-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Parametrisiereneines Gerätes, insbesondere eines sicherheitskritischen Gerätes, welches sich beispielsweise in einer Industrieanlage in einem Kraftwerk oder einem Fahrzeug befindet, sowie ein entsprechendes programmierbares Gerät und eine Parametrisierungsvorrichtung
-
Geräte sind in vielen Fällen zu konfigurieren, wobei bei vielen Anwendungen Geräteparameter zur Konfiguration des Gerätes in das Gerät eingegeben werden. Für die Parametrisierung von Geräten, insbesondere von sicherheitskritischen Geräten, die zur Messung und Überwachung sicherheitskritischer Anlagen, Systeme oder Prozesse eingesetzt werden, gelten besondere Sicherheitsanforderungen. Bei derartigen Geräten müssen die eingegebenen Parameter in einer Validierungsphase durch einen Anwender bzw. Nutzer überprüft werden. Die eingegebenen Parameter werden dabei beispielsweise auf einer Anzeige des sicherheitskritischen, zu parametrisierenden Gerätes angezeigt. Ein Anwender bzw. Nutzer kann dann eine ihm vorliegende Parameterliste, welche den Parametern entsprechende Parameter-IDs und Parameterwerte enthält, einzeln durchgehen und mit den ihm angezeigten Parametern vergleichen. Stimmen die angezeigten Parameter mit den in der Parameterliste angegebenen Parametern überein, kann der Anwender bzw. Nutzer beispielsweise mit seiner Unterschrift auf einem Prüfprotokoll bestätigen, dass die von ihm validierten angezeigten Parameterwerte den vorgegebenen Parameterwerten entsprechen und dass ferner das richtige sicherheitskritische Gerät entsprechend parametrisiert wurde.
-
Diese herkömmliche Vorgehensweise weist allerdings einige Nachteile auf. Eine Parameterliste für ein komplexes Gerät kann eine Vielzahl von Geräteparametern umfassen, so dass es für einen Nutzer bzw. Anwender zum Teil äußerst mühsam ist, die entsprechende Parameterliste Parameter für Parameter durchzuarbeiten und jeden Parameterwert einzeln zu validieren. Darüber hinaus ist zu berücksichtigen, dass ein Nutzer bzw. Anwender, welcher die notwendige Validierung der Parameterliste durchführt, sich in vielen Fällen in einer für ihn gefährlichen bzw. gesundheitsschädlichen Umgebung zur Durchführung der Parametrisierung befindet. Weiterhin sind sicherheitskritische zu parametrisierende Geräte, beispielsweise in Industrieanlagen, oft für einen Nutzer bzw. Bediener nur schwer zugänglich.
-
Ein weiterer Nachteil besteht darin, dass eine Parametrisierung bzw. Umparametrisierung eines Gerätes bei dieser herkömmlichen Vorgehensweise eine lange Zeit benötigt, insbesondere wenn die Parameterliste eine Vielzahl von Parametern mit entsprechenden Parameterwerten umfasst. Weiterhin ist es in vielen Fällen notwendig, dass eine Parametrisierung bzw. Umparametrisierung eines Gerätes innerhalb eines vorgegebenen Zeitraums abgeschlossen sein muss, insbesondere bei sicherheitskritischen Anwendungen. In diesen Fällen kann die herkömmliche Vorgehensweise zur Parametrisierung unter Umständen zu lange dauern.
-
Aus den deutschen Offenlegungsschriften
DE102008001886A1 und
DE102005025645A1 sind bereits Verfahren zum Parametrisieren eines Gerätes bekannt, wobei die Parametrisierung validiert wird.
-
Schließlich ist aus der deutschen Offenlegungsschrift
DE102004057298A1 ein Verfahren zum Parametrisieren eines Gerätes mit Parameter einer Parameterliste bekannt, wobei bei Übereinstimmung eines extern auf Basis der Parameterliste berechneten externen Parametertokens und eines internen durch das zu parametrisierende Gerät auf Basis der Parameterliste berechnete internen Parametertoken ein in das Gerät eingegebener Gerätetoken mit einem internen Gerätetoken, welches intern durch das zu parametrisierende Gerät in Abhängigkeit einer Geräte-ID des Gerätes und des internen Parametertokens berechnet wird, zur Validierung der Parameterliste verglichen wird.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum Parametrisieren eines Gerätes mit Parametern einer Parameterliste zu schaffen, welches die oben genannten Nachteile vermeidet und welches insbesondere eine schnelle und zuverlässige Parametrisierung des Gerätes gewährleistet, sowie ein entsprechendes programmierbares Gerät und eine Parametrisierungsvorrichtung anzugeben.
