现场设备、改装模块、设置IT安全等级的方法及计算机程序代码与流程

现场设备、改装模块、设置it安全等级的方法及计算机程序代码


背景技术：

1.在现有技术中已知有各种类型的现场设备。
2.在此，术语“现场设备”涵盖了与生产过程直接相关的各种技术设备。因此，现场设备可以特别是致动器、传感器和测量转换器和/或评估设备。
3.在本技术使用的术语中，必须将分配给控制室区域的上级单元与现场设备明确地区分开。
4.迄今为止，用于过程自动化的已知现场设备仅具有用于实现it安全方面的特定于制造商的定义设备和方法。各个国家的最新法律规定要求对关键基础设施(kritis)实施预定的安全等级(sl)。
5.多年来，现场设备作为过程测量设备一直在各种应用中可靠地测量介质的与过程相关的测量变量。在过程控制技术的早期，确定的测量值主要通过模拟接口(例如，4
‑
20ma接口)以模拟的方式从过程测量设备传输到上级单元(例如，评估设备或过程控制中心)。在数字化的过程中，通过额外地施加数字信号(例如，根据hart标准)扩展了该标准，由此使得过程测量设备与过程控制中心之间能够进行双向通信。然而，这种过程控制系统的特征在于，设备基本上是孤立运行的。未提供在不同位置或不同公司的不同过程控制系统之间的连接或到万维网的系统连接。
6.近年来，特别是随着第四次工业革命(工业4.0)的到来，已证明有必要通过更高程度的联网(例如，通过万维网)来将整个过程控制系统甚至整个生产现场相互链接。然而，与此伴随的工业it系统和办公it系统的联网特别是在it安全领域中带来了一系列新的挑战，这使得迫切地需要继续发展现有的设备和部件。
7.最近可用的自给式现场设备(特别是自给式传感器)导致了另一应用领域。传感器(即，该产品系列的现场设备)的特征在于特别简单的安装且无需通信线或电源线。通常使用窄带无线电技术(lora、sigfox、nb
‑
iot)将这些现场设备确定的测量值传输到云端(即，万维网上的服务器)。这种现场设备的典型应用场景包括诸如洪水预报、库存管理或其他分散分布式测量任务等领域。由于直接连接到万维网，这种现场设备本身就面临着来自网络的黑客攻击的永久威胁。
8.为了在将来也确保生产系统的可用性，各个行业目前正在制定标准，这些标准旨在加强过程控制系统的部件对意外或故意发起的外部攻击的恢复力，并因此提高现场设备的可用性，从而确保工厂操作员的生产率。
9.此外，立法机关还为设备的运营商和制造商制定了新的要求，这些要求旨在使诸如能源(电、天然气、石油)、运输(天空、铁路、水路、道路)、饮用水供应等关键基础设施(kritis)或数字基础设施能够抵御意外或故意的黑客攻击。为此，例如，一个示例是由欧洲议会通过的第2016/1148号指令(nis指令)，此后该指令被欧盟成员国实施为国家法律。
10.根据各自使用场所的危险情况，现有的网络安全标准(例如，iec62443、iso 27001)要求在此处使用的设备需满足标准化的it安全等级，也称为安全等级(sl)。
11.例如，iec 62443(自08/2013起)定义了以下安全等级，这些安全等级根据攻击者使用的手段、使用的物质和财政资源、技术技能和潜在动机进行了分类。
[0012][0013]
在此，安全等级sl0是纯理论构想，其中，不存在损害或篡改风险，并因此无需采取任何措施。
[0014]
安全等级sl1描述了系统避免意外和非故意的损害或篡改的能力。
[0015]
安全等级sl2描述了系统抵御具有一般安全知识的感兴趣者和公司的故意篡改的能力。
[0016]
安全等级sl3描述了系统抵御专家和公司的故意篡改的能力，这些专家和公司开发并使用了具有明确目标的有效但成本导向的攻击方案。
[0017]
安全等级sl4描述了系统抵御专家组织的故意篡改的能力，这些专家关注于以几乎任何价格达到特定选择的目标。
