktur, insbesondere auf einer Profibus- oder Industrial Ethernet-Struktur . Somit können klassische Industriekommunikationsnetzwerke genutzt wer¬ den, welche insbesondere eine Kopplung zu einem Büronetzwerk aufweisen können.
Gemäß einer Ausgestaltung wird als Referenzdaten neben einem Referenzwert zusätzlich eine erste Prüfsumme über die Daten des digitalen Zwillings übertragen und es wird eine zweite Prüfsumme über die über den zweiten Kommunikationskanal über¬ tragenen Daten des digitalen Zwillings gebildet und die zwei¬ te Prüfsumme mit der ersten Prüfsumme verglichen und auf Kon¬ sistenz hin geprüft. Insbesondere wird als Referenzwert ein Marker, z.B. in Form einer Seriennummer oder einer ferti- gungsanlageninternen Nummerierung übermittelt. Bei der ersten Prüfsumme über die Daten des digitalen Zwillings handelt es sich beispielsweise um einen Hash-Wert. Es wird eine Hash- Funktion auf die Daten des digitalen Zwillings angewandt und nur die Prüfsumme, aus welcher aufgrund der Eigenschaften von Einwegfunktionen nicht auf die Daten des digitalen Zwillings rückgeschlossen werden kann, sind auf dem Fertigungsobjekt hinterlegt. Beispielsweise werden der Referenzwert sowie die erste Prüfsumme der Daten des digitalen Zwillings von einem Prozessor einer Fertigungsanlage verarbeitet. In einer Vari¬ ante ist der Referenzwert Bestandteil der Prüfsumme, das heißt es erfolgt eine PrüfSummenbildung über einen Datensatz aus den Daten des digitalen Zwillings verknüpft oder
konkateniert mit dem Referenzwert.
Auf Basis der Referenz werden die Daten des digitalen Zwillings über den zweiten Kommunikationskanal angefordert. Bei¬ spielsweise sind diese auf einer zentralen Steuerungskompo¬ nente in einem Speicher hinterlegt. Beispielsweise führt der Prozessor auf Grundlage der über den zweiten Kommunikations¬ kanal, z.B. über ein Industrial Ethernet-System, empfangenen Daten des digitalen Zwillings eine PrüfSummenbildung durch. Somit wird der Hash-Wert der Daten des digitalen Zwillings gebildet. Es handelt sich dabei um die zweite Prüfsumme. Die- se beruht auf der Sicherheit des zweiten Kommunikationskana- les bzw. der Unversehrtheit des Speichers. Es erfolgt ein Ab¬ gleich der beiden Prüfsummen. Sind diese beiden weitgehend identisch, beispielsweise nach Beachtung möglicher auftretender Übertragungsfehler, so liegt eine Konsistenz zwischen den Referenzdaten des Fertigungsobjektes und den Daten des digi¬ talen Zwillings des Fertigungsobjektes vor. Es kann mit er¬ höhter Sicherheit davon ausgegangen werden, dass weder das Fertigungsobjekt selbst noch der digitale Zwilling manipu- liert wurde. Somit ermöglicht das Verfahren einen Integri¬ tätsschutz der Daten des digitalen Zwillings.
Gemäß einer Ausgestaltung werden als Referenzdaten neben ei- nem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen. Die Daten des digitalen Zwillings werden mit dem symmetrischen Schlüssel in verschlüsselter Form gespeichert und sind mit dem symmetrischen Schlüssel entschlüsselbar. Beispielsweise sind durch einen Prozessor einer Fertigungsma¬ schine der Referenzwert und der Schlüssel oder die Schlüssel¬ informationen über den ersten Kommunikationskanal empfangbar, sobald das Werkstück sich im Wirkungsbereich der Fertigungsmaschine befindet. Die Daten des digitalen Zwillings werden in verschlüsselter Form über den zweiten Kommunikationskanal von einem Speicher übertragen.
Nur falls das korrekte Schlüsselmaterial auf der Fertigungs¬ maschine vorliegt, können die Daten des digitalen Zwillings entschlüsselt werden. Ein Angreifer, welcher die Daten des digitalen Zwillings manipulieren möchte, müsste Kenntnis über den symmetrischen Schlüssel haben, um innerhalb des Kommunikationsnetzwerkes die Daten des digitalen Zwillings in unver¬ schlüsselter Form verfügbar zu haben und dann gegebenenfalls zu manipulieren. Ein Austausch von verschlüsselten Daten durch einen Angreifer und eine Übertragung der manipulierten Daten kann beispielsweise unter Verwendung zusätzlicher Maßnahmen, beispielsweise vorteilhaft bei Verwendung von
authenticated encryption, auffallen.
Überdies wird durch die vorgeschlagene Ausführungsform auf vorteilhafte Weise ein Auslesen der Daten des digitalen Zwillings auf Seiten des Kommunikationsnetzwerkes verhindert. Die Daten liegen zu keiner Zeit in unverschlüsselter Form vor. Beispielsweise liegen die Daten in unverschlüsselter Form erst auf der Fertigungseinheit vor und auch erst, nachdem der symmetrische Schlüssel über den ersten Kommunikationskanal ermittelt werden konnte. Vertrauliche Daten im digitalen Zwilling sind auf vorteilhafte Weise erst lesbar, wenn eine Fertigungseinheit oder Maschine physischen Zugriff auf das Werkstück hat. Ebenso kann die Fertigungseinheit selbst erst dann Zugriff auf die Daten des Zwillings in unverschlüsselter Form bekommen und diese verarbeiten, wenn sie physischen Zugriff auf das Werkstück hat. Insbesondere können auf vorteil¬ hafte Weise vertrauliche Prozessanweisungen innerhalb der Da¬ ten des digitalen Zwillings verschlüsselt werden. Weniger kritische Daten können unverschlüsselt vorliegen, um den Re- chenaufwand zu reduzieren. Eine Schlüsselvereinbarung oder das Verteilen des Schlüsselmaterials kann beispielsweise in einer vertraulichen Umgebung während einer Initialisierungsphase vorgenommen werden. Gemäß einer Ausgestaltung werden als Referenzdaten neben einem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen. Neben den Daten des digitalen Zwillings wird zusätzlich ein erster Nachrichtenauthentifizierungscode über die Daten des digitalen Zwillings übertragen und ein zweiter Nachrichtenauthentifizierungscode über die über den zweiten Kommunikationskanal übertragenen Daten des digitalen Zwillings mittels des symmetrischen Schlüssels gebildet. Der ers¬ te Nachrichtenauthentifizierungscode wird mit dem zweiten Nachrichtenauthentifizierungscode verglichen und auf Konsis¬ tenz hin geprüft. In diesem Szenario liegen zwar die Daten des digitalen Zwillings auch in unverschlüsselter Form innerhalb des Kommunikationsnetzwerkes vor, dafür entfällt ein Entschlüsselungsalgorithmus beispielsweise auf einem Prozes- sor der Fertigungseinheit und es kann sattdessen eine einfa¬ che Bildung eines Nachrichtenauthentifizierungscodes, bei¬ spielsweise eines Message Authentication Codes, kurz MAC ge¬ nannt, durchgeführt werden. Es können auch sogenannte keyed- Hash-Funktionen verwendet werden, die eine Prüfsumme unter Einbeziehung des symmetrischen Schlüssels bilden.
