專利名稱:用于對自動化設備進行計算機輔助設計的方法
技術領域:
本發(fā)明涉及一種用于對自動化設備進行計算機輔助設計的方法。
背景技術:
從現(xiàn)有技術中已知,為設計自動化設備使用相應的工程工具。所述工具存儲在計算機單元上并且為用戶實現(xiàn)通過經(jīng)由用戶接口進行的交互根據(jù)對設備的要求適當?shù)刂付ㄓ上鄳膬x器構建自動化設備和所述儀器經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng)。通常在自動化設備中需要:確定設備中的儀器之間的特定的通信關系,以便滿足安全的通信要求。特別地,通常僅應當允許特定自動化單元之間的數(shù)據(jù)交換,以便由此避免自動化設備工作時的誤用。常規(guī)地,用戶除工程工具之外必須調用單獨的工具,用戶然后在所述單獨的工具中基于預設的通信關系手動地輸入通信部件的適當?shù)膶Π踩匾呐渲脜?shù),經(jīng)由所述配置參數(shù)能夠轉換期望的通信。
發(fā)明內(nèi)容
本發(fā)明的目的是,提供一種用于對自動化設備進行計算機輔助設計的方法,借助所述方法能夠以簡單的方式考慮自動化設備的儀器之間的通信關系。所述目的通過根據(jù)一種用于對自動化設備進行計算機輔助設計的方法實現(xiàn),其中計算機單元在用戶接口上輸出對所述自動化設備的至少一部分進行的指定(Specifikation),其中所述指定包括所述自動化設備的儀器和使所述儀器經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng);所述計算機單元檢測所述用戶接口上的一個或多個用戶輸入,借助于所述用戶輸入以與通信關系相關的方式指定在所述通信網(wǎng)絡中的所述儀器之間的允許的和/或禁止的通信;所述計算機單元根據(jù)所述通信關系為所述儀器的至少一部分的通信部件確定安全配置參數(shù),其中一個或多個屬于相應的通信部件的所述安全配置參數(shù)能夠通過相應的所述通信部件來處理;或者所述目的根據(jù)一種用于對自動化設備進行計算機輔助設計的裝置實現(xiàn),所述裝置包括計算機單元和用戶接口,所述計算機單元和用戶接口構成為,使得所述裝置在工作時所述計算機單元在所述用戶接口上輸出對所述自動化設備的至少一部分進行的指定,其中所述指定包括所述自動化設備的儀器和使所述儀器經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng);所述計算機單元檢測所述用戶接口上的一個或多個用戶輸入,借助于所述用戶輸入以與通信關系相關的方式指定在所述通信網(wǎng)絡中的所述儀器之間的允許的和/或禁止的通信;所述計算機單元根據(jù)所述通信關系為所述儀器的至少一部分的通信部件確定安全配置參數(shù),其中一個或多個屬于相應的通信部件的所述安全配置參數(shù)能夠通過相應的所述通信部件處理;或者所述目的根據(jù)一種計算機程序產(chǎn)品實現(xiàn),所述計算機程序產(chǎn)品具有存儲在機器可讀的載體上的程序編碼以用于當在具有用戶接口的計算機單元上執(zhí)行所述程序編碼時,執(zhí)行上述方法;或者所述目的根據(jù)一種計算機程序實現(xiàn),所述計算機程序用于當在具有用戶接口的計算機單元上運行所述程序時,執(zhí)行上述方法。在本文中限定本發(fā)明的改進形式。根據(jù)本發(fā)明的方法用于對自動化設備進行計算機輔助設計。自動化設備能夠為任意的工業(yè)自動化系統(tǒng),例如為用于生產(chǎn)自動化的設備或用于過程自動化的設備。在根據(jù)本發(fā)明的方法中,計算機單元輸出對自動化設備的至少一部分進行的指定。指定在此包括自動化設備的儀器和使儀器經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng)。