-
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die Erfindung schafft ein Verfahren zum Parametrisieren eines Gerätes mit Parametern einer Parameterliste,
wobei bei Übereinstimmung eines extern auf Basis der Parameterliste berechneten externen Parametertokens mit einem intern durch das zu parametrisierende Gerät auf Basis der Parameterliste berechneten internen Parametertoken ein in das Gerät eingegebener Gerätetoken mit einem internen Gerätetoken, welches intern durch das zu parametrisierende Gerät in Abhängigkeit einer Geräte-ID des Gerätes und des internen Parametertokens berechnet wird, zur Validierung der Parameterliste verglichen wird.
-
Das erfindungsgemäße Verfahren bietet den Vorteil, dass die Parametervalidierung vereinfacht wird, und nur eine einzige Prüfsumme bzw. ein einziges berechnetes Token anstatt aller Parameterwerte der in der Parameterliste aufgeführten Parameter validiert werden muss.
-
Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das externe Gerätetoken extern in Abhängigkeit einer in der Parameterliste enthaltenen Geräte-ID und des externen Parametertokens berechnet.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die beiden Parametertoken mittels einer vorgegebenen Berechnungsfunktion in Abhängigkeit von Parameter-IDs und Parameterwerten der in der Parameterliste enthaltenen Parameter berechnet.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das externe Parametertoken mittels der vorgegebenen Berechnungsfunktion durch eine Berechnungseinheit einer externen Parametrisierungsvorrichtung in Abhängigkeit der Parameter-IDs und der Parameterwerte der in der Parameterliste enthaltenen Parameter berechnet.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das interne Parametertoken mittels der vorgegebenen Berechnungsfunktion durch eine in dem zu parametrisierenden Gerät integrierte Berechnungseinheit in Abhängigkeit der Parameter-IDs und der Parameterwerte der in der Parameterliste enthaltenen Parameter berechnet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die auf einem externen Datenspeicher gespeicherte Parameterliste durch die Berechnungseinheit der Parametrisierungsvorrichtung zur Berechnung des externen Parametertokens aus dem Datenspeicher ausgelesen.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die in dem Datenspeicher gespeicherte Parameterliste über eine Schnittstelle des zu parametrisierendes Geräts durch die in dem zu parametrisierenden Gerät integrierte Berechnungseinheit zur Berechnung des internen Parametertokens ausgelesen und in einem internen Speicher des zu parametrisierenden Geräts zwischengespeichert.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das durch die Berechnungseinheit der externen Parametrisierungsvorrichtung berechnete externe Parametertoken auf einer Anzeige der Parametrisierungsvorrichtung angezeigt.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das durch die in dem zu parametrisierenden Gerät integrierte Berechnungseinheit berechnete interne Parametertoken auf einer Anzeige des zu parametrisierenden Gerätes angezeigt.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die beiden angezeigten Parametertoken durch einen Benutzer verglichen, welcher bei Übereinstimmung der beiden angezeigten Parametertoken das durch die Parametrisierungsvorrichtung berechnete Gerätetoken in das zur parametrisierende Gerät eingibt, welches das eingegebene Gerätetoken mit dem internen Gerätetoken zur Validierung der Parameterliste vergleicht.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens ist die vorgegebene Berechnungsfunktion, welche durch die Berechnungseinheiten zur Berechnung der Parametertoken verwendet wird, eine CRC(Cyclic Redundancy Check)-Funktion
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens ist die vorgegebene Berechnungsfunktion, welche durch die Berechnungseinheiten zur Berechnung der Parametertoken verwendet wird, eine Hash-Funktion.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens ist die Berechnungsfunktion einstellbar bzw. konfigurierbar.
-
Die Erfindung schafft ferner ein parametrisierbares Gerät mit den in Patentanspruch 7 angegebenen Merkmalen.
-
Die Erfindung schafft ein parametrisierbares Gerät, das auf Basis einer Parameterliste, die aus einem externen Datenspeicher ausgelesen wird, intern ein internes Parametertoken berechnet, welches ausgegeben wird, wobei das parametrisierbare Gerät ein anschließend in das Gerät eingegebenes Gerätetoken mit einem internen Gerätetoken, welches in Abhängigkeit von dem davor berechneten internen Parametertoken und einer Geräte-ID des Gerätes berechnet wird, zur Validierung der Parameterliste vergleicht.
