CN100595746C - 总线耦合安全相关过程的方法和设备 - Google Patents
总线耦合安全相关过程的方法和设备 Download PDFInfo
- Publication number
- CN100595746C CN100595746C CN200510091762.8A CN200510091762A CN100595746C CN 100595746 C CN100595746 C CN 100595746C CN 200510091762 A CN200510091762 A CN 200510091762A CN 100595746 C CN100595746 C CN 100595746C
- Authority
- CN
- China
- Prior art keywords
- redundant
- protocol
- safety
- register
- channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40032—Details regarding a bus interface enhancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
- H04L12/40182—Flexible bus arrangements involving redundancy by using a plurality of communication lines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Storage Device Security (AREA)
- Bus Control (AREA)
- Information Transfer Systems (AREA)
Abstract
本发明涉及一种用于单信道耦合安全相关过程的方法及适用于实现该方法的设备。本发明的一个目的是提供一种新的方案,从多信道变换到单信道,以安全总线耦合安全相关过程。为此,本发明建议了一种方法,其特征在于与安全相关过程相关的数据记录通过至少两个冗余处理信道(1,2)被处理,尤其是在特定协议的基础上,根据在各种情况下对于一个安全协议(14,24)相同的规则被处理,并且用于单信道总线耦合的冗余安全消息(14,24)被结合到一起以形成一个共同的安全协议,其精确地表现为每个处理信道(1,2)访问一个共同的缓冲寄存器(30),对每个寄存器位置仅分配一次写权限,这样通过在各种情况下写入相应安全协议的不同组件,使所述共同的安全协议的各个组件结合到一起。
Description
技术领域
本发明涉及一种用于单信道耦合安全相关过程的方法及适用于实现该方法的设备。
背景技术
在下文中,“安全相关过程”这一表述是指当发生故障时对人和/或材料货物都不会造成危险或者其危险可以忽略不计的过程。因此在安全相关过程中,在理想情况下必须100%地确保当出现故障时,这一过程(下一个过程连接到这一过程)和/或包含这一过程的整个系统都处于安全状态。这种安全相关过程也可以是更大的、更高等级的整体过程的一个过程组成单元。安全相关过程的例子如化学过程,在化学过程中将过程严格保持在预定范围内是很重要的;以及复杂的机械控制系统,例如用于液压处理或生产线的机械控制系统,在这种情况下,作为示例,压制/切割工具的启动可能表现为一种安全相关过程的组成单元。安全相关过程(过程组成单元)的其他例子如对保护警戒装置、防护门或照明区域的监控,对双手操作开关的控制,或者对紧急切断开关的反应。
因此对于所有的安全相关过程来说,实时地传送所产生、记录或测量的分别相关联的、与安全相关的数据而不受任何干扰是绝对重要的,因为干扰可能会引起不正确的操作和/或反应,这最终可能会危及人们的生命和健康。
为了符合安全规定,近年来已经达成了各种各样的协议,其要求当使用总线系统时能实现基本无误的数据传输。这特别涉及到根据相关应用和/或相关过程的数据传输本身以及可允许的残差概率。在这里可引用的相关标准特别包括EN61508和EN954-1,以及德国工业专业协会的检测和认证中心所制定的对“用于传输与安全相关的信息的总线系统”的检测和认证规范。
根据这些协议和标准已经开发出基于安全的总线系统,它们以很高的冗余度来传输数据。能够及时地发现可能的故障或误差,并可以避免危险的发生。其例子尤其是包括安全总线P、Profibus F、旁路总线安全性,等等。
但是这种情况下的一个缺点在于,为了使用基于安全的总线系统,必须更换已经安装好的总线系统,并且经常要受到用户数目、数据传输速率或数据协议的限制。
因此,已经开发出允许以更简单和廉价的方式对已有的总线系统进行更新的基于安全的方法和/或元件。已经用于过程中所涉及的工业元件之间的(现场)总线系统在这种情况下被用于传输与安全相关的数据的数据通信,尤其是在传感器、执行单元和/或控制设备之间的数据通信,特别是在用于控制和自动化技术的电子安全方法的情况下。
作为示例,EP1188096B1公开了一种用于带有现场总线的安全相关过程的控制系统,一个用于控制安全相关过程的控制单元和一个经由I/O通道链接到安全相关过程的信号单元通过这个现场总线相连接。为了确保相互之间无故障的通信,这些单元具有与安全相关的设备,其目的是使不安全的单元变为安全单元。具体来说,分别提供至少两个冗余处理信道,使得其中一个处理信道中的误差或故障可以根据与另一个冗余处理信道所不同的结果来进行识别,并可能进行校正。这种多信道结构特别是由两个冗余计算机所提供,在双冗余计算机之后安全分析结束,且所述分析被用于从该点出发的安全数据协议,而没有其他的说明。
在下文中,术语“计算机”主要是指任何类型的数据处理设备,如微计算机、微处理器、微控制器或其他PC。
WO 01/24385 A2也涉及对使用(现场)总线系统的安全相关过程的控制,带有对同样具有冗余处理信道的安全相关过程进行控制时所涉及的单元。每个冗余信道具有一个计算机,这些计算机相互监控。这种多信道结构通过连接到现场总线的另一个计算机变为单信道结构(图3)。该文件并未包括任何进一步的描述,包括从多信道形式变换到单信道形式。
WO01/24391A1和已公开的文献DE19939567A1是安全总线用户的其他例子,其带有相互监控的冗余处理信道,用于安全协议创建,和/或计算机和借助于耦合到总线并连接到协议芯片或集成到协议芯片中的另一个计算机从双信道形式到单信道形式的转变。在这种情况下,安全分析结束,而没有公开基于双冗余计算机的其他技术措施,以及用于由该点起作用的安全数据协议。