[0018]
在实现这些安全等级时，可以合并各个安全等级，或将额外的安全等级作为中间等级包含在内。
[0019]
对于现场设备的制造商，特别是对于物位和压力传感器的制造商，这些框架条件使得有必要在开发期间以及在随后的现场设备操作期间通过相应实现的硬件和软件部件的交互，以适当的方式实现以不同(行业特定)标准和法律为依据的it安全要求。
[0020]
这种扩展措施的实施通常需要将额外的硬件部件和/或额外的软件部件集成到现场设备中。因此，设备的能耗有时随之显著增加，这特别在电池供电型现场设备中可能缩短使用寿命或至少缩短必要维护周期之间的时间间隔。
[0021]
此外，存在的问题在于，必须在技术上考虑分别定义了it安全等级sl的行业特定标准。此外，必须考虑立法机关的不同规定。
[0022]
一种明显的解决方案是有针对性地为不同行业提供分别需要在技术上考虑行业特定的it安全等级sl的设备。为了例如为精炼厂内的所有可能应用情况做准备，理论上还必须为客户需要的每个it安全等级提供不同的设备。显然，这种方法显著增加了设备变型的多样性，并因此使相应现场设备的开发和制造变得不经济。反之，如果仅提供实现最高安全等级的特定于行业的单个设备，则这将导致高昂的硬件成本和高能耗，并降低设备操作时的人体工程学。


技术实现要素：

[0023]
本发明的目的是进一步开发现场设备，使得其能减少现有技术中已知的问题。
[0024]
该目的通过具有权利要求1的特征的现场设备、具有权利要求12的特征的改装模块、具有权利要求16的特征的方法以及具有权利要求22的特征的计算机程序代码来实现。
[0025]
根据本发明的过程自动化技术的现场设备包括具有至少一个通信接口的现场设备电子器件，该现场设备包括具有多个功能单元的安全模块，该多个功能单元用于实现多个不同水平的预定it安全等级，其中，安全模块还包括用于选择it安全等级的选择元件，其中，根据选择，激活用于实现所选择的it安全等级所需的功能单元，且/或停用不需要的功能单元。
[0026]
本发明的基本思想是设计现场设备使得它们能够实现不同的预定it安全等级。
[0027]
根据本发明的现场设备能够以此方式用于一个以上的安全等级，从而可以选择并使用适用于计划使用的安全等级以及由此预定的it安全要求。以此方式，用户例如不必接受任何不必要的易用性损失。此外，现场设备始终仅消耗相应it安全等级所需的能量，因此特别是能量自给地操作的设备不会消耗不必要的能量。
[0028]
在这种情况下，用于实现多个预定的it安全等级的多个功能单元意味着至少两个不同的it安全等级可以由至少两个功能单元来实现。
[0029]
在本技术中，功能单元应理解为以硬件或软件实现的功能块，这些功能块对于遵守预定的it安全等级具有决定性的作用。特别地，在至少一个功能单元中，不同水平的it安全等级有所不同，即，至少一个功能单元在实现一个it安全等级时被激活或停用，而在实现另一it安全等级时未被相应地激活或停用。优选地，至少一个功能单元以硬件实现，并且至少一个功能单元以软件实现。
[0030]
本技术所基于的it安全等级可以与it安全的各个方面相关，并且可以通过在本技术的功能单元中概述的各种措施来实现。
[0031]
此外，可以以作为本发明主题的it安全等级实现的it安全的各方面包括用户、设备和软件的识别和认证的各种等级、使用控制、现场设备在认证和完整性方面的通信保护以及例如所需的响应时间。
[0032]
在现场设备的一实施例中，安全模块被设计为使得可以选择一次it安全等级。在这种情况下，这意味着可以选择一次it安全等级，并然后确定该it安全等级(即，不可更改)。特别地，可以由用户选择一次it安全等级。这意味着处于交付状态的现场设备不能具有it安全等级或具有可由制造商指定的任何it安全等级，然后可以由用户更改一次该it安全等级。