-
Bei dem parametrisierbaren Gerät handelt es sich insbesondere um ein sicherheitskritisches Gerät einer Anlage, insbesondere einer Industrieanlage oder eines Fahrzeugs, insbesondere eines Flugzeuges oder einer Zuglokomotive.
-
Die Erfindung schafft ferner eine Parametrisierungsvorrichtung mit den in Patentanspruch 8 angegebenen Merkmalen.
-
Die Erfindung schafft eine Parametrisierungsvorrichtung zur Parametrisierung eines Gerätes,
wobei die Parametrisierungsvorrichtung auf Basis einer gespeicherten Parameterliste ein externes Parametertoken und ein Gerätetoken des zu parametrisierenden Gerätes berechnet, wobei das durch die Parametrisierungsvorrichtung berechnete Gerätetoken bei Übereinstimmung des externen Parametertokens mit einem internen durch das parametrisierenden Gerät auf Basis der Parameterliste berechneten internen Parametertokens zur Validierung der Parameterliste in das zu parametrisierende Gerät eingegeben wird.
-
Bei einer möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung weist diese eine Berechnungseinheit zur Berechnung des externen Parametertokens mittels einer vorgegebenen Berechungsfunktion in Abhängigkeit von Parameter-IDs und Parameterwerten der in der Parameterliste enthaltenen Parameter auf.
-
Bei einer möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung dient diese Berechnungseinheit ferner zur Berechnung eines Gerätetokens des zu parametrisierenden Geräts in Abhängigkeit von dem externen Parametertoken und einer in der Parameterliste enthaltenen Geräte-ID des zu parametrisierenden Geräts.
-
Bei einer möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung weist diese ferner eine Anzeige auf, die zur Anzeige des berechneten externen Parametertokens und des berechneten Gerätetokens vorgesehen ist.
-
Bei einer möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung weist diese eine Leseeinrichtung zum Auslesen der auf einem Datenspeicher gespeicherten Parameterliste auf.
-
Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung weist diese ferner eine Übertragungseinrichtung zum Übertragen des berechneten Gerätetokens zu dem zu parametrisierenden Geräts auf.
-
Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Parametrisierungsvorrichtung handelt es sich bei der Parametrisierungsvorrichtung um ein tragbares mobiles Parametrisierungsgerät.
-
Bei einer möglichen Ausführungsform der Parametrisierungsvorrichtung weist diese eine Schnittstelle zum Auslesen der Parameterliste aus einem an die Schnittstelle anschließbaren Datenträger oder Datenspeicher auf.
-
Bei einer möglichen Ausführungsform besitzt die Parametrisierungsvorrichtung ferner eine Anzeige zum Anzeigen des auf Basis der Parameterliste berechneten Parametertokens sowie des daraus berechneten Gerätetokens für einen Nutzer, wobei der Nutzer bei Übereinstimmung des angezeigten Parametertokens mit einem von dem zu parametrisierenden Gerät ausgegebenen Parametertoken das angezeigte Gerätetoken in das zu parametrisierende Gerät zur Validierung der Parameterliste manuell eingibt.
-
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Vorrichtung zum Parametrisieren eines Gerätes unter Bezugnahme auf die beigefügten Figuren näher beschrieben.
-
Es zeigen:
-
1 ein Blockschaltbild zur Erläuterung einer ersten möglichen Ausführungsform eines Verfahrens und einer Vorrichtung zum Parametrisieren eines Gerätes gemäß der Erfindung;
-
2 ein weiteres Blockschaltbild zur Erläuterung einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Vorrichtung zum Parametrisieren eines Gerätes.