专利文献DE19532639C2涉及一种用于由双冗余计算机形成的单信道传输数据的设备,它将总线耦合功能集成到双冗余计算机中之一,以减少电路复杂度。只有具有总线耦合功能的计算机才具有输出信道,由这个计算机产生的有效数据和由另一个计算机产生的检测数据被提供到这个输出信道,或者进行相反的传输,或者来自这两个计算的有效数据和检测数据以相互交织的方式来提供(图4)。然而,为了确保控制该总线的计算机不能产生不会影响另一个计算机的信息,安全分析的实现增加了复杂度,因为一方面必须证实反应的自由度,另一方面必须证实用于创建安全协议的计算机的独立性。在这里,该专利文献的目的仅仅是适当地连接相应计算机输出端或断开连接。
此外,DE10065907A1描述了一种基于“交叉比较冗余”原理的安全数据传输方法,用于在并行或串行的网络或总线系统上传输数据,使用了具有两个逻辑上相同的数据区域的缓冲寄存器,用于从双信道形式变换到单信道形式。要经由总线系统在一个信道上传输的完整的、基于安全的信息包括缓冲寄存器的两个数据区域的数据内容。两个冗余计算机同样在上行方向上连接到发送器端的缓冲寄存器,并根据应用的性质分别预处理带有冗余信息的于安全相关的数据(该数据在一个信道或两个信道上可用),以形成安全数据,所述安全数据相互交换进行校验。如果这两者都得到相同的结果,则每个计算机将其安全数据发送到缓冲寄存器,其中每个数据区域用来自相应计算机的安全数据来填充,该数据本身已经包含了用于误差或故障识别的冗余信息。在另一个替代实施例中,如果所述缓存寄存器包含在两个计算机中之一,使得在另一个计算机同意之后,该计算机适当地填充缓冲寄存器的两个数据区域,所述另一个计算机同样读取缓冲寄存器的两个数据区域以进行监控。根据应用,缓冲寄存器的两个数据区域之一中的数据内容也可以由相反的数据或者其他附加交织数据,例如用于识别发送器、接收器和/或其他处理数据的单元中的系统故障。因此这种方法的特别的缺点在于,基于安全的信息的整个数据长度相对于实际的有效数据特别大,因为两个相同的有效数据记录以及用于每个相同的有效数据记录的信息的相应冗余项都必须被传输。如果要通过数据包来发送的有效数据项的数目减少,例如像在旁路总线的情况下那样,有效数据长度与整体数据长度的比率将大大减小。
发明内容
因此本发明的一个目的在于提供另一种新颖的改进方案,以从多信道形式变换到单信道形式,用于安全相关过程的安全总线耦合,并以一种能够简单实现的方式,尤其是能够附带地进行简单测试的方式,确保反应的自由度,并且与要经由总线作为安全信息发送的基于安全的协议的创建无关。
根据本发明的解决方案以一种非常令人惊讶的方式仅通过所附的独立权利要求之一的特征来实现。
优点和/或优选实施例以及改进是相应从属权利要求的主题。
因此根据本发明,提出了一种用于单信道总线耦合对安全性有严格要求的过程的方法,其中,通过至少两个冗余处理信道处理与对安全性有严格要求的过程相关的数据记录,其中,所述处理信道的每一个在特定协议的基础上且根据相同的规则将所述数据记录处理成一个安全协议,从而产生各个冗余安全协议,以及所述用于单信道总线耦合的冗余安全协议被结合到一起,以形成一个共同的安全协议,其中:所述处理信道的每一个访问一个共同的缓冲寄存器,并且以如下方式将对所述缓冲寄存器中的每个寄存器位置的写权限仅分配给所述处理信道中的一个:通过在各种情况下写入所述各个冗余安全协议的不同组件,使所述共同的安全协议,即要发送的安全消息,按组件结合到一起。
结果,这种情况的一个主要优点在于,一方面两个处理信道都能够以这种方式计算完整的基于安全的协议,这对于所需的消息长度有积极的影响,因为在冗余处理信道中所有数据位都是已知的,具有不同的安全机制,并且不需要发送附加的数据位,从而可以减少接收器端的校正计算。
此外,这确保了一个处理信道本身不能通过对写权限的控制来发送安全消息,所述写权限在任何情况下都只分配一次,因为在寄存位置中的数据代表了能够被容易和高效地实现的能力,以确保与所用的总线(系统)无关地实现低成本和好得多的安全性。
根据本发明,还提出了一种用于单信道总线耦合对安全性有严格要求的过程的设备,包括:至少两个冗余计算机,每一个计算机被设计成使用相同的规则对相同的输入数据记录进行特定协议处理以形成各自的冗余安全协议,以及电路装置,用于以如下方式将所述冗余计算机的每一个连接到一个共同的缓冲寄存器并且将冗余的各个安全协议结合到一起以形成一个共同的安全协议:所述冗余计算机中的一个只对所述缓冲寄存器中的与其对应的寄存器位置具有写权限。
因此用于执行根据本发明的方法的智能单元的提供可以仅通过使用具有至少两个冗余计算机装置来保证,其中处理相同输入数据记录的计算机被设计为利用对于任何情况下的基于安全的协议相同的规则,并且这些计算机通过一个电路装置连接到一个共同的缓冲寄存器,使得在各种情况下只有计算机中的一个对缓冲寄存器中的每个寄存器位置进行访问。仅通过使用标准组件并且独立于相应的总线系统,本发明对于相应的基于安全的协议的无反应和独立形成得到了高度动态的、高效的解决方案,它能够很简单地实现。
在这种情况下,用于形成安全消息的特殊处理规则更有利于满足相应的安全要求,尤其是根据SIL 3 IEC 61508的单传输安全要求。
当使用这种设备时,电路装置最好设计为使得每个计算机都能够对缓冲寄存器中的每个寄存器位置进行读访问。
在一个优选的改进方案中,这也保证了以简单和成本低廉的方式使用标准组件,在从缓冲寄存器向用于传输每个冗余处理信道的总线发送共同的基于安全的协议之前,可以反向对每个寄存器位置进行读访问,以对共同形成的基于安全的协议进行检验。可以对共同形成的基于安全的协议和通过处理信道单独或分别形成的相应的基于安全的协议进行附带的比较,这进一步大大提高了可获得的安全性。因此,当计算机出现故障或坏掉的情况下,可以生成完整的安全消息,从而对故障进行必要的识别,并可以启动基于安全的功能。
除此之外,在一个特别优选的实施例中,在写共同的基于安全的协议之前,首先通过处理信道来检验冗余形成的基于安全的协议,以确保它们彼此相同,从而仅仅响应于与相互独立处理的相同的基于安全的协议,由相同输入数据记录形成一个共同的基于安全的协议,这进一步提高了安全性。如果在冗余处理本身的过程中出现了故障或误差,这在前一个阶段被识别,因此处理可以较早地变到安全状态。
本身相互未耦合的计算机最好通过一个通信接口彼此连接。
