ES2293443T3 - Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus. - Google Patents

Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus. Download PDF

Info

Publication number
ES2293443T3
ES2293443T3 ES05016849T ES05016849T ES2293443T3 ES 2293443 T3 ES2293443 T3 ES 2293443T3 ES 05016849 T ES05016849 T ES 05016849T ES 05016849 T ES05016849 T ES 05016849T ES 2293443 T3 ES2293443 T3 ES 2293443T3
Authority
ES
Spain
Prior art keywords
protocol
bus
security
common
further characterized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES05016849T
Other languages
English (en)
Inventor
Heinz-Carsten Dipl.-Ing. Landwehr
Viktor Dipl.-Ing. Oster
Rainer Dipl.-Ing. Esch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=35170041&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2293443(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Application granted granted Critical
Publication of ES2293443T3 publication Critical patent/ES2293443T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Bus Control (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Systems (AREA)

Abstract

Procedimiento para el acoplamiento en un canal de un proceso crítico para la seguridad a un bus, en el que un conjunto de datos relevante para el proceso crítico de seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de una manera específica del protocolo de acuerdo con reglas idénticas para crear un protocolo seguro (14, 24), caracterizado porque los protocolos seguros redundantes (14, 24) para el acoplamiento del bus de un canal son agrupados en un protocolo seguro común y, en concreto, se accede desde cada uno de los canales de procesamiento (1, 2) a un registro intermedio común (30), siendo asignada una sola vez para cada lugar del registro una autorización de escritura, de tal manera que el protocolo seguro común se agrupa en porciones a través de la escritura en diferentes porciones de los protocolos de seguridad respectivos.