Auf vorteilhafte Weise wird ein Integritätsschutz der Daten des digitalen Zwillings mittels der MAC-Prüfsumme oder der keyed-Hash-Prüfsumme ermöglicht. Es ist so sichergestellt, dass die Daten des digitalen Zwillings nach einer initialen Hinterlegung der Prüfsumme, beispielsweise auf dem Speicher, auf den das Kommunikationsnetzwerk zugreift, nicht verändert oder manipuliert wurden bzw. Veränderungen der Daten im digitalen Zwilling nur durch autorisierte Entitäten erfolgte, die den zugehörigen Schlüssel kennen. Da zunächst ein erfolgrei¬ cher Abgleich zwischen dem ersten Nachrichtenauthentifizie- rungscode und dem zweiten Nachrichtenauthentifizierungscode erfolgen muss, bevor beispielsweise eine Weiterverarbeitung der Daten des digitalen Zwillings möglich ist, ist zugleich sichergestellt, dass auch die Übertragung über den ersten Kommunikationskanal, welche das Schlüsselmaterial bereit¬ stellt, erfolgreich durchgeführt werden konnte. Da über das physische Werkstück und den ersten Kommunikationskanal also der passende Schlüssel oder das passende Schlüsselmaterial geliefert werden muss, um einen mit dem ersten Nachrichtenau¬ thentifizierungscode übereinstimmende zweiten Nachrichtenau¬ thentifizierungscode ermitteln zu können, wird die Authenti- zität des Fertigungsobjektes nachgewiesen. Eine erfolgreiche Konsistenzprüfung kann wiederum Voraussetzung für weitere Fertigungsschritte oder Freigaben oder Zugriffserlaubnis im Fertigungsverfahren sein. Die Mechanismen zum Schutz der Vertraulichkeit und der Si¬ cherstellung der Integrität bzw. Authentizität können vorteilhaft kombiniert werden.
Gemäß einer Ausgestaltung sind die Informationen als Start- wert ausgebildet und geeignet zur Generierung des symmetri¬ schen Schlüssels mittels einer Schlüsselableitungsfunktion. Es wird also entweder direkt ein symmetrischer Schlüssel oder ein Input für eine Schlüsselableitung ergänzt. Beispielsweise werden zur Schlüsselableitung sogenannte Key Derivation
Functions verwendet.
Gemäß einer Weiterbildung werden ein fertigungsobj ektspezifi- scher Schlüssel oder fertigungsobj ektspezifische Informatio- nen durch Einbeziehen fertigungsobj ektspezifischer Merkmale in eine Schlüsselableitungsfunktion bereitgestellt, wobei die fertigungsobj ektspezifischen Merkmale insbesondere mittels des Referenzwertes oder mittels einer physikalisch
unklonbaren Funktion erzeugt werden. Somit kann ein je Fertigungsobjekt oder Werkstück individueller Schlüssel generiert werden oder übertragen werden. Somit sind die Daten des digitalen Zwillings nur entschlüsselbar oder eine MAC Prüfsumme darüber nur verifizierbar, falls der fertigungsobj ektspezi- fisch passende Schlüssel mit Hilfe des ersten Kommunikations¬ kanals verfügbar gemacht wurde. Beispielsweise kann eine op¬ tische physisch unklonbare Funktion, kurz PUF, eingesetzt werden, die die individuelle Oberflächenstruktur eines Werkstücks erfasst. So sind Daten des digitalen Zwillings auf vorteilhafte Weise nur entschlüsselbar, falls von dem passenden Fertigungsobjekt, das über die physikalisch unklonbare Funktion eindeutig charakterisiert ist, die Referenzdaten er¬ folgreich über den ersten Kommunikationskanal übertragen wurden .
Gemäß einer Ausgestaltung wird als Referenzdaten neben einem Referenzwert zusätzlich ein Eingangswert einer Einwegfunktion übertragen und die Daten des digitalen Zwillings über den zweiten Kommunikationskanal übertragen, falls ein Ergebnis- wert der Einwegfunktion über den Eingangswert mit einem gespeicherten Ergebniswert übereinstimmt. Es soll beispielswei¬ se gelten, dass ein Ergebniswert E durch das Anwenden einer Hash-Funktion auf einen Eingangswert P erhältlich ist. Den Referenzdaten wird der Eingangswert P beigefügt. Ein Zugriff auf die Daten des digitalen Zwillings über den zweiten Kommunikationskanal soll nur möglich sein, wenn eine Hash-Wert- bildung des passenden Ergebniswertes E mittels Anwendens der Hash-Funktion auf den korrekten Eingangswert P nachgewiesen werden kann. Dieser Nachweis erfolgt auf vorteilhafte Weise vor Übertragung der Daten des digitalen Zwillings, so dass die Kenntnis des Eingangswertes als Autorisierungsmerkmal ge¬ nutzt wird. Alternativ kann eine Prüfung im Nachhinein erfolgen und beispielsweise eine Alarmmeldung bewirken. Dafür liegt an geeigneter Stelle ein gespeicherter korrekter Ergebniswert vor. Insbesondere ist der korrekte Ergebniswert E Be¬ standteil der Daten des digitalen Zwillings. Es wird die Kon¬ sistenz zwischen den Referenzdaten inklusive Eingangswert P und den Daten des digitalen Zwillings inklusive Ergebniswert E geprüft. Wiederum ist ein Zugriff auf die Daten des digita¬ len Zwillings durch eine Fertigungseinheit nur möglich, falls auch die physische Nähe zu dem Fertigungsobjekt besteht, da Kenntnis über den Eingangswert P erlangt werden muss. Außer- dem kann je nach Ausgestaltung des Eingangswertes eine Manipulation der Daten auf dem Werkstück oder Fertigungsobjekt oder des Fertigungsobjektes selbst erkennbar sein, da dann der korrekte Eingangswert in der Regel nicht vorliegen wird. Für Fälle, in denen der korrekte Eingangswert trotz Manipula- tion der Daten oder des Werkstücks vorliegt, kann zusätzlich ein Abgleich der Daten mit den Referenzdaten erfolgen, um eine Abweichung und so eine Manipulation erkennen zu können.
Die Konsistenzprüfung kann je nach Ausgestaltung ein direktes Abgleichen zweier Datensätze, insbesondere zweier Prüfsummen, beinhalten oder eine Plausibilitätsprüfung eines Referenzwertes, der aus entschlüsselten Referenzdaten gewonnen wird, oder eine Prüfung auf Übereinstimmung zweier verwendeter Schlüssel oder eine Abfrage eines Geheimnisses.
Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des oben beschriebenen Verfahrens aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung ge- bracht wird.