此外,計算機單元檢測用戶在用戶接口上的一個或多個輸入。借助于所述輸入,通過用戶以與通信關系相關的方式指定在通信網(wǎng)絡中的儀器之間的允許的和/或禁止的通信。因此根據(jù)本發(fā)明,利用計算機單元在自動化設備的經(jīng)由用戶接口執(zhí)行的創(chuàng)建或改變時執(zhí)行所述方法。在此,除通信關系之外,必要時也能夠經(jīng)由用戶輸入來改變自動化設備的其他特征,尤其儀器和其聯(lián)網(wǎng)。在該方法的范圍內(nèi),計算機單元根據(jù)通信關系自動地確定儀器的至少一部分的通信部件的安全配置參數(shù),其中能夠通過相應的通信部件處理一個或多個屬于相應通信部件的安全配置參數(shù)。術語安全配置參數(shù)在此和下文中能夠廣義地理解并且能夠涉及任意類型的確定自動化設備中的訪問限制的配置參數(shù)。根據(jù)本發(fā)明的方法的特征在于,儀器之間的相應的通信關系自動地由這種通信部件轉換成適當?shù)陌踩渲脜?shù),所述安全配置參數(shù)能夠允許或封鎖相應的通信。因此,通過計算機單元分析儀器的聯(lián)網(wǎng),以便確定對相應的通信關系重要的通信部件并且為所述通信部件確定適當?shù)陌踩渲脜?shù)。那么,能夠在自動化設備實際工作時由通信部件處理安全配置參數(shù)。根據(jù)本發(fā)明,不通過用戶手動地執(zhí)行將通信關系相應地映射到安全配置參數(shù)上、而是經(jīng)由適當?shù)挠嬎銠C程序來執(zhí)行。在此,相應的計算機程序的創(chuàng)建取決于用于描述通信關系或安全配置參數(shù)的句法。這種程序的創(chuàng)建能夠在本領域技術人員的認知范圍中容易地實現(xiàn)。根據(jù)本發(fā)明的方法具有下述優(yōu)點,在統(tǒng)一的工程學的范圍內(nèi),能夠在包含對于用于通信的通信部件的相應的安全要求的情況下創(chuàng)建自動化設備。特別地,不再需要使用者手動地指定自動化設備的通信部件的安全配置參數(shù)。相反地,在規(guī)劃自動化設備時已經(jīng)生成所述信息。因此,在自動化設備起動時,通過計算機單元確定的安全配置參數(shù)能夠經(jīng)由適當?shù)难b載功能傳輸?shù)较鄳耐ㄐ挪考?,使得在設備工作時建立期望的通信關系。根據(jù)本發(fā)明的方法能夠用于任意的通信標準,設備的各個儀器經(jīng)由所述通信標準通信。在一個尤其優(yōu)選的實施形式中,設備的儀器經(jīng)由基于以太網(wǎng)的網(wǎng)絡彼此連接,尤其是基于自身已知標準的工業(yè)以太網(wǎng)和/或Profinet。通信部件根據(jù)使用情況能夠是不同的,借助于所述通信部件轉換通信關系。在一個優(yōu)選的實施形式中,在此為一個或多個防火墻或NAT-路由器(NAT=Network AddressTranslation,網(wǎng)絡地址轉譯)。在自動化設備中構建的儀器同樣也能夠構成為是不同的。優(yōu)選地為一個或多個現(xiàn)場儀器和/或為一個或多個尤其是可編程邏輯控制器(SPS=可編程邏輯控制器)的控制器和/或為一個或多個以太網(wǎng)交換機。所述部件是自動化設備的自身已知的儀器。在此,現(xiàn)場儀器尤其為傳感器和/或執(zhí)行器以用于執(zhí)行自動化設備的相應的過程或用于檢測設備的測量值。優(yōu)選地,在此經(jīng)由控制器來控制一組現(xiàn)場儀器。經(jīng)由以太網(wǎng)交換機實現(xiàn)現(xiàn)場儀器或控制器之間的連接。經(jīng)由用戶輸入確定的通信關系能夠根據(jù)使用情況而在其細化程度中進行區(qū)分。所述通信關系至少確定,是否應當允許和/或應當禁止兩個或更多儀器之間的特定的通信。