[0033]
在此，特别地，用户的一次选择可以意味着后续用户不能更改it安全级别。在某些实施例中，可以区分it安全等级的用户侧更改和it安全等级的管理员侧更改。这意味着在一实施例中，即使在运行时初始设置之后，管理员还可以随后更改it安全等级。然而，为此，例如除了作为管理员的认证之外，这只能通过设备专用的解锁代码和/或制造商侧的额外许可来实现。
[0034]
为了确保只能以期望的安全等级操作现场设备，可以将安全模块设计为在现场设备运行时能够且特别是需要选择it安全等级。
[0035]
以此方式，可以促使设备的操作员在运行新的现场设备时选择适当的安全等级。
然后，在运行过程中进行设置和确定。作为上述过程的补充或替代，it安全等级的后续更改可以与现场设备至出厂设置(即，交付状态)的复位相结合，并因此与重新运行相结合。
[0036]
为了排除篡改，可以将安全模块设计为仅在现场设备的首次运行时才能选择it安全等级。
[0037]
这例如可以通过将选择元件设计成机械不可逆来实现。选择元件的机械不可逆的设计可以例如通过适当地锁定已进行的一次设置来进行。例如，这种锁定可以被设计为使得选择元件只能向更高的it安全等级进行更改。替代地，选择元件也可以机械地固定，例如粘附或以其他方式进行固定。额外地或替代地，机械的选择元件也可以具有预设的断裂位置，即，当在用户首次设置it安全等级时，选择元件在设置后在该预设的断裂位置处折断，并因此不能后续改变it安全等级。
[0038]
额外地或替代地，安全模块可以被设计为使得it安全等级的选择是电子不可逆的。这可以例如通过在第一次读出选择元件之后中断为此所需的电连接来实现。例如，这可以通过有针对性地中断安装在此处的保险丝或通过以其他方式破坏选择元件的电气可读性来实现。额外地或替代地，当设置it安全等级时，为了实现选择的it安全等级而停用的功能元件还可以通过永久中断与这些功能元件的电连接来防止重新激活。
[0039]
例如，为了实现确定的it安全等级，可以禁用无线电接口。在上述实施例中，可以例如通过永久中断与无线电接口的电连接，或者例如通过有针对性地使传输元件失灵来防止重新激活无线电接口。
[0040]
额外地或替代地，安全模块可以被设计为使得it安全等级的选择在软件技术上是不可逆的。例如，在成功设置it安全等级之后，可以删除或以其他方式更改程序代码的用于实现选择元件的读出和it安全等级的设置的一部分，使得不能再次读出选择元件。在该实施例中，然后可以将选择元件调节为选择与设置的it安全等级不同的it安全等级(如果在这一点上未被阻止的话)，但是不再读出更改的选择并因此未调节it安全等级。
[0041]
为了确保一次选择的it安全等级至少不降低，即不会随后选择具有更低it安全水平的it安全等级，现场设备可以在交付时具有最低的it安全等级，并将安全模块设计为只能提高it安全等级。该功能不仅可以通过硬件(例如，选择元件)的适当设计实现，而且还能通过适当的软件实施来实现。
[0042]
替代地，还可能以最高的it安全等级交付现场设备，并且只能降低it安全等级。
[0043]
在一实施例中，选择元件可以被设计为硬件开关，优选为滑动开关或旋转开关。通过这种硬件开关可以直观且用户友好地选择it安全等级。以硬件实现的选择元件的实施例可以形成对基于网络的攻击的有效保护，并因此有助于现场设备的保护。
[0044]
在另一实施例中，选择元件可以被设计为现场设备的用户界面中的选择菜单。现场设备的运行过程通常包括各种参数化步骤，it安全等级的选择能够以此方式无缝地插入到该参数化步骤中。
[0045]