Ein Computerprogrammprodukt, wie beispielsweise ein Computer¬ programmmittel, kann beispielsweise als Speichermedium, wie beispielsweise Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in ein Netzwerk bereitgestellt oder geliefert werden. Dies kann z.B. in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerpro- grammprodukt oder dem Computerprogrammmittel erfolgen. Als programmgesteuerte Einrichtung kommt insbesondere eine Steu¬ ereinrichtung, wie z.B. ein Mikroprozessor, in Frage. Die Erfindung betrifft ferner eine Fertigungseinheit aufwei¬ send eine erste Schnittstelle zu einem Fertigungsobjekt, wo¬ bei über die erste Schnittstelle Referenzdaten des Ferti¬ gungsobjektes empfangbar sind, wobei eine erste Übertragung der Referenzdaten an eine physische Nähe zwischen Fertigungs- einheit und Fertigungsobjekt gekoppelt ist, sowie eine zweite Schnittstelle zu einem Kommunikationsnetzwerk einer Fertigungsanlage, wobei über die zweite Schnittstelle Daten eines digitalen Zwillings des Fertigungsobjektes empfangbar sind, wobei eine zweite Übertragung der Daten des digitalen Zwil- lings an einen Zugriff auf das Kommunikationsnetzwerk gekoppelt ist, sowie eine Prüfeinheit zum Prüfen einer Konsistenz zwischen Referenzdaten des Fertigungsobjektes und den Daten des digitalen Zwillings des Fertigungsobjektes. Die Erfindung betrifft ferner eine Anordnung aus Fertigungs¬ objekt, Fertigungseinheit, Speichereinheit und Prozessor mit einem ersten Kommunikationskanal zwischen Fertigungsobjekt und Fertigungseinheit beruhend auf einer physischen Nähe zwi¬ schen Fertigungseinheit und Fertigungsobjekt zur Übertragung von Referenzdaten des Fertigungsobjektes und mit einem zwei¬ ten Kommunikationskanal eines Kommunikationsnetzwerkes zwi¬ schen Fertigungseinheit und Speichereinheit zur Übertragung von Daten eines digitalen Zwilling des Fertigungsobjektes, wobei der Prozessor geeignet ist zur Prüfung einer Konsistenz zwischen den Referenzdaten und den Daten des digitalen Zwillings .
Gemäß einer Ausgestaltung ist der Prozessor in die Fertigungseinheit integriert oder wird durch einen Cloud-Service bereitgestellt oder ist in eine Steuerungseinheit einer Fer¬ tigungsanlage integriert, insbesondere gemeinsam mit der Speichereinheit . Die Erfindung wird nachfolgend anhand eines Ausführungsbei¬ spiels mit Hilfe der Figuren näher erläutert. Es zeigen:
Figur 1 schematische Darstellung eines Werkstückes beim
Durchlaufen eines Ausschnittes einer Fertigungs¬ straße gemäß dem Ausführungsbeispiel der Erfin¬ dung;
Figur 2 schematische Darstellung der Kommunikations- schritte gemäß einer ersten Variante des Ausfüh¬ rungsbeispiels;
Figur 3 schematische Darstellung der Kommunikations¬ schritte gemäß einer zweiten Variante des Ausfüh- rungsbeispiels ;
Figur 4 schematische Darstellung der Kommunikations¬ schritte gemäß einer dritten Variante des Ausfüh¬ rungsbeispiels;
Figur 5 schematische Darstellung der Kommunikations¬ schritte gemäß einer vierten Variante des Ausfüh¬ rungsbeispiels .
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist
In Figur 1 ist schematisch das Durchlaufen mehrerer Fertigungsschritte durch ein Werkstück in einer automatisierten Fertigungsanlage gezeigt. Es handelt sich beispielsweise um eine Fertigungsstraße, bei welcher ein Werkstück WP je Ferti¬ gungseinheit Pa, Pb einen oder mehrere Produktionsschritte durchläuft. Beispielsweise handelt es sich um das Zusammen¬ bauen mehrerer Komponenten oder um ein Veredeln des Werk- Stücks, oder ein Beschichten, oder um ein Umlagern auf einem Werkstückträger. Das Werkstück WP wird dabei beispielsweise mit Hilfe eines Förderbandes C in den Wirkungsbereich ver¬ schiedener Fertigungseinheiten Pa, Pb transportiert. Bei- spielsweise wird durch eine erste Fertigungseinheit Pa die Oberfläche des Werkstückes WP bearbeitet. Es handelt sich beispielsweise um eine Schleifmaschine. Bei der darauffolgen¬ den Fertigungseinheit Pb handelt es sich beispielsweise um eine Maschine zum Auftragen einer Beschichtung oder zum Anbringen von Hilfsmitteln, wie Schrauben oder ähnlichem. Das Werkstück WP weist einen Speicher auf, welcher einen Referenzdatensatz Dl speichern kann. Es kann sich dabei beispielsweise um einen Barcode oder NFC-Chip handeln. Bei- spielsweise ist ein passiver Marker vorgesehen, bei welchem eine Energieversorgung von außen über eine Antenne erfolgt. Sobald dieser Chip in die Nähe eines Lesers der ersten Ferti¬ gungseinheit Pa gelangt, kann der erste Kommunikationskanal Chi zwischen Werkstück WP und Fertigungseinheit Pa benutzt werden. Über diesen ersten Kommunikationskanal Chi, der also auf der Nähe des Werkstücks WP zu einer ersten Schnittstelle IF1 beruht, wird ein Referenzwert übertragen, welcher das Werkstück WP identifiziert. Der Referenzwert ist Teil des Re¬ ferenzdatensatzes Dl.
Über eine zweite Schnittstelle IF2 kann die Fertigungseinheit Pa den zweiten Kommunikationskanal nutzen. Insbesondere wird ein IT-Kommunikationsnetzwerk genutzt, über welches der Fertigungseinheit Pa Daten des digitalen Zwillings D2 des Werk- Stückes WP übermittelt werden. Das IT-Kommunikationsnetzwerk kann ferner zum Datenverkehr der verschiedenen Fertigungseinheiten Pa, Pb einer Fertigungsanlage untereinander sowie von Fertigungseinheiten mit Steuereinheiten vorgesehen sein. Insbesondere greift die Fertigungseinheit Pa über den zweiten Kommunikationskanal Ch2 auf Daten aus einem Speicher M eines Steuerungsrechners zu. Die Konsistenzprüfung erfolgt insbe¬ sondere auf einem auf der Fertigungseinheit vorgesehenen Pro¬ zessor oder auf einer separaten Einheit, die zugleich einen Zugriff der Fertigungseinheit auf Daten über den zweiten Kom- munikationskanal Ch2 nur in Abhängigkeit vom Ergebnis der Konsistenzprüfung freigibt. Figur 2 zeigt zu einer ersten Variante des Ausführungsbei¬ spiels eine schematische Darstellung der über die verschiede¬ nen Kommunikationskanäle übertragenen Daten. Die Reihenfolge der Datenübertragungsschritte ist jeweils von oben nach unten aufzufassen. Zunächst wird beispielsweise gemäß der ersten Variante als Referenzdatensatz Dl der Referenzwert Rl sowie eine Prüfsumme Hl über die Daten des digitalen Zwillings übertragen. Es handelt sich beispielsweise bei der Prüfsumme Hl um den Hash-Wert der Daten des digitalen Zwillings. Somit sind auf dem Werkstück WP die Daten des digitalen Zwillings
D2 des Werkstücks WP, welche einen Fertigungsplan oder Konfigurationsparameter oder ähnliches enthalten, nicht in direkt zugänglicher Weise gespeichert, sondern lediglich durch eine Prüfsumme geschützt hinterlegt.