-
Wie man aus 1 erkennen kann, weist ein zu parametrisierendes Gerät 1 im dargestellten Beispiel eine Eingabeeinheit 1A und eine Ausgabeeinheit 1B auf. Bei dem zu parametrisierenden Gerät 1 handelt es sich bei dem dargestellten Beispiel um ein sicherheitskritisches Gerät, beispielsweise um ein Gerät einer Industrieanlage oder eines Fahrzeugs, z. B. eines Flugzeugs oder einer Zuglokomotive. In dem dargestellten Beispiel weist das sicherheitskritische Gerät 1 einen sicherheitskritischen Kern K auf, in dem sich ein eingebetteter Datenspeicher 1C, beispielsweise ein RAM-Speicher und eine eingebettete Berechnungseinheit 1D befindet, die einen eingebetteten Validator bildet. Das Gerät 1, wie es in 1 dargestellt ist, kann ein fest installiertes Gerät, beispielsweise ein sicherheitskritisches Gerät einer Industrieanlage sein oder ein mobiles Gerät, beispielsweise ein Fahrzeug, insbesondere ein Flugzeug oder eine Zuglokomotive. Das sicherheitskritische Gerät 1 ist mit Parametern bzw. Geräteparametern in einem bestimmten Betrieb bzw. Betriebsmodus konfigurierbar. Der in dem sicherheitskritischen Kern K vorgesehene eingebettete Datenspeicher 1C kann dabei eine aus einen Datenträger 3 ausgelegene Parameterliste PL speichern, die für das jeweilige Gerät 1 vorgesehen ist. Nach der Parametrisierung des Gerätes 1 muss die eingegebene Parameterliste PL anschließend durch einen Nutzer 2 bzw. eine Bedienperson validiert werden, um Fehleinstellungen zu vermeiden.
-
Hierzu verfügt der Nutzer 2 über die Parameterliste PL, die sich auf einen Datenträger 3 befinden kann. Diese Parameterliste PL kann z. B. ausgedruckt werden und von dem Nutzer zur Validierung herangezogen werden. Die Parameterliste PL umfasst die Parameter-IDs aller zu parametrisierenden Parameter des Gerätes 1 sowie die zugehörigen vorgegebenen Parameterwerte. Bei den Parametern kann es sich um beliebige Geräteparameter handeln. Beispielsweise geben die Parameter physikalische Grenzwerte oder Einstellwerte für einen Massestrom, ein Volumen, Dichte und dergleichen an. Weitere Beispiele sind Einstellwerte für Steuergrößen wie Strom, Spannung und dergleichen.
-
Neben den Parameter-IDs und den zugehörigen Parameterwerten umfasst die Parameterliste PL auch eine eindeutige Geräte-ID G-ID des zu parametrisierenden Gerätes 1. Die Parameterliste PL kann sich bei einer möglichen Ausführungsform auf einem Datenspeicher 3 befinden, der durch das sicherheitskritische Gerät 1 über eine Schnittstelle auslesbar ist. Bei einer möglichen Ausführungsform wird diese gespeicherte Parameterliste PL ausgelesen und zunächst in dem Datenspeicher 1C des Gerätes 1 als eingebettete Parameterliste PL' gespeichert. Nach dem Einschreiben der Parameterliste PL' in den Speicher 1C muss aus Sicherheitsgründen der Nutzer 2 die übertragene Parameterliste PL' validieren. Weiterhin ist es möglich, dass der Nutzer 2 sich die auf dem Datenspeicher 3 gespeicherte Parameterliste PL zusätzlich ausdruckt.
-
Zur automatischen Validierung der übertragenen Parameterliste PL' verfügt der Nutzer 2 über eine Parametrisierungsvorrichtung 4, bei der es sich um ein tragbares Parametrisierungsgerät handeln kann. Die Parametrisierungsvorrichtung 4 enthält ebenfalls eine Berechnungseinheit 4A und verfügt in dem dargestellten Beispiel über eine Anzeige 4B. Bei dem erfindungsgemäßen Verfahren zum Parametrisieren des Gerätes 1 mit Parametern der Parameterliste PL durch die Berechnungseinheit 4A der Parametrisierungsvorrichtung 4 wird extern, das heißt außerhalb des sicherheitskritischen Gerätes 1, auf Basis der Parameterliste PL ein externes Parametertoken PTEXTERN berechnet, welches auf der Anzeige 4B der Parametrisierungsvorrichtung 4 dem Nutzer 2 angezeigt werden kann. Weiterhin wird durch die bei dem zu parametrisierenden Gerät 1 integrierte Berechnungseinheit 1D auf Basis der übertragenen bzw. eingegebenen Parameterliste PL', welche in dem eingebetteten Datenspeicher 1C vorläufig gespeichert ist, ein internes Parametertoken PTINTERN, berechnet. Dieses intern berechnete Parametertoken PTINTERN kann dem Nutzer 2 über die Ausgabeeinheit 1B des Gerätes 1, beispielsweise mittels eines Displays des zu konfigurierenden Gerätes 1 dem Nutzer 2 angezeigt werden. Falls das extern berechnete Parametertoken PTEXTERN, welches beispielsweise auf der Anzeige 4B der Parametrisierungsvorrichtung 4 angezeigt wird, mit dem intern berechneten Parametertoken PTINTERN, welches beispielsweise auf einer Anzeige 1B des zu parametrisierenden Gerätes 1 angezeigt wird, übereinstimmt, kann der Nutzer 2 ein Gerätetoken GT in das sicherheitskritische Gerät 1 zur Validierung der Parameterliste PL', beispielsweise über die Eingabeeinheit 1A eingeben. Dieses eingegebene Gerätetoken wird bei einer bevorzugten Ausführungsform extern, beispielsweise durch die Berechnungseinheit 4A der Parametrisierungsvorrichtung 4, in Abhängigkeit der in der Parameterliste PL enthaltenen Geräte-ID G-ID und des zuvor berechneten externen Parametertokens PTEXTERN berechnet. GTEXTERN = f (G-ID, PTEXTERN)
-
Dieses extern berechnete Gerätetoken GTEXTERN wird bei einer möglichen Ausführungsform auf dem Display 4B der Parametrisierungsvorrichtung 4 dem Nutzer 2 angezeigt. Sofern die beiden Parametertoken, das heißt das extern durch die Parametrisierungsvorrichtung 4 berechnete Parametertoken PTEXTERN und das intern durch das zu konfigurierende Gerät 1 berechnete Parametertoken PTINTERN übereinstimmen, gibt der Nutzer 2 anschließend zur Validierung der Parameterliste PL' das extern berechnete und ihm angezeigte Gerätetoken GTEXTERN in das zu konfigurierende Gerät 1 ein. Die in dem sicherheitskritischen Gerät 1 vorgesehene Berechnungseinheit 1D berechnet in Abhängigkeit einer Geräte-ID G-ID des Gerätes 1 und des zuvor berechneten internen Parametertokens PTINTERN ein internes Gerätetoken GTINTERN. GTINTERN = f(G-ID, PTINTERN)
-
Dieses interne Gerätetoken GTINTERN wird mit dem extern berechneten und eingegebenen Gerätetoken GTEXTERN zur Validierung der Parameterliste PL' verglichen. Sofern das interne Gerätetoken GTINTERN mit dem externen Gerätetoken GTEXTERN übereinstimmt, ist sichergestellt, dass die Parameterliste PL', die sich in dem eingebetteten Datenspeicher 1C des Gerätes 1 befindet, korrekt ist und mit der auf den Datenträger 3 gespeicherten externen Parameterliste PL vollständig übereinstimmt.
-
Bei den beiden Berechnungseinheiten 4A, 1D, die sich in der Parametrisierungsvorrichtung 4 bzw. dem sicherheitskritischen Gerät 1 befinden, kann es sich um Mikroprozessoren handeln. Die beiden Parametertoken, das heißt der externe Parametertoken PTEXTERN und der interne Parametertoken werden durch die beiden Berechnungseinheiten 4A, 1D separat mittels der gleichen vorgegebenen Berechnungsfunktion BF in Abhängigkeit von den Parameter-IDs P-ID und den Parameterwerten P-W der in der Parameterliste PL enthaltenen Parameter P berechnet. PT = BF(P-ID, P-W)
-
Die Berechnung kann bei einer möglichen Ausführungsform mit einem kryptographischen Algorithmus mit hoher Kollisionsfreiheit berechnet werden. Bei einer möglichen Ausführungsform handelt es sich bei der Berechnungsfunktion BF, die durch die Berechnungseinheiten zur Berechnung der Parametertoken PT verwendet wird, um eine CRC(Cyclic Redundancy Check)-Funktion. Ferner kann es sich bei der vorgegebenen Berechnungsfunktion BF auch um eine Hash-Funktion handeln. Weitere Berechnungsfunktionen mit hoher Kollisionsfreiheit sind ebenfalls möglich. Bei einer möglichen Ausführungsform ist die in der Berechnungseinheit 4A und in der internen Berechnungseinheit 1D verwendete Berechnungsfunktion BF jeweils konfigurierbar bzw. einstellbar und somit durch den Nutzer 2 veranderbar.
-
Das externe Parametertoken PTEXTERN wird mittels der vorgegebenen Berechnungsfunktion BF durch die Berechnungseinheit 4A der Parametrisierungsvorrichtung 4 in Abhängigkeit der Parameter-IDs P-ID und der Parameterwerte P-W der in der Parameterliste PL des Datenträgers 3 enthaltenen Parameter P berechnet. Das interne Parametertoken PTINTERN wird mittels der gleichen vorgegebenen Berechnungsfunktion BF durch die in dem zu parametrisierenden Gerät 1 integrierte Berechnungseinheit 1D in Abhängigkeit der Parameter-IDs P-ID und der Parameterwerte P-W der in der Parameterliste PL' enthaltenen Parameter P berechnet, wobei die in den eingebetteten Datenspeicher 1C zwischengespeicherte Parameterliste PL' herangezogen wird.
-
Die ursprüngliche Parameterliste PL kann sich auf einem externen Datenspeicher, beispielsweise einem Datenträger 3, befinden. Bei dem Datenträger 3 kann es sich beispielsweise um einen USB-Dongle bzw. Memory Stick handeln. Bei einer möglichen Ausführungsform verfügt die Parametrisierungsvorrichtung 4 über eine Schnittstelle zum Auslesen des externen Datenspeichers 3, auf dem sich die Parameterliste PL befindet. Beispielsweise wird ein USB-Dongle in eine Schnittstelle der Parametrisierungsvorrichtung 4 eingesteckt, wobei bei einer möglichen Ausführungsform anschließend die darauf abgespeicherte Parameterliste PL zunächst auf dem Display 4B der Parametrisierungsvorrichtung 4 dem Nutzer 2 angezeigt wird. Durch entsprechende Betätigung der Parametrisierungsvorrichtung 4 überträgt der Nutzer 2 anschließend die ihm angezeigte Parameterliste PL, welche von dem angesteckten Datenträger 3 stammt, über eine Datenschnittstelle in dem eingebetteten Speicher 1C des sicherheitskritischen Gerätes 1. Diese Schnittstelle zwischen dem sicherheitskritischen Gerät 1 und der Parametrisierungsvorrichtung 4 kann eine drahtlose oder eine drahtgebundene Datenschnittstelle sein.
-
Sobald die vorläufige Übertragung der Parameterliste abgeschlossen ist, leitet der Nutzer 2 die Validierung der übertragenen Parameterliste PL' ein. Der Nutzer 2 gibt in die Parametrisierungsvorrichtung 4 einen Befehl zur Durchführung der Validierung ein, wobei die Parametrisierungsvorrichtung 4 automatisch auf Basis der ihr zur Verfügung stehenden Parameterliste PL das externe Parametertoken PTEXTERN und das externe Gerätetoken GTEXTERN berechnet. Getrennt davon, das heißt auf einem diversitären Weg, berechnet die in dem sicherheitskritischen Gerät 1 vorgesehene Berechnungseinheit 1D auf Basis der in dem eingebetteten Datenspeicher 1C zwischengespeicherten vorläufigen Parameterliste PL' ein internes Parametertoken PTINTERN und gibt dieses an den Nutzer 2 aus. Der Nutzer 2 vergleicht anschließend das durch die Parametrisierungsvorrichtung 4 berechnete externe Parametertoken PTEXTERN mit dem intern berechneten Parametertoken PTINTERN. Sind die beiden Parametertoken identisch, gibt der Nutzer 2 anschließend, vorzugsweise manuell, das ihm auf der Anzeige 4B angezeigte externe Gerätetoken GTEXTERN in das sicherheitskritische Gerät 1, beispielsweise über die Eingabeeinheit 1A, ein, um die zwischengespeicherte Parameterliste PL' endgültig zu validieren. Sofern das eingegebene externe Gerätetoken GTEXTERN mit einem intern berechneten Gerätetoken GTINTERN welches intern durch das zu parametrisierende Gerät 1 in Abhängigkeit der Geräte-ID G-ID des Gerätes 1 und des internen Parametertokens PTINTERN berechnet wird, übereinstimmt, ist die zwischengespeicherte Parameterliste PL' korrekt und stimmt vollständig mit der externen Parameterliste PL überein, wobei dies dem Nutzer 2 beispielsweise über eine Anzeige 1B des sicherheitskritischen Gerätes 1 angezeigt werden kann. Bei einer weiteren Ausführungsform kann der Nutzer 2 das extern berechnete Gerätetoken GTEXTERN ohne Vergleich der Parametertoken PT in das sicherheitskritische Gerät 1 zum Abschluss der Validierung der zwischengespeicherten Parameterliste PL' eingeben. Bei einer weiteren möglichen Ausführungsform wird die erfolgreiche Validierung durch das sicherheitskritische Gerät 2 über eine drahtlose oder drahtgebundene Schnittstelle an die Parametrisierungsvorrichtung 4 gemeldet, welche dem Nutzer 2 durch eine entsprechende Anzeige der Meldung auf dem Display 4B hierüber in Kenntnis setzt. Bei dem oben ausgeführten Ausführungsbeispiel erfolgt der Vergleich zwischen den beiden berechneten Parametertoken PT und die Eingabe des externen Gerätetokens GTEXTERN durch einen Nutzer 2. Dieser Nutzer 2 befindet sich bei dem dargestellten Ausführungsbeispiel in der Nähe des zu parametrisierenden sicherheitskritischen Gerätes 1. Bei einer alternativen Ausführungsform kann bei dem erfindungsgemäßen Verfahren die Parametrisierung remote, das heißt durch einen entfernten Bediener bzw. Anwender, durchgeführt werden.
