规划和工程设计方法，软件工具和模拟工具

技术领域

本发明涉及一种用于自动化解决方案的规划和工程设计方法，该自动化解决方案包括自动化系统和过程技术设施，其中在设计和配置自动化解决方案时通过工程设计工具制定的和关联的对象由模拟工具输入，并且该自动化解决方案根据模拟模型进行模拟，其中，该对象代表所述设施的能操作的和能观察的组件和所述自动化系统的硬件组件，该模拟模型被指派给输入的对象。

此外，本发明还涉及一种规划和工程设计软件工具、一种模拟工具以及包含规划和工程设计软件工具的规划和工程设计系统和具有这样的规划和工程设计系统的自动化系统。

背景技术

自动化技术用于技术过程的自动化。自动化的整个系统由在其中运行有进程的技术系统(设施)、自动化系统和操作人员构成。自动化进程可以例如是方法和和制造技术上的进程或者用于产生和分配电能的进程。

为了规划和设计自动化解决方案，在规划和工程设计系统中通过相应的软件工具通常在第一步骤中测定设施的结构并且借助于设施规划工具通过链接图形的进程对象来设定设施的流程图。该进程对象代表设施的能操作的和能观察到的装置，如传感器，马达，泵，阀，计量器和调节器。此外，同样在使用图形对象的情况下来配置和参数化自动化系统的硬件组件，例如像自动化设备(控制器)，通信部件，输入/输出组件和现场设备以及在这些部件之间的通信关系。

图形对象多数作为标准化单元包含在数据库(Bibliotheken)中并且通过合适的编辑器根据技术上的或自动化技术上的观点放置在项目化的表面上并且彼此连接。

为了能够确定是否成功地对自动化解决方案进行了工程设计或者为了进行优化，可以在分离的测试工具中确定测试条件，并且在模拟工具中在测试条件下执行自动化解决方案的模拟。在此，自动化解决方案在模拟的环境中完全或者部分地通过涉及的对象的模拟模型来虚拟地复制。该模拟工具产生相对于可能的事件和场景的信号，该事件和场景会在设施的运行期间出现。这种类型的模拟工具例如已知由西门子公司的SIMIT。

所提及的设施规划工具、工程设计工具、测试工具和模拟工具可以单独地或者组合地设计。

工业自动化系统越来越多地从最初的私有的、隔离的系统向开放的架构和标准技术发展。这导致，即在工业设施中的进程自动化也表现出IT复杂性并且对网络攻击的抵抗性下降。

未来的标准ISA99/IEC 62443致力于所谓的“工业自动化和控制系统”(IACS)的IT安全性。定义IACS包括所有的组成部分，其要求用于自动化生产设施的可靠和安全的运行。其一方面涉及自动化解决方案的组网的硬件组件，例如像控制装置、防火墙、网管、开关、SCADA系统或者以PC为基础的工作站。但是IACS的第二个方面也包括用于设施的安全运行的有组织的进程。过程操作、内部的管理链路和升级进程，同样如用于安全运行的训练都归属于其。

除了典型的保护机制，如防火墙和虚拟私人网络(VPN)，用于预先主动地识别供给和与正常状态或者行为的另外的与安全相关的偏差，如所谓的SIEM系统(SIEM＝安全信息事件管理)，提供了用于全面保护自动化组件，系统和设施防止未授权攻击的重要贡献。

SIEM系统通常集合了以下两个基础功能：

安全事件管理(SEM)实时地收集与安全相关的事件(安全事件)，在使用相互关系的情况下对其进行评估并且结构性地展示在仪表板中的SIEM控制台上。评估的目的在于，从多个事件的各种或者一个模型中识别出，是否存在对设施中移植的数据安全规定(安全政策)的攻击和损害。在该种情况中，产生报警并且通过网络或者通过另外的通信渠道，例如像Email或者SMS发送到合适的位置，例如操纵站(Operator Station)。

安全信息管理(SIM)用于长时间记录检测到的与安全相关的事件，从而允许后续的分析，并且用于产生消息，从而遵守安全方针和并对调整上的预定参数进行证实。

在安装在自动化设施中的SIEM系统中的相关调节的设定强烈地取决于设施特定的网络拓扑(此外还有网络分区和在自动化系统的各个组件之间的通信关系)以及取决于能够有使用的组件生成的与安全相关的结果。其涉及由调节和事件构成的非常复杂的系统，其行为和对设施的整个行为的影响非常难以预测。实施成本非常之高并且对全部功能的测试和遮盖非常难地实现。

各个商业上的SIEM系统包含一功能，作为对识别出的安全风险或者威胁(例如暴力攻击或者未经允许的CPU保护级别变化)的反应除了上面已经描述的报警之外还要执行另外的动作，例如像执行批量文件，其例如连接一个端口，或者改变自动化系统的组件的配置。

然而，在工业设施中使用SIEM系统时，通常放弃主动使用这样的扩展的功能，因为由SIEM系统触发的动作对设施的正常运行产生消极影响，并且会以可能的方式导致进程和人员生命的危险。保留的报警相反向设施操作者、设施管理员或者IT专家转达对于对相应当前的安全问题的测量过的反应的决定。设施操作人员的适当动作和由此导致的设施行为然而可以基于复杂性首先在设施的运行中被测定和优化。由此产生一个危险，即无法阻止不能识别出在被规划的调节机构中对严重的安全事故的反应中的错误。在整个设施和设施引导的情况中对系统的测试现在可能是不足的。

由US2012/224057A1公开了一种具有相关引擎的警报系统，其为了支持信息安全的一致性使得访问控制器和工业控制器与多个不同的系统和技术上的和非技术上的数据源进行通信，并且出于识别、评估和最小化危险和风险以及维持和检验调节性的规定的目的进一步处理由此获得的与安全相关的数据和信息。警告模拟引擎允许模拟和统计分析，从而能够预先识别出、评估和最小化风险。

A.Davis:“Developing SCADA Simulations with C2windtunnel”,Master's Thesis，Vanderbilt University，Nashville，Tennessee,2011年五月1日(在互联网中:http://etd.library.vanderbilt.edu/available/etd-04052011-071956/unrestricted/edt.pdf)描述了一种对SCADA系统的模拟的监控和技术进程的控制。因为待建模的和待模拟的SCADA系统的复杂性，其中该系统包括待控制的进程、现场设备、中央控制器和将现场设备与控制器彼此连接的网络，实现了基于高阶模拟架构(HLA)的模拟，在该架构中被描述成联盟(federation)的整个模拟被分成多个分开的单个模拟或者所谓的联盟成员(federate)。在各个模拟之间的信息交换的协调和管理通过所谓的运行事件基础设施(RTI)实现。单个模拟可以通过不同的合适的软件工具或者框架如Simulink/MATLAB设定用于技术进程并且设定用于网络的控制和OMNeT++。为了异质的单个模拟的坐标和整个模拟的设定而使用具有标识C2风洞(C2WindTunnel)的软件平台。C2风洞平台使用所谓的通用建模环境(GME)，工具设定利用该环境能够放弃特定于域的模型。为了模拟网络攻击，在设定用于网络的单个模型时添加一个攻击者，从而能够在整个模拟的框架中对攻击和其对SCADA系统的作用进行模拟。

在Rohan Chabukswar等人的总结性描述:"Simulation of NetworkAttacks on SCADA Systems",First Workshop on Secure Control Systems,CPSWeek,斯德哥尔摩,瑞典,2010四月12日(互联网:http://truststc.org/conferences/10/CPSWeek/presentations/Rohan％20Chabukswar.pdf)中可以找到。

发明内容

本发明的目的在于从SIEM系统出发，实现设施特定的动作作为对识别出的与正常状态或者行为的设施特定的偏差，而不会由此消极地影响设施的正常运行。

根据本发明其通过一种规划和工程设计方法、规划和工程设计软件工具和模拟工具实现。

此外，本发明的目的还在于一种设计和工程设计系统以及自动化系统。

在开头所述的设计和工程设计方法中，在代表自动化系统的硬件组件的对象中包含的、描述能够由组件生成的IT安全相关的事件的属性在被指派的模拟模型中被接收。通过指派给硬件组件的被输入的对象的模拟模型模拟地生成与安全相关的事件并且传输给SIEM系统以用于评估。由SIEM系统生成的评估的结果由模拟工具用于对自动化解决方案进行模拟。

通过为模拟模型扩展一个能力，从而模拟地生成与安全相关的事件，并且通过利用SIEM系统评估的SIEM相关规则将模拟工具耦合至与安全相关的事件首次实现了对与安全相关的事件，SIEM相关规则和其效果进行评估和检验，也就是例如检测或者检验是否在工程设计中实施例的与安全相关的事件也真正的被报告。

SIEM相关规则能够以优选的方式通过工程设计工具设计并且传输到SIEM系统中。与代表能够设施的被操作和被监控的组件和自动化系统的硬件组件的对象一同，该组件的性能和参数被存储到工程设计工具的数据库中。能够由硬件组件生成的与安全相关的事件也属于该参数，该事件通过属性描述。在设计和规划自动化解决方案时，对数据库进行访问；需要的组件被选择并且添加到工程设计中，其中，自动化地将所属的与安全相关的事件一同添加到工程设计中。接下来放弃用于工程设计的设施特定的SIEM相关规则，该规则以由被设计的组件生成的与安全相关的事件为基础。为了设定SIEM相关规则可以使用根据由步骤和过渡(Transitionen)产生的流程图的样板使用图表的方法。如果出现与安全相关的事件，那么执行该过渡并且实现新的步骤，其中例如可以产生新的与安全相关的事件，其有在SIEM相关规则中使用。通过对关于流程描述的相关规则的模型化可以例如也描述顺序的事件。在设施规划中的变化时，例如放弃一个组件时，那么可以简单地测定对与安全相关的事件的影响和SIEM相关规则。SIEM相关规则的设计可以继承到自动化解决方案的设计中并且借此是比之前更加设施和自动化特定和有效的。

因此如之前为SIEM相关规则所描述的那样，还能够以有利的方式将设施特定的反应设计作为对识别出的与常规状态或者行为的设施特定的偏差的反应并且传输到SIEM系统中。该SIEM系统然后有能力，即在对设施中转换的数据安全规则进行攻击或者损害时，触发通过报警引发的被设计的动作。通过将模拟工具耦合至SIEM系统能够测试该动作和对自动化解决方案的影响，或者例如为了操作人员的学习目的而接近现实地进行模拟。

由以上描述的本发明获得以下优点：

-通过结合到自动化解决方案的模拟中提供了SIEM系统的使用性并且为满足安全要求，如NAMUR要求“Security by Design”做出贡献。

-通过在设施规划的框架中使用规划工具同时将动作设计成对与安全相关的事件的反应，对由SIEM系统识别的偏差的反应被设计得比现在的系统更加设施特定的、自动化特定的和高效的。

-通过确认在使用模拟工具和在需要时的迭代的匹配对作为对与安全相关的事件的反应的设施特定的动作的效果，确保了自动化触发的动作不会消极地影响设施的正常运行。因此尤其在出现了与安全相关的事件和报警之后取消了协调成本和判断成本。此外最小化了错误判断的风险。