Die Fertigungseinheit Pa, welche das Werkstück WP beispiels¬ weise auf Grundlage der Daten des digitalen Zwillings D2 wei¬ terverarbeiten soll, verwendet den Referenzwert Rl, um über einen zweiten Kommunikationskanal Ch2 beispielsweise von ei- ner zentralen Steuerungseinheit oder einem Cloud-Service die Daten des digitalen Zwillings D2, die dort auf einem Speicher M hinterlegt sind, anzufordern. Die Daten des digitalen Zwillings D2 werden der Fertigungseinheit bereitgestellt und die¬ se bildet auf Basis der digitalen Daten D2 eine zweite Prüf- summe H2. Unter Anwendung der gleichen Funktion für die Prüfsummenberechnung wie bei der Berechnung der ersten Prüfsumme Hl sollte so ein identischer Wert bei der Prüfsummenberech- nung ermittelt werden, so dass sich H1=H2 ergibt. Dann be¬ steht eine Konsistenz zwischen den Referenzdaten Dl und den Daten des digitalen Zwillings D2 und es kann eine Authentizität der über das IT-Kommunikationsnetzwerk erhaltenen angenommen werden. Ergibt sich eine abweichende Prüfsumme, so kann auf eine Veränderung der Daten des digitalen Zwillings D2 oder eine Veränderung der ersten Prüfsumme Hl oder eine fehlerhafte Referenz Rl geschlossen werden. In jedem Fall ist von einer Integrität der Daten des digitalen Zwillings nicht ohne weiteres auszugehen. Je nach Wahrscheinlichkeit für Schwachstellen können nun Fehlerquellen oder Manipulationsangriffe auf die Fertigungsanla¬ ge gesucht werden. Insbesondere werden auf vorteilhafte Weise Angriffe erkannt, welche eine Manipulation der Daten des di- gitalen Zwillings D2 bewirken. Ebenso wird ein Austausch des Werkstücks WP oder eine Manipulation des Werkstücks WP er¬ kannt, sofern die eindeutige Referenz nicht mehr zum digita¬ len Zwilling passt oder die Prüfsumme Hl zur Sicherung der digitalen Daten des Zwillings D2 ausgetauscht oder verändert wurde.
Gemäß einer zweiten Variante übermittelt das Werkstück WP mit dem Referenzdatensatz Dl einen Referenzwert Rl sowie krypto- graphisches Schlüsselmaterial K. Diese Variante ist in Figur 3 veranschaulicht. Es wird insbesondere direkt ein Schlüssel, beispielsweise ein symmetrischer Schlüssel, übermittelt. Die Fertigungseinheit Pa erhält gemäß dieser Variante Daten des digitalen Zwillings D2 in verschlüsselter Form D2ENC. Dies geschieht über den zweiten Kommunikationskanal Ch2. Somit werden gemäß dieser Variante zu keinem Zeitpunkt Daten des digitalen Zwillings D2 in unverschlüsselter Form auf einem der Kommunikationskanäle der Fertigungsanlage übermittelt. Insbesondere wird mittels des Referenzwertes der dazugehörige verschlüsselte Datensatz D2ENC angefordert. Alternativ sind insbesondere die Datensätze von potentiellen Fertigungsobjekten, d.h. deren Digital-Twin-Daten, in verschlüsselter Form bereits auf der Fertigungseinheit Pa vorhanden und mittels des Referenzwertes wird die spätere Konsistenzprüfung durch¬ geführt .
Es wird nun von der Fertigungseinheit Pa bzw. einem darauf befindlichen Prozessor ein Entschlüsselungsalgorithmus ange¬ wandt, um aus den entschlüsselten Daten D2ENC des digitalen Zwillings unter Anwendung des kryptographischen Schlüssels K die Daten des digitalen Zwillings D2 in unverschlüsselter Form zu erhalten. Ist die Entschlüsselung erfolgreich, was beispielsweise mittels des Referenzwertes Rl geprüft werden kann, so erfolgt eine Weiterverarbeitung der entschlüsselten Daten des digitalen Zwillings D2. Andernfalls wird beispiels¬ weise eine Alarmmeldung von der Fertigungseinheit Pa ausgege¬ ben, um eine Manipulation der auf dem Speicher M gespeicherten verschlüsselten Daten D2ENC des digitalen Zwillings oder eine Manipulation des Werkstückes WP zu melden.
Figur 4 veranschaulicht eine Alternative zur Variante in Fi¬ gur 3, bei welcher ein Message Authentication Code MAC2 über den zweiten Kommunikationskanal Ch2 an die Fertigungseinheit Pa übertragen wird. Es handelt sich um eine mittels eines kryptographischen Schlüssels gebildete Prüfsumme über die Da¬ ten des digitalen Zwillings D2. Mittels des über den ersten Kommunikationskanal Chi empfangenen kryptographischen Schlüssel K wird ein zweiter Message Authentication Code MAC2 ge- bildet und dieser wird mit dem ersten Message Authentication Code MAC1 verglichen. Stimmen diese überein oder bis auf Übertragungsfehler überein, so liegt eine Konsistenz zwischen den Referenzdaten, inklusive des Schlüsselmaterials, und den Daten des digitalen Zwillings, mittels MAC geschützt, vor. Es kann daraus geschlossen werden, dass der über den ersten Kommunikationskanal Chi übertragene Referenzwert Rl sowie der kryptographische Schlüssel K von dem korrekten, zu dem digi¬ talen Zwilling passenden Werkstück WP übermittelt wurden und nicht manipuliert wurden. Außerdem kann so sichergestellt werden, dass die Daten des digitalen Zwillings D2, welche beispielsweise auf einem Cloud-Server in unverschlüsselter Form gespeichert sind, seit Berechnen des Message Authentica¬ tion Codes MAC1 nicht verändert wurden. Daher sollte die Be¬ rechnung in einer frühen, vertrauenswürdigen Phase erfolgen. Alternativ kann die Berechnung durch entsprechend autorisierte Entitäten zur Laufzeit erfolgen.
Bei einer vierten Variante, welche in Figur 5 veranschaulicht ist, wird über den ersten Kommunikationskanal neben dem Refe- renzwert Rl ein Eingangswert PI oder ein sogenanntes Pre-
Image übertragen. Es gilt, dass eine kryptographische Prüf- summe, beispielsweise eine Hash-Funktion, über den Eingangs¬ wert PI das Ergebnis El liefert. Der Eingangswert PI wird über den zweiten Kommunikationskanal Ch2 im Kommunikations¬ netzwerk der Fertigungsanlage übermittelt, insbesondere an eine zentrale Steuerungseinheit mit Prozessor. Diese berech¬ net das Ergebnis El des Anwendens einer Hash-Funktion auf den Eingangswert PI. Die Fertigungseinheit Pa muss gegenüber ei¬ ner Prüfeinheit in der Lage sein, den korrekten Eingangswert PI vorzuweisen. Aufgrund der Einwegeigenschaft der Hash- Funktion ist dies nur möglich, wenn der Eingangswert PI der Fertigungsanlage über den ersten Kommunikationskanal übermit- telt wurde. Über den zweiten Kommunikationskanal ist der kor¬ rekte Eingangswert PI hingegen nicht erhältlich. Insbesondere liegt innerhalb des Kommunikationsnetzwerkes lediglich ein Referenzergebnis E2 vor, mit welchem El übereinstimmen muss, damit die Daten des digitalen Zwillings D2 ebenfalls über den zweiten Kommunikationskanal auf die Fertigungseinheit Pa übertragen werden.
