ES2305760T3 - Procedimiento y dispositivo para controlar un proceso de caracter critico en cuanto a seguridad. - Google Patents

Procedimiento y dispositivo para controlar un proceso de caracter critico en cuanto a seguridad. Download PDF

Info

Publication number
ES2305760T3
ES2305760T3 ES04726855T ES04726855T ES2305760T3 ES 2305760 T3 ES2305760 T3 ES 2305760T3 ES 04726855 T ES04726855 T ES 04726855T ES 04726855 T ES04726855 T ES 04726855T ES 2305760 T3 ES2305760 T3 ES 2305760T3
Authority
ES
Spain
Prior art keywords
process data
unit
control unit
data
variable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04726855T
Other languages
English (en)
Inventor
Dietmar Seizinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Application granted granted Critical
Publication of ES2305760T3 publication Critical patent/ES2305760T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25154Detect error, repeat transmission on error, retransmit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31244Safety, reconnect network automatically if broken
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36542Cryptography, encrypt, access, authorize with key, code, password
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Extrusion Moulding Of Plastics Or The Like (AREA)
  • Selective Calling Equipment (AREA)
  • Physical Or Chemical Processes And Apparatus (AREA)

Abstract

Procedimiento para controlar un proceso de carácter crítico en cuanto a seguridad, que comprende los siguientes fases: - disponer una unidad de control (12) para procesar datos de proceso críticos en cuanto a seguridad (46, 48); - disponer una unidad E/S (14-20), que está unida con la unidad de control (12) a través de un trayecto de transmisión de datos (22); y - transferir los datos de proceso (46, 48) de la unidad E/S (14-20) a la unidad de control (12), asegurando los datos de proceso (46, 48) con la ayuda de una transmisión múltiple por varias vías, caracterizado porque los datos de proceso (46) están codificados con una palabra clave variable (44) que cambia constantemente, a efectos de generar datos de proceso (48) codificados de forma variable, que conducen a una determinada dinámica, y porque los datos de proceso (48) codificados de forma variable son transferidos a la unidad de control (12) como componente de la transmisión múltiple por varias vías.