在现场设备的一实施例中，选择元件可以控制多路复用器，该多路复用器至少在交付状态下连接到用于实现it安全等级的功能单元。以此方式，可以通过对多路复用器的适当控制来激活或停用用于实现it安全等级的各种功能单元。
[0046]
在一实施例中，现场设备可以包括应用单元。这种应用单元可以例如被适当地设计为用于记录运行国家(通常与显示单元的语言选择相结合)和操作员的相应行业。内置在
现场设备中的安全等级确定设备可以据此并且必要时根据其他请求信息独立地确定哪种最小安全等级sl适用于相应的应用情况，并在运行时建议该最小安全等级sl。例如，在一个欧洲国家的饮用水存储器内运行的情况下，现场设备因此可以独立地确定关键基础设施(kritis)的设备内的操作在此是期望的，例如可能需要it安全等级sl3下的操作。除了建议之外，还可以进行设置，使得仅可以提高it安全等级，但防止更低的it安全等级，或者至少需要利用具有增加的访问权限的用户进行认证。
[0047]
本发明涉及一种用于过程自动化技术的现场设备的改装模块，该现场设备包括具有至少一个通信接口的现场设备电子器件，其中，改装模块包括安全模块，其中，安全模块包括用于选择it安全等级的选择元件，其中，现场设备电子器件和/或安全模块包括用于实现多个不同水平的预定it安全等级的多个功能单元，其中，安全模块与现场设备电子器件相互作用，以激活所述实现所需的功能单元，且/或停用不需要的功能单元。
[0048]
因此，相应的改装模块可以实现不同水平的it安全等级并选择期望的it安全等级。在此，改装模块还可以实现在没有改装模块的情况下无法实现的it安全等级。
[0049]
例如，由改装模块实现的安全等级的特征可以是通信的基于硬件或软件的签名或加密，用于用户认证或用户管理的第二因素的基于硬件或软件的实现。此外，这种改装模块还可以包括用于现有的现场设备的固件更新。例如，通过现场设备的这种固件更新可以确保现场设备电子器件根据所选择的安全等级仅接受确定的通信路径、远程站点或扩充模块，且/或拒绝改装模块的卸载。
[0050]
如针对根据本发明的现场设备所已经说明，改装模块可以包括确保不可逆地确定安全等级的各种机构。
[0051]
在一实施例中，改装模块可以包括用于数据签名和/或数据加密的加密模块。在此，加密模块可以实现基于软件或硬件的数据签名，以确保数据完整性，即保护数据不被更改和/或加密数据以保护数据免受未经授权的访问。这既可以用于数据的本地存储，也可以用于数据到上级单元的传输。
[0052]
在另一实施例中，改装模块包括用于将现场设备的数据传输到上级单元的通信模块。例如，这种通信模块能够以已知方式建立与其他设备的安全通信。替代地，也可以建立与其他的特定于制造商的设备的专有通信，以确保安全的通信。
[0053]
在另一实施例中，改装模块包括认证模块。认证模块可以例如实现用户认证和/或用户管理以及相关密码管理。在此，用户认证不仅可以包括对操作人员的认证，而且还可以包括对授权操作设备和/或通信伙伴的认证。
[0054]
在一实施例中，改装模块可以包括应用单元。这种应用单元可以例如被适当地设计为用于记录运行国家(通常与显示单元的语言选择相结合)和操作员的相应行业。据此并且在必要时根据其他请求信息，内置在现场设备中的安全等级确定设备可以独立地确定哪种最小安全等级sl适用于相应应用情况，并在运行时建议该最小安全等级sl。例如，在一个欧洲国家的饮用水存储器内运行的情况下，现场设备因此可以独立地确定关键基础设施(kritis)的设备内的操作在此是期望的，例如可能需要it安全等级sl3下的操作。除了建议之外，还可以进行设置，使得仅能够提高it安全等级，但防止更低的it安全等级，或者至少要求利用具有增加的访问权限的用户进行认证。
[0055]
在这一点上应再次指出，改装模块尤其是物理地连接到现场设备的硬件模块。这