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und ande¬ re Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zur Prüfung einer Konsistenz zwischen Referenzdaten (Dl) eines Fertigungsobjektes (WP) und Daten eines di- gitalen Zwillings (D2) des Fertigungsobjektes (WP) , wobei die Referenzdaten (Dl) über einen ersten Kommunikationskanal (Chi) und die Daten des digitalen Zwillings (D2) über einen zweiten Kommunikationskanal (Ch2) übertragen werden, und wobei eine erste Übertragung über den ersten Kommunikationska- nal (Chi) an eine physische Verfügbarkeit des Fertigungsob¬ jektes (WP) innerhalb einer Fertigungsanlage gekoppelt ist und eine zweite Übertragung über den zweiten Kommunikations¬ kanal (Ch2) an einen Zugriff auf ein Kommunikationsnetzwerk der Fertigungsanlage gekoppelt ist.
2. Verfahren nach Anspruch 1, wobei der erste Kommunikationskanal (Chi) auf einer physischen Nähe beruht und insbesondere für ein optisches Kommunikationsverfahren oder für Nahfeld- Kommunikationsverfahren ausgerichtet ist.
3. Verfahren nach Anspruch 1 oder 2, wobei der zweite Kommunikationskanal (Ch2) auf einer Kommunikationsinfrastruktur beruht, insbesondere auf einer Profibus oder Industrial
Ethernet-Struktur .
4. Verfahren nach einem der vorstehenden Ansprüche, wobei als Referenzdaten (Dl) neben einem Referenzwert zusätzlich eine erste Prüfsumme über die Daten des digitalen Zwillings (D2) übertragen wird und wobei eine zweite Prüfsumme über die über den zweiten Kommunikationskanal (Ch2) übertragenen Daten des digitalen Zwillings (D2) gebildet wird und die zweite Prüf¬ summe mit der ersten Prüfsumme verglichen und auf Konsistenz hin geprüft wird.
5. Verfahren nach einem der vorstehenden Ansprüche, wobei als Referenzdaten (Dl) neben einem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen werden und wobei die Daten des digitalen Zwillings (D2) in mit dem symmetrischen Schlüssel verschlüsselter Form gespeichert werden und mit dem symmetrischen Schlüssel entschlüsselbar sind.
6. Verfahren nach einem der vorstehenden Ansprüche, wobei als Referenzdaten (Dl) neben einem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen wird und wobei ne¬ ben den Daten des digitalen Zwillings (D2) zusätzlich ein erster Nachrichtenauthentifizierungscode über die Daten des digitalen Zwillings (D2) übertragen wird und wobei ein zwei¬ ter Nachrichtenauthentifizierungscode über die über den zwei¬ ten Kommunikationskanal (Ch2) übertragenen Daten des digita¬ len Zwillings (D2) mittels des symmetrischen Schlüssels ge- bildet wird und der erste Nachrichtenauthentifizierungscode mit dem zweiten Nachrichtenauthentifizierungscode verglichen und auf Konsistenz hin geprüft wird.
7. Verfahren nach Anspruch 5 oder 6, wobei die Informationen als Startwert ausgebildet sind geeignet zur Generierung des symmetrischen Schlüssels mittels einer Schlüsselableitungs¬ funktion .
8. Verfahren nach einem der Ansprüche 5 bis 7, wobei ein fer- tigungsobj ektspezifischer Schlüssel oder fertigungsobj ektspe- zifische Informationen durch Einbeziehen fertigungsobj ektspe- zifischer Merkmale in eine Schlüsselableitungsfunktion bereitgestellt werden, wobei die fertigungsobj ektspezifischen Merkmale insbesondere mittels des Referenzwertes oder mittels einer physikalisch unklonbaren Funktion erzeugt werden.
9. Verfahren nach einem der vorstehenden Ansprüche, wobei als Referenzdaten (Dl) neben einem Referenzwert zusätzlich ein Eingangswert einer Einwegfunktion übertragen wird und wobei die Daten des digitalen Zwillings (D2) über den zweiten Kommunikationskanal (Ch2) übertragen werden, falls ein Ergebnis¬ wert der Einwegfunktion über den Eingangswert mit einem gespeicherten Ergebniswert übereinstimmt.
10. Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9 aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung gebracht wird.
11. Fertigungseinheit (Pa) aufweisend
- eine erste Schnittstelle (IF1) zu einem Fertigungsobjekt (WP) , wobei über die erste Schnittstelle (IF1) Referenzdaten (Dl) des Fertigungsobjektes empfangbar sind, wobei eine erste Übertragung der Referenzdaten (Dl) an eine physische Nähe zwischen Fertigungseinheit (Pa) und Fertigungsobjekt (WP) ge¬ koppelt ist, sowie - eine zweite Schnittstelle (IF2) zu einem Kommunikations¬ netzwerk einer Fertigungsanlage, wobei über die zweite
Schnittstelle (IF2) Daten eines digitalen Zwillings (D2) des Fertigungsobjektes (WP) empfangbar sind, wobei eine zweite Übertragung der Daten des digitalen Zwillings (D2) an einen Zugriff auf das Kommunikationsnetzwerk gekoppelt ist, sowie eine Prüfeinheit zum Prüfen einer Konsistenz zwischen Referenzdaten (Dl) des Fertigungsobjektes (WP) und den Daten des digitalen Zwillings (D2) des Fertigungsobjektes (WP) .
12. Fertigungseinheit nach Anspruch 11, wobei als Prüfeinheit ein Prozessor vorgesehen ist und der Prozessor in die Fertigungseinheit (Pa) integriert ist oder durch einen Cloud- Service bereitgestellt wird oder in eine Steuerungseinheit der Fertigungsanlage integriert ist, insbesondere gemeinsam mit einer Speichereinheit (M) zur Speicherung der Daten des digitalen Zwillings (D2).
13. Anordnung aus Fertigungsobjekt (WP) , Fertigungseinheit (Pa) , Speichereinheit (M) und Prozessor, mit einem ersten Kommunikationskanal (Chi) zwischen Fertigungsobjekt (WP) und Fertigungseinheit (Pa) beruhend auf einer physischen Nähe zwischen Fertigungseinheit (Pa) und Fertigungsobjekt (WP) zur Übertragung von Referenzdaten (Dl) des Fertigungsobjektes (WP) und mit einem zweiten Kommunikationskanal (Ch2) eines Kommunikationsnetzwerkes zwischen Fertigungseinheit (Pa) und Speichereinheit (M) zur Übertragung von Daten eines digitalen Zwillings (D2) des Fertigungsobjektes (WP) , wobei der Prozes- sor geeignet ist zur Prüfung einer Konsistenz zwischen den Referenzdaten (Dl) und den Daten des digitalen Zwillings (D2) .
14. Anordnung nach Anspruch 13, wobei der Prozessor in die Fertigungseinheit (Pa) integriert ist oder durch einen Cloud- Service bereitgestellt wird oder in eine Steuerungseinheit einer Fertigungsanlage integriert ist, insbesondere gemeinsam mit der Speichereinheit (M) .
PCT/EP2016/064785 2015-09-17 2016-06-27 Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes Ceased WO2017045789A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US15/750,538 US10999293B2 (en) 2015-09-17 2016-06-27 Examining a consistency between reference data of a production object and data of a digital twin of the production object
CN201680054046.9A CN108141437B (zh) 2015-09-17 2016-06-27 对生产对象的参考数据和生产对象的数字双胞胎的数据之间的一致性的检查
EP16741872.2A EP3295646B1 (de) 2015-09-17 2016-06-27 Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015217855.2A DE102015217855A1 (de) 2015-09-17 2015-09-17 Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes
DE102015217855.2 2015-09-17

