技术系统的上下文敏感的审计追踪

技术领域

本发明涉及一种具有权利要求1的特征的、借助于控制系统建立用于技术系统的上下文敏感的审计追踪的方法，其中，控制系统在处理操作员的请求之后生成针对请求的回复消息。本发明还涉及根据权利要求5所述的、用于技术系统的控制系统。此外，本发明涉及根据权利要求6所述的、控制系统用于运行技术系统的应用。

背景技术

针对过程设备的审计追踪，检测并且归档操作员的影响过程的行为，例如在：

-改变面板中的设定值时，

-应答消息序列显示中的警报时，

-抑制消息序列显示中的警报时。

换句话说，在审计追踪的范畴中，检测相应的操作员的、在由该操作员实施确定的行为之后的意图。在此，针对审计追踪通常共同检测操作员的行为对工艺技术的系统(通过确定的意图激发)的影响。如果操作行为(例如在设置设定值时)引起系统错误、例如

-软件组件的毁坏，

-受监视的硬件的故障，

-由于过载损坏通信，则后续事件仅能艰难地与由后续事件触发的操作行为关联或相关。

通常由专业人员基于其经验值识别这种关联。在此，专业人员进行如下联系，在其中专业人员(基于其之前的经验)考虑最新的操作行为如何能与当前存在的系统错误相关。然而，该过程不是强制的，并且没有支持该过程的自动联系。因此，导致系统错误的操作行为不能被直接识别为系统错误的起因并被相应修正(以便以后预防这种系统错误)。

尽管能够将操作行为与推测配属的系统错误消息在时间上彼此靠近，以显示出确定的相邻关联。然而因为通常在较大的技术设备中刚好同时发生多个操作行为，很难确定具体的合理的联系。此外，这也由于不同类型的系统错误消息当前不在共同的工具或系统中而在不同的工具/系统中被进一步处理和/或存储。

在WO 00/34864A2中公开了具有用于限制操作员到控制系统的请求的超时对象的过程系统。

发明内容

本发明的目的在于，在信息内容和使用方面改善用于建立用于技术系统的上下文审计追踪的方法。

该目的通过具有权利要求1的特征的、用于借助于控制系统控制技术系统的方法实现。此外，该目的通过根据权利要求5所述的、用于技术系统的控制系统以及根据权利要求6所述的、控制系统用于运行技术系统的应用实现。有利的改进方案在从属权利要求中给出。

根据本发明，该目的在开头部分所述类型的用于控制技术系统的方法中如下地实现，即如果出现技术系统的故障状态，在请求与生成回复消息之间的时间中，将配属的错误消息自动地与请求和回复消息链接，并且为操作员呈现相关的相应信息。

控制系统在当前的上下文中被理解为计算机支持的技术系统，其包括用于显示、操作和控制技术系统、例如制造或生产设备的功能。控制系统在当前的情况下包括用于确定测量值的传感器以及各种执行机构。此外，控制系统包括所谓的靠近过程或制造的组件，其用于驱控执行机构或传感器。此外，控制系统还具有用于可视化技术设备和用于工程化的工具。控制系统的概念还能够包括用于复杂的调节的另外的计算单元和用于数据存储和处理的系统。

技术系统在当前被理解为多个在功能上并且常常也在空间上相互联系的机器、装置、应用或类似物。借助于技术系统例如能够生成或制造(大)技术规模的产品、组件或类似物。然而，技术系统也能够是汽车、船舶、飞行器或类似物。

操作员被理解为技术系统的人类操作者。操作员借助于特殊的使用者界面与技术系统或其控制系统集成并且控制系统的特殊技术功能。对此，操作员能够使用控制系统的操作和监视系统。

操作员的请求例如能够是设置技术系统的调节器的设定值。操作员给控制系统发出请求，其首先在处理的范畴中读取请求并且在先前确定的规则的范畴中解读内容。根据请求的内容由控制系统寻址技术系统的各种装置/组件。此外在设置了调节器的设定值的情况下，请求还能够包含关于之前的值和之后的值以及识别技术系统的要寻址的目标的信息。

消息通常被理解为事件发生的报告，其表示从技术系统中的离散状态到另外的离散状态的过渡。由此能够实现的是，为该或这些操作员尽可能早地准确告知相应的系统上下文中的其处理的结论或结果(其请求的结论)。对此，控制系统为操作员呈现链接的信息，例如借助于控制系统的服务器的合适其的客户端实现。

根据本发明，如果出现技术系统的故障状态，在至少一个错误事件与请求或配属的回复消息之间借助于控制系统自动生成链接。换句话说，错误事件与请求或回复消息相关联。

通过上下文敏感的强制的并且正好分为相应的配置数据和系统状态的、通过本发明实现的审计追踪的设计，使审计追踪在运行时间及以后的各种评估方面大量获得信息内容和使用。由此，评估提供许多更准确的结果并且能够有利地用于审查目的以及技术系统的系统流程的优化。

通过使操作员尽可能早并且非常准确地获知在相应的系统上下文中的结论或结果，能够达到的构建的成果为，更有效率并且更少出错地实施操作员的工作。此外，新操作员的培训工作能够借助于根据本发明的方法更简单地进行。

根据本发明，为由请求、回复消息和错误消息构成的链接配备对控制系统提出请求的操作员的数字签名。由此实现由操作员提出的请求和因此链接的技术系统的错误消息的、尽可能高的强制性和不可否认性(“Non-repudiation”)。通过签名保障审计追踪记录的完整性和可靠性。借助于链接能够在接下来容易实现的是，通知操作员在实施能明确对应相应的操作员的操作行为期间出现错误。

错误消息能够是系统消息、诊断消息、追踪、日志和/或安全事件。

在此，系统消息的概念被理解为预先配置的消息，其例如当丢失链接(“超时后丢失链接：操作员站至自动化站”)的时候被生成。这些消息被视作为用于维护和诊断的附加信息并且有中等的数据深度。

“追踪”是细节化的和多样的信息，其直接来自于技术系统的软件组件并且具有大的数据深度。这些信息来自系统消息的“维护和诊断”信息并且通常确定用于技术系统的技术支持。

“日志”或“安全事件”是预先限定并且在技术系统的系统组件中执行的安全相关的事件，只要发生确定的预先限定的安全相关的事件，则其由系统组件生成。

在本发明的一个有利的改进方案的范畴中，在请求和配属的回复消息与错误消息链接之后，控制系统要求来自操作员的、对配属于操作员的请求的回复消息的回执。由此能够保障的是，操作员也能够具有对其来说确定的链接的认知。通过确认和数字签名强制并且在安全方面防篡改地构造审计追踪。能证明的是，相应的操作员不仅触发确定的操作，还(必要时多次)获知结论。

优选地，在错误消息与请求和回复消息的链接的范畴中，在请求进入控制系统中之后，由控制系统实施以下步骤：

a)确定技术系统的组件，该组件与操作员的请求相关；

b)确定先前辨识的组件相关的错误消息，错误消息在处理操作员的请求期间出现；

c)在处理操作员的请求之后生成回复消息；

d)将请求、回复消息和错误消息链接。

首先，在请求到达控制系统中之后由其确定通过相应的操作员请求相关的技术系统的组件。在有过程设备的情况下，在第一线中涉及操作员站服务器，在其上操作员借助于属于服务器的操作员站客户端登记(当前状态)。例如，在此在调节器的设定值改变的情况下检查的是，在哪个操作员站服务器中存在有过程映像中的过程数据。此外检查的是，哪个另外的相关的装置(如自动化站)涉及该请求。因此，作为整体结果能够确定的是，哪个装置涉及操作员请求的实施，并且因此也能够由哪个装置参与信息，以便能够在处理请求期间检测技术系统的系统行为。在此，限定装置过滤的类型，其允许有关哪些装置参与系统消息、追踪、诊断消息、安全事件和类似的声明，其必要时与操作员请求相关。