Description

Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.
La invención se refiere a un procedimiento así como a un dispositivo, adaptado para la realización del procedimiento, para el acoplamiento de un canal de procesos relevantes para la seguridad a un bus.
Por un proceso relevante para la seguridad se entiende a continuación un procesos, desde el que procede, en el caso de que se produzca un fallo, un peligro no insignificante para las personas y/o también para los productos materiales. Por lo tanto, en un proceso relevante para la seguridad debe garantizarse que en el caso de que se produzca un fallo, este proceso, un proceso siguiente acoplado con este proceso y/o un sistema general que comprende este proceso, son transferidos a un estado seguro. Tales procesos relevantes para la seguridad pueden ser, por lo tanto, también procesos parciales de procesos generales mayores de orden superior. Ejemplos de procesos relevantes para la seguridad son procesos químicos, en los que deben cumplirse de forma incondicional parámetros químicos en una zona predeterminada, controles complejos de máquinas, como por ejemplo en una prensa hidráulica o en una cadena de fabricación, en los que, por ejemplo, la puesta en funcionamiento de una herramienta de prensa/corte puede representar un proceso parcial relevante para la seguridad. Otros ejemplos de procesos (parciales) relevantes para la seguridad son la supervisión de rejillas de protección, de puertas de protección o de barreras ópticas, el control de conmutadores de dos manos o también la reacción a interruptores de emergencia.
Para todos los procesos relevantes para la seguridad es, por lo tanto, absolutamente necesario que los datos respectivos en cada caso relevantes para la seguridad generados o registrados o bien medidos sean transportados en tiempo real sin falsificación de ninguna clase, puesto que cualquier falsificación puede tener como consecuencia una función errónea y/o una reacción errónea, que puede poner en peligro, como última consecuencia, la vida y la salud de personas.
Para cumplir los requerimientos de seguridad, se han concertado en los últimos años numerosas convenciones, que favorecen un transporte de datos casi libres de errores durante el empleo de sistemas de bus. Éstas se refieren especialmente al transporte de datos propiamente dicho así como a una probabilidad admisible de error residual en función de la aplicación respectiva o bien del proceso respectivo. Como normas competentes se pueden mencionar en este caso especialmente la EN 61508 y la EN 954-1 así como los principios para la verificación y certificación de "Sistemas de bus para la transmisión de mensajes relevantes para la seguridad" del Centro de Verificación y Certificación de las Asociaciones Profesionales.
De acuerdo con estas convenciones y normas, han sido desarrollados sistemas de bus dirigidos a la seguridad, que transmiten datos con alta redundancia. Los posibles errores son descubiertos en el momento oportuno y se puede evitar una amenaza. Ejemplos de ellos son, entre otros el Safety Bus P, el Profibus F, el Interbus Safety, etc.
Sin embargo, en este caso es un inconveniente que para el empleo de sistemas de bus dirigidos a la seguridad deben sustituirse los sistemas de bus ya instalados y con frecuencia deben tolerarse limitaciones en el número de los usuarios, en la velocidad de transporte de los datos o en el protocolo de los datos.
Como consecuencia, han sido desarrollados procedimientos y/o componentes dirigidos a la seguridad, que posibilitan un reequipamiento más sencillo y de coste más favorable de los sistemas de bus ya existentes. Especialmente los procedimientos de control electrónicos utilizados en la técnica de control y de automatización utilizan a este respecto para la transmisión de datos relevantes para la seguridad, especialmente entre sensores, actuadores y/o instalaciones de control, los sistemas de bus (de campo) ya utilizados entre las unidades individuales implicadas en un proceso para la comunicación de datos.
El documento EP 1 188 096 B1 publica, por ejemplo, un sistema de control para un proceso relevante para la seguridad con un bus de campo, a través del cual están conectadas una unidad de control para el control del proceso relevante para la seguridad y una unidad de señalización, que está conectada a través de canales de E/S con el proceso relevante para la seguridad. Para garantizar una comunicación libre de error entre sí, estas unidades presentan instalaciones relacionadas con la seguridad, a través de las cuales las unidades no seguras en sí deben convertirse en unidades seguras. En particular, están previstos en cada caso al menos dos canales de procesamiento redundantes, de tal manera que un error en uno de los canales de procesamiento puede ser reconocido con la ayuda de un resultado, que se desvía del resultado de otro de los canales de procesamiento redundantes y, dado el caso, puede ser corregido. Esta estructura de canales múltiples se realiza especialmente a través de dos ordenadores redundantes, en los que la consideración de la seguridad termina después de los dos ordenadores redundantes y se tiene en cuenta la consideración de un protocolo de datos seguro a partir de este lugar sin más explicaciones.
Por el concepto general de ordenador se entienden a continuación esencialmente cualquier tipo de dispositivos de procesamiento de datos, como micro-ordenadores, micro-procesadores, micro-controladores o también PCs.
También el documento WO 01/24385 A2 se refiere al control de procesos relevantes para la seguridad utilizando sistemas de bus (de campo), en los que las unidades implicadas en el control del proceso relevante para la seguridad presentan de nuevo, en general, canales de procesamiento constituidos de forma redundante. Cada uno de los canales redundantes comprende un ordenador, que se controlan entre sí. Esta estructura de canales múltiples se transfiere a través de otro ordenador conectado con el bus de campo a una estructura de un canal (figura 3). De esta publicación no se pueden deducir explicaciones adicionales incluida la transición desde la posibilidad de varios canales a un solo canal.
A partir del documento WO 01/24391 A1 y de la publicación DE 199 39 567 A1 se pueden deducir otros ejemplos de usuarios de bus seguros con canales de procesamiento y/u ordenadores realizados de forma redundante, que se controlan mutuamente con respecto a una creación de protocolo seguro y la transición siguiente desde la posibilidad de varios canales a un solo canal a través de otro ordenador acoplado en el bus, que está conectado en un chip de protocolo o que tiene integrado este chip. También aquí termina la consideración de la seguridad son la publicación de otras medidas técnicas después de los dos ordenadores redundantes y a partir de este lugar se tiene en cuenta la consideración de un protocolo de datos seguro.
La publicación de patente DE 195 32 639 C2, que se refiere a una instalación para la transmisión de un canal de datos formados con dos ordenadores redundantes integra, para reducir el gasto de circuito, la función del acoplamiento del bus en uno de los dos ordenadores realizados de forma redundante. Solamente el ordenador que presenta la funcionalidad de acoplamiento del bus presenta, por lo tanto, un canal de salida, al que se alimentan los datos útiles que proceden desde este ordenador y los datos de verificación que proceden del otro ordenador o a la inversa o se alimentan los datos útiles y los datos de verificación de ambos ordenadores de una manera intercalados entre sí (figura 4). No obstante, para garantizar que el ordenador, que sirve al bus, no está en condiciones de generar telegramas, sobre los que no puede influir el otro ordenador, es necesario en la aplicación un gasto elevado en la consideración de la seguridad, puesto que deben comprobarse, por una parte, la libertad de reacción y, por otra parte, debe verificarse la independencia de los ordenadores para la creación del protocolo seguro. La publicación de patente propone a este respecto solamente un circuito correspondiente o bien una desconexión de las salidas respectiva del ordenador.
