[发明专利]用于监控工业边缘设备的数据交换的方法和装置

说明书

本发明涉及用于监控工业边缘设备的数据交换的方法和装置，还涉及监控工业边缘设备与工业自动化装置和数据云的数据交换的方法和边缘设备，边缘设备具有至工业自动化装置的第一通信接口、至数据云的网络的第二通信接口、交换数据的应用程序和以防火墙或内容过滤器的方式监控待交换的数据的监控装置。为每个应用程序设置：是经由第一通信接口用监控装置监控应用程序的数据交换并经由第二通信接口直接交换数据，还是相反，并由边缘设备的数据流监控器确保应用程序不同时经两个通信接口直接交换数据。以该方法无需在数据安全方面密集检查应用程序或有应用程序的容器，因为借助防火墙功能或内容过滤器在中央且单独管理的监控装置中实现攻击的防护。

技术领域

本发明涉及一种用于监控工业边缘设备与工业自动化装置以及与数据云的数据交换的方法，还涉及一种工业边缘设备，其具有用于监控边缘设备与工业自动化设备以及与数据云的数据交换的装置。

背景技术

工业自动化装置、例如用于离散货品的生产设备或过程技术设备通常由大量计算机控制的部件构成，其例如是可编程逻辑控制器(programmable logic controller)和其他设备、例如HMI(人机界面)设备等。由于各种原因，这些彼此联网的部件传统上与公共网络、特别是因特网分开，例如为了避免对生产装置数据的攻击。

但是，越来越多的需求是：工业自动化装置的以前在数据方面以“岛运行”方式来运行的有源部件能够与公共网络、尤其数据云(以下也称为“云”)交换数据。原因是多样的，例如因此应当能够将不同的本地的自动化装置彼此联网，生产运行的监控应当能够从不同的驻地展开，任务应当能够传输给自动化装置并且能够读取生产数据等等。

为了调节和监控自动化装置的私有网络与公共网络、特别是云之间的数据交换，在私有网络与公共网络之间的边界处使用所谓的边缘设备或边缘装置。该边缘设备的任务能够远超出数据业务的监控，尤其能够在数据方面能力强的边缘设备上运行在可编程逻辑控制器上不能运行的应用程序和进程。其例如是生产数据、归档任务的复杂计算、评估等等。在现代边缘设备中尤其能使在其上封装的容器化的应用程序(App)运行。这些应用程序可以从公共应用程序存储器、所谓的应用程序商店获得。因此，例如可以将应用程序用于监视生产过程并且形成关于性能、利用率、错误等的统计信息等等，并将其转发给云服务器，其中将该数据存储在那里并且能够由监视实体、例如制造执行系统(MES)在那里进一步评估或调用。

因此，边缘设备的大多数应用程序(App)为了能够执行其任务必须与私有自动化网络交换数据，还与云或设置在云的服务器和通信伙伴交换其他数据。因此，边缘设备通常还具有至少两个分开的通信信道，例如具有网卡、虚拟分离网络或“端口”，其中一个通信信道与私有自动化网络连接，并且另一个通信信道与云连接，即例如联接至互联网接口。

许多工业自动化装置的运营商明确要求：自动化网络、即具有例如可编程逻辑控制器和其他敏感设备的私有网络以及云或因特网或一般而言的公共网络彼此明确分开，以避免网络攻击、即未经授权的访问。因此，存在对未经授权访问生产数据或一般商业机密的担忧，并且还担心工业生产被未经授权的访问或攻击干扰，这在极端情况下甚至会危害生产机构和人员。

为了解决该问题常见的是：用通常的手段来保护通常具有可商购的PC(电脑)或服务器架构的边缘设备，特别是通过安装的所谓的防火墙以及与其相关的对网络地址并且特别是对所谓的TCP/IP端口的受限访问来保护边缘设备，使得通信限于特定服务，例如HTTPS服务等。

但是，在此有问题的是：一些应用程序需要对自动化网络的自由的不受阻碍的访问，以便能够跟踪大量任务，从而能够访问私有自动化网络、即自动化装置中的大量数据和信息。