根据先前确定的装置过滤目前在处理操作员请求期间在两个步骤中接收(并且中间存储)全部新出现的系统消息、追踪、诊断消息、安全事件等。

在处理操作员请求结束之后生成回复消息，其与请求和该错误消息或这些错误消息链接或相关。

此外，该目的通过用于技术系统、特别是制造或过程设备的控制系统实现，控制系统设计和设置用于实施之前阐述的方法。

此外，该目的通过这种控制系统用于运行技术系统的应用实现。

附图说明

结合以下联系附图详细阐述的实施例的说明，清楚和明确地阐述了本发明的上述特性、特征和优点以及实现方式和方法。

具体实施方式

在附图中示出了构造为工艺技术的设备的技术系统的根据本发明的控制系统1的一部分，控制系统1包括操作系统的服务器或者操作员站服务器2和配属的操作员站客户端3。操作员站服务器2和操作员站客户端3经由终端总线4相互链接并且与控制系统1的未示出的另外的组件、如工程化系统服务器或过程数据档案链接。

使用者或操作员借助于操作员站服务器3通过终端总线4在操作和监视的场景中访问操作员站服务器2。终端总线4能够在没有限制的情况下例如构造为工业以太网。

操作员站服务器2具有装置接口5，其与设备总线6连接。由此能够使操作员站服务器2与(外部)装置7(在此为自动化站)通信。在此可替换地，连接的装置7也能够是应用、特别是网络应用。在本发明的范畴中，能够在操作员站服务器2上连接任意数量的装置和/或应用。设备总线6能够在没有限制的情况下例如构造为工业以太网。另一方面，装置7能够与任意数量的子系统(未示出)连接。

在操作员站服务器2中集成可视化服务8，经由其能够实现(可视化)数据到操作员站客户端3的传输。此外，操作员站服务器4具有过程映像(Process Image)9和本地档案10。

在可视化服务8之中执行审计追踪服务11，其作用方式和功能在下面阐述。

操作员在操作员站客户端3中改变工艺技术设备(过程设备)的过程对象的调节器的设定值。该信息或请求由操作员站客户端3传输给操作员站服务器2(步骤I)并且在那里(还)由审计追踪服务11读取(步骤II)。

审计追踪服务11随后建立操作消息并且检测与操作员的请求相关的装置7或者过程对象。此外，其从涉及的装置7或过程对象和/或本地的档案10接收所有的描述工艺技术的设备的故障状态的错误消息，直到处理操作员的请求结束为止。

操作员的请求的处理在步骤II中首先实施为，将设定值改变写入过程映像9中。装置接口5或者装置驱动将要求的设定值改变传递给自动化站7(步骤IV、步骤V)。在那里进行设定值改变并且将相应的回复消息发给装置接口5和过程映像。

审计追踪服务11由自动化站7借助于其回复消息告知：是否能够成功进行设定值改变。当审计追踪服务11收到在请求到达与请求处理结束之间的时间中来自与请求相关的装置7或者过程对象的错误消息时，审计追踪服务11与设定值改变的实施无关地生成待由操作员应答的回复消息。回复消息、请求和配属的错误消息由审计追踪服务11自动链接，并且被存储在用于之后检查的本地的档案10中并且被呈现给操作员以用于应答。

随后，由操作员在可能的情况下实施的回复消息的回执紧接着同样被存储在档案10中。档案10不必强制在本地在操作员站服务器2上执行，而是也能够与其分开地实现，例如在基于云的环境中。在此，云被理解为具有在线的存储和服务器服务的计算网络，其通常被称为云(Wolke)或云平台。在云中存储的数据是能在线访问的，从而也使工艺技术的设备经由互联网访问云中的中央数据档案。

尽管通过优选的实施例在细节上详细地阐述并描述了本发明，但本发明并不局限于所公开的实例，并且其它的变体能够由专业人员推导出，这并不脱离本发明的保护范围。