此外,通信關系在此能夠至少部分地包含:預設的儀器相互間的尤其是單向的和/或雙向的訪問以及/或者讀和/或寫訪問的訪問類型;和/或用于預設的儀器之間通信的端口。根據(jù)使用的通信標準或根據(jù)使用的通信部件,安全配置參數(shù)也能夠構成是不同的。特別地,安全配置參數(shù)能夠包括一個或多個訪問列表和/或防火墻規(guī)則和/或用于VPN連接規(guī)則(VPN=Virtual Private Network,虛擬專用網(wǎng)絡)。優(yōu)選地,利用儀器的IP地址或名稱來指定安全配置參數(shù)。在本發(fā)明的另一個優(yōu)選的實施形式中,在以與通信關系相關的方式經(jīng)由用戶接口指定允許的和/或禁止的通信關系之前,還執(zhí)行用戶認證。以該方式能夠將通信關系的對安全關鍵的確定僅限制于預設的用戶范圍。在另一個尤其優(yōu)選的實施形式中,在根據(jù)本發(fā)明的方法的范圍內(nèi),使用圖形用戶界面形式的用戶接口,經(jīng)由所述用戶接口能夠簡單地并且直觀地對相應的自動化設備或儀器相互間的通信關系進行規(guī)劃。除上述方法之外,本發(fā)明還涉及一種用于對自動化設備進行計算機輔助設計的裝置,所述裝置包括計算機單元和用戶接口,所述計算機單元和用戶接口構成為,使得在所述裝置工作時能夠執(zhí)行根據(jù)本發(fā)明的方法或根據(jù)本發(fā)明的方法的一個或多個優(yōu)選的變型形式。此外,本發(fā)明涉及一種計算機程序產(chǎn)品,所述計算機程序產(chǎn)品具有存儲在機器可讀的載體上的程序編碼以用于在具有用戶接口的計算機單元上執(zhí)行程序編碼時,執(zhí)行根據(jù)本發(fā)明的方法或根據(jù)本發(fā)明的方法的一個或多個優(yōu)選的變型形式。此外,本發(fā)明包括一種計算機程序,當程序在具有用戶接口的計算機單元上運行時,所述計算機程序用于執(zhí)行根據(jù)本發(fā)明的方法或根據(jù)本發(fā)明的方法的一個或多個優(yōu)選的變型形式。
下面根據(jù)附圖1詳細地描述本發(fā)明的一個實施例。所述圖示出自動化設備的以根據(jù)本發(fā)明的方法的實施形式為基礎來設計的一部分的經(jīng)由用戶接口描述的圖示。
具體實施例方式基于所謂的工程工具來闡明本發(fā)明的以下闡明的實施形式,相應的用戶借助于所述工程工具能夠經(jīng)由在圖形用戶界面上的交互指定自動化設備的結構和其聯(lián)網(wǎng)。在此工程工具運行在計算機單元上,所述計算機單元與監(jiān)視器連接,在所述監(jiān)視器上描述工具的圖形用戶界面。在圖1中描述經(jīng)由工程工具規(guī)劃的自動化設備的一部分。設備包括三個可編程邏輯控制器C01、C02和C03、多個現(xiàn)場儀器FG、三個以太網(wǎng)交換機ES1、ES2和ES3以及表示為計算機的接口 OP (OP=Operator Panel,操作面板)形式的相互聯(lián)網(wǎng)的儀器,經(jīng)由所述接口,操作者能夠監(jiān)視和控制自動化設備。在圖1中示出的線是通信線路,儀器能夠經(jīng)由所述通信線路彼此通信。由此形成的優(yōu)選基于以太網(wǎng)的通信網(wǎng)絡包括三個子網(wǎng)絡SN1、SN2和SN3。子網(wǎng)絡SNl包括可編程邏輯控制器COl和三個現(xiàn)場儀器FG并且經(jīng)由以太網(wǎng)交換機ESl與網(wǎng)絡的其余部分連接。子網(wǎng)絡SN2包括經(jīng)由以太網(wǎng)交換機ES2與網(wǎng)絡的其余部分連接的三個現(xiàn)場儀器FG和可編程邏輯控制器C02。類似地,子網(wǎng)絡SN3包含可編程邏輯控制器C03以及三個現(xiàn)場儀器FG和建立與通信網(wǎng)絡的其余部分的連接的以太網(wǎng)交換機ES3。