-可以在IT安全的角度进行考虑，其在多个作业(工艺技术、自动化技术、电子技术等等)上延伸。

-在运行前的人员培训以及在考虑到IT安全的角度的情况下的连续地在OTS系统上的设施的运行。

-SIEM系统的反应可以主动地影响管理系统，这至今出于安全的原因是不可能的。通过模拟地检验SIEM系统可以确保设施行为的系统状况的可预见性。

附图说明

此外，根据实施例对本发明进行描述，为此参考附图中的图是；图中示出：

图1是用于由具有自动化系统的过程技术设施构成的自动化解决方案的实例以及

图2用于自动化解决方案的对象模型的简化实例。

具体实施方式

图1在简化的示意图中示出了用于技术设施1的一个实例，在该技术设施中运行有过程并且通过自动化系统2进行控制。自动化系统具有多个面向过程的组件(现场设备)3，它们执行在现场层面、也就是在过程中预设的测量、控制和调节功能，并且在此尤其测定来自过程的测量参数并且通过设定干预对过程产生影响。现场设备3可以是传感器、作动器、测量数值变换器、分析设备、驱动器等等。现场设备3彼此通过通常有线连接的通信系统4来交换过程-、功能-或者设备相关的数据，并且与计算系统5在管理和规划层面交换数据，为此，现场设备3例如通过现场总线6连接至例如存储器可编程控制器(SPS)的自动化设备8的输入和输出组件7，其又分别或者通过中央的设施总线9与上级的计算系统5连接。

现场设备3、自动化设备8、输入和输出组件7以及另外的在此未示出的组件、例如像通信组件是自动化系统2的硬件组件。现场设备3本身，例如像测量数据变换器也可以表现成设施1的能够被操作和被监测的组件，例如阀10、计量器、天平或者这些装置的组合都属于该组件，它们存在紧密的过程技术上的关联，例如像造纸机的干燥组或者连续铸造机的冷却路段。

计算系统5包括规划和工程设计系统11、操作和监控系统12和SIEM系统13。规划和工程设计系统11包括规划和工程设计软件工具14，其由不同的软件工具构成，在此为规划工具15、工程设计工具16、模拟工具17和测试工具18。在图1中，软件工具14出于更好地观察的目的被作为在工程设计站上的一个框示出。不能理解为该软件工具14仅仅能够在一个计算单元上运行；当然其能够分配到不同的计算单元上。软件工具15，16，17，18能够单独地或者组合地形成。

通过设施规划工具15和工程设计工具16，通过链接图表的过程对象来设定设施的流程图，这些过程对象代表了设施1的能够被操作和被监控的装置，并且另外将其同样通过对象代表的自动化系统的硬件组件以及其通信关系来配置和参数化。

图2示出了用于自动化解决方案的对象模型的简化的实例，在该解决方案中SIEM系统13被使用。在此，与至今为止的记录不同，自动化解决方案被描述为设施。该设施由用于对设施进行设计的工程设计站ES(具有在图1中示出的规划和工程设计软件工具14)，用于操作和监控设施的操作站OS(相应于操作和监控系统12)以及自动化装置AS(具有自动化系统2的硬件组件)构成，该自动化装置对技术过程进行调节或者控制。此外，现场设备处于自动化装置的下级，利用该现场设备能够检测和调节过程值。AS，ES，OS和现场设备能够产生与安全相关的事件(SIEM事件)，其通过SIEM系统接收。该SIEM系统基于相关规则判断，哪些动作被实现作为对SIEM事件的反应。

为了能够在模拟环境中对设施(自动化解决方案)进行测试而使用了设施模拟器(相应于图1中的模拟工具17，例如西门子SIMIT)，通过该设施、也就是自动化系统2的过程和硬件组件，以下将设施模型形式的与过程相互作用的现场设备虚拟化。ES和OS尽可能不受模拟影响。为了除了自动化之外还能够对SIEM事件的处理、由此引发的动作和与之链接的设施的反应进行测试，如在此在现场设备的实例中所示的那样，为自动化系统的硬件组件的模拟模型扩展在模拟环境中生成SIEM事件的能力。此外，在模拟器中运行的模拟模型被扩展一个能力，以接收SIEM事件并且将其通过耦合连接传输至SIEM系统。除了从设施模拟器向SIEM系统传输SIEM事件之外，通过设施模拟器也能够接收和处理作为对获得的模拟过的SIEM事件的反应的SIEM系统的动作。在设施模拟器中对SIEM动作的处理包括对动作进行确认，也就是是否SIEM系统正确地对SIEM事件做出了反应，还有出于培训目的的相应虚拟化。