Publications (1)

Publication Number Publication Date
WO2017045789A1 true WO2017045789A1 (de) 2017-03-23

Family

ID=56511537

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/064785 Ceased WO2017045789A1 (de) 2015-09-17 2016-06-27 Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes

Country Status (5)

Country Link
US (1) US10999293B2 (de)
EP (1) EP3295646B1 (de)
CN (1) CN108141437B (de)
DE (1) DE102015217855A1 (de)
WO (1) WO2017045789A1 (de)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109270899A (zh) * 2018-09-03 2019-01-25 江苏科技大学 一种基于数字孪生的船用柴油机关重件制造过程管控方法
EP3435272A1 (de) 2017-07-27 2019-01-30 Siemens Aktiengesellschaft Verfahren und vorrichtung zur identifikation eines additiv gefertigten werkstücks
CN110462652A (zh) * 2017-03-31 2019-11-15 西门子股份公司 用于计算机辅助地提供安全性受保护的数字孪生的方法和装置
CN110941251A (zh) * 2019-12-25 2020-03-31 南方科技大学 基于数字孪生体的生产控制方法、装置、设备及介质
US10974851B2 (en) 2018-11-09 2021-04-13 Textron Innovations Inc. System and method for maintaining and configuring rotorcraft
CN115168315A (zh) * 2021-04-01 2022-10-11 即云天下(北京)数据科技有限公司 一种数据互联网方法及系统
US11487913B2 (en) 2017-12-14 2022-11-01 Inventio Ag Method and device for commissioning a passenger-transportation installation to be manufactured, by creation of a digital replica
US11577937B2 (en) 2017-12-14 2023-02-14 Inventio Ag Method and apparatus for monitoring a state of a passenger transport system by using a digital double
US12045027B2 (en) 2017-10-23 2024-07-23 Siemens Aktiengesellschaft Method and control system for controlling and/or monitoring devices

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012206272A1 (de) * 2012-04-17 2013-10-17 Beckhoff Automation Gmbh Feldbus-Datenübertragung
DE102015217855A1 (de) 2015-09-17 2017-03-23 Siemens Aktiengesellschaft Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes
GB2560274C (en) 2016-02-23 2022-06-15 Nchain Holdings Ltd Personal device security using elliptic curve cryptography for secret sharing
EP3704606A1 (de) 2017-11-02 2020-09-09 Nchain Holdings Limited Computerimplementierte systeme und verfahren zum verbinden einer blockchain mit einem satz digitaler zwillinge
SG11202008916PA (en) 2018-05-14 2020-10-29 Inventio Ag Method and apparatus for monitoring a state of a passenger transport system by using a digital double
EP3584751A1 (de) * 2018-06-20 2019-12-25 Siemens Aktiengesellschaft Verfahren zum erstellen eines digitalen zwillings
EP3823922B1 (de) 2018-07-19 2022-08-31 Inventio AG Verfahren und vorrichtung zum überwachen einer personentransportanlage unter verwendung einer erfassungseinrichtung und eines digitalen doppelgängers
US11945686B2 (en) 2018-07-19 2024-04-02 Inventio Ag Method and device for monitoring a state of a passenger transport system using a digital double
US11038950B2 (en) * 2018-08-14 2021-06-15 Microsoft Technology Licensing, Llc Blockchain digital twin for transactions on behalf of limited capability devices
DE102018132996A1 (de) * 2018-12-19 2020-06-25 Uniscon Universal Identity Control Gmbh Verfahren zum Überwachen der Integrität eines physischen Objekts
CN109800531B (zh) * 2019-01-31 2023-01-06 山东大学 一种机电装备数字孪生模型一致性保持方法
CN112859759A (zh) * 2019-11-28 2021-05-28 海尔卡奥斯物联生态科技有限公司 一种智能制造系统
CN111026063B (zh) * 2019-12-25 2023-10-03 南方科技大学 数字孪生体构建方法、装置、计算机设备及存储介质
US11153084B1 (en) * 2020-06-22 2021-10-19 Piamond Corp. System for certificating and synchronizing virtual world and physical world
EP3934194A1 (de) * 2020-06-30 2022-01-05 Siemens Aktiengesellschaft Vorrrichtungen, computerimplementiertes verfahren und computerprogrammprodukt zum identifizieren eines digitalen zwillings für ein objekt
EP3934195A1 (de) * 2020-06-30 2022-01-05 Siemens Aktiengesellschaft Vorrrichtungen, computerimplementiertes verfahren und computerprogrammprodukt zum erteilen eines zugriffs auf eine steuerfunktion anhand eines objektes
DE102020209993A1 (de) * 2020-08-06 2022-02-10 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zur Verarbeitung von Daten eines technischen Systems
CN115134856B (zh) * 2021-03-25 2025-05-27 中国移动通信有限公司研究院 一种mac功能及其通信方法、通信设备
RU2766532C1 (ru) * 2021-03-29 2022-03-15 Олег Дмитриевич Гурин Способ и система взаимодействия программ и устройств с помощью управляющей платформы
DE102021109020A1 (de) 2021-04-12 2022-10-13 Senodis Technologies GmbH Verfahren zum Bereitstellen eines digitalen Identifikators für ein Werkstück sowie elektronische Datenbank, Token und Vorrichtung zum Erzeugen eines Token
EP4099633A1 (de) * 2021-06-01 2022-12-07 Siemens Aktiengesellschaft Automatisierte anwendungsdiensterkennung zur konfiguration von industriellen netzwerken
WO2025012051A1 (de) * 2023-07-13 2025-01-16 Inventio Ag Verfahren und anlage zur kontrolle und fehlerbehebung bei der fertigung einer baugruppe für eine personentransportanlage und steuereinheit für die anlage

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030158795A1 (en) * 2001-12-28 2003-08-21 Kimberly-Clark Worldwide, Inc. Quality management and intelligent manufacturing with labels and smart tags in event-based product manufacturing
WO2007056712A2 (en) * 2005-11-04 2007-05-18 Kestrel Wireless Inc. System and method for authenticating products
US20120213366A1 (en) * 2006-09-08 2012-08-23 Certicom Corp. Aggregate Signature Schemes