特别在模块化构造的现场设备中易于使用，并因此能够以很少的工作量使用安全模块升级现有的现场设备，从而完成it安全级别的设置。
[0056]
根据本发明的用于在具有安全模块的过程自动化现场设备中设置it安全等级的方法，该安全模块具有用于实现多个不同水平的预定it安全等级的多个功能单元，其中，安全模块包括用于选择it安全等级的选择元件，该方法至少包括以下步骤：
[0057]
通过选择元件选择期望的it安全等级。这可以通过相应的硬件和/或软件实现。
[0058]
然后读出选择元件。这意味着确定了选择的it安全等级。
[0059]
然后，根据选择的it安全等级，即根据使用选择元件选择的it安全等级，激活用于实现选择的it安全等级所需要的功能单元和/或停用不需要的功能单元。
[0060]
在这一点上应注意，激活和停用是指现场设备的操作，并且在这种情况下意味着各个功能单元的持续运行或停用。停用或者换句话说关闭整个现场设备不影响在再次开启现场设备之后的功能单元的状态。
[0061]
在该方法的优选实施例中，it安全等级的设置仅执行一次，优选地在现场设备运行时执行一次，更优选地在现场设备运行时强制地执行一次。
[0062]
以此方式，防止了后续更改已进行了一次设置的it安全等级，特别是防止降低该it安全等级。因此，攻击者例如不能将一次设置的it安全等级设置为更低的it安全等级，并且例如也无法利用适用于窥探数据的更低安全要求。
[0063]
如果在现场设备运行时强制设置一次it安全等级，则由此可以确保必须在现场设备运行时强制选择安全等级，并且随后不能更改该安全等级。例如，当在关键基础设施(kritis)中使用现场设备时，以此方式能够防止现场设备在运行时未设置it安全等级的情况下操作。
[0064]
通过在首次选择it安全等级时机械地停用选择元件，实现了其中只能设置一次it安全等级的方法。因此，通过机械地停用(即，禁用)选择元件，防止了it安全等级的随后更改。
[0065]
额外地或替代地，能够电气地停用选择元件，并因此也可以实现it安全等级的仅一次设置。这例如可以通过在首次读出选择元件之后切断读出所需的电连接来实现。为此，例如可以提供保险丝，该保险丝在读出选择元件后被切断。
[0066]
在该方法中可以额外或替代地使用的另一可能方案能够通过软件停用选择元件。这例如可以通过停用或删除选择元件所需的代码段来进行。也可以通过停用或删除为此所需的代码元件来读出选择元件。在另一种可能方案中，可以继续更改和读出选择元件，但这对于设置的it安全等级没有影响。
[0067]
为了防止利用it安全等级的可选性，该方法可以被设计为使得现场设备在交付时具有最低的it安全等级，并且只有在设置时才能提高。因此，无论it安全等级是否只能进行一次选择，都防止了选择一次的it安全等级降低。
[0068]
在替代实施例中，该方法还可以规定现场设备在交付时具有最高可选的it安全等级，并只能降低该it安全等级。
[0069]
该方法的一实施例可以使用应用单元。应用单元可以例如被适当地设计为用于记录运行国家(通常与显示单元的语言选择相结合)和操作员的相应行业。据此并且在必要时根据其他请求信息，内置在现场设备中的安全等级确定设备可以独立地确定哪种最小安全
等级sl适用于各个应用情况，并在运行时建议该最小安全等级sl。例如，在一个欧洲国家的饮用水存储器内运行的情况下，现场设备因此可以独立地确定关键基础设施(kritis)的设备内的操作在此是期望的，例如可能需要it安全等级sl3下的操作。除了建议之外，还可以进行设置，使得仅能够提高it安全等级，这可以防止更低的it安全等级，或者至少要求使用具有增加的访问权限的用户进行认证。
[0070]
根据本发明的用于在具有安全模块的过程自动化的现场设备中设置it安全等级的计算机程序代码，其可以被设计为当在处理器中执行时，该计算机程序代码使处理器执行如上所述的方法。
[0071]
在此，现场设备或改装模块的使用地点也可以通过各种定位服务自动确定。例如，为此可以使用诸如gps或伽利略(galileo)等基于卫星的定位、基于移动无线电网络的定位或基于本地可用的无线电网络的定位。自动定位还具有的优点在于，例如在移动的应用中，可以根据现场设备的使用地点来调节安全等级。以此方式，例如可以为移动应用提供更高的防篡改保护，或者还可以实现防盗保护。
附图说明
[0072]
下面将参考附图并根据示例性实施例更详细地说明本发明。
[0073]
图1示出了根据本技术的现场设备的第一示例性实施例。
[0074]
图2示出了根据本技术的现场设备的第二示例性实施例。
[0075]
图3示出了根据本技术的具有改装模块的现场设备的第三示例性实施例。
[0076]
图4示出了根据本技术的方法的示例性实施例。
具体实施例
[0077]
以下所示的现场设备的示例性实施例示出了根据iec 62443标准的定义来实施it安全等级sl的示例性实施例。这些示例单纯是示例性的，以用于阐明基本结构和过程，并基本上包括到具有可比较概念的其他现有的或未来产生的标准的转移，以用于基本上根据本发明的理解来标准化定义安全等级。
[0078]
图1示出了根据本技术的现场设备101的第一示例性实施例。图1所示的附图单纯是示意性的，并仅示出了与it安全等级的选择和实施相关的部件。
[0079]
现场设备101被设计为通过测量接口102检测诸如填充物位等过程变量，并通过有线通信接口104或无线接口103将检测的过程变量提供给外部。现场设备101包括用于指定it安全等级sl的选择元件105，例如具有四个可选位置的滑动开关。现场设备101的处理器106根据选择元件105的位置来识别由用户指定的it安全等级sl，并激活多路复用器107的与设置的it安全等级sl相关的位置，该多路复用器连接到功能单元108、109、110、111。功能单元108、109、110、111包含硬件和软件元件，根据it安全等级的基本定义(例如，由于标准)，这些硬件和软件元件是必须的，以便达到其中一个安全等级，在iec 62443的情况下达到it安全等级sl1、sl2、sl3或sl4中的一者。
[0080]
根据用户认证的示例，下面将阐明本技术的原理。
[0081]
在滑动开关105的初始位置中，指定了可对应于最低it安全水平的安全等级sl1。在用户访问的情况下，与sl1相关的认证模块在功能单元108中被激活，该功能模块包含仅
当用户使用(任意的)用户名和密码进行了自我识别和认证时才允许访问现场设备101的机制。
[0082]
然而，如果滑动开关105处于第二位置，则处理器106识别出it安全等级sl2。在这种情况下，功能单元109处理用于获得对现场设备101的访问的登陆请求，该功能单元包含用于管理具有相关密码和个人访问权限的可预定用户列表(即，用户管理)的机制。
[0083]
在滑动开关105定位在第三位置的情况下，确定出it安全等级sl3。在这种情况下，如果已知用户使用他的个人密码进行自我识别，则在来自可信网络104的请求的情况下，相关的功能单元110将允许对现场设备110的访问。然而，在来自不可信网络103的访问的情况下，仅当登录的授权用户可以通过多因素认证来进行自我认证，例如通过输入密码并额外地放置具有电子访问代码的nfc芯片，单元110才允许访问。
[0084]
如果滑动开关105位于第四位置，则要求最高的it安全等级。在sl4模式下的登录请求由功能单元111处理，该功能单元以与发出请求的网络103、104无关的方式基本上仅通过多因素认证来允许访问具有其值和设置的现场设备101。
[0085]
在这一点上应指出，通过激活特定的it安全等级，还可以激活和/或停用功能单元108、109、110、111中可包含的特定硬件单元。因此，例如it安全等级sl3和sl4要求使用基于硬件的认证元件，以便从根本上防止恶意软件在该关键位置上的可能篡改，而在等级sl1和sl2中，软件元件可以接管该任务，这能够有助于节能。
[0086]
在激活高it安全等级时，可以停用现场设备的不安全访问点。例如，在选择安全等级sl3或sl4时停用无线接口103。这种停用还可以被设计为不可逆的，例如通过删除相关软件部分或通过切断这些硬件单元的供电线中的保险丝。
[0087]
从以上示例可以看出，计算工作量和能耗以及用户向导的人体工学都可以直接受到it安全等级的选择的影响。
[0088]
在这一点上应指出的是，除了用户登录之外，大量的其他安全关键型应用情况还可能受到相应的法规要求(例如，标准和规范)和相应的技术实施方面的最低要求的制约。可以将用于实施最低要求所需的硬件和软件单元集成到功能单元108
‑
111中。另外，多路复用器107可以由硬件和软件单元组成。如果多路复用器107和功能单元108
‑
111的一部分能够以软件实现，则可以将它们实现在处理器106中。
[0089]
用滑动开关105对it安全等级sl的指定本身可能导致安全风险。因此，可以实现诸如可锁定选择器等只能由制造商授权的服务人员进行更改的其他选择元件105。然而，也可以使选择元件105变得对客户可访问，并在it安全等级sl的预定设置之后，例如通过锁定元件112或通过在预设的断裂位置处不可逆地折断滑动元件105来防止未经授权的更改。
[0090]
选择元件105也可以通过软件接口实现。在一实施例中，对该元件的访问可以限制至现场设备101在工厂交付后的第一次运行。在另一实施例中，传感器101可以基本上以最高的安全等级sl4离开工厂，并只有在相应全面的识别和认证之后，用户才能够更改以软件实现的选择元件105的位置。也能够以低安全等级交付设备101，以便仅在进行认证后才允许将安全等级改变为更高的it安全。
[0091]
可以仅在初始运行之前或在此期间才能够改变选择元件105。例如，这可以通过以下方式实现：在处理器106读出选择元件105的位置之后，例如通过有针对性地熔断连接线113中的保险丝来不可逆地中断连接线113。补充地和/或替代地，可以通过熔断连接线114、
115、116中的保险丝来不可逆地停用根据所需的安全等级而不再需要的功能元件108、109、110、111。也可以不可逆地和永久地删除功能元件114、115、116、117中的不需要的软件元件，或者不可逆地中断到包含该软件元件的存储元件的供电线。
[0092]
图2示出了根据本技术的现场设备201的第二示例性实施例。该实施例的基本思想是将激活各个应用所需的it安全等级sl的必要物直接集成到根据本发明的现场设备201中，即，在现场设备201运行时强制执行it安全等级的选择。过程测量设备的客户现在已经具有可以通过操作调试向导或通过pc或应用程序或显示和操作模块的相应输入掩码来定义设备的与操作相关的最重要参数的选项。为此，例如可以使用应用单元202。应用单元202可以例如被适当地设计为用于记录运行国家(通常与显示单元的语言选择相结合)和操作员的相应行业。内置在现场设备201中的安全等级确定设备203可以据此并且在必要时根据其他请求信息独立地确定哪个安全等级sl适用于相应的应用情况。例如，在一个欧洲国家的饮用水存储器内运行的情况下，现场设备201因此可以独立地确定关键基础设施(kritis)的设备内的操作在此是期望的，例如可能需要以it安全等级sl3进行操作。通过控制安全等级选择器203，可以根据已经与图1相关的过程结合的原理来设置所需的安全等级sl。
[0093]
通常，行业特定的或国家的标准(例如，iec 62443
‑1‑
1)不仅要求特别是用于关键基础设施(kritis)的it安全，还要求设备相对于未经授权的访问的稳健性以及可靠的功能和设备功能的连续可用性。因此，在图1的示例性实施例和图2的示例性实施例中，都可以额外地激活将设备的功能安全性(例如，根据iec 61508)提高到预定义等级的硬件和软件单元。
[0094]
图3示出了具有改装模块302的现场设备301的第三实施例。
[0095]
因此，图3所示的现场设备301公开了改装现有的现场设备301的可能性，该现场设备先前不具有预定义的it安全等级sl。这种现场设备301已经生产了多年，并且对于现场设备301的制造商而言，为现有设备装配扩展的it安全等级sl是一挑战。在大量设备中，潜在的与it相关的安全攻击基本上只能通过有线接口303进行。因此，一种方法是断开现场设备301的通信线路303并加入带有安全模块的改装模块302，以实现相应的it安全等级sl，例如可以将该改装模块安装在现场设备301的壳体的第二腔室中。改装模块303可以被适当地设计为包括具有预定义长度的有线输出线304，该输出线被设计为连接现有的现场设备301的原始接触接口305。额外地或替代地，改装模块302能够例如通过可用粘合剂固定的安全螺钉连接器306以不可再次取下的方式紧固在现场设备301上。此外，可以用自粘的并因此不可再次取下的壳体盖307代替原始的壳体盖(未示出)。
[0096]
改装模块302根据需要的it安全等级sl承担现场设备301的各种安全功能，例如用户管理、认证、加密或根据期望的it安全等级sl可由相应标准要求的其他功能。特别地，改装模块302还可以用作防火墙并连续地监控并在必要时拒绝进入的数据包。
[0097]
取决于期望的it安全等级sl，可以提供各种改装模块302，以在客户处或工厂中进行改装。改装模块302还可以被设计为使得其能够根据上述示例性实施例进行设置，并因此实现不同的it安全等级。
[0098]
随后，只能通过改装模块302和其中包含的安全模块经由通信线路303从外部访问以此方式改装的现场设备303。通过粘附传感器盖307，能够可靠地禁止在安装现场未经授
权的访问和篡改。
[0099]
图4以流程图示出了根据本技术的用于设置it安全等级sl的方法400的可能实施例。
[0100]
图4示意性地示出了方法400的顺序，并且特别地不排除用于设置it安全等级sl或用于操作现场设备101、201、301的其他方法步骤。
[0101]
在第一步骤401中，开始现场设备101、201、301的运行，这些现场设备可以根据前述图1至图3中任一者进行设计。
[0102]
在运行过程中，在步骤402中，要求用户选择it安全等级sl，例如根据上述四个it安全等级sl1、sl2、sl3和sl4进行选择并在必要时确认该选择。
[0103]
在步骤403中，通过选择元件105选择it安全等级sl，并且在随后的步骤404中，读出选择元件105。
[0104]
取决于选择和读取的it安全等级sl，在另一步骤405中激活用于实现选择的it安全等级sl所需的功能单元108
‑
111，并且停用该实现所不需要的功能单元108
‑
111。不需要的功能单元还明确包括为实现选择的it安全等级sl而必须停用的功能单元，例如停用无线电单元。
[0105]
在用于设置it安全等级sl的方法400的当前示出的示例性实施例中，在另一步骤406中，停用选择元件105。当在软件中实施该方法时，这例如可以通过删除相应的程序部分或以其他方式使其不可访问来实现。
[0106]
在设置选择的it安全等级sl之后，以选择的it安全等级操作现场设备。