-
2 zeigt ein Ausführungsbeispiel, bei dem ein zu parametrisierendes sicherheitskritisches Gerät 1 mit einem sicherheitskritischen Kern K über eine Netzwerkschnittstelle 1E über ein Datennetzwerk, beispielsweise einen Feldbus, mit einer entfernt gelegenen Parametrisierungsschnittstelleneinrichtung 5 verbunden ist. Bei einer möglichen Ausführungsform ist die Parametrisierungsschnittstelleneinrichtung 5 in der Parametrisierungsvorrichtung 4 integriert. Die Parametrisierungsschnittstellenvorrichtung 5 verfügt über eine Eingabeeinheit 5A, eine Ausgabeeinheit 5B und über eine Netzwerkschnittstelle 5C, welche über das Datennetzwerk mit der Netzwerkschnittstelle 1E des zu parametrisierenden sicherheitskritischen Gerätes 1 verbunden ist. Bei dieser Ausführungsform überträgt der Nutzer 1 zum Auslesen der Parameterliste PL aus den Datenträger 3 zunächst diese Parameterliste PL in den eingebetteten Speicherbereich 1C des sicherheitskritischen Gerätes 1. Das daraus berechnete interne Parametertoken PTINTERN wird zu der Parametrisierungsschnittstelleneinrichtung 5 zurückübertragen und dort über die Ausgabeeinheit 5B ausgegeben. Falls das ausgegebene, intern berechnete Parametertoken PTINTERN mit dem extern berechneten Parametertoken PTEXTERN identisch ist, kann der Nutzer 2 anschließend das externe Gerätetoken GTEXTERN in die Eingabeeinheit 5A der Parametrisierungsschnittstelleneinrichtung 5 eingeben, welches über die Netzwerkschnittstellen 5C, 1E zu dem sicherheitskritischen Kern K des Gerätes 1 übertragen wird. Durch die Berechnungseinheit 1D des Gerätes 1 wird das externe Gerätetoken GTEXTERN mit dem intern bestimmten Gerätetoken GTINTERN verglichen, um festzustellen, ob die Parameterliste PL', die sich in dem eingebetteten Datenspeicher 1C befindet, fehlerfrei ist. Kann die Validierung erfolgreich abgeschlossen werden, überträgt das sicherheitskritische Gerät 1 diese Information zurück über die Netzwerkschnittstelle zu der Parametrisierungsschnittstelleneinrichtung 5B, welche dem Nutzer 2 den erfolgreichen Abschluss der Validierung der Parameterliste PL' meldet. Das erfindungsgemäße Verfahren erlaubt somit eine sichere Remote-Parametrisierung. Ferner stellt das erfindungsgemäße Verfahren sicher, dass das richtige Gerät 1 mit der entsprechenden zu dem Gerät 1 gehörigen Parameterliste PL parametrisiert wurde und keine Verwechslung der Parameterliste PL' vorliegt.
-
Das Gerät 1 weist bei den dargestellten Ausführungsbeispielen einen sicherheitskritischen Kern K auf, dessen Funktionstüchtigkeit durch besondere Sicherungsmechanismen, beispielsweise SIL sichergestellt wird.
-
Bei dem erfindungsgemäßen Verfahren werden durch vollständige Entkopplung der diversitären Prüfwege potentielle Fehlerquellen, wie sie bei bisherigen herkömmlichen Vorgehensweisen auftreten können, vollständig eliminiert, so dass das erfindungsgemäße Verfahren eine sehr hohe Sicherheit bei der Parametrisierung eines Gerätes 1 bietet. Das erfindungsgemäße Verfahren bietet zudem den Vorteil, dass der Nutzer 2 nur einen einzigen Wert, nämlich das berechnete externe Gerätetoken GTEXTERN zur Validierung der Parameterliste PL in das sicherheitskritische Gerät 1 eingeben muss.
-
Die zur Berechnung des internen Gerätetokens GTINTERN benötigte Geräte-ID G-ID des Gerätes 1 steht in dem sicherheitskritischen Gerät 1 intern manipulationssicher zur Verfügung. Da die Geräte-ID bei dem erfindungsgemäßen Parametrisierungsverfahren integriert verwendet wird, wird zusätzlich bei dem Verfahren sichergestellt, dass in jedem Fall das richtige Gerät 1 parametrisiert wird. Somit sind Verwechslungen ausgeschlossen. Daher ist es bei dem erfindungsgemäßen Verfahren auch möglich, die Parametrisierung in sicherer Weise vollständig remote durchzuführen. Der Nutzer 2 muss sich bei dem erfindungsgemäßen Verfahren nicht mehr zwingend vor Ort bei dem zu parametrisierenden Gerät 1 befinden. Das erfindungsgemäße Verfahren erlaubt es sogar, die Parametrisierung über die in der Prozess- bzw. Automatisierungstechnik üblichen Feldbusse durchzuführen.
-
Die Parametrisierungsvorrichtung 4 wie sie in den Ausführungsbeispielen gemäß 1 und 2 dargestellt ist, dient zur Parametrisierung des Gerätes 1. Bei der Parametrisierungsvorrichtung 4 kann es sich um ein tragbares Gerät handeln. Die Parametrisierungsvorrichtung 4 berechnet auf Basis der Parameterliste PL das externe Parametertoken PTEXTERN und ein externes Gerätetoken GTEXTERN des zu parametrisierenden Gerätes 1. Dabei wird das durch die Parametrisierungsvorrichtung 4 berechnete Gerätetoken bei Übereinstimmung des externen Parametertokens PTEXTERN mit einem intern durch das zu parametrisierende Gerät 1 auf Basis der Parameterliste PL' berechneten internen Parametertokens PTINTERN zur Validierung der Parameterliste PL in das zu parametrisierende Gerät 1 direkt oder remote eingegeben. Bei einer weiteren möglichen Ausführungsform ist die Parametrisierungsvorrichtung 4 ein Terminal bzw. Client-Computer, der über eine integrierte Parametrisierungsschnittstelleneinrichtung 5 verfügt, welche über ein Datennetzwerk einen Remote-Daten-Zugriff auf das zu parametrisierende sicherheitskritische Gerät 1 erlaubt. Bei dem Datennetzwerk kann es sich um ein beliebiges Netzwerk, beispielsweise um einen Feldbus, aber auch um ein öffentliches Datennetzwerk, beispielsweise das Internet, handeln. Bei einer möglichen Ausführungsform werden aus Sicherheitsgründen, insbesondere bei Einsatz eines öffentlichen Datennetzwerks, kryptographische Verschlüsselungsmechanismen zur Verschlüsselung der über das Datennetzwerk übertragenen Daten eingesetzt. Bei dieser Ausführungsform ist sicherheitskritische, zu parametrisierende Gerät 1 und die zugehörige Parametrisierungsvorrichtung 4 an ein gemeinsames öffentliches Datennetzwerk, beispielsweise das Internet, angeschlossen und das Gerät 1 wird remote in sicherer Weise entsprechend dem erfindungsgemäßen Verfahren parametrisiert.
-
Die Verbindung zwischen der Netzwerkschnittstelle 5c und der Netzwerkschnittstelle 1E des sicherheitskritischen Gerätes 1 kann drahtlos oder drahtgebunden sein. Bei einer möglichen Ausführungsform erfolgt die Kommunikation über Satelliten, insbesondere falls es sich bei dem sicherheitskritischen Gerät 1 über ein mobiles Gerät, insbesondere um ein Fahrzeug, beispielsweise ein Flugzeug, handelt.
-
Bei einer möglichen Ausführungsform wird das zu parametrisierende Gerät 1 zur Parametrisierung bzw. Umparametrisierung aus einem Normalbetriebsmodus in einen Parametrisierungsbetriebsmodus geschaltet, bevor das erfindungsgemäße Verfahren zum Parametrisieren des Gerätes 1 durchgeführt wird. Handelt es sich bei dem zu parametrisierenden Gerät 1 nicht um ein sicherheitskritisches Gerät, kann bei einer möglichen Ausführungsform die Parametrisierung auch während eines normalen Betriebes des Gerätes 1 erfolgen.