Además, el documento DE 100 65 907 A1 describe un procedimiento, que se basa en el principio de una "redundancia con comparación cruzada" para el transporte seguro de datos para la transmisión de datos a redes paralelas o en serie o sistemas de bus, siendo utilizado un registro intermedio con dos zonas de datos idénticas lógicamente para la transición desde la posibilidad de varios canales a un solo canal. El mensaje completo dirigido a la seguridad, que debe transmitirse por un solo canal a través del sistema de bus comprende los contenidos de datos de ambas zonas de datos del registro intermedio. Delante del registro intermedio en el lado del emisor están conectados de nuevo dos ordenadores que trabajan de forma redundante, que acondicionan datos relevantes para la seguridad puestos a disposición en un canal o en varios canales de acuerdo con el tipo de la aplicación en cada caso con información redundante para obtener datos seguros y los intercambian mutuamente para la verificación. Si ambos ordenadores han llegado al mismo resultado, entonces cada uno de los ordenadores transmite sus datos seguros al registro intermedio, siendo ocupada cada zona de datos con los datos seguros de un ordenador respectivo, que contienen, por su parte, información ya redundante para el reconocimiento de errores. Si en una forma de realización alternativa, el registro intermedio está contenido en uno de los dos ordenadores, de manera que uno de los ordenadores ocupa, por lo tanto, de una manera correspondiente ambas zonas de datos del registro intermedio de conformidad con el segundo ordenador, este segundo ordenador lee de nuevo para el control el registro intermedio con las dos zonas de datos. De acuerdo con la aplicación, el contenido de datos de una de las dos zonas de datos del registro intermedio puede presentar también datos invertidos u otras intercalaciones adicionales, para reconocer, por ejemplo, errores sistemáticos en los emisores, receptores y/u otras unidades que transmiten los datos. En este caso, por lo tanto, es un inconveniente especialmente que la longitud total de los datos del mensaje dirigido a la seguridad es excesivamente grande con respecto a los datos útiles reales y, por lo tanto, la velocidad de transmisión de los datos es pequeña con respecto a los datos útiles reales, puesto que para cada conjunto de datos útiles a transmitir deben transmitirse dos conjuntos de datos útiles idénticos así como una información redundante respectiva para cada uno de los conjuntos de datos útiles idénticos. A medida que se reduce el número de datos útiles a transmitir por cada paquete de datos, como sucede, por ejemplo, en el Interbus, empeora de una manera creciente la relación entre la longitud de los datos útiles y la longitud total de los datos.
Por lo tanto, un cometido de la invención es preparar para el acoplamiento seguro de procesos relevantes para la seguridad al bus otra vía nueva y mejorada para la transición desde la posibilidad de varios canales a un solo canal y asegurar de una manera sencilla de realizar, especialmente también de una manera sencilla de verificar, una libertad de reacción y una independencia en la creación de un protocolo dirigido a la seguridad, que debe transmitirse como telegrama de seguridad a través de un bus.
La solución de acuerdo con la invención se consigue de una manera muy sorprendente ya a través de un objeto con las características de una de las reivindicaciones independientes anexas.
Las formas de realización y los desarrollos ventajosos y/o preferidos son objeto de las reivindicaciones dependientes respectivas.
De acuerdo con la invención, está previsto, por lo tanto, para el acoplamiento de un canal de un proceso crítico para la seguridad a un bus un procedimiento, en el que un conjunto de datos relevante para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes, de una manera específica del protocolo, de acuerdo con reglas idénticas para obtener en cada caso un protocolo dirigido a la seguridad y los protocolos redundantes dirigidos a la seguridad están agrupados para el acoplamiento al bus de un canal de nuevo en un protocolo común dirigido a la seguridad y, en concreto, accediendo desde cada uno de los canales de procesamiento a un registro intermedio común, siendo asignada una sola vez para cada lugar del registro una autorización de escritura, de tal manera que el protocolo común dirigido a la seguridad, es decir, el telegrama de seguridad a transmitir de tal manera que el protocolo seguro común se agrupa en porciones a través de la escritura en diferentes porciones de los protocolos de seguridad respectivos.
Por lo tanto, una ventaja esencial a este respecto es que, por una parte, ambos canales de procesamiento están en condiciones de calcular el protocolo completo dirigido a la seguridad, de manera que éste repercute de una manera positiva sobre la longitud necesaria del telegrama, puesto que todos los bits de datos con los diferentes mecanismos de seguridad son conocidos anteriormente ya en los canales de procesamiento redundantes y no deben transmitirse bits de datos adicionales, que permitan en el lado del receptor la deducción de un cálculo perfecto. Además, se garantiza que un canal de procesamiento por sí solo no esté en condiciones de emitir un telegrama de seguridad, en el que el control sobre la autorización de escritura de datos, predeterminada en cada caso una sola vez, en un lugar del registro representa una posibilidad fácil de implementar y de alta eficiencia de garantizar una seguridad de coste efectivo, esencialmente elevada, de una manera independiente del (sistema) de bus utilizado.
La realización de una unidad inteligente para la ejecución del procedimiento de acuerdo con la invención se puede garantizar, por lo tanto, ya a través de la utilización de un dispositivo que comprende al menos dos ordenadores redundantes, en el que los ordenadores están configurados para el procesamiento de un conjunto de datos de entrada idéntico utilizando reglas idénticas para crear en cada caso un protocolo dirigido a la seguridad y que están conectados a través de una disposición de circuito con un registro intermedio común de tal manera que para la formación común de otro protocolo seguro común idéntico para cada lugar del registro intermedio existe una acceso de escritura en cada caso solamente para un ordenador. La invención posibilita de esta manera ya a través de la utilización de componentes normalizados y de una manera independiente del sistema de bus respectivo una solución fácil de implementar, altamente dinámica y de alta eficiencia para la formación libre de reacción e independiente de un protocolo respectivo dirigido a la seguridad.
Las reglas específicas de procesamiento para la formación del telegrama de seguridad son en este caso convenientemente adecuadas para cumplir los requerimientos de seguridad respectivos, en particular los requerimientos de seguridad para una transmisión sencilla de acuerdo con SIL 3 IEC 61508.
En el caso de utilización de un dispositivo de este tipo, la disposición de circuito está configurada de una manera conveniente de tal forma que cada uno de los ordenadores puede acceder para lectura a cualquier lugar del registro intermedio.
De esta manera se garantiza, además, de una manera sencilla y de coste favorable con componentes normalizados en una configuración preferida, que antes de la transmisión del protocolo común dirigido a la seguridad desde el registro intermedio hacia el bus para la transmisión, se pueda acceder desde cada uno de los canales de procesamiento redundantes a leer en cualquier lugar del registro, con el fin de llevar a cabo una verificación del protocolo formado común dirigido a la seguridad, A través de la comparación adicional posible de esta manera del protocolo común formado dirigido a la seguridad con el protocolo dirigido a la seguridad formado en cada caso de una manera separada o bien individual a través de los canales de procesamiento, se eleva de nuevo en una medida esencial la seguridad alcanzada. En el caso de fallo o error de un ordenador, no se puede generar, por lo tanto, un telegrama de seguridad completo, de manera que se reconoce de una manera forzosa también un error y se activa la función dirigida a la seguridad.
Además, se puede garantizar una elevación adicional amplia de la seguridad cuando, en una forma de realización especialmente preferida, antes de la escritura del protocolo común dirigido a la seguridad, se verifican los protocolos dirigidos a la seguridad formados de una manera redundante a través de los canales de procesamiento para determinar en primer lugar la identidad mutua, de manera que se lleva a cabo la formación de un protocolo común dirigido a la seguridad ya con la reacción a protocolos dirigidos a la seguridad idénticos, procesados de una manera independiente entre sí a partir de un conjunto de datos de entrada idénticos. Si se produce un error ya durante el procesamiento redundante, éste es reconocido, por lo tanto, ya de una manera más precoz y se puede llevar el proceso en un tiempo todavía más prematuro a un estado seguro.
Por lo tanto, los ordenadores desacoplados mutuamente en y por sí están conectados entre sí de una manera preferida a través de una interfaz de comunicación.
Además, es ventajoso verificar una autorización de escritura respectiva, asignada de una manera definida en cada caso a un canal de procesamiento, para la verificación por medio de un procedimiento de prueba. También a este respecto es conveniente el acceso de lectura de amplio alcance para cada lugar del registro.
De acuerdo con un procedimiento de prueba preferido, se intenta en este caso a través de cada uno de los canales de procesamiento inscribir un valor por defecto asociado de forma específica, diferentes en cada caso, en todos los lugares del registro intermedio. A continuación, cada uno de los canales de procesamiento lee todos los lugares del registro intermedio y verifica los contenidos de los lugares del registro para determinar si existe una intercalación unívoca.
\newpage
Tal procedimiento de prueba se realiza de una manera más conveniente varias veces y/o a través de una escritura y la lectura alternas de los lugares de registro a través de diferentes canales de procesamiento.
Por lo tanto, se puede verificar con facilidad esencialmente cada regla transmisión/recepción de seguridad establecida a través del acoplamiento de las porciones de datos a transmitir al registro intermedio en posiciones o direcciones determinadas dentro del protocolo común dirigido a la seguridad o bien del registro intermedio y de esta manera se puede reconocer con seguridad cualquier error en la formación de un telegrama de seguridad a transmitir, incluso en virtud de un fallo del ordenador.
En particular, para garantizar después de un procesamiento respectivo específico del protocolo de los datos de entrada para crear un protocolo dirigido a la seguridad, su memorización y transmisión al bus de una manera específica del protocolo, en el que el protocolo dirigido a la seguridad cumple las especificaciones basadas en la aplicación respectiva, especialmente en función del bus y/o de los procesos, en un conjunto de datos de protocolo seguro, un ordenador comprende, de acuerdo con una forma de realización, en cada caso un chip de protocolo integrado. En una configuración alternativa, el chip de protocolo puede estar conectado también en el lado de salida en un ordenador. Para evitar tales clips de protocolo integrados o conectados a continuación y, por lo tanto, también para la reducción de los componentes y de los costes se propone, en otra forma de realización especialmente conveniente acondicionar el ordenador con software configurado de una manera correspondiente para el procesamiento y la transmisión de los datos de una manera específica del protocolo.
El dispositivo de acuerdo con la invención puede estar configurado como unidad de usuario del bus, en la que los ordenadores están conectados a tal fin de una manera conveniente en el lado de entrada al menos con canales de entrada para crear una conexión de uno o varios canales de unidades de entrada de datos de proceso y de una manera correspondiente para crear una detección de uno o varios canales de datos de entrada relevantes para la seguridad a procesar o están configurados como unidad de control del bus, que genera, por ejemplo, los datos de entrada relevantes para la seguridad a procesar. Los ordenadores están configurados, por lo tanto, especialmente como micro-controladores o como unidades centrales de procesos (CPUs).
La disposición de circuito para la conexión de acuerdo con la invención de los ordenadores o, dado el caso, de los clips de protocolo conectados a continuación de los ordenadores, está configurada, en una forma de realización preferida como circuito lógico sencillo, en el que se pueden utilizar también circuitos altamente integrados, por ejemplo en forma de una FPGA (Matriz de Puerta Programable de Campo) y pueden ser muy ventajosos de una manera específica de la aplicación.
El registro intermedio presenta una interfaz, a través de la cual se puede acoplar el protocolo común dirigido a la seguridad depositado allí en un canal directamente al bus, por ejemplo un Interbus, o se puede transmitir en un canal a otro dispositivo de acoplamiento del bus configurado de una manera específica de la aplicación, conectada delante del bus, en la que se puede utilizar como instalación de acoplamiento del bus de una manera específica de la aplicación especialmente otro chip de protocolo, otro micro-controlador u otra unidad inteligente.
Como registro intermedio es suficiente, por lo tanto, ya una RAM normalizada. En un desarrollo preferido, sin embargo, está previsto especialmente configurar el registro intermedio o bien los registros intermedios en forma de una memoria de puerto dual (DPM), de manera que los ordenadores se pueden conectar de una manera muy sencilla y de coste favorable a través de uno de los dos puertos de la interfaz y a través del segundo puerto de la interfaz se puede llevar a cabo el acoplamiento de un canal en el bus.
Otras características y ventajas de la invención se deducirán a partir de la descripción detallada siguiente de una forma de realización preferida, pero solamente ejemplar de la invención con referencia a los dibujos que se acompañan.
En los dibujos:
La figura 1 muestra un esbozo de principio esquemático para la formación redundante de protocolos dirigidos a la seguridad para un telegrama de seguridad a transmitir por medio de canales de procesamiento redundantes y la formación común siguiente de un protocolo idéntico dirigido a la seguridad bajo el control de una regla de transmisión/recepción que se refiere a las porciones a transmitir/recibir en cada caso desde los protocolos dirigidos a la seguridad.
La figura 2 muestra un diagrama funcional posible de una forma de realización de la invención, que se basa en dos micro-controladores que calculan de una manera redundante el protocolo completo dirigido a la seguridad, y
Las figuras 3 y 4 muestra realizaciones conocidas para la transición desde dos canales a un canal.
En la figura 1 se representan dos canales de procesamiento redundantes 1 y 2 de una unidad de usuario del bus no representada en detalle o de una unidad de control del bus para el acoplamiento de un proceso crítico para la seguridad a un bus 40, por ejemplo un Interbus. En el caso de una unidad de usuario del bus, cada uno de los canales de procesamiento está conectado con unidades de entrada y salida asociadas al proceso crítico para la seguridad, no representadas tampoco, como por ejemplo sensores y/o actuadores.
Por lo tanto, en una unidad de usuario del bus con aplicación en el lado del sensor, de acuerdo con el tipo de conexión específica de uno o dos canales, se ponen a la disposición de los canales de procesamiento 1 y 2 unos datos de entrada idénticos relevantes para el proceso crítico para la seguridad y se depositan de una manera más conveniente en primer lugar en memorias 12 y 22, respectivamente, para el procesamiento posterior. Especialmente en el caso de una unidad de control del bus, se encuentran en las memorias 12 y 22, respectivamente, unos datos de entrada relevantes para la seguridad que deben acondicionarse como datos seguros antes de la transmisión al bus.
Los datos de entrada son procesados en primer lugar antes de la transmisión de un telegrama a través del bus 40 de una manera redundante utilizando las mismas reglas para crear un protocolo 14 y 24 respectivo dirigido a la seguridad. Los canales de procesamiento comprenden a tal fin en cada caso un micro-controlador 11 y 21 para la preparación/procesamiento respectivos de los datos de entrada relevantes para la seguridad, que se encuentran en las memorias 12 ó 22, para crear un protocolo 14 y 24 respectivo dirigido a la seguridad así como, en la forma de realización según la figura 1, en cada caso un chip de protocolo 13 y 23 conectado a continuación del micro-controlador 11 ó 21, que recibe el protocolo 14 y 24 respectivo dirigido a la seguridad, calculado por el micro-controlador 11 ó 21 respectivo para la transmisión siguiente al bus 40. En una forma de realización alternativa a los clips de protocolo 13 y 23 representados, los micro-controladores 11 y 21 pueden comprender también un software configurado de forma correspondiente, de manera que se lleva a cabo la transmisión siguiente, descrita a continuación, de los protocolos 14 y 24 calculados al bus 40 a través de los micro-controladores 11 y 21.
Los protocolos 14 y 24 calculados, seguros o bien dirigidos a la seguridad son, por lo tanto, idénticos, si no se produce ningún error o fallo en el cálculo. Hay que indicar que los protocolos seguros están constituidos en este caso evidentemente de tal forma que éstos cumplen los requerimientos de la norma planteados a una transmisión dirigida a la seguridad.
Para la elevación adicional de la seguridad, de acuerdo con la invención, antes de la transmisión de un telegrama seguro a través del bus 40 está prevista la formación común de otro protocolo idéntico, común, dirigido a la seguridad, que se puede transmitir a continuación en un canal al bus 40 para la transmisión.
Este protocolo común dirigido a la seguridad se forma a través de la combinación de porciones de datos del protocolo seguro 14 y de datos del protocolo seguro 24 en una memoria intermedia o registro intermedio 30, a los que puede acceder cada uno de los canales de procesamiento 1 y 2.
Para evitar que este protocolo común, dirigido a la seguridad, a formar se base solamente en datos de uno solo de los canales de procesamiento 1 ó 2, que equivale, por lo tanto, a la emisión de un telegrama de seguridad solamente a través de uno de los micro-controladores 11 ó 21, por ejemplo en virtud de la aparición de un fallo de uno de los dos micro-controladores, una regla de acceso definida o definible controla los derechos de escritura en el registro intermedio 30. La regla de acceso determina a este respecto que desde cada canal de procesamiento 1 y 2 solamente se pueden inscribir las partes del protocolo dirigido a la seguridad calculado en cada caso para la formación del protocolo común dirigido a la seguridad en los lugares correspondientes de la memoria intermedia 30, para los que el micro-controlador 11 ó 21 respectivo tiene una autorización de escritura respectiva. Para cada lugar de la memoria o del registro se define, por lo tanto, según la invención en cada caso solamente una autorización de escritura.
A partir de la hipótesis de que los protocolos seguros 14 y 24 son idénticos, por lo tanto, también cada uno de los protocolos comprende el mismo número de bytes, identificado en la figura 1 con ByteX a Byte X + 5. En el presente ejemplo según la figura 1, para el micro-controlador 21 del canal de procesamiento 2, la autorización de escritura para las direcciones de memoria de la memoria intermedia 30 está asociada fijamente para el Byte X, el Byte X + 2 así como para el Byte X + 4 y para el micro-controlador 11 del canal de procesamiento 1, la autorización de escritura está asociada para la entrada del Byte X + 1, del Byte X + 3 y del Byte X '5. Por lo tanto, a cada uno de los micro-controladores 11 y 21 solamente está asociada una autorización de escritura para la entrada de cada segundo Byte en la memoria intermedia 30.
Si es, por ejemplo, X = 0 y los protocolos 14 y 24 redundantes dirigidos a la seguridad así como el protocolo dirigido a la seguridad, idéntico a formar en común, es decir, el telegrama de seguridad a emitir a continuación, están constituidos en total por 6 Bytes, los datos dentro de los protocolos seguros redundantes y, por lo tanto, también dentro del telegrama de seguridad a emitir están compuestos, por ejemplo, por una cabecera de 2 bits, por datos útiles siguientes de 14 bits, por una dirección de 8 bits y por una suma de control CRC de 24 bits. Con la autorización de acceso de escritura precedente, asociada de una manera definida, la cabecera que comprende 2 bits y los primeros 6 bits de los datos útiles con referencia a la figura 1, por lo tanto, desde el protocolo seguro 24, calculado a través del canal de procesamiento 2, los siguientes 8 bits útiles desde el protocolo 14 calculado a través del canal de procesamiento 1, la dirección que comprende 8 bits de nuevo desde el conjunto de datos del protocolo 24, y la suma de control CRC que comprende 24 bits son recibidos en porciones de una manera sucesiva desde los protocolos 14, 24 y 14 calculados.
Como memoria intermedia se puede emplear, por lo tanto, ya una RAM normalizada o de una manera preferida, como se deduce a continuación, una DPM normalizada.
Incluso en el caso de una redundancia solamente duplicada, se consigue, además, una seguridad todavía más elevada, cuando adicionalmente de una manera conveniente los micro-controladores 11 y 21 de los dos canales de procesamiento 1 y 2 reciben asignado el acceso completo de lectura en la memoria intermedia 30.
Esto posibilita una comparación sencilla de todos los datos, verificando, por una parte, de una manera sencilla si todo el protocolo seguro formado en común, que debe transmitirse como telegrama de seguridad, que cumple, por ejemplo, los requerimientos de seguridad para una transmisión sencilla según SIL 3 IEC 61508, está libre de errores y, en concreto. A través de la verificación respectiva frente al protocolo 14 ó 24 propio dirigido a la seguridad, formado por separado con anterioridad. Además, el acceso completo de lectura para cada uno de los canales de procesamiento 1 y 2 posibilita la verificación, que se puede llevar a cabo de una manera más conveniente ya en el campo previo del control/verificación/regulación de un proceso crítico para la seguridad, en el sentido de si la regla de acceso se cumple, en general, libre de errores. A tal fin, se verifica especialmente si los datos calculados de un micro-controlador respectivo de uno y del otro canal de procesamiento son inscritos exclusivamente, pero esto garantizado, solamente en las direcciones de memoria asociadas en cada caso de la memoria intermedia 30.