另外具有优点的是检验相应的写权限,所述写权限在各种情况下以规定的方式被分配给一个处理信道,这通过一个测试步骤来实现,用于进行验证。对每个寄存器位置的完整的读访问也最好用于此目的。
根据一个优选的测试过程,在这种情况下通过每个处理信道来尝试将一个分别不同的、特定相关的缺省值写入到缓冲寄存器中的所有寄存器位置。然后每个处理信道读取缓冲寄存器中的所有寄存器位置,并检验这些寄存器位置的内容是否进行了明确的交织。
像这样的测试步骤最好执行不止一次,和/或通过不同的处理信道对寄存器位置交替地进行写入和读取操作。
重要的是,每个安全发送/切换规则能够被很容易地检验,这些规则是通过相关数据的耦合而选择的,且要发送到共同的基于安全的协议之内或者缓冲寄存器之内的缓冲寄存器的指定位置或地址,并且在形成要发送的安全消息时产生的每个故障或误差,包括那些由于计算故障所产生的故障或误差,能够被可靠地识别出来。
在每次对输入数据进行特定协议的处理以形成基于安全的协议之后,尤其是为了确保该协议被存储,并且在特定协议的基础上被传输到总线,其中所述基于安全的协议符合基于相应应用的要求,尤其是根据总线和/或处理过程,以进行安全的协议数据记录,根据一个实施例的计算机在各种情况下具有一个集成的协议芯片。在一个替代实施例中,所述协议芯片也可以在输出侧连接到一个计算机。因此,为了省去这种集成的或设置在下行方向上的协议芯片,以及为了减少组件的数目并降低成本,另外一个特别有利的实施例建议为计算机提供适当地设计为用于处理并根据特定协议传输数据的软件。
根据本发明的设备可以使一个总线用户单元,具有为此目的有利地在输入侧至少连接到输入信道的计算机,用于以单信道或多信道方式链接处理数据输入单元,并且以相应的方式,以单信道或多信道方式记录与安全相关的待处理的数据,或者被设计为例如用于生成与安全相关的待处理的输入数据的总线控制单元的形式。因此所述计算机特别是设计为微控制器或中央处理单元(CPU)。
根据本发明用于链接计算机的电路装置,或者适当的话,位于计算机下行方向上的协议芯片,在一个优选实施例中被设计为简单的逻辑电路,在这种情况下,也可以采用大规模集成电路,例如FPGA(现场可编程门阵列)形式的大规模集成电路,作为另外的优点,它可以根据特定应用来设计。
缓冲寄存器具有一个接口,存储在该处的共同的基于安全的协议可以通过这个接口在一个信道上直接耦合到总线,例如旁路总线,或者可以在一个信道上传输到另外一个总线耦合装置,它在特定应用的基础上设计,并且连接到总线的下行方向上,在这种情况下,尤其是另一个协议芯片、另一个微控制器或者其他智能单元可以在特定应用的基础上用作总线耦合装置。
因此仅用一个标准的RAM就足以用作缓冲寄存器。然而,一个优选的改进方案尤其将缓冲寄存器或缓冲存储器设计为双端口存储器(DPM)的形式,使得计算机可以通过非常简单和廉价的方式经由两个接口端口中的一个进行连接,并且第二个接口端口可以用于单信道耦合到总线。
附图说明
本发明的其他特征和优点通过下面对本发明的一个优选实施例的详细描述并参照附图将变得更为明显,尽管这仅仅是通过示例的方式来描述。
图1示出了冗余形成用于要通过冗余处理信道发送的安全消息的基于安全的协议的大致图示,以及共同形成在传输/切换规则控制下的相同的基于安全的协议,在每种情况下都涉及到由基于安全的协议切换/传输的组件;
图2示出了用于实现本发明的可能的功能电路图,基于两个微控制器,它们分别冗余地计算完整的、基于安全的协议,以及
图3和图4示出了已知的从双信道形式变换到单信道形式的实现方式。
具体实施方式
图1示出了未详细表示的总线用户单元或总线控制单元的两个冗余处理信道1和2,用于将一个对安全性有严格要求的过程耦合到总线40,例如旁路总线。在总线用户单元的情况下,每个处理信道连接到输入/输出单元,例如传感器和/或执行单元,它们与对安全性有严格要求的过程相关联,但同样没有表示出来。
因此,根据特定链接的属性,与对安全性有严格要求的过程相关联的相同输入数据在至总线用户单元的处理信道1和2中的一条信道或两条信道上可以获得,在传感器端具有应用,首先该数据最好存储在相应的存储器12和22中用于进一步处理。尤其是在总线控制单元的情况下,要在安全数据的总线传输之前进行预处理的与安全性相关的输入数据位于存储器12和22中。
首先,在通过总线40传输安全消息之前,使用相同的规则对输入数据进行冗余处理,以在各种情况下形成基于安全的协议14和24。为此目的的处理信道具有相应的微控制器11或21,用于分别预处理/处理位于存储器12或22中的与安全性相关的输入数据,以形成基于安全的相应的协议14或24。并且在图1所示的实施例中,还具有连接到相应微控制器11或21的下行方向上的相应协议芯片13或23,它接收由相应的微控制器11或21所计算出的基于安全的相应协议14或24,用于继续传送到总线40。在不采用相应示出的协议芯片13和23的替代实施例中,微控制器11和21也可以具有适当配置的软件,使得微控制器11和21像下文中所描述的那样,将计算出的协议14和24继续传送到总线40。
因此,如果在计算过程中没有出误差、错误或故障,所计算出的安全协议或基于安全的协议14和24是相同的。应注意的是,在这种情况下安全协议当然被配置为使它们符合安全传输标准的要求。
根据本发明,为了进一步加强安全性,在通过总线40传输安全消息之前,共同形成另外一个相同的、共用的基于安全的协议,然后该协议可以在一个信道上传送到总线40以用于传输。
这个共同的基于安全的协议通过安全协议14的数据与安全协议24的数据在一个缓冲存储器或缓冲寄存器30中逐个组件地合成来形成,所述缓冲存储器或缓冲寄存器可通过每个处理信道1和2来访问。
为了避免这种要共同形成的基于安全的协议仅基于来自一个处理信道1或2的数据,这等同于仅通过一个微控制器11或21来传输安全消息,例如基于在两个微控制器中的一个中发生的故障,一个限定的或可限定的访问规则控制写入到缓冲存储器30的写权限。在这种情况下,这个访问规则表明来自每个处理信道1和2的相应计算出的基于安全的协议中只有一部分可以写入到缓冲存储器30中的适当存储器位置,用于共同形成基于安全的协议,相应的微控制器11或21对于这一部分具有相应的写权限。因此根据本发明,在各种情况下为每个存储器或寄存器位置仅定义一个写权限。