在圖1中使用的附圖標記用于指定各個儀器并且沒有包含在原始的圖示中。替代于此,圖示與其他信息相關地示出各個儀器或者子網(wǎng)絡的儀器類型和IP地址,然而其在圖1中出于可視性沒有描述。在圖1中示出的設備中,以太網(wǎng)交換機ES I至ES3分別包含防火墻FWl、FW2或FW3。以所述防火墻為基礎,能夠在設備中實現(xiàn)安全功能。特別地,能夠根據(jù)要求確保只有特定的子網(wǎng)絡能夠相互通信。在此,各個子網(wǎng)絡例如是自動化設備的預設的自動化單元,所述自動化單元應根據(jù)使用情況而僅與特定的其他的自動化單元交換信息。在常規(guī)的工程工具中,雖然能夠規(guī)劃自動化設備的各個儀器和其聯(lián)網(wǎng),然而必須調用單獨的工具以對相應的通信關系進行規(guī)劃,因此在所述單獨的工具中基于期望的通信關系通過用戶手動地輸入通信部件的相應的安全配置參數(shù),經(jīng)由所述安全配置參數(shù)轉換儀器間的通信關系。在此,通信部件為設備的儀器中的、相應的、提供安全功能的組件。在圖1的實施形式中,防火墻FW1、FW2和FW3是這種通信部件的實例。因此常規(guī)的是,必須以要實現(xiàn)的通信關系為基礎手動地將各個防火墻FWl至FW3的相應的防火墻規(guī)則輸入到用于規(guī)劃通信部件的單獨的工具中。與此不同地,在根據(jù)本發(fā)明 的工程工具中,順帶記錄并且自動地執(zhí)行相應的通信部件的規(guī)劃。在此,用戶具有經(jīng)由用戶界面適當?shù)剌斎雰x器間的相應的通信關系的可能性。在圖1的實施形式中,如通過雙向箭頭Pl和P2所表明的,用戶在此指定可編程邏輯控制器COl和C03之間允許的通信以及可編程邏輯控制器C02和C03之間的允許的通信。因此,能夠以圖形的方式經(jīng)由相應的箭頭確定通信關系,其中也能夠以其他方式進行所述圖形的確定。在圖1的實施形式中,通過雙向箭頭表明,經(jīng)由雙向箭頭連接的儀器能夠雙向地相互通信。必要時,用戶也能夠指定其他類型的通信關系、尤其指定單向的通信,那么通過適當?shù)膯渭^表明所述單向通信。必要時,同樣能夠以適合于通信關系的方式指定其他信息,例如相應的端口或寫和/或讀訪問的形式的訪問類型,其中通信應當經(jīng)由所述端口進行。同樣也能夠根據(jù)使用情況指定:必須經(jīng)由哪個插入的儀器進行通信。然而在圖1的實施形式中,經(jīng)由雙向箭頭只確定:允許控制器COl和C03之間以及C02和C03之間的雙向通信。由于存在子網(wǎng)絡SNl至SN3的所使用的防火墻FW1、FW2和FW3,對于通信關系而言首先調整為標準的是:各個子網(wǎng)絡不能夠相互通信。以經(jīng)由箭頭Pl和P2指定的通信關系為基礎,從現(xiàn)在開始通過工程工具自動地分析自動化設備的通信結構。在此確定,能夠經(jīng)由以太網(wǎng)交換機ES I和ES3建立可編程邏輯控制器COl和C03之間的連接,這通過箭頭ΡΓ表明。此外確定,能夠經(jīng)由以太網(wǎng)交換機ES2和ES3建立可編程邏輯控制器C02和C03之間的通信,這通過箭頭P2’表示。工程工具識別出,各個以太網(wǎng)交換機ESl至ES3包含相應的防火墻FWl至FW3,并且因此執(zhí)行防火墻的適當?shù)呐渲?,使得能夠實現(xiàn)控制器COl和C03之間以及C02和C03之間在雙向方向上的通信。為此,以自身已知的方式將適當?shù)姆阑饓σ?guī)則存儲在各個防火墻中,借助于所述防火墻規(guī)則允許經(jīng)由因特網(wǎng)地址指定的以太網(wǎng)交換機間的訪問。在此也確保,此外禁止控制器COl和控制器C02之間的通信。那么,相應的防火墻規(guī)則存儲在工程工具中。如果最終在隨后的時間點使以所述工具為基礎設計的自動化設備工作,那么能夠經(jīng)由工具的裝載功能將相應的規(guī)劃信息分配到全部必要的儀器上。所述信息從現(xiàn)在開始也包括防火墻的自動創(chuàng)建的安全配置參數(shù),那么經(jīng)由所述安全配置參數(shù)設立儀器間的通信關系O基于防火墻形式的通信部件的配置闡明了本發(fā)明的在上面描述的實施形式。然而,本發(fā)明也能夠用于自動化設備的相應的儀器中的任意其他通信部件。特別地,能夠替代使用在以太網(wǎng)交換機中的防火墻或者除此之外也存在NAT路由器(NAT=Network AddressTranslation,網(wǎng)絡地址轉譯),因此同樣為所述NAT路由器確定適當?shù)陌踩渲脜?shù)。借助于所述路由器實現(xiàn),在子網(wǎng)絡之外使用的IP地址映射到子網(wǎng)絡之內(nèi)的本地IP地址上。根據(jù)本發(fā)明的方法具有一系列的優(yōu)點。特別地,能夠為自動化設備的相應的儀器之間的安全的通信關系實現(xiàn)快速的并且低成本的起動。在此不需要專業(yè)知識,因為工程工具本身根據(jù)由用戶指定的通信關系自行預先規(guī)定對相應的通信部件的必要調整。由此,能夠通過工程工具確保一致地規(guī)劃自動化設備和自動地調整不同用戶的規(guī)劃數(shù)據(jù)。
權利要求
1.用于對自動化設備進行計算機輔助設計的方法,其中 -計算機單元在用戶接口上輸出對所述自動化設備的至少一部分進行的指定,其中所述指定包括所述自動化設備的儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)和使所述儀器(C01,C02,C03, ESI, ES2,ES3,F(xiàn)G)經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng); -所述計算機單元檢測所述用戶接口上的一個或多個用戶輸入,借助于所述用戶輸入以與通信關系相關的方式指定在所述通信網(wǎng)絡中的所述儀器(COl,C02,C03,ES I,ES2,ES3,F(xiàn)G)之間的允許的和/或禁止的通信(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G); -所述計算機單元根據(jù)所述通信關系確定所述儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)的至少一部分的通信部件(FW1,F(xiàn)ff2, Fff3)的安全配置參數(shù),其中一個或多個屬于相應的通信部件(FW1,F(xiàn)W2,F(xiàn)ff3)的所述安全配置參數(shù)能夠通過相應的所述通信部件(FWl,F(xiàn)W2,F(xiàn)ff3)來處理。
2.根據(jù)權利要求1所述的方法,其中所述通信網(wǎng)絡是基于以太網(wǎng)的網(wǎng)絡,尤其是基于工業(yè)以太網(wǎng)和/或Profinet的網(wǎng)絡。
3.根據(jù)權利要求1或2所述的方法,其中所述通信部件包括一個或多個防火墻(FW1,F(xiàn)ff2, Fff3)和/或網(wǎng)絡地址轉譯路由器。
4.根據(jù)上述權 利要求之一所述的方法,其中所述儀器(C01,C02,C03, ESI, ES2,ES3,F(xiàn)G)包括一個或多個現(xiàn)場儀器(FG)和/或一個或多個控制器(C01,C02,C03)和/或一個或多個以太網(wǎng)交換機(ESI,ES2,ES3)。
5.根據(jù)上述權利要求之一所述的方法,其中所述通信關系至少部分地包含:預設的儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)相互間的訪問類型,所述訪問類型尤其是單向的和/或雙向的訪問以及/或者讀和/或寫訪問;和/或要用于預設的儀器之間的通信的端口。