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5592561A (en) * 1994-04-14 1997-01-07 Moore; Lewis J. Anti-counterfeiting system
JP2710568B2 (ja) 1994-11-22 1998-02-10 山形日本電気株式会社 生産ライン管理方法
KR100299685B1 (ko) 1998-10-02 2001-10-27 윤종용 작업대상물의결합처리자동화시스템및그제어방법
US20020156757A1 (en) * 2000-05-12 2002-10-24 Don Brown Electronic product design system
US20030063772A1 (en) * 2001-09-06 2003-04-03 Smith Joshua R. System and method for authentication and tracking of a workpiece that includes an optically active medium
DE10203370A1 (de) * 2002-01-29 2003-07-31 Siemens Ag Verfahren zur Steuerung einer fensterorientierten Bedienoberfläche und ein HMI Gerät zur Durchführung des Verfahrens
WO2003087991A2 (en) * 2002-04-09 2003-10-23 The Escher Group, Ltd. System and method for authentication of a workpiece using three dimensional shape recovery
WO2005088533A1 (en) * 2004-03-12 2005-09-22 Ingenia Technology Limited Authenticity verification methods, products and apparatuses
US7596812B2 (en) * 2005-06-14 2009-09-29 Motorola, Inc. System and method for protected data transfer
US7558638B2 (en) * 2006-02-22 2009-07-07 Gm Global Technology Operations, Inc. Applying real-time control to a production system
EP2257909B1 (de) * 2008-03-20 2015-05-13 Université de Genève Auf nicht kopierbaren funktionen basierendes system und verfahren zur sicheren identifzierung und authentifizierung von einheiten
DE102010033229A1 (de) * 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Verfahren und System zur manipulationssicheren Übertragung von Steuerdaten
CN101976067A (zh) 2010-09-19 2011-02-16 合肥工业大学 柔性装配线管理控制实验平台及管理控制实验方法
CN102436236B (zh) * 2011-10-26 2013-10-16 奇瑞汽车股份有限公司 一种用于规划生产线的方法和装置
US10204178B2 (en) * 2013-02-04 2019-02-12 Authentise Inc. System, method, and program product for digital production management
DE102013204586A1 (de) 2013-03-15 2014-09-18 Siemens Aktiengesellschaft Sensor und Verfahren zur Ermittlung einer dielektrischen Eigenschaft eines Mediums
CN103366198B (zh) * 2013-06-18 2016-04-06 清华大学深圳研究生院 用于监测工件的装配线rfid监测系统
DE102015217855A1 (de) 2015-09-17 2017-03-23 Siemens Aktiengesellschaft Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030158795A1 (en) * 2001-12-28 2003-08-21 Kimberly-Clark Worldwide, Inc. Quality management and intelligent manufacturing with labels and smart tags in event-based product manufacturing
WO2007056712A2 (en) * 2005-11-04 2007-05-18 Kestrel Wireless Inc. System and method for authenticating products
US20120213366A1 (en) * 2006-09-08 2012-08-23 Certicom Corp. Aggregate Signature Schemes

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110462652A (zh) * 2017-03-31 2019-11-15 西门子股份公司 用于计算机辅助地提供安全性受保护的数字孪生的方法和装置
EP3435272A1 (de) 2017-07-27 2019-01-30 Siemens Aktiengesellschaft Verfahren und vorrichtung zur identifikation eines additiv gefertigten werkstücks
WO2019020234A1 (de) 2017-07-27 2019-01-31 Siemens Aktiengesellschaft Verfahren und vorrichtung zur identifikation eines additiv gefertigten werkstücks
US12045027B2 (en) 2017-10-23 2024-07-23 Siemens Aktiengesellschaft Method and control system for controlling and/or monitoring devices
US11487913B2 (en) 2017-12-14 2022-11-01 Inventio Ag Method and device for commissioning a passenger-transportation installation to be manufactured, by creation of a digital replica
US11577937B2 (en) 2017-12-14 2023-02-14 Inventio Ag Method and apparatus for monitoring a state of a passenger transport system by using a digital double
CN109270899A (zh) * 2018-09-03 2019-01-25 江苏科技大学 一种基于数字孪生的船用柴油机关重件制造过程管控方法
CN109270899B (zh) * 2018-09-03 2020-12-25 江苏科技大学 一种基于数字孪生的船用柴油机关重件制造过程管控方法
US10974851B2 (en) 2018-11-09 2021-04-13 Textron Innovations Inc. System and method for maintaining and configuring rotorcraft
US11794926B2 (en) 2018-11-09 2023-10-24 Textron Innovations Inc. System and method for maintaining and configuring rotorcraft
CN110941251A (zh) * 2019-12-25 2020-03-31 南方科技大学 基于数字孪生体的生产控制方法、装置、设备及介质
CN115168315A (zh) * 2021-04-01 2022-10-11 即云天下(北京)数据科技有限公司 一种数据互联网方法及系统

Also Published As

Publication number Publication date
DE102015217855A1 (de) 2017-03-23
EP3295646B1 (de) 2019-02-20
CN108141437B (zh) 2022-01-18
US10999293B2 (en) 2021-05-04
EP3295646A1 (de) 2018-03-21
CN108141437A (zh) 2018-06-08
US20180227277A1 (en) 2018-08-09

Similar Documents

Publication Publication Date Title
EP3295646B1 (de) Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes
EP3673623B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3529736B1 (de) Bereitstellung und prüfung der gültigkeit eines virtuellen dokuments
EP3057025A1 (de) Computerimplementiertes Verfahren zur Zugriffskontrolle
EP2868032A2 (de) Verwenden einer puf zur prüfung einer authentisierung, insbesondere zum schutz vor unberechtigtem zugriff auf eine funktion eines ics oder steuergerätes
DE102011081421A1 (de) System zur sicheren Übertragung von Daten und Verfahren
EP3763089B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3556047B1 (de) Programmierbares hardware-sicherheitsmodul und verfahren auf einem programmierbaren hardware-sicherheitsmodul
EP2407843B1 (de) Sichere Datenübertragung in einem Automatisierungsnetzwerk
EP3718263B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3906653B1 (de) Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
EP3248324B1 (de) Verteiltes bearbeiten eines produkts auf grund von zentral verschlüsselt gespeicherten daten
DE102017220490A1 (de) Verfahren und Vorrichtung zur Ermöglichung der Authentisierung von Erzeugnissen, insbesondere industriell gefertigten Geräten, sowie Computerprogrammprodukt
EP2932446A1 (de) Reputationssystem und verfahren
WO2015185507A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
WO2016041843A1 (de) Verfahren und anordnung zur autorisierung einer aktion an einem selbstbedienungssystem
DE102018212098A1 (de) Verfahren zum Betrieb eines blockchainbasierten Produktschutzsystems und blockchainbasiertes Produktschutzsystem
EP3820081B1 (de) Verfahren zur durchführung einer erlaubnisabhängigen kommunikation zwischen wenigstens einem feldgerät der automatisierungstechnik und einem bediengerät
WO2023025712A1 (de) Verfahren zum zuordnen eines digitalen modells zu einer physikalischen komponente eines automatisierungssystems, automatisierungssystem und fertigungsanlage
EP2184695A1 (de) Verfahren zum Kombinieren von Daten mit einer zur Verarbeitung der Daten vorgesehenen Vorrichtung, korrespondierende Funktionalität zur Ausführung einzelner Schritte des Verfahrens und Computerprogram zur Implementierung des Verfahrens
EP3288215A1 (de) Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul
WO2020057938A1 (de) Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus
DE102014209037B4 (de) Vorrichtung und Verfahren zum Schutz der Integrität von Betriebssysteminstanzen
EP3439228A1 (de) Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16741872

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2016741872

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 15750538

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE