自动化单元与自动化服务器的动态对应

技术领域

本发明涉及一种自动化系统的运行方法，

-其中，自动化系统包括至少一个自动化单元和多个自动化服务器，

-其中，自动化服务器经由通信网络与自动化单元连接，

-其中，自动化服务器利用通报给自动化服务器的自动化单元的证书与自动化单元通信，

-其中，在与自动化单元通信之前，自动化服务器验证自动化单元的证书Z，

-其中，根据与相应的自动化服务器的通信，自动化单元控制工业技术设施的设施部件，

-其中，为了验证证书，自动化服务器一方面检查证书的信任链，另一方面通过访问阻止列表来检查证书的有效性，

-其中，阻止列表存储在一存储位置上，并且到该存储位置上的引用包含在通报的证书中。

本发明还涉及一种自动化系统，

-其中，自动化系统包括至少一个自动化单元和多个自动化服务器，

-其中，自动化服务器经由通信网络与自动化单元连接，

-其中，自动化服务器被编程为，自动化服务器利用通报给自动化服务器的自动化单元的证书与自动化单元通信，并且在与自动化单元通信之前验证自动化单元的证书，

-其中，自动化服务器被编程为，自动化服务器根据与相应的自动化服务器的通信控制工业技术设施，

-其中，自动化服务器被编程为，为了验证证书，自动化服务器一方面检查证书的信任链，另一方面通过访问阻止列表检查证书的有效性，

-其中，阻止列表存储在一存储位置，并且到该存储位置的引用包含在通报的证书中。

背景技术

在工艺技术的工业设施中，越来越多地要求具有灵活性和可扩展性。这使得设施部件被作为小单元来单独开发或生产。这些单元尤其在制药工业中经常被称作成套设备。相应的设施部件由自动化单元、例如可编程逻辑控制器控制。

多个设施部件共同构成工业设施。所属的自动化单元由经由通信网络(例如以太网)与自动化单元连接的自动化服务器控制。自动化单元根据与相应的自动化服务器的通信控制其相应的设施部件。它们从自动化服务器接收相应的控制命令或其他命令，并将相应的自动化单元的传感器信号、由此导出的信号或内部状态返回给自动化服务器。

除了上面描述的方案的模块性以外，这在将单个设施部件动态地配属给特定工业设施的方面也具有优点。例如特定设施部件最初可以是第一工业设施的一个组件，并且可以在随后的时间点从第一工业设施中被划分出去并被配属给第二工业设施。

为了在第一工业设施的框架下使用后在第二工业设施的框架下使用，设施部件自然必须从第一工业设施划分出去并划分到第二工业设施中。这种转移本身、即这种设施部件的尺寸机械物理转移不是本发明的主题。但必须确保在从第一工业设施划分出去之前由第一工业设施的自动化服务器且仅由自动化服务器访问相应的自动化单元，并且从划分到第二工业设施中开始由第二工业设施的自动化服务器且仅由自动化服务器访问相应的自动化单元。除了设施部件的尺寸机械物理转移之外还必须实现相关联的自动化单元的相关联的通信技术转移。

在现有技术中，针对通信技术的转移，对两个涉及的自动化服务器的工程化都要改变。相应的工程化包含参数化，其指明哪个设施部件(准确来说，从相应的自动化服务器的角度看的哪个设施部件)必须存在，以执行相应的自动化任务。工程还包含相应的自动化单元通信路径的信息。

这样的处理方法繁琐、耗时且易出错。其繁琐、耗时，是因为必须针对第一工业设施的自动化服务器还有第二工业设施的自动化服务器来分别改变工程化，并且必须将工程化装载到相应的自动化服务器中。其易出错，是因为这种工程化本身可能是有错误的，并且在次序方面可能发生错误。尤其可能发生的是，特定设施部件的自动化单元在某一时间点被配属于第二工业设施的自动化服务器，在该时间点，该自动化单元还被配属于第一工业设施的自动化服务器。在这种情况下，两个自动化服务器相互竞争。如果反过来确保了设施部件的自动化单元首先在第一自动化服务器被划分出去，然后才被划分到第二自动化服务器中，那么在从一个自动化服务器划分出去再被划分到另外的自动化服务器中，这之间出现了相对较大的时间间隔，而此时不能使用所属的设施部件。因此，产能下降。

发明内容

本发明的目的在于，提供一种简单且高效的自动化单元的通信技术转移，即从一个自动化服务器的划分出去再划分到另外的自动化服务器中。

该目的通过根据本发明的运行方法实现。运行方法的有利的设计方案是各个实施例的主题。

根据本发明，如此设计开头所述类型的运行方法，

-自动化系统还包括经由通信网络与自动化服务器和自动化单元连接的中央管理单元，

-中央管理单元向相应的自动化服务器通报相应的信任链，以实现相应的自动化服务器与自动化单元的通信，

-中央管理单元从相应的自动化服务器撤回相应的信任链，或使得自动化单元的证书登记到阻止列表中，以禁止相应的自动化服务器与自动化单元的通信，并且

-仅在撤回之前所有其他的自动化服务器的设定用于与自动化单元通信的信任链以或将直到该时间点自动化单元有效的证书登记到阻止列表或自动化单元的证书在其他方面失效时，中央管理单元向相应的自动化服务器通报相应的信任链。

本发明基于这样的认知，即使用安全的通信记录完成相应的自动化服务器和自动化单元之间的通信，使用符合X.509标准的证书Z。这种类型的协议是OPC、UA、TLS等等。所提到的证书是在X.509标准的框架内限定的。然而，仅当单元不只已经获得了其通信伙伴的证书，而且单元还可以通过相关联的信任链验证获得的证书，并且证书未被登记在阻止列表中或者证书没有因其他方面无效时，才进行单元与通信伙伴的通信。另外的无效性可能随时间进程而出现，因为证书通常仅在有限的时间段内有效。

中央管理单元负责，使自动化服务器仅在确保没有其他自动化服务器具有有效的、未封禁的证书以及其所属的信任链时才可以使用证书。只要存在这种危险，就不将该证书通报给相应的(新)自动化服务器。在个别情况下，这可以暂时包括一种状态，即用于与同一自动化单元通信所必需的数据不提供给唯一的自动化服务器。但在任何情况下都不会出现：用于与同一自动化单元通信所必需的数据被提供给超过一个自动化服务器。

通过这种处理方法，仅对自动化服务器建立一次工程化，并且接下来不再进行改变。这意味着自动化服务器按照相应的参数化来确定其是否必须与自动化单元通信以执行对该自动化服务器特定的自动化任务，但是对自动化服务器的参数化与信任链的通报和撤回无关以及与证书的封禁无关。

为了将设施部件或相关联的自动化单元对应于特定的自动化服务器，尤其可以执行，

-为了获得相应的信任链，相应的自动化服务器在中央管理单元处请求自动化单元的对应关系，以及

-基于请求，中央管理单元撤回通报给其他自动化服务器的自动化单元的信任链或使得通报给另外的自动化服务器的自动化单元的证书被封禁，并且向请求的自动化服务器通报相应的信任链。

所有自动化服务器虽然因此长期拥有哪些设施部件(准确来说：从相应的自动化服务器的角度是哪些自动化单元)必须存在以执行相应的自动化任务的信息。这可以包括一种情况，即在工程化(或参数化)的框架内，可以多次使用特定设施部件以及相关联的自动化单元。然而通过中央管理单元使特定时间点最多有一个唯一的自动化服务器可以访问特定的自动化单元，避免了访问冲突。由此，中央管理单元根据需要允许相应的自动化服务器访问特定的自动化单元，并且根据需要再次将其封禁。

此外，该目的通过根据本发明的自动化系统实现。

根据本发明，前文所提到类型的自动化系统如此设计，

-自动化系统还包括经由通信网络与自动化服务器和自动化单元连接的中央管理单元，

-中央管理单元被编程为，

--中央管理单元向相应的自动化服务器通报相应的信任链，以实现相应的自动化服务器与自动化单元的通信，

--为了禁止相应的自动化服务器与自动化单元的通信，从相应的自动化服务器撤回相应的信任链，或将相应的证书登记到阻止列表，并且

--仅在以下时刻才向相应的自动化服务器通报相应的信任链：当中央管理单元事先已经从所有其他自动化服务器撤回设定用于与自动化单元通信的信任链或使得直到当前时间点仍有效的自动化单元的证书登记到阻止列表中或自动化单元的证书以其他方式无效时，通报相应的自动化服务器相应的信任链。

自动化系统的有利的设计方案和由此获得的优点与运行方法相对应。

附图说明

本发明的上述特性、特征以及优点以及如何实现这些的方式方法结合参考附图详细阐述的对实施例的如下描述而更加清晰明确。这里示意性地示出：

图1是工业技术设施和其自动化结构；

图2是证书；

图3是阻止列表；

图4是流程图；

图5是流程图；

图6是图1的工业技术设施和其自动化结构；

图7是流程图；以及

图8是流程图。

具体实施方式

在许多情况下，例如在制药工业中，工业技术设施1根据图1所示由多个设施部件2、3组成。设施部件2、3在实践中通常被称作成套设备，并且分别由自动化单元4、5来控制。自动化单元4、5例如可以是可编程逻辑控制器。但是与具体的设计方案无关，自动化单元4、5的工作方式由对自动化单元4、5编入的相应的程序6、7确定。程序6、7包括可由相应的自动化单元4、5处理的机器代码8、9。接下来要描述的自动化单元4、5的功能和动作，在通过相应的自动化单元4、5处理相应的机器代码8、9的情况下、并基于通过相应的自动化单元对相应的机器代码的处理来实现。

设施部件2、3协同工作。为此，自动化单元4、5经由通信网络10与自动化服务器11通信。自动化服务器11经由自动化单元4、5控制工业技术设施1。自动化服务器11尤其还与自动化单元4、5并进而与设施部件2、3相协调。自动化服务器11的工作方式由对自动化服务器11编入的相应的程序12控制。程序12包括可由自动化服务器11处理的机器代码13。接下来要描述的自动化服务器11的功能和动作，在通过相应的自动化服务器11处理相应的机器代码13的情况下、并基于通过相应的自动化服务器对相应的机器代码的处理来实现。

自动化服务器11根据参数化P确定自动化单元4、5中的哪个必须存在，并且自动化服务器11由此必须能够与该自动化单元通信，以与自动化单元4、5交换正确的信息，从而自动化单元4、5可以完成其相应的自动化技术的分任务，并且自动化服务器11可以执行其全部的自动化技术任务。参数化P例如可以存储在工程服务器14中，自动化服务器11可以访问该工程服务器。

自动化单元4、5与自动化服务器11之间的通信根据安全协议来进行，该协议使用符合X.509标准(2016年10月的状态)的证书Z。“安全”意指使用非对称加密方法，并且在创建和利用传输的信息的范畴内，即在整个通信的范畴内，使用自动化单元4、5的证书Z。

接下来将结合图2来描述符合X.509标准的证书Z的典型构造。该构造既适用于自动化单元4、5的证书Z，也适用于其他单元的证书Z。

根据图2，证书Z通常具有名称15和与配属于该证书Z的单元相关的标识符16。该单元例如可以在本发明的范畴内为自动化单元4、5中的一个。此外通常来说，证书Z具有明文形式或编码形式的关于证书Z使用目的的说明17，例如用于通信或用于其他证书Z的自动化。此外证书Z通常具有最早或最晚时间点18、19。证书Z在最早时间点18和最晚时间点19之间有效，在其他时间无效。此外，该证书Z包含非对称加密方法的公钥20(public key)。该公钥20例如可以被用于对消息进行加密，该消息被确定用于与单元对应的证书Z。公钥20还可以被用于，在与证书Z对应的单元所创建的消息中，检查签名的有效性。除了这些目的，公钥20还可以用于其他目的。此外，证书Z包含创建了证书Z的单元的签名21。

由证书Z声明了与证书Z对应的单元的私钥(并进而其身份)以及公钥20之间的联系。为了使证书Z可证明为可信任的，其应由可信任的单元签名，其中，该单元的可信度应该尽可能被证明。为了确保这些，创建证书Z的单元利用其(或加密的)私钥(secret key)来创建签名21。该私钥不与证书Z的公钥20配对，而是另一种密钥。按照签名21可以检查，证书Z包含的公钥20是否正常。所属的用于解密签名21的公钥一般在创建证书Z的单元的证书Z中一同列出。该公钥可以用于检查所提及的单元是否可信任。此外，证书Z包含创建证书的单元的说明22。最后证书Z包含到阻止列表24的存储位置上的引用23(见图3)。根据图3，在阻止列表24上存储有已封禁的并由此不再有效的证书Z。

具体来说，自动化服务器11执行运行方法，以实现例如与自动化单元5的通信，接下来结合图4详细陈述该运行方法。

根据图4，在步骤S1中，参数化P对自动化服务器11来说是已知的。自动化服务器11例如在步骤S1中访问工程服务器14并在那读取参数化P。

在步骤S2中，自动化服务器11检查，是否有自动化单元5的证书Z存在于自动化服务器，即与自动化单元5对应的证书Z。可替选地，通过自动化服务器将其自身的证书Z发送到自动化单元5、并随后从自动化单元5收到发送回来的自动化单元的证书Z的方式，自动化服务器11可以开始与自动化单元5的通信进程(也就是建立所谓的会议)。

如果自动化单元5的证书Z对自动化服务器11是可用的，则自动化服务器11转到步骤S3。在步骤S3中，自动化服务器11检查在步骤S2中建立的或获得的证书Z是否有效。步骤S3的检查是根据证书Z本身完成的，也就是没有评估与证书Z自身包含的信息不同的其他信息。在步骤S3中，自动化服务器11例如可以检查自动化服务器11执行步骤S3时的时间点是否在证书Z的有效期内，即在最早时间点18与最晚时间点19之间。

如果证书Z有效，自动化服务器11转到步骤S4。在步骤S4中自动化服务器11检查在步骤S2中发现的证书Z是否被封禁。为此，自动化服务器11访问阻止列表24。访问是可行的，因为在证书Z本身中包含了阻止列表24存储在哪个存储位置的信息。

如果证书Z未被封禁，自动化服务器11转到步骤S5。在步骤S5中，自动化服务器11检查签名21是否正常。对此，自动化服务器11需要公钥20，以及进而单元的证书Z，该单元创建了在步骤S2中发现或获得以及在步骤S3和S4中检查的证书Z。如果这种证书Z、即创建了在步骤S3和S4中检查的证书Z的单元的证书Z存在，并且检查认为签名21是有效的，那么自动化服务器11转到步骤S6。

在步骤S6中，自动化服务器11检查这种创建了在步骤S3至S5中检查的证书Z的单元是否是所谓的信任锚点(trust anchor)。如果不是这种情况，则自动化服务器11回到步骤S3。然而，现在自动化服务器11基于创建了在之前执行的步骤S3至S5中检查的证书Z的单元的证书Z来执行步骤S3至S6。由此，通过重复执行步骤S3至S6，自动化服务器11验证信任链。

步骤S3至S6的顺序是基于如下的考虑，即最初检查的证书Z一般由上级的单元出具并签名。上级的单元一般被称为认证机构(CA)。认证机构的证书Z这边又是由其他上级的单元或认证机构出具和签名。然而早晚会到达链条的端部。那么就存在有由相应的单元自己签名的证书Z。这种单元是所谓的根认证机构(RCA)，所谓的信任锚点(Trust Anchor，TA)。

自动化服务器11重复执行步骤S3至S6，直到在自动化服务器中不再有对验证证书Z来说所需要的信任链，或者证书Z失效或被封禁，或者自动化服务器到达有效的、没有封禁并且由与证书Z对应的单元自身签名的证书Z。从证书Z到由信任锚点出具的证书Z的链条形成信任链(trust chain)。

如果自动化服务器11在步骤S6中识别：在之前执行步骤S3至S5时所检查的证书Z由信任锚点产生，那么这意味着，在重复执行步骤S3至S6时所检查的所有证书Z都存在于自动化服务器11中，所有这些证书Z都有效，并且都被正常签名，并且没有证书Z被封禁。自动化单元5的证书Z也因此有效。

仅在这种情况下自动化服务器11转到步骤S7至S10。在步骤S7中，自动化服务器11使用包含在自动化单元5的证书Z中的公钥20对应该传输到自动化单元5的数据加密。此外，自动化服务器11在步骤S7中对数据签名。在步骤S8中，自动化服务器11将在步骤S7中加密并签名的数据传输给自动化单元5。在步骤S9中，自动化服务器11接收由自动化单元5加密的数据。在步骤S10中，自动化服务器11使用包含在自动化单元5的证书Z中的公钥20对加密的数据进行解密。如有可能，自动化服务器也检查签名。

在执行步骤S10后，自动化服务器11转到步骤S11。在步骤S11中，自动化服务器11执行其他任务。其他任务可以、但不必须包括：自动化服务器11接收新证书Z或撤回证书Z，使得自动化服务器中不再存在有证书。在所有其他情况中，即只要自动化服务器11在执行相应的步骤S2至S6之一时确定：相应的证书Z不再存在于其中或证书Z虽然存在但证书Z不是有效的，或被封禁，或者其签名21不正确，自动化服务器11就直接转到步骤S11，不执行先前的步骤S7至S10。

自动化单元5执行相对应的处理方法。这在接下来结合图5更详细地陈述。

根据图5，自动化单元5在步骤S21中从自动化服务器11接收数据。步骤S21是步骤S8的对应步骤。在步骤S22中，自动化单元5对在步骤S21中接收的数据进行解密。这种解密是在使用包含在自动化单元5的证书Z中与公钥20相对的私钥(geheim Schluessel)的情况下实现的。此外，自动化单元5检查传输的数据的签名。私钥一般仅存在于自动化单元5中。步骤S22是步骤S7的对应步骤。在步骤S23中，自动化单元5对应该传输到自动化服务器11的数据进行加密。这种加密是在使用包含在自动化单元5的证书Z中与公钥20相对的私钥的情况下实现的。如有可能，自动化单元5对数据签名。步骤S23是步骤S10的对应步骤。在步骤S24中，自动化单元5将加密的数据传输到自动化服务器11。步骤S24是步骤S9的对应步骤。

此后自动化单元5执行步骤S25。在步骤S25中，自动化单元5根据与自动化服务器11的通信来控制设施部件3。最后自动化单元5执行步骤S26。在步骤S26中，自动化单元5执行其他任务。其他任务可以是任意的。在个别情况下，它们可以包括自动化单元5接收证书Z或获得新的私钥。

上面陈述的处理方法本身是已知的。但是根据本发明，对自动化单元5的证书Z进行管理，使得由此有针对性控制对自动化服务器11的访问。

图6示出图1的扩展。在图6中还存在由另外的自动化服务器11’控制的另外的工业技术设施1’。另外的工业技术设施1’包括由另外的自动化单元4’控制的其他设施部件2’。另外的工业技术设施1’的组成部分还有设施部件3。因此，为了控制另外的工业技术设施1’，另外的自动化服务器11’必须与另外的自动化单元4’和自动化单元5通信。

工业技术设施1’的结构和运行方法在自动化技术方面可以与工业技术设施1的结构和运行方法配合。另外的工业技术设施1’的自动化服务器11’尤其以上述结合图4陈述的自动化服务器11的方式方法工作。出于相同原因，以相应的程序6’、12’对另外的自动化单元4’和另外的自动化服务器11’编程，其中，程序6’、12’具有相应的机器代码8’、13’，对这些机器代码的处理确定了另外的自动化单元4’和另外的自动化服务器11’的相应的运行方法和功能。出于该原因，还存在寄存另外的自动化服务器11’的参数P’的其他工程服务器14’。

如上所述，另外的工业技术设施1’除了其他设施部件2’还包括设施部件3。因此另外的自动化服务器11’不仅需要访问另外的自动化单元4’，还需要访问自动化单元5，以控制另外的工业技术设施1’。

下面首先假设工业技术设施1由自动化服务器11控制(如图1所示)，并且在之后的时间点，工业技术设施1’应该由自动化服务器11’控制。因此根据图6所示，设施部件3必须从工业技术设施1转移到另外的工业技术设施1’中。设施部件3一开始连接到工业技术设施1。在之后时间点，该设施部件应该从工业技术设施1脱离，并被配属于工业技术设施1’。设施部件3的对应可以动态地改变。

为了实现转移，设施部件3当然必须自己从工业技术设施1转移到工业技术设施1’。设施部件3的转移本身不是本发明的主题。但必须确保在从自动化服务器11转移之前仅可以从自动化服务器11访问自动化单元5，并且从自动化服务器11’转移之后仅可以从自动化服务器11’访问自动化单元5。除了设施部件3的机械物理转移之外还完成相关联的自动化单元5通信技术转移。通信技术转移的实现是本发明的主题。该实现基于上述结合图2至5所述的通信方式方法。

首先除了自动化服务器11，自动化服务器11’经由通信网络10与自动化单元5连接。为了实现自动化单元5的简单通信技术转移，即随后改变对应关系，自动化单元5不再对应于自动化服务器11，而是对应于自动化服务器11’，自动化系统还包括中央管理单元25。中央管理单元25经由通信网络10与自动化服务器11、11’以及自动化单元5连接。通常存在有到自动化单元4、4’的、由工业技术设施1、1’中的一个或另一个所使用的连接。但这是次要的。

中央管理单元25的运行方式由相应的对中央管理单元25编程的程序26确定。程序26包括可由中央管理单元25处理的机器代码27。接下来陈述的中央管理单元25的功能和行为，即图7和8的处理方法通过处理和基于使用中央管理单元25对相应的机器代码27的处理来完成。此外要提到，自动化单元5接下来从工业技术设施1到工业技术设施1’的转移。以类似的方式方法实现其他转移。

中央管理单元25可以执行运行方法，如接下来结合图7详细陈述的。替选地，中央管理单元25可以执行运行方法，如接下来结合图8详细陈述的。

根据图7，中央管理单元25在步骤S31中检查是否出现一种结果，即自动化单元5基于这种结果应该从工业技术设施1脱离，并且对应于工业技术设施1’。中央管理单元25例如可以在步骤S31中检查是否从自动化服务器11’获得自动化单元5相应的请求。如果出现这种结果，则中央管理单元25执行步骤S32至S34。

在步骤S32中，中央管理单元25检查是否对自动化单元5做了另外的分配，例如划分到自动化服务器11。如果是这种情况，那么中央管理单元25转到步骤S33。在步骤S33中，中央管理单元25从自动化服务器11撤回对应于自动化单元5的证书Z，即包含自动化单元5的公钥20的证书，自动化服务器11在步骤S7至S10中使用该公钥用于加密和解密。自动化服务器11因此不能再访问证书Z。替选地或另外，在步骤S33中，中央管理单元25还从自动化服务器11(至少)中撤回另一证书Z，自动化服务器11在检查信任链的范畴内使用该证书(与图4的步骤S2至S6相比)。中央管理单元25尤其可以从自动化服务器11撤回以下证书：其包含自有的公钥20，即中央管理单元25的公钥20。在这两种情况下信任链因此中断并最终被封禁。

中央管理单元25随后转到步骤S34。在步骤S34中，中央管理单元25向自动化服务器11’通报相应的信任链(或信任链缺少的部分)。在步骤S34中，中央管理单元25尤其传输其他自动化服务器11’在检查信任链的范畴内使用的证书Z中的至少一个(再次比较图4由自动化服务器11’以相似方法执行的步骤S2至S6)。通过通报对于自动化单元5的证书Z的生效必需的信任链，实现了另外的自动化服务器11’与自动化单元5的通信。在步骤S34中，中央管理单元25例如可以传输包含自动化单元5的公钥20的证书Z给另外的自动化服务器11’。替选地或另外，中央管理单元25可以将另一证书Z传输给另外的自动化服务器11’，自动化服务器11’在检查信任链的范畴中需要该证书Z，其例如是包含自有的公钥20、即中央管理单元25的公钥20的证书Z。

在步骤S34之后，中央管理单元25转到步骤S35。在步骤S35中，中央管理单元25执行对本发明次要的任务。例如中央管理单元25可以用新证书Z替换或补充其即将到期的证书Z。如果步骤S31的结果没有出现，那么中央管理单元25随后执行步骤S35。

图8包括步骤S41至S45。步骤S41、S42和S45以一对一的比例与步骤S31、S32和S35对应。在步骤S43中，中央管理单元25将对与自动化单元5对应的证书Z的封禁登记到阻止列表24中。在步骤S44中，中央管理单元25产生包含中央管理单元25的公钥20的新证书Z，并将该证书Z传输给另外的自动化服务器11’。

通过中央管理单元25本身的直接封禁是可行的，因为在当前情况下，假设中央管理单元25自己创建证书Z。但替选地或附加地，中央管理单元25在步骤S43中可以使得不是由中央管理单元25创建的另一证书Z被封禁。这种情况下中央管理单元25在步骤S43中将相应的请求传输给产生证书Z的单元。

在步骤S44中，中央管理单元25将相应的代替封禁的证书Z的新证书Z传输给所有使用封禁证书Z的单元。这种情况下自动化服务器11作为例外。新证书Z不传输给自动化服务器11。但中央管理单元25将新证书Z传输给另外的自动化服务器11’。如有可能，类似于步骤S43，中央管理单元25必须将相应的传输证书Z的请求传输给其他单元。

与按照图7还是图8来实现方法无关，中央管理单元25由此禁止自动化服务器11与自动化单元5的进一步通信，并实现另外的自动化服务器11’与自动化单元5的通信。

如已经所述，如果应该实施从自动化单元4、4’到自动化服务器11、11’的其他转移，则完成完全类似的方法。如果中央管理单元为了与相应的自动化单元5通信，事先撤回所有另外的自动化服务器11、11’的特定信任链或使相应的证书Z封禁或使其封禁，则中央管理单元25向相应的自动化服务器11、11’通报相应的信任链。当然也可以出现这种情况，即证书Z例如由于时间过程另外封禁。这在本发明的范围内通过步骤S31至S45覆盖。

中央管理单元25根据需要允许相应的自动化服务器11、11’访问特定的自动化单元5，并根据需要重新使其封禁。这里中央管理单元25使得最多一个唯一的自动化服务器11、11’可以在特定时间点访问特定的自动化单元5。

总体来说，本发明涉及如下内容：

自动化系统包括至少一个自动化单元5和多个自动化服务器11、11’，以及经由通信网络10互相连接的中央管理单元25。自动化服务器11、11’使用向其通报的自动化单元5的证书Z与自动化单元5通信。但这些自动化服务器事先验证证书Z。根据与相应的自动化服务器11、11’的通信，自动化单元5控制工业技术设施1、1’的设施部件3。为了验证证书Z，自动化服务器11、11’检查相应的证书Z的信任链，并且通过访问阻止列表24检查其有效性。存储阻止列表24的存储位置上的引用23包含在通报的证书Z中。中央管理单元25通报相应的自动化服务器11、11’相应的信任链，以实现与自动化单元5的通信。为了禁止通信，中央管理单元从相应的自动化服务器11、11’撤回相应的信任链，或使得自动化单元5的证书Z登记到阻止列表24中。只有当事先从所有另外的自动化服务器11、11’撤回相应的信任链、相应的证书Z登记在阻止列表24或证书Z在其他方面失效时，实现相应的信任链的通报。

本发明基于这种认知，即以合适的方式方法管理自动化服务器11、11’为了实现与自动化单元5的通信所需要的证书Z就足够。一方面(图7)，中央管理单元25本身可以将证书Z写入存储器或从存储器删除，其中，相应的自动化服务器11、11’访问这种存储器以使信任链生效。替选地，中央管理单元25虽然通报证书Z，但不能再次删除。这种情况下它促使在阻止列表24中的登记。接下来不能再使用相应的证书Z。在两种情况下不必改变自动化服务器11、11’的参数化P、P’。更确切地说，这些事先可以一次性产生，并且事后不需要改变。因此自动化服务器11、11’长期拥有设施部件2、3、2’中的哪个(准确来说，从相应的自动化服务器11、11’的角度来看自动化单元4、4’、5中的哪个)必须存在的信息，以执行相应的自动化任务。因此自动化服务器11、11’的参数化可以与信任链的通报、信任链的撤回和证书Z的封禁无关。但是可靠地避免了在相应的背景中不希望的通信。

虽然通过优选实施例详细阐明并描述了本发明，但本发明不受公开示例限制，专业人员可以得出其他变型而不脱离本发明的保护范围。