6.根據(jù)上述權利要求之一所述的方法,其中所述安全配置參數(shù)包括一個或多個訪問列表和/或防火墻規(guī)則和/或用于虛擬專用網(wǎng)絡連接的規(guī)則。
7.根據(jù)上述權利要求之一所述的方法,其中所述安全配置參數(shù)利用所述儀器(C01,C02, C03, ESI, ES2, ES3, FG)的 IP 地址來確定。
8.根據(jù)上述權利要求之一所述的方法,其中在經(jīng)由所述用戶接口以與通信關系相關的方式指定允許的和/或禁止的通信(C01,C02,C03, ESI,ES2,ES3,F(xiàn)G)之前,執(zhí)行用戶認證。
9.根據(jù)上述權利要求之一所述的方法,其中所述用戶接口包括圖形用戶界面。
10.用于對自動化設備進行計算機輔助設計的裝置,所述裝置包括計算機單元和用戶接口,所述計算機單元和用戶接口構成為,使得在所述裝置工作時 -所述計算機單元在所述用戶接口上輸出對所述自動化設備的至少一部分進行的指定,其中所述指定包括所述自動化設備的儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)和使所述儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng); -所述計算機單元檢測所述用戶接口上的一個或多個用戶輸入,借助于所述用戶輸入以與通信關系相關的方式指定在所述通信網(wǎng)絡中的所述儀器(COl,C02,C03,ES I,ES2,ES3,F(xiàn)G)之間的允許的和/或禁止的通信(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G); -所述計算機單元根據(jù)所述通信關系確定所述儀器(C01,C02, C03, ESI, ES2,ES3,F(xiàn)G)的至少一部分的通信部件(FW1,F(xiàn)ff2, Fff3)的安全配置參數(shù),其中一個或多個屬于相應的通信部件(FW1,F(xiàn)W2,F(xiàn)ff3)的所述安全配置參數(shù)能夠通過相應的所述通信部件(FWl,F(xiàn)W2,F(xiàn)ff3)處理。
11.根據(jù)權利要求10所述的裝置,所述裝置構成為用于執(zhí)行根據(jù)權利要求2至9之一所述的方法。
12.計算機程序產(chǎn)品,所述計算機程序產(chǎn)品具有存儲在機器可讀的載體上的程序編碼以用于當在具有用戶接口的計算機單元上執(zhí)行所述程序編碼時,執(zhí)行根據(jù)權利要求1至9之一所述的方法。
13.計算機程序,所述計算機程序用于當在具有用戶接口的計算機單元上運行所述程序時,執(zhí)行根據(jù)權利 要求1至9之一所述的方法。
全文摘要
本發(fā)明涉及一種用于對自動化設備進行計算機輔助設計的方法。在根據(jù)本發(fā)明的方法中,計算機單元在用戶接口上輸出對自動化設備的至少一部分進行的指定,其中指定包括自動化設備的儀器和使儀器經(jīng)由通信網(wǎng)絡的聯(lián)網(wǎng)。此外,計算機單元檢測用戶在用戶接口上的一個或多個輸入,借助于所述輸入以與通信關系相關的方式指定在通信網(wǎng)絡中的儀器之間允許的和/或禁止的通信。在此,計算機單元根據(jù)通信關系確定儀器的至少一部分的通信部件的安全配置參數(shù),其中一個或多個屬于相應的通信部件的安全配置參數(shù)能夠通過相應的通信部件來處理。
文檔編號G06F17/50GK103218472SQ20131002175
公開日2013年7月24日 申請日期2013年1月21日 優(yōu)先權日2012年1月19日
發(fā)明者邁克·哈弗坎普, 克里斯蒂安·托伊費爾 申請人:西門子公司