Description

Procedimiento y dispositivo para controlar un proceso de carácter crítico en cuanto a seguridad.
La presente invención se refiere a un procedimiento para controlar un proceso de carácter crítico en cuanto a seguridad, que comprende las siguientes fases:
- disponer una unidad de control para procesar datos de proceso críticos en cuanto a seguridad;
- disponer una unidad E/S, que está unida con la unidad de control a través de un trayecto de transmisión de datos; y
- transferir los datos de proceso de la unidad E/S a la unidad de control, asegurando los datos de proceso con la ayuda de una transmisión múltiple por varias vías.
La invención se refiere, además, a un dispositivo para controlar un proceso de carácter crítico en cuanto a seguridad, que comprende una unidad de control para procesar los datos de proceso críticos en cuanto a seguridad y una unidad E/S que está unida con la unidad de control a través de un trayecto de transmisión de datos, estando la unidad de control y la unidad E/S realizadas de tal manera que pueden transferir datos de proceso de la unidad E/S a la unidad de control con la ayuda de una transmisión múltiple.
Se conoce un procedimiento de este tipo, así como su correspondiente dispositivo, por la patente DE 197 42 716 A1.
A efectos de la presente invención, los procesos de carácter crítico en cuanto a seguridad son secuencias, correlaciones y/o sucesos técnicos cuyo funcionamiento correcto ha de ser asegurado, para evitar un peligro para las personas o valores materiales. En este caso, se trata, especialmente, de la supervisión y del control de procesos que se desarrollan automáticamente en el ámbito de la construcción de maquinaria e instalaciones para evitar accidentes. Ejemplos clásicos son la protección de una instalación de prensa, la protección de un robot automatizado o el aseguramiento de un estado que no comporte peligro para la realización de trabajos de mantenimiento en una instalación técnica. Para procesos de este tipo la norma europea EN 954-1 distingue diferentes categorías de seguridad del 1 al 4, siendo la 4 la categoría de seguridad más alta. La presente invención se refiere a procesos de carácter crítico en cuanto a seguridad, para los que se ha de cumplir, como mínimo, la categoría 3, según la norma EN 954-1.
El control de procesos de carácter crítico en cuanto a seguridad, a efectos de la presente invención, requiere que los aparatos y componentes que participan en el control presenten una protección contra errores intrínsecos. Esto significa que, incluso cuando se produce un fallo o un error en el equipo de seguridad, se ha de mantener la seguridad necesaria, por ejemplo, para los operarios de la maquinaria. Por lo tanto las instalaciones y los equipos de seguridad están construidos de forma redundante en toda regla y requieren en muchos países una autorización correspondiente por parte de las autoridades reguladoras competentes. En el marco del procedimiento de autorización, el fabricante del equipo de seguridad ha de demostrar en toda regla que se da la necesaria protección contra errores intrínsecos, lo cual es muy costoso y caro debido a las extensas observaciones de errores.
Por la patente DE 197 42 716 A1 mencionada anteriormente se conoce un dispositivo de este género, en el que la unidad de control propiamente dicha está unida con unidades E/S escalonadas en el espacio a través de un denominado "Feldbus" (bus de campo). En las unidades E/S se conectan sensores para recoger datos de proceso, así como accionadores para activar procesos de control. Sensores típicos en el ámbito de la ingeniería de seguridad son los interruptores de parada de emergencia, puertas de protección, interruptores bimanuales, sensores de revoluciones o disposiciones de barreras de luz. Accionadores típicos son contactores de protección con los que se deja sin corriente los dispositivos de accionamiento de una instalación vigilada, o válvulas magnéticas. En disposiciones de este tipo las unidades E/S sirven substancialmente como estaciones receptoras y emisoras de señales, que están distribuidas en el espacio, mientras que el procesamiento en sí de los datos de proceso y la generación de señales de control para los accionadores se realiza en la unidad de control de orden superior. En muchos casos, se utiliza un denominado sistema de programa almacenado (SPS) como unidad de control de orden superior.
Para poder controlar los procesos de carácter crítico en cuanto a seguridad mediante un sistema de este tipo, basado en un bus de campo, la transmisión de datos de las unidades E/S a la unidad de control ha de ser protegida contra los errores. En especial, se ha de asegurar de que no se pueda producir un estado peligroso en la instalación total por la falsificación de datos de proceso transferidos y/o por un error en una unidad E/S escalonada.
En el sistema conocido según la patente DE 197 42 716 A1, esto se realiza porque tanto en la unidad de control de orden superior, como también en las unidades E/S escalonadas, están dispuestos dispositivos relacionados con la seguridad. En este caso, se trata, por ejemplo, de la concepción redundante de todas las rutas de recepción, procesamiento y emisión de señal. Los canales redundantes se supervisan unos a otros y, cuando se produce un error o un estado no definido, la instalación pasa a un estado de reposo seguro, por ejemplo, de desconexión. Además, los datos de proceso se transfieren de forma múltiple al sistema de control. En el dispositivo conocido esto se lleva a cabo transfiriendo los datos de proceso binarios una vez de forma inalterada, una segunda vez en forma negada y una tercera vez en forma de una suma de comprobación derivada de los datos de proceso. Este modo variado de transmisión se denomina "diversitär" ("por varias vías").
Dado que en la instalación conocida se encuentran dispositivos relacionados con la seguridad tanto en la unidad de control como también en las unidades E/S escalonadas, la transmisión de datos en sí puede realizarse a través de un bus de campo monocanal. Tanto en el emisor como también en el receptor se comprueba que los datos de proceso estén seguros. El inconveniente de ese planteamiento es, sin embargo, que se ha de demostrar la requerida protección contra errores intrínsecos para cada una de las unidades E/S escalonadas en el marco del procedimiento de autorización. Esto resulta correspondientemente costoso y caro.
Un planteamiento alternativo consiste en que la realización de las unidades E/S escalonadas no sea "a prueba de errores" y, en lugar de ello, el trayecto de transmisión de datos esté realizado en dos canales, es decir, con dos rutas de señales separadas. En este caso, la unidad de control de orden superior, que está diseñada con protección contra los errores, tiene la posibilidad de acceder a los datos de proceso a través de dos canales y realizar la comprobación de errores requerida. El inconveniente de este planteamiento es que todo el trayecto de transmisión de datos ha de ser realizado en dos canales, lo que significa un elevado gasto en cableado.
Por la patente US 5.307.409 se da a conocer un dispositivo y un procedimiento para la detección de errores en líneas de señales redundantes con la ayuda de codificaciones. También, en este caso, se propone, sin embargo, la utilización de múltiples líneas conducidas en paralelo entre sí para transferir los datos, siendo los datos codificados en cada línea con un código propio. Los códigos son diferentes para cada línea, pero no cambian a lo largo del
tiempo.
Por la patente US 4.638.120 se da a conocer un procedimiento y un sistema para la transmisión de datos confidenciales, que están codificados con un número aleatorio. Sin embargo, con ello no se puede conseguir un trayecto de transmisión de datos a prueba de errores a efectos de la presente invención.
Por la patente DE 37 06 325 A1 se conoce un dispositivo en el que las unidades E/S escalonadas están unidas con la unidad de control de orden superior a través de una ruta de desconexión separada, adicionalmente al bus de campo propiamente dicho. De dicho documento no se desprende, sin embargo, hasta que punto la transmisión de los datos de proceso de las unidades E/S al sistema de control se puede llevar a cabo a prueba de errores.
Ante estos antecedentes, el objetivo de la presente invención consiste en dar a conocer un procedimiento alternativo y un dispositivo correspondiente, que pueden realizarse e implementarse de forma más económica cumpliendo los mismos requisitos de seguridad.
Este problema se resuelve mediante un procedimiento del tipo mencionado anteriormente, en el que los datos de proceso son codificados con una palabra clave variable que cambia constantemente, a efectos de producir datos de proceso de codificación variable, que conducen a una determinada dinámica, y en el que los datos de proceso codificados de forma variable son transferidos a la unidad de control como parte integrante de la transmisión múltiple por varias vías.
Este problema se resuelve, además, por un dispositivo del tipo mencionado anteriormente, en el que hay un elemento codificador, que está diseñado para codificar los datos de proceso con códigos variables que cambian constantemente, a efectos de generar datos de proceso codificados de forma variable, que conducen a una determinada dinámica, y en el que los datos de proceso codificados de forma variable pueden ser transferidos a la unidad de control como parte integrante de la transmisión múltiple por varias vías.
La solución, según la invención, parte del planteamiento conocido por la patente DE 197 42 716 A1, según el cual los datos de proceso son transferidos a la unidad de control en el marco de una transmisión múltiple por varias vías. Según un aspecto de la presente invención, la diversidad se consigue, sin embargo, porque los datos de proceso están codificados, como mínimo, una vez con una palabra clave variable. Codificación significa en este caso que los datos de proceso, que están presentes como información binaria en toda regla, son vinculados al código variable. Como es lógico, la vinculación se ha de poder reconstruir, para que la unidad de control de orden superior pueda recuperar la información redundante de los datos de proceso codificados. A título de ejemplo, la vinculación puede ser una vinculación XOR lógica de los datos de proceso en sí con la palabra clave variable. Mediante una vinculación XOR se modifica cada bit de los datos de proceso, sin que se pierda la información en sí. De forma alternativa, también se podría realizar una adición u otra vinculación de los datos de proceso al código, debiendo la vinculación afectar, preferentemente, cada bit de los datos de proceso (en una representación binaria).
Al codificar los datos de proceso a transferir con una palabra clave variable, se genera una determinada dinámica que hace posible controlar la función de seguridad sólo en la zona de la unidad de control de orden superior. De los lados de la unidad E/S se puede prescindir, por lo tanto, de una concepción a prueba de errores, por ejemplo, redundante de dos canales. Consecuentemente, también se puede suprimir la prueba de protección contra los errores para las unidades E/S en el marco del procedimiento de autorización.
Por otro lado, la transmisión de datos podrá seguir realizándose a través de una conexión de un solo canal debido a que la transmisión múltiple ahora es dinámica, lo cual mantiene reducidos los gastos de cableado. De esta manera, la disposición, según la invención, y el procedimiento correspondiente se pueden realizar de forma claramente más económica en su conjunto.
El problema indicado queda totalmente resuelto.
Según una realización de la invención, la palabra clave variable es generada por la unidad de control y transferida a la unidad E/S.
Alternativamente, también sería posible, en principio, generar la palabra clave variable en el ámbito de la unidad E/S o en otro lugar dentro del conjunto del dispositivo. La presente realización, en cambio, tiene la ventaja de que la unidad de control mantiene el control central incluso sobre la palabra clave variable, de manera que todos los ámbitos de carácter crítico en cuanto a seguridad se encuentran reunidos en la unidad de control. Las observaciones de errores, comprobaciones de seguridad y similares pueden concentrarse, por lo tanto, en la unidad de control. Además, la unidad de control puede abordar como unidad central por sí misma todas las unidades E/S de manera que, según esta realización, la distribución de los códigos variables resulta más sencilla y menos complicada.
Según otra realización, la palabra clave variable es modificada para cada proceso de transmisión de datos de proceso a la unidad de control.
Alternativamente, también es posible, en principio, dejar inalterada la palabra clave variable para varias transmisiones de datos de proceso. Pero con la realización preferente se consigue una mayor seguridad, dado que la unidad de control puede reaccionar de forma más rápida a estados de carácter crítico en cuanto a seguridad debido a la mayor dinámica. Sin embargo, está claro que en una transmisión de datos de proceso a modo de "burst" o ráfaga a la unidad de control, la ráfaga entera puede estar codificada por un código común, también en esta realización, a efectos de mantener lo más reducido posible el tráfico de datos en el trayecto de transmisión de datos.
Según otra realización, la unidad de control procede cíclicamente a la lectura de los datos de proceso de la unidad E/S.
En la jerga técnica una realización de este tipo se denomina "polling" o interrogación. Alternativamente, también existen los denominados sistemas controlados por sucesos o interrupciones, en los que una consulta y/o un envío de datos de proceso sólo se realizarán cuando se haya producido un suceso desencadenante. Pero en la realización preferente, las ventajas de la invención se manifiestan muy claramente, ya que en estos casos las unidades E/S pueden estar diseñadas con una técnica muy sencilla. El gasto en material y desarrollo para las unidades E/S es, por lo tanto, mínimo en esta realización.
Según otra realización, la codificación de los datos de proceso se lleva a cabo en la unidad E/S en un elemento codificador separado que posee, preferentemente, una lógica fija.
Según los ejemplos de realización preferentes, el elemento codificador separado está realizado en forma de FPGA (Field Programmable Gate Array ("Matriz de Puertas Programable")) o lógica programable, o como ASIC (Application Specific Integrated Circuit ("Circuito Integrado de Aplicación Específica")), ya que la prueba de protección contra los errores requerida en el marco del procedimiento de autorización es más fácil de realizar en soluciones basadas en hardware que en soluciones basadas en software. La disposición de un elemento codificador separado facilita más todavía el procedimiento de autorización, dado que el "resto" de la unidad E/S puede realizarse ampliamente con independencia de la codificación, según la invención. Por lo tanto, resulta más fácil reequipar unidades E/S ya existentes, que no son "inteligentes" o seguras, de acuerdo con la concepción, según la invención.
Según otra realización, la transmisión múltiple por varias vías se limita a la transmisión doble de los datos de proceso que contiene los datos de proceso codificados de forma variable.
Dicho de otra manera, la transmisión múltiple por varias vías contiene sólo la doble transmisión de los datos de proceso, estando dichos datos de proceso codificados una vez de forma variable. La segunda vez los datos de proceso se transfieren preferentemente de forma inalterada, ya que entonces están a disposición inmediatamente en la unidad de control "en texto legible". Esta realización presenta la ventaja de que la cantidad de datos transferidos queda reducida a un mínimo, lo que hace posible trayectos de transmisión de datos con reducidas capacidades de transmisión. Además, el dispositivo de la invención puede reaccionar más rápidamente, según esta realización, lo que representa una mayor seguridad. Un aspecto particular es que, según esta realización -y contrariamente a prácticamente todos los sistemas relacionados con la seguridad- se puede prescindir de la generación y transmisión de sumas de comprobación.
Según otra realización, la unidad E/S contiene una salida de accionador, así como una unidad de prueba independiente para la salida de accionador, siendo transferido un resultado de prueba de la unidad de prueba como un valor de datos de proceso a la unidad de control.
Esta realización aprovecha de forma muy ventajosa las posibilidades creadas por la invención. Es cierto que en sistemas con unidades E/S "inteligentes" y a prueba de errores se conoce, en principio, que éstas comprueban regularmente y de forma autónoma la seguridad de funcionamiento de sus salidas de accionador. Pero en sistemas con unidades E/S "no inteligentes", que no están a prueba de errores, la comprobación de las salidas de accionador se ha de inicializar hasta el momento siempre por la unidad de control de orden superior. Esto aumenta la carga del bus y, además, hace muy difícil realizar pruebas de desconexión con impulsos de desconexión reducidos debido a los tiempos de propagación de la señal del trayecto de transmisión de la misma. Con la solución, según la invención, ahora es posible que la unidad de control inicie una prueba de desconexión mediante un comando simple y almacene el resultado como un valor de datos de proceso. Así se pueden realizar los impulsos de desconexión más cortos desde la unidad E/S in situ, mientras que la evaluación propiamente dicha de los resultados se realiza en la unidad de control, lo que reduce claramente la inteligencia requerida del lado de la unidad E/S.
En la siguiente descripción se explicarán con más detalle los ejemplos de realización de la invención que se muestran en los dibujos. Éstos muestran:
En la figura 1, una representación esquemática de un dispositivo, según la invención, en forma de esquema de bloques;
En la figura 2, una representación esquemática de una unidad E/S que trabaja como unidad de entrada;
En la figura 3, una representación esquemática de una realización preferente de una unidad E/S que trabaja como unidad de salida; y
En la figura 4, dos organigramas simplificados para explicar el procedimiento, según la invención.
En la figura 1, un ejemplo de realización del dispositivo, según la invención, se indica en su conjunto con la referencia numérica (10).
El dispositivo (10) comprende una unidad de control (12), por ejemplo, un SPS a prueba de errores, tal como lo comercializa la solicitante de la presente invención con la denominación PSS®. Preferentemente, se trata sin embargo de un minicontrolador o cualquier otro tipo de unidad de control a prueba de errores a efectos de la presente invención (como mínimo, categoría 3 según la norma EN 954-1 o para requisitos/fines de uso comparativos).
El dispositivo (10) posee en este caso cuatro unidades E/S (14), (16), (18), (20), mostradas a título de ejemplo, que están separadas espacialmente con respecto a la unidad de control (12) y unidas con la misma a través de un trayecto de transmisión de datos monocanal (22). Según un ejemplo de realización, el trayecto de transmisión de datos (22) es un bus de campo. Preferentemente, el trayecto de transmisión es una simple conexión de datos sin protocolos de transmisión específicos a niveles superiores del modelo de referencia OSI. Las unidades E/S (14) hasta (20) son comparativamente unidades no inteligentes y no a prueba de errores (no a prueba de errores = no cumplen los requisitos de la categoría 3 ó 4 según la norma EN 954-1 o requisitos comparables), tal como se explicará a continuación con más detalle por medio de las figuras 2 y 3. Dichas unidades sirven, substancialmente, para la recepción y emisión de señales, es decir, para la lectura de sensores críticos en cuanto a seguridad y para activar accionadores críticos en cuanto a seguridad. A título de ejemplo para un caso de aplicación típico se muestran múltiples puertas de protección (24), interruptores de parada de emergencia (26), contactores (28) con los que se puede desconectar un dispositivo de accionamiento (30) a prueba de errores, así como una rejilla fotoeléctrica (32), como sensores críticos en cuanto a seguridad. Las unidades E/S (14), (16) y (20) trabajan de forma correspondiente como unidades de entrada para la recepción de las señales de los sensores, mientras que la unidad E/S (18) sirve como unidad de salida para controlar los contactores (28). Pero las unidades E/S (14) hasta (20) también pueden ser unidades de entrada y salida combinadas, difiriendo de esta representación simplificada.
La unidad de control (12) está construida de forma redundante por varias formas de modo en sí conocido, a efectos de garantizar la requerida protección contra errores intrínsecos. Los canales de procesamiento de señal redundantes están mostrados aquí de forma simplificada con dos microcontroladores (34), (36) que intercambian datos a través de una conexión (38) y pueden, por lo tanto, controlarse mutuamente. La conexión (38) puede estar realizada, por ejemplo, como "Dual-Ported-RAM" ("memoria de doble puerto"), pero también en cualquier otra forma y manera.
Con la referencia (40) se señala un módulo de conexión del bus, es decir, una interfaz de comunicación, a través de la cual los microcontroladores (34), (36) pueden acceder al módulo de conexión bus de campo (22). El acceso de ambos microcontroladores (34), (36) al módulo de conexión del bus (40) con los mismos derechos se ha de entender, una vez más, a título de ejemplo. Los expertos del ramo conocen las posibilidades de realización alternativas.
Según un aspecto preferente de la presente invención, la unidad de control (12) posee un generador de palabra clave (42) que puede estar realizado, por ejemplo, mediante una programación apropiada del microcontrolador (36). El generador de palabras clave (42) genera palabras clave variables, con las que los datos de proceso a transferir por las unidades E/S (14) hasta (20) son codificados del modo explicado a continuación.
La generación de las palabras clave variables puede llevarse a cabo de forma monocanal, tal como se indica aquí, o también por dos canales. Según un ejemplo de realización preferente, las palabras clave variables se generan de forma (casi) aleatoria, lo que es posible con generadores o algoritmos aleatorios en sí conocidos. A título de ejemplo, se representa una palabra clave binaria de cuatro dígitos "0101" en la referencia numérica (44).
Para la lectura de datos de proceso la unidad de control (12) transfiere la palabra clave (44) a la correspondiente unidad E/S (en este caso mostrado para la unidad E/S (20(). Esta emite, a continuación, los datos de proceso demandados y, concretamente, según un ejemplo de realización preferente, una vez "en texto legible" y una segunda vez en forma codificada. A título de ejemplo, los datos de proceso se muestran en la figura 1 como "1001" con la referencia (46) y los datos de proceso codificados "0101" con la referencia (48). Los datos de proceso (46) y (48) son, en este caso, un componente común de un telegrama de datos que transfiere la unidad E/S (20) a la unidad de control (12). Alternativamente, los datos de proceso (46) y (48) también pueden transferirse, sin embargo, en telegramas de datos separados a la unidad de control (12).
En representación de un ejemplo de realización preferente, los datos de proceso (46) están codificados, en este caso, con la palabra clave (44) a través de una vinculación XOR, de lo cual resultan los datos de proceso codificados (48).
Con la referencia (50) se señala una ruta de desconexión adicional, que se explicará con más detalle con respecto a la unidad de salida (18) en la figura 3. De acuerdo con un ejemplo de realización preferente, la ruta de desconexión (50) es conducida a la unidad E/S (18) en una línea separada.
A continuación, las mismas referencias señalan los mismos elementos que en la figura 1.
En la figura 2 se muestra cómo es, en principio, la estructura de una unidad de entrada preferente por medio del ejemplo de la unidad E/S (20). La unidad E/S (20) contiene un microcontrolador (60) (monocanal y, por lo tanto, no a prueba de errores), así como un elemento codificador (62) separado del mismo. El elemento codificador (62) está realizado, de acuerdo con un ejemplo de realización preferente, como FPGA o ASIC. Pero, alternativamente, el elemento codificador (62) también puede estar realizado, en principio, como microcontrolador, o también puede estar integrado en el microcontrolador (60). Con la referencia numérica (64) se indica una multitud de entradas de señal, a través de las que la unidad E/S (20) recoge las señales de estado de la rejilla o las rejillas fotoeléctricas conectadas (32). Las señales de estado adyacentes a las entradas (64) se suministran paralelamente tanto al microcontrolador (60), como también al elemento codificador (62).
En la realización mostrada en esta invención, sólo el microcontrolador (60) está en condiciones para acceder al bus de campo (22) a través de un módulo de conexión de bus (40). Por lo tanto, el microcontrolador (60) recoge, en este ejemplo de realización, la palabra clave (44) transferida por la unidad de control (12) y la transfiere al elemento codificador (62) a través de una conexión (66). El elemento codificador (62) vincula los datos adyacentes a las entradas de señal (64) con la palabra clave variable (44) y pone los datos de proceso codificados otra vez a disposición del microcontrolador (60) a través de una conexión (68). El microcontrolador (60) transfiere, a continuación, a título de ejemplo, los datos de proceso recogidos directamente por él mismo y los datos de proceso codificados, tal y como se muestra en la figura 1 por medio de las referencias numerales (46), (48). En este caso no es necesaria una disposición de la unidad E/S (20) continuamente a prueba de errores y redundante de dos canales.
En la figura 3, se muestra una estructura preferente de una unidad de salida por medio del ejemplo de la unidad E/S (18). Dicha unidad E/S (18) posee asimismo un microcontrolador (60), que está programado adecuadamente para funcionar como unidad de salida. El microcontrolador (60) está conectado con un elemento codificador (62) a través de un canal de ida y vuelta (66), (68). Como alternativa a ello, en principio, también sería posible que el elemento codificador (62) acceda él mismo al bus de campo (22) a través del módulo de conexión de bus (40) o un módulo de conexión de bus propio (no mostrado aquí).
La unidad E/S (18) está mostrada, en este caso, en representación de una multitud de realizaciones en sí conocidas con elementos de conexión (74), (76) dispuestos en serie y redundantes entre sí. En una conexión (78) de la conexión en serie hay una tensión de servicio que puede ser, por ejemplo, de 24 voltios. Del lado de la salida los elementos de conexión (74), (76) están conducidos a una salida (80) en la que se pueden conectar, por ejemplo, un contactor o varios contactores (28). Naturalmente se entiende que la representación mostrada es simplificada y a título de ejemplo y que, difiriendo de la misma, puede haber múltiples salidas (80), que están controladas a través de múltiples elementos de conexión (74), (76). El microcontrolador (60) abre los elementos de conexión (74), (76) cuando recibe la correspondiente orden de desconexión de la unidad de control (12) a través del bus de campo (22).
De acuerdo con un ejemplo de realización preferente, se ha realizado una segunda posibilidad de desconexión a través de la ruta de desconexión (50). A tal efecto, la ruta de desconexión (50) asimismo es conducida a los elementos de conexión (74), (76), de forma simplificada, a través de dos elementos Y (82). La unidad de control (12) tiene de esta forma la posibilidad de desconectar los contactores (28) en la unidad E/S (18) incluso cuando falla el microcontrolador (60).
Con la referencia numérica (84) se designa una línea de nueva lectura que es conducida tanto al microcontrolador (60), como también al elemento codificador (62). A través de la misma se vigila el estado de los elementos de conexión (74), (76) (abiertos o cerrados). El estado correspondiente es un valor de datos de proceso que, de acuerdo con la presente invención, es almacenado por la unidad de control (12) una vez "en texto legible" y una segunda vez de forma variablemente codificada. Esto se lleva a cabo, en especial, cuando la unidad de control (12) transfiere a la unidad E/S (18) una orden de prueba, tras lo cual ésta abre brevemente los elementos de conexión (74), (76) y, seguidamente, los vuelve a cerrar. El resultado de esta prueba de desconexión es transferido a la unidad de control (12) como valor de datos de proceso.
En la figura 4 el organigrama de la izquierda muestra esquemáticamente la secuencia del procedimiento, según la invención, en la unidad de control (12) y el organigrama de la derecha la correspondiente secuencia en la unidad E/S (14) hasta (20).
En la fase (90) la unidad de control (12) emite una orden de control que es almacenada según la fase (92) por la unidad E/S (14) hasta (20). Según la fase (94), la unidad de control (12) genera a continuación una (nueva) palabra clave variable con la ayuda de un generador de palabras clave (42), que es transferido, según la fase (96), a la unidad E/S (14) hasta (20). La unidad E/S (14) hasta (20) lleva a cabo, a su vez, la orden de control recibida en la fase (92), tal como se muestra mediante la referencia numérica (98). En este caso, se puede tratar, a título de ejemplo, de la comprobación de los elementos de conexión (74), (76).
En la fase (100) la unidad E/S (14) hasta (20) procede a la lectura de la palabra clave recién generada y codifica, a continuación, según la fase (102) los datos de proceso a transferir. Con las fases (104), (106) la unidad E/S (14) hasta (20) transfiere, a continuación, los datos de proceso y los datos de proceso codificados, y la unidad de control (12) procede a la lectura de los mismos, según las fases (108), (110). A continuación, la unidad de control (12) evalúa los datos de proceso recibidos, lo que se muestra por medio de la fase (112).
Ambas secuencias del procedimiento se repiten cíclicamente, lo que se muestra mediante las flechas (114), (116). Debido a esta secuencia cíclica, en la que la unidad de control (12) consulta las unidades E/S (14) hasta (20), se genera, de acuerdo con una realización preferente, una palabra clave que se modifica constantemente y se transfiere la misma a las unidades E/S (14) hasta (20). Incluso cuando los datos de proceso de las unidades E/S (14) hasta (20) no se modifican durante un largo período de tiempo, lo cual es típico de puertas de protección, interruptores de parada de emergencia y similares, el tráfico de datos en el bus de campo (22) se modifica con cada consulta, de manera que la unidad de control (12) puede reconocer cuando se interrumpe la conexión de datos, cuando una unidad E/S se queda "atascada" en un estado estático, así como otros errores.

Claims (10)

1. Procedimiento para controlar un proceso de carácter crítico en cuanto a seguridad, que comprende los siguientes fases:
- disponer una unidad de control (12) para procesar datos de proceso críticos en cuanto a seguridad (46, 48);
- disponer una unidad E/S (14-20), que está unida con la unidad de control (12) a través de un trayecto de transmisión de datos (22); y
- transferir los datos de proceso (46, 48) de la unidad E/S (14-20) a la unidad de control (12), asegurando los datos de proceso (46, 48) con la ayuda de una transmisión múltiple por varias vías,
caracterizado porque los datos de proceso (46) están codificados con una palabra clave variable (44) que cambia constantemente, a efectos de generar datos de proceso (48) codificados de forma variable, que conducen a una determinada dinámica, y porque los datos de proceso (48) codificados de forma variable son transferidos a la unidad de control (12) como componente de la transmisión múltiple por varias vías.
2. Procedimiento, según la reivindicación 1, caracterizado porque la palabra clave variable (44) es generada y transferida a la unidad E/S (14-20) por la unidad de control (12).
3. Procedimiento, según la reivindicación 1 ó 2, caracterizado porque la palabra clave variable (44) es modificada para cada proceso de transmisión de datos de proceso a la unidad de control (12).
4. Procedimiento, según una de las reivindicaciones 1 a 3, caracterizado porque la unidad de control (12) procede cíclicamente a la lectura de los datos de proceso (46, 48) de la unidad E/S (14-20).
5. Procedimiento, según una de las reivindicaciones 1 a 4, caracterizado porque la codificación de los datos de proceso se lleva a cabo en la unidad E/S (14-20) en un elemento codificador separado (62), que posee preferentemente una lógica fija.
6. Procedimiento, según una de las reivindicaciones 1 a 5, caracterizado porque la transmisión múltiple por varias vías se limita a la doble transferencia de datos de proceso (46, 48) que comprende los datos de proceso (48) codificados de forma variable.
7. Procedimiento, según una de las reivindicaciones 1 a 6, caracterizado porque la unidad E/S (14-20) comprende una salida de accionador (80), así como una unidad de prueba independiente para la salida de accionador (80), siendo un resultado de prueba transferido de la unidad de prueba a la unidad de control (12) como un valor de datos de proceso (46, 48).
8. Dispositivo para controlar un proceso de carácter crítico en cuanto a seguridad, que comprende una unidad de control (12) para procesar datos de proceso críticos en cuanto a seguridad y una unidad E/S (14-20), que está unida con la unidad de control (12) a través de un trayecto de transmisión de datos (22), estando la unidad de control (12) y la unidad E/S (14-20) diseñadas para poder transferir datos de proceso (46, 48) de la unidad E/S (14-20) a la unidad de control (12) con la ayuda de una transmisión múltiple por varias vías, caracterizado porque hay un elemento codificador (62) que está realizado de manera que se puedan codificar los datos de proceso (46) con una palabra clave variable (44) que cambia constantemente, a efectos de generar datos de proceso (48) codificados de forma variable con una determinada dinámica, y porque los datos de proceso (48) codificados de forma variable pueden ser transferidos a la unidad de control (12) como componente de la transmisión múltiple por varias vías.
9. Unidad de control para ser utilizada en un dispositivo, según la reivindicación 8, que comprende una parte (34, 36, 38) para el procesamiento a prueba de errores de datos de proceso críticos en cuanto a seguridad (46), que pueden ser recibidos por una unidad E/S (14-20) escalonada en el espacio, a través de un trayecto de transmisión de datos (22), caracterizada por un generador de palabra clave (42) con el que se puede generar una palabra clave variable (44) que cambia constantemente y transferir la misma a la unidad E/S (14-20), estando la parte (34, 36, 38) destinada al procesamiento de los datos de proceso críticos en cuanto a seguridad a prueba de errores diseñada para proceder a la lectura de los datos de proceso (48) codificados con la palabra clave variable y evaluarlos.
10. Unidad E/S para ser utilizada en un dispositivo, según la reivindicación 8, que comprende un elemento codificador (62) que está diseñado para codificar datos de proceso (46) con una palabra clave variable (44) que cambia constantemente, a efectos de generar datos de proceso (48) codificados de forma variable con una determinada
dinámica.
ES04726855T 2003-05-02 2004-04-10 Procedimiento y dispositivo para controlar un proceso de caracter critico en cuanto a seguridad. Expired - Lifetime ES2305760T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10320522 2003-05-02
DE10320522A DE10320522A1 (de) 2003-05-02 2003-05-02 Verfahren und Vorrichtug zum Steuern eines sicherheitskritischen Prozesses

Publications (1)

Publication Number Publication Date
ES2305760T3 true ES2305760T3 (es) 2008-11-01

Family

ID=33394299

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04726855T Expired - Lifetime ES2305760T3 (es) 2003-05-02 2004-04-10 Procedimiento y dispositivo para controlar un proceso de caracter critico en cuanto a seguridad.

Country Status (9)

Country Link
US (1) US7715932B2 (es)
EP (1) EP1620768B1 (es)
JP (1) JP4691490B2 (es)
CN (1) CN100472380C (es)
AT (1) ATE394723T1 (es)
DE (2) DE10320522A1 (es)
ES (1) ES2305760T3 (es)
HK (1) HK1092884A1 (es)
WO (1) WO2004097539A1 (es)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005030276A1 (de) 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
DE102007038722A1 (de) * 2007-08-16 2009-02-26 Siemens Ag Verfahren zum Auslösen von Aktionen einer Maschine durch sichere Eingabeelemente
DE102007040626A1 (de) * 2007-08-27 2009-03-05 Heidelberger Druckmaschinen Ag Faltschachtelklebemaschine mit verbesserter Zugänglichkeit
DE102007050708B4 (de) * 2007-10-22 2009-08-06 Phoenix Contact Gmbh & Co. Kg System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
DE102008060007A1 (de) 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Verfahren zum Übertragen von Daten in einem automatisierten Steuerungssystem
AT509310B1 (de) * 2009-12-16 2015-10-15 Bachmann Gmbh Verfahren zum betrieb einer speicherprogrammierbaren steuerung (sps) mit dezentraler, autonomer ablaufsteuerung
JP5787127B2 (ja) * 2010-09-03 2015-09-30 富士電機株式会社 電力変換装置の保護回路
US8744634B2 (en) * 2010-11-19 2014-06-03 General Electric Company Safety instrumented system (SIS) for a turbine system
DE102012103194B4 (de) 2012-04-13 2014-09-11 Pilz Gmbh & Co. Kg Verfahren zum Übertragen von Prozessdaten in einer automatisiert gesteuerten Anlage
DE102012106601A1 (de) 2012-07-20 2014-05-15 Pilz Gmbh & Co. Kg Verfahren zum Synchronisieren von Anzeigeelementen
DE102013106739A1 (de) * 2013-06-27 2014-12-31 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung mit fehlersicheren Eingängen
DE102014100970A1 (de) 2014-01-28 2015-07-30 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
EP2937745B1 (de) * 2014-04-25 2016-10-05 Sick Ag Sicherheitssteuerung zum sicheren Betreiben einer technischen Anlage und Verfahren zum Betreiben der Sicherheitssteuerung
US9429926B2 (en) * 2014-05-16 2016-08-30 Tait Towers Manufacturing, LLC Automation and motion control system
DE102014111361A1 (de) 2014-08-08 2016-02-11 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE102014222181A1 (de) * 2014-10-30 2016-05-04 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
CN105013295B (zh) * 2015-08-05 2017-06-16 太仓中化环保化工有限公司 一种氟碳烷烃生产装置的应急处理系统和应急处理方法
JP2019079190A (ja) * 2017-10-23 2019-05-23 オムロン株式会社 出力ユニット、入力ユニット、および入出力システム
DE102018120344A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
CN112631256B (zh) 2020-12-29 2022-03-18 浙江中控技术股份有限公司 一种功能安全的开关量输出模块和诊断处理方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2477344B1 (fr) * 1980-03-03 1986-09-19 Bull Sa Procede et systeme de transmission d'informations confidentielles
JPS58215840A (ja) * 1982-06-09 1983-12-15 Tadano Tekkosho:Kk 高所作業車の伝送デ−タ誤り検出方法
DE3706325A1 (de) 1987-02-27 1988-09-08 Phoenix Elekt Steuer- und datennetzwerk
JPH02180443A (ja) * 1988-12-29 1990-07-13 Nec Corp パリティエラー検出方式
JP2734047B2 (ja) * 1989-01-13 1998-03-30 日本電気株式会社 データスクランブル装置
US5307409A (en) * 1992-12-22 1994-04-26 Honeywell Inc Apparatus and method for fault detection on redundant signal lines via encryption
US5612683A (en) * 1994-08-26 1997-03-18 Trempala; Dohn J. Security key holder
DE19742716C5 (de) 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
JP2000224089A (ja) * 1999-02-01 2000-08-11 Nec Corp 成層圏無線中継システム
JP2000286856A (ja) * 1999-03-30 2000-10-13 Kokusai Electric Co Ltd 無線lanシステム
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
AU2002347849A1 (en) * 2001-10-16 2003-05-19 Smarte Solutions, Inc. User/product authentication and piracy management system

Also Published As

Publication number Publication date
EP1620768A1 (de) 2006-02-01
WO2004097539A1 (de) 2004-11-11
JP2006525565A (ja) 2006-11-09
DE10320522A1 (de) 2004-11-25
US7715932B2 (en) 2010-05-11
HK1092884A1 (en) 2007-02-16
CN100472380C (zh) 2009-03-25
DE502004007061D1 (de) 2008-06-19
EP1620768B1 (de) 2008-05-07
JP4691490B2 (ja) 2011-06-01
ATE394723T1 (de) 2008-05-15
CN1784640A (zh) 2006-06-07
US20060190101A1 (en) 2006-08-24

Similar Documents

Publication Publication Date Title
ES2305760T3 (es) Procedimiento y dispositivo para controlar un proceso de caracter critico en cuanto a seguridad.
ES2908606T3 (es) Tecnología de comunicación en serie para ascensores relacionados con la seguridad
ES2359650T3 (es) Unidad de interfaz y sistema de comunicaciones con una estructura maestro-esclavo.
ES2308480T3 (es) Control de seguridad.
ES2216921T3 (es) Procedimiento para la supervision o para la instalacion de codigos de programas nuevos en una instalacion industrial.
KR100414876B1 (ko) 펄스제네레이터와제어장치및제어장치용펄스제네레이터로구성된차량의데이터전달장치
US20110313580A1 (en) Method and platform to implement safety critical systems
US20040054501A1 (en) Method and device for monitoring a data processing and transmission
US7844865B2 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
US8321613B2 (en) Method and system for secure transmission of process data to be transmitted cyclically via a transmission channel between a master and a slave
ES2446349T3 (es) Control de seguridad y procedimiento para el control de una instalación automática
ES2187397T3 (es) Procedimiento de mando a distancia de un dispositivo para la transmision de radio o por sector, y el dispositivo correspondiente.
US10126727B2 (en) Method and system for safely switching off an electrical load
US20090312845A1 (en) Modular engineering system
CA2707373A1 (en) Platform and method to implement safety critical instrumentation and control (i&c) functions
ES2781853T3 (es) Instalación de quemador con un dispositivo de seguridad
ES2309643T3 (es) Modulos de entrada/salida seguros para un controlador.
CN104285410B (zh) 用于在以自动方式受控的设施中发送过程数据的方法
GB2291993A (en) Remote monitoring and signalling
CN101833315A (zh) 基于无线通信的水处理远程监控系统
CN102591761A (zh) 用于安全相关的应用中的sw的编码执行的增强型可缩放cpu
US20150340111A1 (en) Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device
EP2673733B1 (de) Tamperschutzvorrichtung zum tamperschutz eines feldgeräts
ES2229697T3 (es) Telegramas de datos cortos de un sistema de automatizacion.
ES2341549T3 (es) Dispositivo de transmision de datos con seguridad intrinseca.