Si esta "verificación propia" y/o "verificación cruzada" conduce a un resultado desigual, se reconoce de una manera forzosa un error y se inicia una función dirigida a la seguridad.
La figura 2 representa a modo de ejemplo, pero utilizando un software descrito anteriormente, en lugar de chips de protocolo, un diagrama funcional posible de una forma de realización de la autorización de escritura esbozada en la figura 1 así como de la autorización de lectura amplia como base para estas verificaciones.
Como se representa en la figura 2, la zona representada a la izquierda, identificada con M. comprende la arquitectura de varios canales de acuerdo con la invención con consideración de la seguridad y la zona derecha identificada con E en la figura 2 representa la arquitectura de un canal con el protocolo dirigido a la seguridad formado en común, a transmitir como telegrama de seguridad.
Por lo tanto, esencialmente sobre la base de la figura 1, los dos micro-procesadores 11 y 21 están desacoplados de una manera conocida en sí, identificado en la figura 2 con el número de referencia 100 y, además, están conectados entre sí, a través de una interfaz de comunicación 101 para la verificación mutua adicional de los protocolos 14 y 24 dirigidos a la seguridad calculados en cada caso por separado.
El bus de direcciones 102 para las direcciones Ax, con x entre 0 y N, el bus de datos 103 para los datos Dx, con x entre 0 y N, así como las señales /CS (Chipselect) y /RD (Read) están aplicados, como es habitual normalmente, directamente en la DPM normalizada representada en la figura 2 en los pines correspondientes para las señales /CSL o bien /RDL. La línea de direcciones A0 está conectada con las señales de escritura /WR_\muC1 y /WR_\muC2 de los micro-controladores 11 y 21, de tal manera que en el caso de direcciones pares solamente está autorizado para la escritura el micro-controlador 11 y en el caso de direcciones impares solamente está autorizado para la escritura el micro-controlador 21. Solamente en estos dos casos se puede activar la señal de escritura /WR a través del pin correspondiente para la señal/WL "low active" en la RAM de la DPM normalizada. Sin embargo, ambos micro-controladores 11 y 21 pueden acceder para lectura a toda la memoria 30.
Una prueba del bloqueo de acceso, que se puede llevar a cabo de una manera más conveniente antes de la escritura del telegrama de seguridad a formar en común, se realiza, por ejemplo, de acuerdo con el ciclo siguiente.
El micro-controlador 11 trata de escribir un valor por defecto, por ejemplo FFh, en todos los lugares de la memoria de la DPM 30.
El micro-controlador 21 trata de escribir a continuación otro vapor por defecto, por ejemplo 00h, en todos los lugares de la memoria de la DPM 30.
El micro-controlador 11 lee a continuación todos los lugares de la memoria de la DPM 30 y verifica si solamente en los lugares de la memoria que están asignados al micro-controlador 21 está registrado el valor 00h y, dado el caso, si en los lugares de la memoria asociados al micro-controlador 11 está registrado el valor FFh. A continuación, el micro-controlador 11 trata de escribir de nuevo el valor FFh en todos los lugares de la memoria.
A continuación el micro-controlador 21 lee todos los lugares de la memoria de la DPM 30 y verifica si el valor FFh está registrado solamente en los lugares de la memoria asignados al micro-controlador 11 y, dado el caso, si el valor 00h está registrado en los lugares de la memoria asignados al micro-controlador 21.
Si se produce un error en este mantenimiento, entonces se reconoce el error y se inicia una función dirigida a la seguridad, por ejemplo, se transfiere el proceso a un estado seguro. Por otra parte, se puede partir de que el bloqueo de acceso funciona de una manera perfecta. Una característica esencial en la realización de acuerdo con la invención es, por lo tanto, que las señales de escritura propiamente dichas no son utilizadas directamente por el micro-controlador 11 y 21 respectivo, sino que tiene lugar un enlace con las direcciones. Por lo tanto, solamente se puede escribir en las direcciones, que están asociadas al micro-controlador respectivo.
Los datos, que son depositados en la RAM de la DPM 30, están asegurados, por lo tanto, a través de un protocolo seguro en una medida máxima. La DPM 30, de una manera similar al canal de transmisión propiamente dicho, se considera como no segura. Por lo tanto, la seguridad se consigue, entre otras cosas, porque en el lado a procesar, es decir, en la zona identificada con M en la figura 2, existe un mantenimiento de la estructura o bien el contenido de los datos. Por lo tanto, el procesamiento o distribución siguiente de los datos memorizados temporalmente en la DPM 30 se puede realizar, por ejemplo, a través de otro micro-controlador 35, que recibe los datos en un canal desde la DPM 30 y a continuación los transmite al sistema de bus, por ejemplo a través del acoplamiento en un bus de campo 40.
Por lo tanto, a través de la realización de una verificación propia los dos micro-controladores 11 y 21 supervisar la regla de acceso respectiva prácticamente durante inscripción del telegrama de seguridad en la memoria intermedia 30 de una manera automática y los datos depositados en la memoria pueden ser transferidos en un solo canal a través de una interfaz de la memoria intermedia 30 para la transmisión a un chip de protocolo, a otro micro-controlador o a otra unidad inteligente. Puesto que en el caso de fallo o error de un micro-controlador 11 ó 21 no se genera ya ningún telegrama de seguridad completo, se reconoce de forma forzosa un error y se activa una función dirigida a la seguridad. La consideración de la seguridad de la arquitectura redundante M termina, por lo tanto, con la deposición de los datos sobre la memoria 30. A partir de aquí interviene el mecanismo de seguridad del protocolo, puesto que los posibles errores a partir de aquí son considerados para una transmisión como hasta ahora y deben solucionarse. Un error considerado a este respecto a partir del principio para la verificación y certificación de "sistemas de bus para la transmisión de mensajes relevantes para la seguridad" es una falsificación de mensajes.
A través de la conexión incondicional mostrada anteriormente de la autorización de escritura con las posiciones a describir en el protocolo seguro a formar en común y la autorización ilimitada de lectura de los dos micro-controladores se garantiza, por lo tanto, ya a través de la utilización de componentes normalizados la comparación o bien la verificación del telegrama de seguridad a emitir antes de la transmisión propiamente dicha a través de un bus 40. Por lo tanto, un micro-controlador 11 o bien 21 por sí solo no está en condiciones de emitir un telegrama de seguridad.
Por lo tanto, el diagrama funcional representado en la figura 2 se puede realizar ya a través de un circuito lógico sencillo, pero se puede llevar a cabo también a través de un FPGA. Además, es evidente que en lugar de la DPM 30 representada en la figura 2, se puede emplear también una RAM normalizada sencilla. No obstante, a través de la DPM empleada se simplifica el circuito en lo que se refiere a la lectura del telegrama de seguridad desde la memoria intermedia. Para un técnico es evidente que la disposición de circuito representada en la figura 2 solamente representa una de las posibles formas de realización técnica para una autorización de acceso a lectura unívoca. Las líneas de datos pueden estar divididas, por ejemplo, de tal forma que un ordenador solamente puede acceder para escritura a las líneas de datos superiores y un ordenador redundante solamente puede acceder para escritura a las líneas de datos inferiores de la memoria intermedia. Además, se puede aplicar una regla de acceso a escritura de acuerdo con la invención para más que sólo dos ordenadores/canales de procesamiento redundantes.

Claims (16)

1. Procedimiento para el acoplamiento en un canal de un proceso crítico para la seguridad a un bus, en el que
un conjunto de datos relevante para el proceso crítico de seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de una manera específica del protocolo de acuerdo con reglas idénticas para crear un protocolo seguro (14, 24), caracterizado porque los protocolos seguros redundantes (14, 24) para el acoplamiento del bus de un canal son agrupados en un protocolo seguro común y, en concreto, se accede desde cada uno de los canales de procesamiento (1, 2) a un registro intermedio común (30), siendo asignada una sola vez para cada lugar del registro una autorización de escritura, de tal manera que el protocolo seguro común se agrupa en porciones a través de la escritura en diferentes porciones de los protocolos de seguridad respectivos.
2. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque antes de una transmisión del protocolo seguro común desde el registro intermedio (30) al bus (40) para la verificación del protocolo seguro formado en común se lee desde cada uno de los canales de procesamiento redundantes (1, 2) el contenido de cada lugar del registro intermedio (30).
3. Procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque antes de la escritura del protocolo seguro común, se verifica la identidad mutua de los protocolos (14, 24) seguros formados de una manera redundante a través de los canales de procesamiento (1, 2).
4. Procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque se ejecuta un proceso de prueba para la verificación de una autorización de escritura asociada de forma unívoca.
5. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque durante el procedimiento de prueba se intenta escribir a través de cada uno de los canales de procesamiento (1, 2) un vapor por defecto asociado de forma específica, diferente en cada caso, en todos los lugares del registro intermedio (30) y a continuación se leen a través de cada uno de los canales de procesamiento (1, 2) todos los lugares del registro intermedio (30) y se verifican los contenidos de los lugares del registro para constatar una intercalación unívoca.
6. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque el procedimiento de prueba se realiza varias veces y/o se lleva a cabo una escritura y/o lectura alternas de los lugares del registro a través de diferentes canales de procesamiento (1, 2).
7. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque como registro intermedio (30) se utiliza una Ram normalizada o una DPM normalizada.
8. Procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque el protocolo seguro común es transferido desde el registro intermedio (30) en un canal hasta una instalación de acoplamiento del bus (35) que está configurada de una manera específica de la aplicación.
9. Dispositivo para el acoplamiento de un canal de un proceso crítico para la seguridad a un bus, que com-
prende:
al menos dos ordenadores redundantes (11, 21) para el procesamiento específico del protocolo de un conjunto de datos de entrada idénticos bajo la aplicación de reglas idénticas para formar en cada caso un protocolo seguro (14, 24), y caracterizado por
una disposición de circuito para la conexión de cada ordenador (11, 21) con un registro intermedio común (30), de tal manera que para la formación común de otro protocolo común idéntico para cada lugar del registro intermedio (30) existe solamente una posibilidad de acceso de escritura en cada caso para uno de los ordenadores.
10. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque la disposición de circuito está configurada de tal forma que para cada lugar del registro intermedio (30) existe una posibilidad de acceso de lectura para cada uno de los ordenadores (11, 21).
11. Dispositivo de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque los ordenadores (11, 21) están conectados entre sí a través de una interfaz de comunicaciones (101).
12. Dispositivo de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque los ordenadores (11, 21) comprenden en cada caso un chip de protocolo integrado o están conectados en el lado de salida con un chip de protocolo (13, 23) o comprenden un software que acondiciona la función del chip de protocolo.
13. Dispositivo de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque el dispositivo está configurado como unidad de usuario del bus y los ordenadores están conectados en el lado de entrada al menos con canales de entrada para la conexión de unidades de entrada de datos del proceso o porque el dispositivo está configurado como unidad de control del bus.
14. Dispositivo de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque la disposición de circuito está configurada en lógica sencilla o como FPGA.
15. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque el registro intermedio (30) es una RAM normalizada o una DPM normalizada.
16. Dispositivo de acuerdo con una de las reivindicaciones anteriores, caracterizado, además, porque el registro intermedio (30) presenta una interfaz para el acoplamiento directo de un canal a un bus o para la conexión de un canal a una instalación de acoplamiento del bus (35) configurada de una manera específica de la aplicación.
ES05016849T 2004-08-17 2005-08-03 Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus. Active ES2293443T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004039932A DE102004039932A1 (de) 2004-08-17 2004-08-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102004039932 2004-08-17

Publications (1)

Publication Number Publication Date
ES2293443T3 true ES2293443T3 (es) 2008-03-16

Family

ID=35170041

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05016849T Active ES2293443T3 (es) 2004-08-17 2005-08-03 Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.

Country Status (6)

Country Link
US (1) US8576707B2 (es)
EP (1) EP1631014B2 (es)
JP (2) JP5068436B2 (es)
CN (1) CN100595746C (es)
DE (2) DE102004039932A1 (es)
ES (1) ES2293443T3 (es)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102005010820C5 (de) 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
DE102006002824B4 (de) 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7454252B2 (en) * 2006-03-08 2008-11-18 Moore Industries International, Inc. Redundant fieldbus system
ES2348747T3 (es) 2006-02-17 2010-12-13 PHOENIX CONTACT GMBH & CO. KG Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
DE102007016917B4 (de) * 2007-04-05 2009-12-17 Phoenix Contact Gmbh & Co. Kg Verfahren sowie System zur sicheren Übertragung von zyklischen zu übertragenden Prozessdaten
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
US8260487B2 (en) * 2008-01-08 2012-09-04 General Electric Company Methods and systems for vital bus architecture
DE102008049126B3 (de) * 2008-09-26 2010-04-08 Raytheon Anschütz Gmbh Schiffsruder-Steuerung/Autopilot mit einem CAN-Bus
EP2642403B1 (de) 2012-03-23 2014-07-23 Siemens Aktiengesellschaft Schnittstellenvorrichtung und Verfahren für einen konsistenten Datenaustausch
FR2992083B1 (fr) 2012-06-19 2014-07-04 Alstom Transport Sa Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur
EP3036156B1 (en) * 2013-08-23 2019-05-08 Bombardier Inc. Abnormal aircraft response monitor
JP6183296B2 (ja) * 2014-06-02 2017-08-23 株式会社デンソー 車両用機器、車両用機器の起動方法
DE102018000559A1 (de) 2018-01-24 2019-07-25 WAGO Verwaltungsgesellschaft mit beschränkter Haftung System zum erzeugen eines datenstroms auf basis redundanter informationen
DE102018120344A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
CN110069374A (zh) * 2019-04-28 2019-07-30 中国科学院微电子研究所 一种安全性测试方法及装置

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386532A (en) * 1991-12-30 1995-01-31 Sun Microsystems, Inc. Method and apparatus for transferring data between a memory and a plurality of peripheral units through a plurality of data channels
DE19532639C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
JPH10307603A (ja) 1997-05-09 1998-11-17 Fanuc Ltd データ伝送装置
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
US6049901A (en) * 1997-09-16 2000-04-11 Stock; Mary C. Test system for integrated circuits using a single memory for both the parallel and scan modes of testing
JP3680592B2 (ja) * 1998-10-30 2005-08-10 株式会社日立製作所 通信装置
DE19920299B4 (de) * 1999-05-03 2008-01-03 Siemens Ag Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
DE19928517C2 (de) 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE19947094C2 (de) 1999-09-30 2001-09-06 Siemens Ag Verfahren und Empfangsanordnung zur Erhöhung der Übertragungsreichweite bei einer Übertragung von Signalen im Basisband
US6782277B1 (en) 1999-09-30 2004-08-24 Qualcomm Incorporated Wireless communication system with base station beam sweeping
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane
US6594714B1 (en) * 2000-05-01 2003-07-15 Hewlett-Packard Development Company, L.P. Reconfigurable FIFO interface to support multiple channels in bundled agent configurations
CN2434703Y (zh) * 2000-07-25 2001-06-13 石忠祥 计算机系统硬盘切换控制装置
DE10037737B4 (de) * 2000-08-02 2007-03-22 Siemens Ag Verfahren und Vorrichtung zur sicheren einkanaligen Auswertung von Sensorsignalen
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
US6654021B2 (en) 2001-05-18 2003-11-25 Sun Microsystems, Inc. Multi-channel, demand-driven display controller
CN1222138C (zh) 2001-05-31 2005-10-05 欧姆龙株式会社 安全网络系统、安全从动设备、安全控制器、通信方法、安全网络系统中的信息收集方法及监视方法
CN1518816B (zh) 2001-06-22 2010-04-28 欧姆龙株式会社 安全网络系统及安全从动装置
US6915444B2 (en) 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US7007220B2 (en) * 2002-03-01 2006-02-28 Broadlogic Network Technologies, Inc. Error correction coding across multiple channels in content distribution systems
JP4224766B2 (ja) 2002-10-25 2009-02-18 横河電機株式会社 プラント情報収集装置
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
JP2004103241A (ja) 2003-10-24 2004-04-02 Fujitsu Ltd 光ディスク装置用光学ヘッド

Also Published As

Publication number Publication date
EP1631014B1 (de) 2007-11-21
EP1631014A2 (de) 2006-03-01
CN100595746C (zh) 2010-03-24
US8576707B2 (en) 2013-11-05
JP5068436B2 (ja) 2012-11-07
JP2006059356A (ja) 2006-03-02
US20060087967A1 (en) 2006-04-27
DE502005002025D1 (de) 2008-01-03
DE102004039932A1 (de) 2006-03-09
EP1631014A3 (de) 2006-04-12
JP2011054195A (ja) 2011-03-17
EP1631014B2 (de) 2017-08-16
CN1737787A (zh) 2006-02-22

Similar Documents

Publication Publication Date Title
ES2293443T3 (es) Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
ES2308480T3 (es) Control de seguridad.
ES2366166T3 (es) Método de transmisión de datos entre dispositivos maestros y esclavos.
ES2307155T5 (es) Dispositivo de conmutación de seguridad para un circuito de seguridad
ES2216929T3 (es) Sistema de bus de automatizacion relacionado con la seguridad.
ES2323150T3 (es) Unidad maestra, sistema de comunicacion y procedimiento para su funcionamiento.
ES2348747T3 (es) Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
ES2548306T3 (es) Habilitación de funciones en un accionamiento de puerta
BR112016009081B1 (pt) Tecnologia de segurança da comunicação serial de elevador
ES2446349T3 (es) Control de seguridad y procedimiento para el control de una instalación automática
US8185934B2 (en) Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit
RU2452114C2 (ru) Способ, а также система для надежной передачи циклических передаваемых данных процесса
CN101490959B (zh) 动态外围功能重映射到集成电路装置的外部输入-输出连接
ES2733332T3 (es) Protocolo de transmisión de datos con estado de excepción de protocolo
CN104364764A (zh) 用于总线系统的用户站和用于在总线系统的用户站之间传输消息的方法
ES2259823T3 (es) Entrada y salida de procesos a prueba de errores.
ES2229697T3 (es) Telegramas de datos cortos de un sistema de automatizacion.
WO2007075336A2 (en) Memory using a single-node data, address and control bus
ES2206343T3 (es) Sistema y procedimiento para evitar el acceso no autorizado a modulos, especialmente en sistemas de automatizacion.
ES2241743T3 (es) Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.
ES2593831T3 (es) Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo
US9241043B2 (en) Method of connecting a hardware module to a fieldbus
ES2221092T3 (es) Unidad funcional para un control programable con memoria de funcion de redundancia.
ES2813125T3 (es) Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras