ES2308480T3 - Control de seguridad. - Google Patents
Control de seguridad. Download PDFInfo
- Publication number
- ES2308480T3 ES2308480T3 ES05733921T ES05733921T ES2308480T3 ES 2308480 T3 ES2308480 T3 ES 2308480T3 ES 05733921 T ES05733921 T ES 05733921T ES 05733921 T ES05733921 T ES 05733921T ES 2308480 T3 ES2308480 T3 ES 2308480T3
- Authority
- ES
- Spain
- Prior art keywords
- security
- data
- safety
- modules
- functions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14114—Integrity, error detector, switch off controller, fail safe
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23234—In real time loop do one of the control modules and a safety module program
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Programmable Controllers (AREA)
- Safety Devices In Control Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Air Bags (AREA)
- Lock And Its Accessories (AREA)
Abstract
Procedimiento para controlar funciones de seguridad en el marco de un control de sistemas no orientado a funciones de seguridad, en el que se proporcionan módulos (M1...M6) de seguridad con una funcionalidad libre de fallos y un protocolo de seguridad, que realiza una transmisión de datos en forma de telegramas de seguridad, encapsulándose los parámetros de entrada y de salida de cada módulo de seguridad mediante el protocolo de seguridad y enlazándose entre sí los módulos de seguridad individuales a través de una línea de transmisión de datos desde el punto de vista de la técnica de datos y de ejecución, realizándose el intercambio de datos entre los módulos de seguridad basándose en el protocolo de seguridad, caracterizado porque en una etapa de implementación del protocolo de seguridad se establece el enlace desde el punto de vista de la técnica de datos y de ejecución de los módulos (M1...M6) de seguridad de manera correspondiente a las funciones de seguridad del sistema que han de controlarse, asignándose a cada módulo de seguridad un identificador unívoco.
Description
Control de seguridad.
La invención se refiere a un procedimiento y a
un dispositivo para controlar funciones de seguridad en el marco de
un control de sistemas no orientado a funciones de seguridad para su
uso en sistemas de automatización.
Un requisito esencial en un ordenador de
automatización para controlar máquinas es la seguridad y la
fiabilidad. Especialmente debe garantizarse, a este respecto, que
el sistema de automatización, aunque falle, no supondrá ningún
riesgo para las personas y el entorno. Los sistemas de
automatización funcionan por tanto, por regla general, según el
denominado principio de seguridad en caso de fallo, según el cual el
sistema de automatización, en caso de fallo de componentes
importantes, pasa a un estado seguro. La tarea del ordenador de
automatización durante la realización de funciones de control
relevantes para la seguridad según el principio de seguridad en
caso de fallo es, a este respecto, que las señales de proceso para
la realización de las funciones de control se procesen en tiempo
real y sin falsear, e indicar siempre a los actuadores del sistema
de automatización un estado de proceso seguro.
En el control de automatización, el número de
funciones de control relevantes para la seguridad es, por regla
general, sin embargo esencialmente inferior al número de funciones
de control no relevantes para la seguridad, que sirven para
mantener el funcionamiento regular del sistema de automatización.
Para garantizar que las funcionalidades de funciones de control
relevantes para la seguridad no se vean influidas por funciones de
control no relevantes para la seguridad en el ordenador de
automatización, las funciones de control relevantes para la
seguridad están agrupadas convencionalmente en un programa de
seguridad independiente, aislado frente a las funciones de control
no relevantes para la seguridad. Para lograr una separación completa
de funciones relevantes para la seguridad y no relevantes para la
seguridad, los programas de seguridad se ejecutan por regla general
en un ordenador de automatización independiente, que a menudo
también está conectado con un cableado propio con los conmutadores
de emergencia, barreras fotoeléctricas y otros componentes que
garantizan la seguridad de la máquina.
Para reducir el coste de hardware en ordenadores
de automatización se conocen además controles para sistemas de
automatización, tal como el sistema Simatik de la empresa Siemens,
en los que un programa de seguridad y funciones no relevantes para
la seguridad pueden realizarse en los mismos componentes de
hardware. De este modo puede ampliarse el ordenador de
automatización convencional para la realización de las funciones no
relevantes para la seguridad con un programa de seguridad. La
ampliación del ordenador de automatización con el programa de
seguridad sólo es posible, sin embargo, en el marco de un entorno de
configuración y procesamiento de datos establecido de forma
precisa, en el sistema Simatik el tiempo de ejecución STEP7.
El documento
EP-A-1 043 640 describe un sistema
de automatización seguro en caso de fallos, en el que las funciones
de seguridad pueden ejecutarse en módulos estándar diseñados no para
funciones de seguridad, realizándose entonces en los módulos un
programa de seguridad, un denominado programa de usuario F con una
funcionalidad libre de fallos. Los programas de seguridad que se
ejecutan en los módulos individuales pueden por tanto realizar a
través de un protocolo de seguridad un intercambio de datos entre sí
y con aparatos periféricos. Sin embargo, en cada módulo se ejecuta
siempre sólo un programa de seguridad junto con los programas de
usuario estándar o el sistema operativo.
Por el documento WO 02/50637 se conoce además un
procedimiento, que posibilita vincular funciones de control no
relevantes a través de una capa de programa segura en programas de
seguridad. Sin embargo, también en este caso es válida la
limitación de que la integración de programas de seguridad y
programas de control no relevantes para la seguridad en un
ordenador de automatización común sólo está permitida en un entorno
de programa definido de manera precisa, pero no puede realizarse en
cualquier entorno de sistema operativo, por ejemplo en los
programas operativos de Windows.
Un requisito general en programas de seguridad,
que funcionan según el principio de seguridad frente a fallos, es
además mantener la probabilidad de un fallo de programa lo más
reducida posible. El objetivo planteado en el desarrollo de
programas de seguridad es por tanto reducir al máximo la complejidad
del programa de seguridad, lo que sin embargo no puede garantizarse
sin más en los programas de seguridad convencionales cerrados, que
deben estar aislados frente a funciones de control no relevantes
para la seguridad. Esto es especialmente cierto cuando los
programas de seguridad deben utilizarse en controles
programables.
El objetivo de la invención es proporcionar un
procedimiento y un dispositivo para controlar funciones de
seguridad en el marco de un control de sistemas no orientado a
funciones de seguridad, en los que el programa de seguridad que
reúne las funciones de seguridad se caracteriza por una complejidad
reducida y puede ejecutarse en cualquier entorno de programa no
seguro, sin que los fallos en el control de funciones de control no
relevantes para la seguridad lleven a un fallo en el control de
funciones de seguridad.
Este objetivo se soluciona según la invención
mediante un procedimiento según la reivindicación 1 y un dispositivo
según la reivindicación 11. Perfeccionamientos ventajosos se
indican en las reivindicaciones dependientes.
Según la invención, para controlar funciones de
seguridad en el marco de un control de sistemas no orientado a
funciones de seguridad, en un sistema de automatización están
previstos módulos de seguridad con una funcionalidad libre de
fallos y un protocolo de seguridad, que realiza una transmisión de
datos en forma de telegramas de seguridad, estando encapsulados los
parámetros de entrada y de salida de cada módulo de seguridad
mediante el módulo de seguridad y estando los módulos de seguridad
individuales enlazados entre sí a través de una línea de
transmisión de datos desde el punto de vista de la técnica de datos
y de ejecución de manera correspondiente a las funciones de
seguridad del sistema que han de controlarse, realizándose el
intercambio de datos entre los módulos de seguridad basándose en el
protocolo de seguridad.
Según la invención es posible dividir un
programa de seguridad que funciona según el principio de seguridad
frente a fallos para el control de un sistema de automatización en
pequeños módulos de seguridad, cuya complejidad de programa esté
limitada, con lo cual se reduce la probabilidad de un error de
programa. Estos módulos de seguridad pueden ejecutarse además en un
entorno de control no seguro, es decir en un ordenador de
automatización con cualquier programa operativo para la realización
de funciones de control no relevantes para la seguridad, sin que
errores que aparezcan en las funciones de control no relevantes para
la seguridad, lleven a un fallo en el control de las funciones de
seguridad. Además, las funciones de control no relevantes para la
seguridad o los programas de control, con los que se realizan estas
funciones de control, pueden cambiarse en cualquier momento, sin
que la funcionalidad de los módulos de seguridad encapsulados se vea
perjudicada.
La encapsulación según la invención de los
parámetros de entrada y salida de cada módulo de seguridad mediante
el protocolo de seguridad y el intercambio de datos entre los
módulos de seguridad individuales basándose en el protocolo de
seguridad garantiza que un falseamiento de datos en la transmisión
de datos entre los módulos de seguridad, por ejemplo debido a una
interferencia, se reconozca con una probabilidad que puede
calcularse para la técnica de seguridad, de modo que los datos
transmitidos entre los módulos de seguridad puedan utilizarse como
datos de proceso seguros para la realización de funciones de
seguridad según el principio de seguridad frente a fallos. Mediante
el empleo de un protocolo de seguridad y la encapsulación de los
módulos de seguridad es posible realizar una transmisión de datos
entre dos módulos de seguridad sobre cualquier vía de transmisión,
por tanto en cualquier entorno de sistema operativo, sin que deban
establecerse requisitos de seguridad adicionales respecto a este
sistema operativo.
Según una forma de realización de la invención,
el protocolo de seguridad para la transmisión de los telegramas de
seguridad contiene mecanismos contra los siguientes tipos de fallos
en los datos que van a transmitirse: repetición, pérdida,
integración, secuencia de datos errónea, falseamiento de datos,
retardo de datos, acoplamiento de datos relevantes para la
seguridad y no relevantes para la seguridad y direccionamiento
erróneo. El protocolo de seguridad puede reconocer así todas las
interferencias o falseamientos en el intercambio de datos entre los
módulos de seguridad individuales con la probabilidad necesaria para
la técnica de seguridad. Como medidas de seguridad se realizan a
este respecto por el protocolo de seguridad mediante una trama de
datos para los telegramas de seguridad preferiblemente las
siguientes medidas: numeración continua de los telegramas de
seguridad, monitorización temporal de la transmisión de telegramas
de seguridad, monitorización de la autenticidad de la transmisión
de telegramas de seguridad y protección de la integridad de los
datos de los telegramas de seguridad mediante una suma de
comprobación.
Según otra forma de realización preferida, las
funciones de seguridad se realizan mediante un enlace lógico de los
parámetros de entrada y salida de los módulos de seguridad. De este
modo se garantiza que pueda realizarse cualquier función de
seguridad con pequeños módulos de seguridad, que se caracterizan por
una complejidad reducida y por tanto una incidencia de fallos
reducida.
Según otra forma de realización preferida se
garantiza la funcionalidad libre de fallos de los módulos de
seguridad porque un valor de datos señaliza de manera independiente
el estado seguro en la salida, cuando se recibe un valor de datos
erróneo o no se recibe ninguno en la entrada. Este modo de proceder
garantiza el principio de seguridad frente a fallos durante la
realización de la función de seguridad.
Una seguridad mejorada del intercambio de datos
entre los módulos de seguridad se consigue además porque los
parámetros de entrada y salida de cada módulo de seguridad se
establecen en el marco de una operación de inicialización y se
almacenan en el módulo de seguridad correspondiente de manera
protegida frente a un acceso no autorizado. Este modo de proceder
garantiza una encapsulación fiable de los módulos de seguridad.
Un aumento adicional de la seguridad se consigue
porque la transmisión de datos en la línea de transmisión de datos
se realiza de forma cíclica y determinística, tratándose los datos
con prioridad para los módulos de seguridad, de modo que en un
ciclo de transmisión se transmiten primero todos los datos para los
módulos de seguridad y entonces los datos para funciones no de
seguridad.
La invención se explica más detalladamente
mediante los dibujos adjuntos. Muestran:
la figura 1, la estructura básica de un sistema
de automatización;
la figura 2, un programa de control para un
sistema de automatización, que comprende funciones de control
relevantes para la seguridad y funciones de control no relevantes
para la seguridad;
la figura 3, un módulo de seguridad según la
invención en representación en bloques funcionales;
la figura 4, un flujo de datos y plan de
procesamiento para las funciones de control relevantes para la
seguridad en el programa de control según la figura 2; y
la figura 5, una interfaz de datos para el
enlace de los módulos M2 y M4 de seguridad según la figura 4.
En la figura 1 está representada la estructura
básica de un sistema de automatización. Un ordenador de
automatización puede estar conectado mediante conexión punto a
punto o un sistema de bus con sensores y actuadores, para emitir,
basándose en señales de proceso detectadas por los sensores, con
ayuda de un programa de control automáticamente señales de proceso
para los actuadores. Un requisito importante con respecto al
programa de control ejecutado por el ordenador de automatización
además de la capacidad en tiempo real, es decir el requisito de que
el ordenador de automatización emita las señales de proceso hacia
los actuadores en los tiempos de proceso establecidos, es
garantizar que en caso de un fallo del sistema de automatización las
personas y el entorno no corran ningún riesgo. El ordenador de
automatización debe realizar por tanto además de las funciones de
control normales, también funciones de seguridad, que garanticen en
caso de fallo de componentes importantes del sistema de
automatización, que el sistema de automatización pase según el
denominado principio de seguridad frente a fallos, automáticamente
a un estado seguro. Tales funciones de seguridad son por ejemplo
interruptores de emergencia en máquinas.
El número de funciones de seguridad en un
programa de control que se ejecuta en el ordenador de automatización
es, por regla general, inferior al número de funciones de control
no relevantes para la seguridad. Durante la realización de las
funciones de seguridad ha de garantizarse su ejecución libre de
fallos. Especialmente ha de prestarse atención a que las funciones
de control no relevantes para la seguridad no perjudiquen la
funcionalidad de las funciones de seguridad. Esto es especialmente
válido también cuando el entorno de programa, en el que se realizan
las funciones de seguridad en el ordenador de control, es decir el
programa operativo del ordenador de automatización, no está sujeto
a ninguna norma de
seguridad.
seguridad.
Según la invención, para controlar funciones de
seguridad en el marco de un control de automatización no orientado
a funciones de seguridad, se forman módulos de seguridad con
funcionalidad libre de fallos, estando los parámetros de entrada y
salida de cada módulo de seguridad encapsulados mediante un
protocolo de seguridad, que realiza una transmisión de datos en
forma de telegramas de seguridad, y estando los módulos de seguridad
individuales enlazados entre sí a través de una línea de
transmisión de datos desde el punto de vista de la técnica de datos
y de ejecución de manera correspondiente a las funciones de
seguridad del sistema de automatización que han de controlarse,
realizándose el intercambio de datos entre los módulos de seguridad
basándose en el protocolo de seguridad.
Según la invención, el programa de seguridad
para realizar las funciones de seguridad se divide por tanto en
pequeñas unidades funcionales con ámbito funcional limitado, con lo
cual se reduce el coste de desarrollo para el programa de
seguridad. Para garantizar una funcionalidad libre de fallos de los
programas de seguridad, es necesario mantener la probabilidad de un
fallo de programa por debajo de un umbral de seguridad. Sólo
entonces se certifican también los programas de seguridad. Este
requisito puede lograrse, a diferencia de un programa de seguridad
cerrado, de manera más sencilla y económica con ayuda de los módulos
de seguridad según la invención, que sólo presentan una
funcionalidad limitada y por tanto una complejidad de programa
limitada. Los módulos de seguridad se encargan de un paso de datos
libre de fallos y están diseñados de manera que en la salida se
emite de manera independiente un valor de datos, que señaliza un
estado seguro cuando se recibe un valor de datos erróneo o no se
recibe ninguno en la entrada del módulo de seguridad.
El protocolo de seguridad según la invención se
encarga de que los parámetros de entrada y salida de cada módulo de
seguridad estén encapsulados y por tanto no puedan falsearse.
Además, el protocolo de seguridad garantiza un intercambio de datos
seguro entre los módulos de seguridad individuales en forma de
telegramas de seguridad, enlazando el protocolo de seguridad los
módulos de seguridad entre sí desde el punto de vista de la técnica
de datos y de ejecución de manera correspondiente a las funciones de
seguridad que han de controlarse. Las funciones de seguridad pueden
realizarse por tanto en un entorno de programa no seguro, en el que
también estén contenidas funciones de control no relevantes para la
seguridad. El ordenador de automatización puede disponerse por
tanto en cualquier programa operativo, que no tiene que cumplir ni
siquiera los requisitos de la técnica de seguridad en un programa
de seguridad frente a fallos. El protocolo de seguridad protege a
este respecto los datos que han de transmitirse de manera que un
falseamiento en la transmisión de datos se reconozca con una
probabilidad suficiente para la técnica de seguridad. Con el
protocolo de seguridad según la invención es posible, a este
respecto, transmitir los datos sobre cualquier vía de transmisión de
datos entre los módulos de seguridad. Además el protocolo de
seguridad posibilita un enlace arbitrario de los módulos de
seguridad, lo que resulta ventajoso especialmente en el caso de
controles programables porque entonces la pluralidad necesaria de
posibles enlaces ya no se refleja en una complejidad aumentada del
programa de seguridad.
El protocolo de seguridad contiene, para la
transmisión segura de los telegramas de seguridad, mecanismos
contra los siguientes tipos de fallos: repetición, pérdida,
integración, secuencia de datos errónea, falseamiento de los datos,
retardo de los datos, acoplamiento de datos relevantes para la
seguridad y no relevantes para la seguridad y direccionamiento
erróneo. Como medidas de seguridad se utiliza a este respecto una
trama de datos para los telegramas de seguridad, que realiza las
siguientes medidas de seguridad: numeración continua de los
telegramas de seguridad, monitorización de un exceso de tiempo en la
transmisión de los telegramas de seguridad, monitorización de la
autenticidad de los telegramas de seguridad preferiblemente mediante
contraseñas y protección de la integridad de los datos de los
telegramas de seguridad mediante una suma de comprobación.
La figura 2 muestra un posible programa de
control para un ordenador de automatización, que contiene tanto
funciones de seguridad como tareas de control no relevantes para la
seguridad. Las funciones de control relevantes para la seguridad se
agrupan a este respecto en una tarea 1, las funciones no relevantes
para la seguridad en una tarea 2. El intercambio de datos entre el
ordenador de automatización y los actuadores y sensores conectados
se realiza a este respecto de manera cíclica y determinística,
tratándose los datos con prioridad para los módulos de seguridad,
de modo que en un ciclo de transmisión se entregan en primer lugar
todos los datos para los módulos de seguridad y entonces los datos
para las funciones no de seguridad.
En la forma de realización mostrada, la tarea 1
de seguridad está dividida en seis módulos M1 a M6 de seguridad,
que están encapsulados en sí mismos y entre los que se realiza un
intercambio de datos bidireccional, indicado mediante flechas
bidireccionales, con ayuda del protocolo de seguridad. El módulo M1
de seguridad forma a este respecto la interfaz de entrada para las
señales de proceso con datos relevantes para la seguridad de los
sensores y el módulo M6 de seguridad, la interfaz de salida para las
señales de proceso para controlar el estado de seguridad frente a
fallos de los actuadores conectados. Los seis módulos M1 a M6 de
seguridad están enlazados a este respecto de manera lógica entre
sí, de manera que se realizan las funciones de seguridad deseadas
del sistema de automatización. La tarea 2 de control contiene todas
las funciones de control no relevantes para la seguridad,
realizándose el intercambio de datos de manera unidireccional, con
una interfaz para introducir señales de proceso de los sensores y
una interfaz para emitir señales de proceso a los actuadores. El
programa de control con las funciones de control relevantes para la
seguridad y no relevantes para la seguridad puede realizarse a este
respecto en cualquier entorno de sistema operativo, que no esté
sujeto ni siquiera a requisitos de seguridad, es decir que tampoco
tenga que estar certificado.
Los módulos M1 a M6 de seguridad mostrados en la
figura 2 están agrupados en el sistema operativo preferiblemente en
una biblioteca y pueden activarse por otros programas de control a
través de llamadas de función. La complejidad de los módulos de
seguridad puede ser, a este respecto, diferente, por ejemplo una
función de enlace booleana o una función de regulación sencilla.
Los módulos de seguridad individuales garantizan a este respecto,
según el requisito de seguridad preestablecido, una funcionalidad
segura del paso de datos. La comunicación segura entre los módulos
de seguridad se consigue mediante el protocolo de seguridad. Para
ello todos los parámetros de entrada y salida de los módulos de
seguridad están encapsulados por el protocolo de seguridad.
La figura 3 muestra el módulo M1 de seguridad
según la figura 2 con una interfaz de entrada y dos interfaces de
salida, comprendiendo la interfaz de entrada tres parámetros y las
dos interfaces de salida en cada caso dos parámetros, que están
encapsulados en cada caso por el protocolo de seguridad. El
protocolo de seguridad enlaza las interfaces de entrada y salida
encapsuladas, tal como muestra la figura 4, según las normas de
seguridad requeridas. Cuando, por ejemplo, el programa de seguridad
se ejecuta en un hardware de monoprocesador, el protocolo de
seguridad se encarga de una realización doble de la ejecución
funcional del programa de seguridad dentro del módulo de seguridad
respectivo. El flujo de datos y la secuencia de procesamiento de la
tarea 1 de control se realiza a este respecto en la figura 4 desde
la izquierda, desde el módulo M1 de seguridad, que recibe los datos
de proceso desde los sensores, hacia la derecha, hacia el módulo M6
de seguridad, que emite las señales de proceso, que indican el
estado seguro, a los actuadores.
Una interfaz de datos para el enlace de los
módulos M2 y M4 de seguridad está representada además en la figura
5. Según el protocolo de seguridad, los datos que han de
transmitirse desde el módulo M2 de seguridad al módulo M4 de
seguridad están encapsulados con un bit de control F_Control, un
número de secuencia F_SeqNo y un número de comprobación F_CRC2.
Para que el módulo M2 de seguridad pueda establecer si la interfaz
de datos está libre de fallos, se devuelven desde el módulo M4 de
seguridad al módulo M2 de seguridad un bit de estado F_Status, el
número de secuencia F_SequNo y la suma de comprobación F_CRC2. El
módulo M2 de seguridad aguas arriba proporciona por tanto al módulo
M4 de seguridad aguas abajo el número de secuencia F_SequNo y la
suma de comprobación F_CRC2, que deben devolverse tras la
recepción. El intercambio de datos entre ambos módulos M2, M4 de
seguridad debe realizarse a este respecto dentro de un tiempo
predeterminado, en el que debe comunicarse de vuelta especialmente
el número de secuencia desde el módulo M4 de seguridad al módulo M2
de seguridad. En el siguiente ciclo se incrementa entonces en 1
para controlar el intercambio de datos desde el módulo M2 de
seguridad. Mediante este modo de proceder puede establecerse de
forma fiable si ha tenido lugar una transmisión de datos correcta
entre los módulos M2 y M4 de seguridad y/o si se realizó la
secuencia de procesamiento de forma correcta.
Además, según el protocolo de seguridad está
establecido que la suma de comprobación sea diferente para cada
conexión entre dos módulos de seguridad, para reconocer un
intercambio de datos. Para ello, cada interfaz de seguridad recibe
un identificador unívoco, que se incluye en el cálculo de la suma de
comprobación. Los identificadores de los módulos de seguridad se
proporcionan a este respecto por una herramienta lógica del
protocolo de seguridad, que también establece el plan de ejecución
de la transmisión de datos entre los módulos de seguridad. La
herramienta lógica del protocolo de seguridad garantiza que ningún
identificador para los módulos de seguridad se adjudique por
duplicado, y que en una etapa de implementación, el enlace desde el
punto de vista de la técnica de datos y de ejecución de los módulos
de seguridad se proporcione a los módulos de seguridad y se
almacene el identificador asociado. La implementación mediante la
herramienta lógica está protegida a este respecto preferiblemente
mediante una contraseña.
Mediante la invención es posible controlar
funciones de seguridad de manera sencilla, pudiendo realizarse una
división de las funciones de seguridad en una pluralidad de módulos
de seguridad, que se caracterizan por una complejidad reducida.
Entonces sólo es necesario tener en cuenta y certificar los módulos
de seguridad individuales o su funcionalidad en sí mismos desde el
punto de vista de la técnica de seguridad. Una comunicación segura
entre los módulos de seguridad se garantiza mediante el protocolo de
seguridad porque encapsula los parámetros de entrada y salida de
los módulos de seguridad y se encarga de un intercambio de datos
seguro. Este protocolo de seguridad establece además en una fase de
inicialización el plan de ejecución de las funciones de seguridad
entre los módulos de seguridad.
Claims (11)
1. Procedimiento para controlar funciones de
seguridad en el marco de un control de sistemas no orientado a
funciones de seguridad, en el que se proporcionan módulos (M1...M6)
de seguridad con una funcionalidad libre de fallos y un protocolo
de seguridad, que realiza una transmisión de datos en forma de
telegramas de seguridad, encapsulándose los parámetros de entrada y
de salida de cada módulo de seguridad mediante el protocolo de
seguridad y enlazándose entre sí los módulos de seguridad
individuales a través de una línea de transmisión de datos desde el
punto de vista de la técnica de datos y de ejecución, realizándose
el intercambio de datos entre los módulos de seguridad basándose en
el protocolo de seguridad, caracterizado porque en una etapa
de implementación del protocolo de seguridad se establece el enlace
desde el punto de vista de la técnica de datos y de ejecución de
los módulos (M1...M6) de seguridad de manera correspondiente a las
funciones de seguridad del sistema que han de controlarse,
asignándose a cada módulo de seguridad un identificador unívoco.
2. Procedimiento según la reivindicación 1,
caracterizado porque el protocolo de seguridad para la
transmisión de los telegramas de seguridad contiene mecanismos
contra los siguientes tipos de fallos en los datos transmitidos:
repetición, pérdida, integración, secuencia de datos errónea,
falseamiento de datos, retardo de datos, acoplamiento de datos
relevantes para la seguridad y no relevantes para la seguridad y
direccionamiento erróneo.
3. Procedimiento según la reivindicación 2,
caracterizado porque el protocolo de seguridad mediante una
trama de datos para los telegramas de seguridad realiza las
siguientes medidas de seguridad: numeración continua de los
telegramas de seguridad, monitorización temporal de la transmisión
de telegramas de seguridad, monitorización de la autenticidad de la
transmisión de telegramas de seguridad y protección de la integridad
de los datos de los telegramas de seguridad mediante una suma de
comprobación.
4. Procedimiento según una de las
reivindicaciones 1 a 3, caracterizado porque las funciones de
seguridad se realizan mediante enlace lógico de los parámetros de
entrada y salida de los módulos de seguridad.
5. Procedimiento según una de las
reivindicaciones 1 a 4, caracterizado porque la funcionalidad
libre de fallos del módulo de seguridad garantiza que un valor de
datos señalice de manera independiente el estado seguro en la
salida, cuando se recibe un valor de datos erróneo o no se recibe
ninguno en la entrada.
6. Procedimiento según una de las
reivindicaciones 1 a 5, caracterizado porque los parámetros
de entrada y salida de cada módulo de seguridad se establecen en el
marco de la operación de inicialización y se almacenan en el módulo
de seguridad correspondiente de manera protegida frente a un acceso
no autorizado.
7. Procedimiento según una de las
reivindicaciones 1 a 6, caracterizado porque el protocolo de
seguridad está diseñado para una transmisión de datos bidireccional
en forma de telegramas de seguridad entre los módulos de
seguridad.
8. Procedimiento según una de las
reivindicaciones 1 a 7, caracterizado porque los módulos de
seguridad están diseñados para un paso de datos libre de
fallos.
9. Procedimiento según una de las
reivindicaciones 1 a 8, caracterizado porque un primer módulo
de seguridad sirve como interfaz de entrada para señales de proceso
y un segundo módulo de seguridad como interfaz de salida para
señales de proceso.
10. Procedimiento según una de las
reivindicaciones 1 a 9, caracterizado porque la transmisión
de datos se realiza de manera cíclica y determinística, tratándose
los datos con prioridad para los módulos de seguridad, de modo que
en un ciclo de transmisión se entregan primero todos los datos para
los módulos de seguridad y entonces los datos para funciones no de
seguridad.
11. Dispositivo para controlar funciones de
seguridad en un sistema de automatización en el marco de un control
de sistemas no orientado a funciones de seguridad, que comprende
módulos (M1..M6) de seguridad con una funcionalidad libre de
fallos, que están enlazados entre sí a través de una línea de
transmisión de datos desde el punto de vista de la técnica de datos
y de ejecución, y un protocolo de seguridad, que realiza una
transmisión de datos en forma de telegramas de seguridad, en el que
están encapsulados parámetros de entrada y de salida de los módulos
de seguridad mediante el protocolo de seguridad,
caracterizado por una herramienta lógica del protocolo de
seguridad, que está diseñada para establecer en una etapa de
implementación del protocolo de seguridad el enlace desde el punto
de vista de la técnica de datos y de ejecución de los módulos
(M1..M6) de seguridad de manera correspondiente a las funciones de
seguridad del sistema que han de controlarse y asignar a cada
módulo de seguridad un identificador unívoco.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004018857A DE102004018857A1 (de) | 2004-04-19 | 2004-04-19 | Sicherheitssteuerung |
| DE102004018857 | 2004-04-19 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2308480T3 true ES2308480T3 (es) | 2008-12-01 |
Family
ID=34965125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES05733921T Active ES2308480T3 (es) | 2004-04-19 | 2005-04-13 | Control de seguridad. |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8335573B2 (es) |
| EP (1) | EP1738233B2 (es) |
| JP (1) | JP4567728B2 (es) |
| CN (1) | CN100480913C (es) |
| AT (1) | ATE397240T1 (es) |
| DE (2) | DE102004018857A1 (es) |
| ES (1) | ES2308480T3 (es) |
| WO (1) | WO2005101145A1 (es) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2026147A1 (de) * | 2007-08-13 | 2009-02-18 | Siemens Aktiengesellschaft | Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät |
| DE102007062920A1 (de) * | 2007-12-21 | 2009-06-25 | Endress + Hauser Gmbh + Co. Kg | Verfahren zur Überwachung der logischen Ausführungsreihenfolge und der Datenübertragung eines in einzelne Module unterteilten Programms |
| DE102007063291A1 (de) | 2007-12-27 | 2009-07-02 | Robert Bosch Gmbh | Sicherheitssteuerung |
| DE102008019195A1 (de) | 2008-04-17 | 2009-10-29 | Beckhoff Automation Gmbh | Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung |
| DE102009019087A1 (de) * | 2009-04-20 | 2010-11-11 | Pilz Gmbh & Co. Kg | Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage |
| US20100299218A1 (en) * | 2009-05-19 | 2010-11-25 | Nokia Corporation | Method and apparatus of providing discovery and payment for online commerce |
| DE102009042354C5 (de) | 2009-09-23 | 2017-07-13 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage |
| JP2013507698A (ja) * | 2009-10-15 | 2013-03-04 | エフティーエス コンピューターテクニク ジーエムビーエイチ | 安全性に関連したおよび安全性に関連していないソフトウェア・コンポーネントを1つのハードウェア・プラットフォーム上で実行する方法 |
| DE102009055247A1 (de) * | 2009-12-23 | 2011-06-30 | Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG, 70839 | Anordnung mit einer übergeordneten Steuereinheit und zumindest einem mit der Steuereinheit verbindbaren intelligenten Feldgerät |
| US9459619B2 (en) * | 2011-06-29 | 2016-10-04 | Mega Fluid Systems, Inc. | Continuous equipment operation in an automated control environment |
| EP2605096B1 (de) | 2011-12-14 | 2014-03-19 | Siemens Aktiengesellschaft | Sicherheitsgerichtete Steuerung in Kombination mit Cloud-Computing |
| DE102012016406B4 (de) | 2012-08-21 | 2014-12-24 | Krohne Messtechnik Gmbh | Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung |
| DE102016102282B4 (de) * | 2016-02-10 | 2024-01-04 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems |
| CN106774111B (zh) * | 2016-11-28 | 2019-12-13 | 北京龙鼎源科技股份有限公司 | Plc系统中的任务处理方法、装置以及plc系统 |
| JP7087951B2 (ja) * | 2018-11-22 | 2022-06-21 | オムロン株式会社 | 制御システム、制御方法、ドライブ装置 |
| CN111781891B (zh) * | 2020-06-10 | 2021-07-16 | 杭州凯尔达机器人科技股份有限公司 | 机器人安全逻辑控制系统 |
| US11774127B2 (en) | 2021-06-15 | 2023-10-03 | Honeywell International Inc. | Building system controller with multiple equipment failsafe modes |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6999824B2 (en) * | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
| JPH11161321A (ja) * | 1997-11-28 | 1999-06-18 | Toshiba Corp | プラント監視装置 |
| EP1043640A2 (de) * | 1999-04-09 | 2000-10-11 | Siemens Aktiengesellschaft | Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem |
| US6711698B1 (en) * | 2000-07-07 | 2004-03-23 | Schneider Automation Inc. | Programmable logic controller with provisions for safety systems |
| DE10063350C1 (de) * | 2000-12-19 | 2002-07-18 | Siemens Ag | Verfahren zur Überwachung einer Datenverarbeitung und -übertragung |
| EP1396772B1 (en) * | 2001-05-31 | 2008-03-05 | Omron Corporation | Safety unit, controller system, controller concatenation method, controller system control method, and controller system monitor method |
| CN1518816B (zh) * | 2001-06-22 | 2010-04-28 | 欧姆龙株式会社 | 安全网络系统及安全从动装置 |
| US6915444B2 (en) † | 2001-09-12 | 2005-07-05 | Rockwell Automation Technologies, Inc. | Network independent safety protocol for industrial controller using data manipulation techniques |
| US7107358B2 (en) * | 2001-09-12 | 2006-09-12 | Rockwell Automation Technologies, Inc. | Bridge for an industrial control system using data manipulation techniques |
| JP2003181900A (ja) * | 2001-12-20 | 2003-07-02 | Omron Corp | コントローラ並びにモーション制御装置 |
| DE10211941A1 (de) * | 2002-03-18 | 2003-10-16 | Sick Ag | Sensor-Maschinen-Interface und Verfahren zu dessen Betrieb |
| GB0304628D0 (en) * | 2003-02-28 | 2003-04-02 | Imec Inter Uni Micro Electr | Method for hardware-software multitasking on a reconfigurable computing platform |
| US7330768B2 (en) * | 2003-01-28 | 2008-02-12 | Fisher-Rosemount Systems, Inc. | Integrated configuration in a process plant having a process control system and a safety system |
| US7269468B2 (en) * | 2003-09-05 | 2007-09-11 | Fisher-Rosemount Systems, Inc. | State machine function block with a user modifiable output configuration database |
-
2004
- 2004-04-19 DE DE102004018857A patent/DE102004018857A1/de not_active Withdrawn
-
2005
- 2005-04-13 WO PCT/EP2005/003853 patent/WO2005101145A1/de active IP Right Grant
- 2005-04-13 JP JP2007508782A patent/JP4567728B2/ja active Active
- 2005-04-13 EP EP05733921.0A patent/EP1738233B2/de active Active
- 2005-04-13 AT AT05733921T patent/ATE397240T1/de active
- 2005-04-13 ES ES05733921T patent/ES2308480T3/es active Active
- 2005-04-13 CN CNB2005800118642A patent/CN100480913C/zh active Active
- 2005-04-13 DE DE502005004279T patent/DE502005004279D1/de active Active
-
2006
- 2006-10-18 US US11/583,360 patent/US8335573B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| DE102004018857A1 (de) | 2005-11-10 |
| ATE397240T1 (de) | 2008-06-15 |
| US8335573B2 (en) | 2012-12-18 |
| CN100480913C (zh) | 2009-04-22 |
| EP1738233B1 (de) | 2008-05-28 |
| EP1738233A1 (de) | 2007-01-03 |
| EP1738233B2 (de) | 2014-10-29 |
| WO2005101145A1 (de) | 2005-10-27 |
| JP2007533045A (ja) | 2007-11-15 |
| JP4567728B2 (ja) | 2010-10-20 |
| US20070124115A1 (en) | 2007-05-31 |
| DE502005004279D1 (de) | 2008-07-10 |
| CN1942839A (zh) | 2007-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2308480T3 (es) | Control de seguridad. | |
| JP5068436B2 (ja) | 安全性関連処理のバス結合のための方法と装置 | |
| JP4504165B2 (ja) | 制御システム | |
| ES2335788T3 (es) | Procedimiento para la transmision de datos y sistema de automatizacion para el empleo de un procedimiento de transmision de datos de este tipo. | |
| US8194533B2 (en) | Fault tolerant data bus node and system | |
| CN104714517B (zh) | 用于安全关键系统的可靠、低延迟的硬件和软件进程间通信通道 | |
| JP2017530461A (ja) | 冗長ccdlを備える2路アーキテクチャ | |
| RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
| WO1993025948A1 (en) | Secure front end communication system and method for process control computers | |
| CN104977907B (zh) | 容错性失效保护系统和方法 | |
| CA2952045C (en) | System, method, and apparatus for generating vital messages on an on-board system of a vehicle | |
| CN104714862B (zh) | 用于安全和任务关键系统的表决架构 | |
| US7945818B2 (en) | Method and apparatus for converting multichannel messages into a single-channel safe message | |
| CN106527115A (zh) | 一种二取一冗余控制系统及其多重表决方法 | |
| WO2019045589A1 (en) | REAL-TIME CONTROL NETWORK BASED ON BLOCK CHAIN, REAL-TIME CONTROL SYSTEM, AND REAL-TIME CONTROL METHOD | |
| JP2013235300A (ja) | 安全信号処理システム | |
| CN108572638A (zh) | 用于安全系统的fpga不匹配数据包的停止 | |
| US8271708B2 (en) | Method and device adapted for performing single-channel bus coupling of a safety-critical process | |
| ES2363650T3 (es) | Control de seguridad. | |
| JP2009026063A (ja) | 安全制御システム | |
| CN107992752A (zh) | 一种数据处理方法、装置及计算机设备 | |
| Ahmadian et al. | Distributed Real-Time Architecture for Mixed-Criticality Systems | |
| CN107924722A (zh) | 核电站安全管理系统 | |
| US11982984B2 (en) | Automation system for monitoring a safety-critical process | |
| CN1708956B (zh) | 智能网络接口控制器 |