根据安全协议14和24相同的假设,每个协议也具有相同的字节数,在图1中用ByteX至Byte X+5来表示。在图1所示的例子中,用于字节X、字节X+2和字节X+4的缓冲存储器30的存储器地址的写权限始终分配给用于处理信道2的微控制器21,用于访问字节X+1、字节X+3和字节X+5的写权限被分配给用于处理信道1的微控制器11。因此,只有一个对缓冲存储器30中每个交替的字节的写权限被分配给每个微控制器11和21。
作为示例,如果X=0,且冗余的基于安全的协议14和24及相同的基于安全的协议被共同形成,也就是说下一个要传输的安全消息总共包括6个字节,冗余安全协议内的数据以及要发送的安全消息内的数据例如包括一个2位的消息头、接下来是14位有效数据、8位地址、以及24位CRC校验和。上述写访问权限以规定的方式被分配,得到了包括2位的消息头、要发送的有效数据的前6位(参照图1,所述的有效数据的前6位来自通过处理信道2计算出的安全协议24)、要发送的有效数据的后8位(所述有效数据的后8位来自通过处理信道1计算出的协议14)、包括8位的地址(其依次由协议数据记录24所传送)、以及包括24位的CRC校验和(它由所计算出的协议14、24和14逐个组件连续地传送)。
这样,一个标准的RAM或者最好是(如下文可看到的)标准的DPM也厄可以用作缓冲存储器。
除此之外,在另一种有利的方式下,如果两个处理信道1和2的微处理器11和21分配有对缓冲存储器30的完全的读访问权限,则只有双冗余才能得到进一步加强的安全性。
这允许对所有数据进行简单的比较,因为一方面可以以简单的方式检验共同形成的安全协议是否没有故障或误差,所述共同形成的安全协议要作为安全消息被发送,并且例如符合SIL 3 IEC 61508的单传输安全要求,通过相应的检验,比其自身的已经分别形成的基于安全的协议14或24更为精确。另外,对于每个处理信道1和2的完全的读权限允许检验所述访问规则是否在整体上被执行,而没有发生任何误差或故障,这种检验最好在控制/监控/调节一个对安全性有严格要求的过程的环境中已经被执行。在这里,尤其是执行一个检验来确定一个或另一个处理信道的相应微控制器的计算出的数据是否被唯一地(尽管这已经被保证了)仅写入到缓冲存储器30中相应分配的存储器地址。
如果这种“自检验”和/或“互检验”导致了不同的结果,则识别出了一个误差或故障,并启动基于安全的功能。
作为示例,通过采用上述软件来取代协议芯片,图2示出了一种用于实现图1所示写权限、以及实现完全的读权限的可能的功能电路图,作为上述检验过程的基础。
如图2所示,根据本发明,在左侧示出的、用M来表示的区域具有多信道结构,带有安全性分析,在图2中用E来表示的右侧的区域中,具有单信道结构,带有要作为安全消息发送的共同形成的基于安全的协议。
这样,主要基于图1,两个微控制器11和21以已知的方式耦合,在图2中用附图标记100来表示,另外,通过一个通信接口101相互连接,以附带地相互检验分别独立计算出的基于安全的协议14和24。
用于地址Ax的地址总线102(其中x在0和N之间)、用于数据Dx的数据总线103(其中x在0和N之间、以及信号/CS(片选)和/RD(读)像通常那样分别在用于信号/CSL和/RDL的适当管脚处直接施加到图2中示出的标准DPM。地址线A0链接到微控制器11和21的写信号/WR_μC1和/WR_μC2,使得只有微控制器11具有对偶数地址的写权限,而只有微控制器21具有对奇数地址的写权限。这里仅有两种情况,其中写信号/WR可以通过标准DPM的RAM处的“低电平激活”信号/WL的适当管脚来启动。然而,两个微控制器11和21可以访问整个存储器30以进行读取。
最好可在写要共同形成的安全消息之前执行一个访问互锁测试,这例如基于下列过程来实现:
微控制器11尝试将一个缺省值(例如FFh)写入到DPM 30中的所有存储器位置。
然后微控制器21尝试将另一个缺省值(例如00h)写入到DPM30中的所有存储器位置。
然后微控制器11读取DPM 30中的所有存储器位置,并且检验值00h是否仅进入到分配给微控制器21的那些存储器位置,并且可能的话,检验值FFh是否已进入分配给微控制器11的存储器位置。然后微控制器11再次尝试将值FFh写入所有存储器位置。
然后微控制器21读取DPM 30中的所有存储器位置,并且检验值FFh是否仅进入到分配给微控制器11的那些存储器位置,并且可能的话,检验值00h是否已进入分配给微控制器21的存储器位置。
如果在这种所期望的行为情况下出现了误差或故障,则所述误差或故障被识别出来,并启动一个基于安全的功能,例如过程改变到安全状态。否则,可以认为正确执行了访问互锁操作。因此根据本发明的应用的一个主要特点在于,来自相应微控制器11或21的实际写信号并没有直接使用,而是执行与地址的链接过程。因此可以仅向那些分配给相应微控制器的地址进行写操作。
因此,存储在DPM 30的RAM中的数据通过高度安全的协议得到保护。以类似于传输信道本身的方式,DPM 30不能被认为是安全的。除此之外,安全性通过所期望的配置动作和图2中用M来表示的区域中的数据内容得以实现。因此,可以实现对暂时存储在DPM 30中的数据的进一步处理或分配,例如通过另一个微控制器35来实现,它在单个信道上传输来自DPM 30的数据,然后数据例如通过输入到一个现场总线40中被传送到总线系统。
通过执行自检验过程,两个微控制器11和21自动有效地监控相应的访问规则,同时安全消息被写入到缓冲存储器30,存储在存储器中的数据可以在一个信道上通过缓冲存储器30的一个接口进行传输,以传送到一个协议芯片、另一个微控制器或相同的其他智能单元。由于在微控制器11或21中出现故障或错误的情况下不能再生成完整的安全消息,需要将故障识别出来,并且启动基于安全的功能。因此冗余结构M的安全分析通过将数据存储到存储器30中而结束。由此出发,实现了协议的安全性机制,因为可能由此产生的误差或故障在传输之前就被加以考虑,并且必须被解决。为此目的,所考虑的误差或故障基本上表现为对“传输与安全性相关的消息的总线系统”的测试和认证的消息变差。
如上所述,在要共同形成的安全协议中的写权限与要写入的位置之间的无条件链接以及在两个微控制器中的无限制的读权限确保了在通过总线40进行实际传输之前通过使用标准的组件对要传输的安全消息进行比较和检验。因此,微控制器11或21自身不能发送安全消息。
因此图2中所示的功能电路图仅通过一个简单的逻辑电路产生,但是例如也可以通过FPGA形成。此外,当然也可以使用简单的标准RAM来代替图2所示的DPM 30。然而,DPM的使用简化了从缓冲存储器读取安全消息的电路。对于本领域技术人员来说,很明显图2所示的电路装置仅代表了对明确的写访问权限的一种可能的技术实现。通过举例,数据线也可以分开,使得一台计算机能够仅在上面的数据线上进行写访问,而一台冗余计算机能够仅在缓冲存储器的下面的数据线上进行写访问。此外。根据本发明的写访问规则可以用于超过两台冗余计算机/两个处理信道的情况。
Claims (16)
1.一种用于单信道总线耦合对安全性有严格要求的过程的方法,其中,
通过至少两个冗余处理信道(1,2)处理与对安全性有严格要求的过程相关的数据记录,其中,
所述处理信道的每一个在特定协议的基础上且根据相同的规则将所述数据记录处理成一个安全协议(14,24),从而产生各个冗余安全协议(14,24),以及
所述用于单信道总线耦合的冗余安全协议(14,24)被结合到一起,以形成一个共同的安全协议,其中:
所述处理信道(1,2)的每一个访问一个共同的缓冲寄存器(30),并且以如下方式将对所述缓冲寄存器(30)中的每个寄存器位置的写权限仅分配给所述处理信道(1,2)中的一个:通过在各种情况下写入所述各个冗余安全协议的不同组件,使所述共同的安全协议的各个组件结合到一起。
2.如权利要求1所述的方法,其中,另外地,在从缓冲寄存器(30)将共同的安全协议发送到总线(40)之前,通过所述冗余处理信道(1,2)的每一个读取缓冲寄存器(30)中的每个寄存器位置的内容,以对共同形成的安全协议进行检验。
3.如权利要求1所述的方法,其中,另外地,在写共同的安全协议之前,通过所述冗余处理信道(1,2)检验所述冗余形成的安全协议(14,24),以确保所述冗余形成的安全协议彼此相同。
4.如权利要求1所述的方法,其中,另外地,执行用以检验明确分配的写权限的测试步骤。
5.如权利要求4所述的方法,其中,另外地,在所述测试步骤期间,通过所述冗余处理信道(1,2)的每一个尝试将特定相关联的缺省值写入到缓冲寄存器(30)中的所有寄存器位置,所述缺省值对于所述处理信道(1,2)的每一个各不相同,然后通过所述处理信道(1,2)的每一个读出缓冲寄存器(30)中的所有寄存器位置,并检验所述寄存器位置的内容是否明确地相互交织。
6.如权利要求5所述的方法,其中,另外地,所述测试步骤被不止一次地执行,和/或通过所述冗余处理信道(1,2)的不同信道对寄存器位置进行交替的读和写操作。
7.如权利要求6所述的方法,其中,另外地,标准的RAM或标准的DPM被用作缓冲寄存器(30)。
8.如权利要求1所述的方法,其中,另外地,所述共同的安全协议在单个信道上从缓冲寄存器(30)被传送到一个在特定应用的基础上设计的总线耦合装置(35)。
9.一种用于单信道总线耦合对安全性有严格要求的过程的设备,包括:
至少两个冗余计算机(11,21),每一个计算机被设计成使用相同的规则对相同的输入数据记录进行特定协议处理以形成各自的冗余安全协议(14,24),以及
电路装置,用于以如下方式将所述冗余计算机(11,21)的每一个连接到一个共同的缓冲寄存器(30)并且将冗余的各个安全协议(14,24)结合到一起以形成一个共同的安全协议:所述冗余计算机(11,21)中的一个只对所述缓冲寄存器(30)中的与其对应的寄存器位置具有写权限。
10.如权利要求9所述的设备,其中,另外地,所述电路装置被设计成为所述冗余计算机(11,21)的每一个提供对缓冲寄存器(30)中的每个寄存器位置的读访问能力。
11.如权利要求9或10所述的设备,其中,另外地,所述冗余计算机(11,21)通过一个通信接口(101)相互连接。
12.如权利要求9或10所述的设备,其中,另外地,所述冗余计算机(11,21)分别具有一个集成的协议芯片,或者在输出侧连接到一个协议芯片(13,23),或者具有提供所述协议芯片的功能的软件。
13.如权利要求9或10所述的设备,其中,另外地,所述设备是总线用户单元的形式,并且所述冗余计算机在输入侧至少连接到输入信道,用于链接处理数据输入单元,或者其中所述设备是总线控制单元的形式。
14.如权利要求9或10所述的设备,其中使用简单的逻辑电路设计所述电路装置,或者所述电路装置是FPGA的形式。
15.如权利要求14所述的设备,其中,另外地,所述缓冲寄存器(30)是一个标准的RAM或标准的DPM。
16.如权利要求9或10所述的设备,其中,另外地,所述缓冲寄存器(30)具有一个接口,所述接口用于直接单信道总线耦合或用于到一个在特定应用基础上设计的总线耦合装置(35)的单信道链接。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004039932A DE102004039932A1 (de) | 2004-08-17 | 2004-08-17 | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
DE102004039932.8 | 2004-08-17 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1737787A CN1737787A (zh) | 2006-02-22 |
CN100595746C true CN100595746C (zh) | 2010-03-24 |
Family
ID=35170041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510091762.8A Active CN100595746C (zh) | 2004-08-17 | 2005-08-17 | 总线耦合安全相关过程的方法和设备 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8576707B2 (zh) |
EP (1) | EP1631014B2 (zh) |
JP (2) | JP5068436B2 (zh) |
CN (1) | CN100595746C (zh) |
DE (2) | DE102004039932A1 (zh) |
ES (1) | ES2293443T3 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006007844A1 (de) * | 2004-08-17 | 2007-08-23 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
DE102005010820C5 (de) | 2005-03-07 | 2014-06-26 | Phoenix Contact Gmbh & Co. Kg | Kopplung von sicheren Feldbussystemen |
DE102006002824B4 (de) * | 2006-01-19 | 2008-10-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht |
US7454252B2 (en) * | 2006-03-08 | 2008-11-18 | Moore Industries International, Inc. | Redundant fieldbus system |
JP5052532B2 (ja) * | 2006-02-17 | 2012-10-17 | フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー | 安全関連プロセスのバス結合のための方法および装置 |
DE102007016917B4 (de) * | 2007-04-05 | 2009-12-17 | Phoenix Contact Gmbh & Co. Kg | Verfahren sowie System zur sicheren Übertragung von zyklischen zu übertragenden Prozessdaten |
DE102007032805A1 (de) * | 2007-07-10 | 2009-01-15 | Siemens Ag | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
US8260487B2 (en) * | 2008-01-08 | 2012-09-04 | General Electric Company | Methods and systems for vital bus architecture |
DE102008049126B3 (de) * | 2008-09-26 | 2010-04-08 | Raytheon Anschütz Gmbh | Schiffsruder-Steuerung/Autopilot mit einem CAN-Bus |
EP2642403B1 (de) | 2012-03-23 | 2014-07-23 | Siemens Aktiengesellschaft | Schnittstellenvorrichtung und Verfahren für einen konsistenten Datenaustausch |
FR2992083B1 (fr) | 2012-06-19 | 2014-07-04 | Alstom Transport Sa | Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur |
EP3036156B1 (en) * | 2013-08-23 | 2019-05-08 | Bombardier Inc. | Abnormal aircraft response monitor |
JP6183296B2 (ja) * | 2014-06-02 | 2017-08-23 | 株式会社デンソー | 車両用機器、車両用機器の起動方法 |
DE102018000559A1 (de) | 2018-01-24 | 2019-07-25 | WAGO Verwaltungsgesellschaft mit beschränkter Haftung | System zum erzeugen eines datenstroms auf basis redundanter informationen |
DE102018120344A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
CN110069374A (zh) * | 2019-04-28 | 2019-07-30 | 中国科学院微电子研究所 | 一种安全性测试方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN2434703Y (zh) * | 2000-07-25 | 2001-06-13 | 石忠祥 | 计算机系统硬盘切换控制装置 |
DE10065907A1 (de) * | 2000-11-29 | 2002-09-26 | Heinz Gall | Verfahren zum gesicherten Datentransport |
US6532508B2 (en) * | 1999-06-22 | 2003-03-11 | Pilz Gmbh & Co. | Control system for controlling safety-critical processes |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5386532A (en) * | 1991-12-30 | 1995-01-31 | Sun Microsystems, Inc. | Method and apparatus for transferring data between a memory and a plurality of peripheral units through a plurality of data channels |
DE19532639C2 (de) * | 1995-08-23 | 2000-11-30 | Siemens Ag | Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten |
US6161202A (en) * | 1997-02-18 | 2000-12-12 | Ee-Signals Gmbh & Co. Kg | Method for the monitoring of integrated circuits |
JPH10307603A (ja) | 1997-05-09 | 1998-11-17 | Fanuc Ltd | データ伝送装置 |
US5984504A (en) * | 1997-06-11 | 1999-11-16 | Westinghouse Electric Company Llc | Safety or protection system employing reflective memory and/or diverse processors and communications |
US6049901A (en) * | 1997-09-16 | 2000-04-11 | Stock; Mary C. | Test system for integrated circuits using a single memory for both the parallel and scan modes of testing |
JP3680592B2 (ja) | 1998-10-30 | 2005-08-10 | 株式会社日立製作所 | 通信装置 |
DE19920299B4 (de) * | 1999-05-03 | 2008-01-03 | Siemens Ag | Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale |
DE19939567B4 (de) | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
DE19947094C2 (de) | 1999-09-30 | 2001-09-06 | Siemens Ag | Verfahren und Empfangsanordnung zur Erhöhung der Übertragungsreichweite bei einer Übertragung von Signalen im Basisband |
US6782277B1 (en) | 1999-09-30 | 2004-08-24 | Qualcomm Incorporated | Wireless communication system with base station beam sweeping |
US6909923B2 (en) * | 1999-12-22 | 2005-06-21 | Rockwell Automation Technologies, Inc. | Safety communication on a single backplane |
US6594714B1 (en) * | 2000-05-01 | 2003-07-15 | Hewlett-Packard Development Company, L.P. | Reconfigurable FIFO interface to support multiple channels in bundled agent configurations |
DE10037737B4 (de) * | 2000-08-02 | 2007-03-22 | Siemens Ag | Verfahren und Vorrichtung zur sicheren einkanaligen Auswertung von Sensorsignalen |
US6654021B2 (en) | 2001-05-18 | 2003-11-25 | Sun Microsystems, Inc. | Multi-channel, demand-driven display controller |
DE60235232D1 (de) | 2001-05-31 | 2010-03-18 | Omron Tateisi Electronics Co | Sicherheitsnetzwerksystem und sicherheits-slaves und sicherheitssteuerung und kommunikationsverfahren und informationssammelverfahren und überwachungsverfahren in einem sicherheitsnetzwerksystem |
EP1404061B1 (en) * | 2001-06-22 | 2011-08-10 | Omron Corporation | Safety network system and safety slave |
US6915444B2 (en) | 2001-09-12 | 2005-07-05 | Rockwell Automation Technologies, Inc. | Network independent safety protocol for industrial controller using data manipulation techniques |
US7007220B2 (en) * | 2002-03-01 | 2006-02-28 | Broadlogic Network Technologies, Inc. | Error correction coding across multiple channels in content distribution systems |
JP4224766B2 (ja) | 2002-10-25 | 2009-02-18 | 横河電機株式会社 | プラント情報収集装置 |
DE10301504B3 (de) * | 2003-01-17 | 2004-10-21 | Phoenix Contact Gmbh & Co. Kg | Einsignalübertragung sicherer Prozessinformation |
JP2004103241A (ja) | 2003-10-24 | 2004-04-02 | Fujitsu Ltd | 光ディスク装置用光学ヘッド |
-
2004
- 2004-08-17 DE DE102004039932A patent/DE102004039932A1/de not_active Ceased
-
2005
- 2005-08-03 EP EP05016849.1A patent/EP1631014B2/de active Active
- 2005-08-03 ES ES05016849T patent/ES2293443T3/es active Active
- 2005-08-03 DE DE502005002025T patent/DE502005002025D1/de active Active
- 2005-08-16 JP JP2005235667A patent/JP5068436B2/ja active Active
- 2005-08-17 US US11/205,805 patent/US8576707B2/en active Active
- 2005-08-17 CN CN200510091762.8A patent/CN100595746C/zh active Active
-
2010
- 2010-10-28 JP JP2010241825A patent/JP2011054195A/ja not_active Ceased
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6532508B2 (en) * | 1999-06-22 | 2003-03-11 | Pilz Gmbh & Co. | Control system for controlling safety-critical processes |
CN2434703Y (zh) * | 2000-07-25 | 2001-06-13 | 石忠祥 | 计算机系统硬盘切换控制装置 |
DE10065907A1 (de) * | 2000-11-29 | 2002-09-26 | Heinz Gall | Verfahren zum gesicherten Datentransport |
Also Published As
Publication number | Publication date |
---|---|
JP5068436B2 (ja) | 2012-11-07 |
JP2006059356A (ja) | 2006-03-02 |
EP1631014A3 (de) | 2006-04-12 |
EP1631014B2 (de) | 2017-08-16 |
CN1737787A (zh) | 2006-02-22 |
DE102004039932A1 (de) | 2006-03-09 |
ES2293443T3 (es) | 2008-03-16 |
DE502005002025D1 (de) | 2008-01-03 |
US8576707B2 (en) | 2013-11-05 |
EP1631014A2 (de) | 2006-03-01 |
JP2011054195A (ja) | 2011-03-17 |
US20060087967A1 (en) | 2006-04-27 |
EP1631014B1 (de) | 2007-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100595746C (zh) | 总线耦合安全相关过程的方法和设备 | |
US7809449B2 (en) | Coupling of safe fieldbus systems | |
US6201997B1 (en) | Microprocessor system for safety-critical control systems | |
CN100480913C (zh) | 以安全为导向的控制系统 | |
US8799738B2 (en) | Method of detecting data transmission errors in a CAN controller, and a CAN controller for carrying out the method | |
US7945818B2 (en) | Method and apparatus for converting multichannel messages into a single-channel safe message | |
EP2188949B1 (en) | System and method providing fault detection capability | |
RU2452114C2 (ru) | Способ, а также система для надежной передачи циклических передаваемых данных процесса | |
CN100382474C (zh) | 安全传输数据的系统和方法 | |
US9452909B2 (en) | Safety related elevator serial communication technology | |
WO1993025948A9 (en) | Secure front end communication system and method for process control computers | |
CN101385282B (zh) | 用于安全相关过程总线连接的方法和装置 | |
EP1936455B1 (en) | Method and system for diagnosing external signal input/output units | |
JP2004227575A (ja) | 安全性関連プロセス情報の単一信号送信 | |
CN111033485A (zh) | 用于在数据处理装置中过滤通过通信连接到达的通信数据的方法、数据处理装置和机动车 | |
CN101278526A (zh) | 用于技术设备、尤其是机动车的通信系统 | |
CN104750028B (zh) | 使用了与多个cpu进行通信的io单元的安全通信系统 | |
CN110351012B (zh) | 经由故障安全的通信连接传输数据时识别数据损坏的方法 | |
CN100421079C (zh) | 输入值的安全记录 | |
JP4140615B2 (ja) | データ通信方法及び安全システム | |
JP3866708B2 (ja) | リモート入出力装置 | |
US20140164550A1 (en) | Method of connecting a hardware module to a fieldbus | |
JP3297515B2 (ja) | 多重伝送装置 | |
JPH02265337A (ja) | スキャン伝送システムの情報交換装置 | |
JP2000285032A (ja) | 不揮発性記憶装置のデータチェック方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |