ES2333550T3 - Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. - Google Patents

Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. Download PDF

Info

Publication number
ES2333550T3
ES2333550T3 ES07000939T ES07000939T ES2333550T3 ES 2333550 T3 ES2333550 T3 ES 2333550T3 ES 07000939 T ES07000939 T ES 07000939T ES 07000939 T ES07000939 T ES 07000939T ES 2333550 T3 ES2333550 T3 ES 2333550T3
Authority
ES
Spain
Prior art keywords
further characterized
protocol
bus
data
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07000939T
Other languages
English (en)
Inventor
Viktor Oster
Heinz-Carsten Landwehr
Joachim Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=38024153&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2333550(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Application granted granted Critical
Publication of ES2333550T3 publication Critical patent/ES2333550T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Abstract

Procedimiento para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, en el que un conjunto de datos relevantes para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de acuerdo con reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y teniendo en cuenta al menos dos protocolos seguros redundantes (14, 24) se forma para el acoplamiento un protocolo seguro común y, en concreto, se accede a través de cada uno de los canales de procesamiento (1, 2) a un registro intermedio (30) común, en el que para cada lugar del registro se predetermina solamente una vez una autorización de escritura, caracterizado porque durante el proceso de escritura al menos de porciones (14'') del protocolo seguro común a través de un canal de procesamiento (1) autorizado para la escritura, se verifica (25) en primer lugar la identidad mutua de estas porciones (14'') a través de al menos otro canal de procesamiento (2), y se libera el acceso al registro intermedio común para la deposición de estas porciones solamente en caso de identidad mutua.

Description

Procedimiento y dispositivo para la conversión de mensajes presentes en múltiples canales en un mensaje seguro de un solo canal.
La invención se refiere a un procedimiento así como a un dispositivo adaptado para la realización del procedimiento para el acoplamiento de procesos relevantes para la seguridad desde un entorno seguro de múltiples canales en un entorno no seguro y/o que presenta menos canales, especialmente para el acoplamiento de bus de un solo canal de procesos relevantes para la seguridad.
Por un proceso relevante para la seguridad o bien crítico para la seguridad se entiende a continuación un proceso, desde el que se deriva, en el caso de que se produzca un fallo, un peligro considerable para el hombre y/o también para productos materiales. Por lo tanto, en un proceso relevante para la seguridad debe estar garantizado con 100% de seguridad en el caso ideal que, en el caso de que se produzca un fallo de este proceso, un proceso siguiente acoplado con este proceso y/o un sistema general que comprende este proceso son transferidos a un estado seguro. Tales procesos relevantes para la seguridad pueden ser, por lo tanto, también procesos parciales de procesos generales mayores de orden superior. Ejemplos de procesos relevantes para la seguridad son procedimientos químicos, en los que los parámetros críticos deben mantenerse incondicionalmente en un intervalo predeterminado, controles de máquinas complejas, como por ejemplo en una prensa hidráulica o un tren de fabricación, en las que, por ejemplo, la puesta en marcha de una herramienta de prensa/corte puede representar un proceso parcial relevante para la seguridad. Otros ejemplos de procesos (parciales) relevantes para la seguridad son la supervisión de rejillas de protección, de puertas de protección o de barreras ópticas, el control de conmutadores por dos palancas o también la reacción a interruptores de emergencia.
Por lo tanto, para todos los procesos relevantes para la seguridad es absolutamente necesario que los datos relevantes para la seguridad respectivos en cada caso, generados o registrados o bien medidos, sean transportados en tiempo real sin ninguna clase de falsificación, puesto que cualquier falsificación puede tener como consecuencia una función y/o reacción erróneas que, como última consecuencia, pueden poner en peligro la vida y la salud de las personas.
Para cumplir los requerimientos de seguridad, se han realizados numerosas convenciones en los últimos años, que requieren un transporte de datos casi libre de errores en el caso de empleo de sistemas de bus. Éstos se refieren especialmente al transporte de datos propiamente dicho así como a una probabilidad de error residual admisible en función de la aplicación respectiva o bien del proceso respectivo. Como normas competentes se pueden mencionar en este caso especialmente la Norma EN 61508 y la Norma EN 954-1 así como los principios para el ensayo e identificación de "Sistemas de bus para la transmisión de mensajes relevantes para la seguridad" del Centro de Ensayo y Certificación de las Sociedades Profesionales Industriales.
De acuerdo con estas convenciones y normas, han sido desarrollados sistemas de bus dirigidos a la seguridad, que transmiten datos con alta redundancia. Los posibles errores son detectados oportunamente y se puede evitar un peligro. Ejemplos de ellos son, entre otros, el Safety Bus P, Profibus F, Interbus Safety, etc.
Sin embargo, en este caso es un inconveniente que para el empleo de sistemas de bus dirigidos a la seguridad deben sustituirse sistemas de bus ya instalados y deben tolerarse con frecuencia limitaciones en el número de los usuarios, en la velocidad de transporte de los datos o en el protocolo de los datos.
Como consecuencia, han sido desarrollados procedimientos y/o componentes dirigidos a la seguridad, que posibilitan un reequipamiento más sencillo y de coste más favorable de sistemas de bus ya existentes. Especialmente los procedimientos electrónicos de seguridad utilizados en la técnica de control y de automatización utilizan en este caso para la transmisión de datos relevantes para la seguridad, especialmente entre sensores, actuadores y/o instalaciones de control, los sistemas de bis (de campo) ya empleados entre las unidades individuales implicadas en un proceso para la comunicación de datos.
El documento EP 1 188 096 B1 publica, por ejemplo, un sistema de control para un proceso relevante para la seguridad con un bus de campo, a través del cual están conectadas una unidad de control para el control de proceso relevante para la seguridad y una unidad de señalización, que está conectada a través de canales E/A con el proceso relevante para la seguridad. Para garantizar una comunicación entre sí a prueba de fallos, estas unidades presentan instalaciones específicas de seguridad, a través de las cuales, unidades no seguras deben convertirse en unidades seguras. En particular, están previstos en cada caso al menos dos canales de procesamiento redundantes, de tal manera que un fallo en uno de los canales de procesamiento puede ser reconocido y, dado el caso, corregido con la ayuda de un resultado, que se deriva de otro de los canales de procesamiento redundantes. Esta estructura de canales múltiples se realiza especialmente a través de dos ordenadores redundantes, en la que la consideración de la seguridad termina después de los dos ordenadores redundantes y se contempla la consideración de un protocolo de datos seguro a partir de este lugar sin otras indicaciones.
Por el concepto general de ordenador se entienden a continuación esencialmente instalaciones de procesamiento de datos que comprenden cualquier tipo de software y/o hardware, como por ejemplo microordenadores, micro-procesadores, micro-controladores o también ordenadores personales.
También el documento WO 01/15385 A2 se refiere al control de procesos relevantes para la seguridad utilizando sistemas de bus (de campo), en los que las unidades implicadas en el control del proceso relevante para la seguridad presentan de nuevo canales de procesamiento constituidos, en general, redundantes. Cada uno de los canales redundantes comprende un ordenador, que se controlan mutuamente. Esta estructura de múltiples canales es transferida a través de otro ordenador conectado con el bus de campo a una estructura de un solo canal (figura 3). De esta publicación no se deducen explicaciones detalladas, incluyendo la transición desde la pluralidad de canales a un sol
canal.
A partir del documento WO 01/15391 y de la publicación DE 199 39 567 A1 se deducen otros ejemplos de usuarios de bus seguros con canales de procesamiento y/u ordenadores realizados de forma redundante y que se controlan mutuamente con respecto a una creación de protocolo seguro y la transición siguiente desde la pluralidad de canales a un solo canal a través de otro ordenador acoplado en el bus, que está conectado en un chip de protocolo o está integrado en éste. También aquí la consideración de la seguridad sin publicación de otras medidas técnicas termina después de los dos ordenadores redundantes y a partir de este lugar se realiza la consideración de un protocolo de datos seguro.
La publicación DE 195 32 639 C2, que se refiere a una instalación para la transmisión con un solo canal de datos formados por medio de dos ordenadores redundantes integra, para reducir el gasto del circuito, la función del acoplamiento del bus en uno de los dos ordenadores realizados redundantes. Solamente el ordenador que presenta la funcionalidad de acoplamiento del bus presenta, por lo tanto, un canal de salida, al que son conducidos los datos útiles que proceden desde este ordenador y los datos de prueba que proceden desde el otro ordenador o a la inversa, los datos útiles y los datos de prueba de ambos ordenadores son alimentados interdireccionados entre sí (figura 4).
Sin embargo, para garantizar que el ordenador, que dirige el bus, no está en condiciones de generar telegramas, sobre los que no puede influir el otro ordenador, en la aplicación es necesario un gasto elevado en la consideración de la seguridad, puesto que, por una parte, debe verificarse, por una parte, la ausencia de reacción y, por otra parte, la independencia de los ordenadores para la creación del protocolo seguro. La publicación de patente propone a tal fin solamente una conexión o desconexión correspondiente de las salidas respectivas de los ordenadores.
Además, el documento DE 100 65 907 A1 describe un procedimiento basado en el principio de una "redundancia con comparación cruzada" para el transporte seguro de datos para la transmisión de datos en redes o sistemas de bus paralelos o en serie, en el que se utiliza un registro intermedio con dos zonas de datos lógicamente idénticas para la transición desde múltiples canales a un solo canal. El mensaje completo dirigido a la seguridad, que debe transmitirse en un solo canal a través del sistema de bus, comprende los contenidos de datos de las dos zonas de datos del registro intermedio (figura 4). Delante del registro intermedio están conectados en el lado del emisor de nuevo dos ordenadores que trabajan de forma redundante que, de acuerdo con la aplicación de un solo canal o de dos canales acondicionan datos relevantes para la seguridad puestos a su disposición con información redundante en datos seguros e intercambian estos datos mutuamente para la verificación. Si ambos han llegado al mismo resultado, cada uno de los ordenadores transmite sus datos seguros al registro intermedio, de manera que cada zona de datos es ocupada con los datos seguros de un ordenador, respectivamente, que contienen, por su parte, ya información redundante para el reconocimiento de errores. Si en una forma de realización alternativa, el registro intermedio está contenido en uno de los dos ordenadores, de manera que este ordenador ocupa, por lo tanto, ambas zonas de datos del registro intermedio después de la sintonización con el segundo ordenador, este segundo ordenador lee de nuevo para el control el registro intermedio con las dos zonas de datos. De acuerdo con la aplicación, el contenido de datos de una de las dos zonas de datos del registro intermedio puede presentar también datos invertidos u otros interdireccionamientos adicionales, para reconocer, por ejemplo, errores sistemáticos en los emisores, receptores y/u otras unidades que transmiten los datos. En este caso es un inconveniente, por lo tanto, especialmente que la longitud total de los datos del mensaje dirigido a la seguridad es demasiado grande con relación a los datos útiles reales y, por lo tanto, la velocidad de transmisión de los datos es pequeña con relación a los datos útiles reales, puesto que para cada conjunto de datos útiles a transmitir deben transmitirse dos conjuntos de datos útiles idénticos así como una información redundante respectiva para cada uno de los conjuntos de datos útiles idénticos. En caso de número decreciente de datos útiles a transmitir por paquete de datos, como existe, por ejemplo, en Interbus, se empeora cada vez más la relación entre longitud de datos útiles y la longitud total de los datos.
La solicitud de patente alemana 10 2004 039 932.8 de la misma Solicitante, a la que pertenece la presente invención, representa un desarrollo, en el que se había propuesto el cometido de acondicionar para el acoplamiento de bus seguro de procesos relevantes para la seguridad otro camino nuevo y mejorado para la transición desde la pluralidad de canales a un solo canal y de asegurar de una manera sencilla de realizar, especialmente también sencilla de verificar, una ausencia de reacción y la independencia durante la creación de un protocolo dirigido a la seguridad, que debe transmitirse como telegrama de seguridad a través de un bus.
A tal fin se ha propuesto prever un procedimiento para el acoplamiento de bus de un canal de un proceso crítico para la seguridad, en el que un conjunto de datos relevante para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes, especialmente de forma específica del protocolo, de acuerdo con reglas idénticas para obtener un protocolo dirigido a la seguridad y los protocolos redundantes dirigidos a la seguridad son agrupados para el acoplamiento del bus en un solo canal para obtener un protocolo común dirigido a la seguridad, y en concreto accediendo desde cada uno de los canales de procesamiento a un registro intermedio común, en el que se predetermina solamente una vez para cada lugar del registro una autorización de escritura, de tal manera que el protocolo común dirigido a la seguridad, es decir, el telegrama de seguridad a transmitir, se combina en el registro intermedio a través de escritura forzosamente en porciones de diferentes porciones, respectivamente, de los protocolos respectivos dirigidos a la seguridad.
Por lo tanto, en este caso una ventaja esencial era que, por una parte, ambos canales de procesamiento están en condiciones de calcular el protocolo completo dirigido a la seguridad, de manera que éste repercute positivamente sobre la longitud necesaria del telegrama, puesto que todos los bits de datos con los diferentes mecanismos de seguridad son conocidos previamente ya en los canales de procesamiento redundantes y no deben transmitirse bits de datos adicionales, que permitan en el lado del receptor la deducción del cálculo perfecto. Además, se garantiza que un canal de procesamiento por sí solo no está en condiciones de emitir un telegrama de seguridad, de manera que el control sobre la autorización de escritura de datos, predeterminada solamente una vez en cada caso, en un lugar del registro representa una posibilidad fácil de implementar y altamente eficiente para garantizar, de manera independiente del sistema (de bus) utilizado, una seguridad esencialmente elevada de coste favorable.
Por lo tanto, la realización de una unidad inteligente para la aplicación del procedimiento de acuerdo con la invención se podría garantizar ya a través de la aplicación de un dispositivo que comprende al menos dos ordenadores redundantes, en el que los ordenadores están configurados para el procesamiento de un conjunto de datos de entrada idéntico aplicando reglas idénticas para obtener en cada caso un protocolo dirigido a la seguridad y los cuales están conectados a través de una disposición de circuito con un registro intermedio común, de tal manera que para cada ordenador existe una posibilidad de acceso de escritura para determinados lugares del registro, respectivamente, y para cada lugar de registro del registro intermedio existe una posibilidad de acceso de escritura solamente para uno de los ordenadores, respectivamente.
Por lo tanto, la invención posibilitaba ya a través de la utilización de componentes estándar e independientemente del sistema de bus respectivo, una solución fácil de implementar, altamente dinámica y altamente eficiente para la formación libre de reacción e independiente de un protocolo respectivo dirigido a la seguridad.
No obstante, puesto que el protocolo dirigido a la seguridad a transmitir solamente se genera, por lo tanto, forzosamente en la memoria, se puede garantizar un incremento adicional mucho más elevado de la seguridad o bien porque antes de la escritura del protocolo común dirigido a la seguridad se verifican en primer lugar la identidad mutua de los protocolos dirigidos a la seguridad formados de manera redundante a través de los canales de procesamiento, de manera que solamente se lleva a cabo la formación de un protocolo común dirigido a la seguridad bajo reacción a protocolos idénticos, dirigidos a la seguridad, procesados de manera independiente entre sí a partir de un conjunto de datos de entrada idéntico, o porque después de la escritura, pero antes de una transmisión del protocolo común dirigido a la seguridad desde el registro intermedio, por ejemplo en un bus, se recurre desde cada uno de los canales de procesamiento redundantes a lectura en cada lugar del registro, con el fin de realizar una verificación del protocolo común dirigido a la seguridad formado.
Un cometido de la presente invención es ahora desarrollar la solución descrita en la solicitud de patente alemana 10 2004 039 932.8, de tal manera que manteniendo esta seguridad incrementada, se concluye más rápidamente el proceso de acoplamiento durante la escritura del protocolo dirigido a la seguridad a través de los canales de procesamiento redundantes seguros en un módulo común de memoria o de protocolo, y se puede aplicar también en módulos de memoria o de protocolo, en los que no es posible una lectura de datos inscritos.
La solución de acuerdo con la invención se consigue de una manera muy sorprendente ya a través de un objeto con las características de una de las reivindicaciones independientes anexas.
Las formas de realización y los desarrollos ventajosos y/o preferidos son objeto de las reivindicaciones dependientes respectivas.
De acuerdo con la invención, se definen un procedimiento de acuerdo con la reivindicación 1 y un dispositivo de acuerdo con la reivindicación 15. Otras formas de realización se definen a través de las reivindicaciones dependientes.
Por lo tanto, en este caso, una ventaja esencial es que, por una parte, ambos canales de procesamiento están en condiciones de calcular el protocolo completo dirigido a la seguridad, de manera que esto repercute positivamente sobre la longitud necesaria del telegrama, puesto que todos los bits de datos con los diferentes mecanismos de seguridad son conocidos ya con anterioridad en los canales de procesamiento redundantes y no deben transmitirse bits de datos adicionales, que permiten en el lado del receptor la deducción de un cálculo perfecto. Además, se garantiza que un canal de procesamiento por sí solo no está en condiciones de emitir un telegrama de seguridad, de manera que el control sobre la autorización de escritura de datos, predeterminada solamente una vez en cada caso, en un lugar del registro representa una posibilidad fácil de implementar y altamente eficiente para garantizar, de manera independiente del (sistema) de bus utilizado, una seguridad esencialmente elevada de coste favorable.
Otras ventajas esenciales son, además, que el procedimiento de acuerdo con la invención es más rápido en lo que se refiere al proceso de acoplamiento, porque se realiza una verificación de los datos a inscribir o bien una comparación de los datos del protocolo seguros, procesados de forma redundante, respectivos en lo que se refiere a la identidad mutua inmediatamente durante el proceso de escritura de un dato o de varios datos en el registro. Por lo tanto, la invención se puede aplicar también a registros o memoria, que no posibilitan una relectura.
La realización de una unidad inteligente para la aplicación del programa de acuerdo con la invención se podría garantizar ya a través de la aplicación de un dispositivo que comprende al menos dos ordenadores redundantes, en el que los ordenadores están configurados para el procesamiento de un conjunto de datos de entrada idéntico aplicando reglas idénticas para obtener en cada caso un protocolo dirigido a la seguridad y los cuales están conectados a través de una disposición de circuito con un registro (intermedio) común, de tal manera que para cada lugar de registro solamente existe la posibilidad de un acceso de escritura para uno de los ordenadores, respectivamente, y el acceso al registro común para la deposición de las porciones a inscribir está bloqueado hasta la verificación de las porciones a inscribir a través de al menos otro de los ordenadores.
Por lo tanto, la invención posibilita ya a través de la utilización de componentes estándar e independientemente del sistema de bus respectivo, una solución fácil de implementar, altamente dinámica y altamente eficiente para la formación libre de reacción e independiente de un protocolo respectivo dirigido a la seguridad y para la verificación de los datos relevantes para la seguridad durante el proceso de escritura incluso inmediatamente antes de la entrada en el módulo de memoria o de registro.
Las reglas específicas de procesamiento para la formación del telegrama de seguridad son en este caso adecuadas de manera conveniente para cumplir los requerimientos de seguridad respectivos, especialmente los requerimientos de seguridad para una transmisión sencilla según SIL 3 IEC 61508.
Con preferencia, las autorizaciones de escritura y los deberes de verificación respectivos están definidos o bien asignados a través de la previsión de funcionalidades específicas de maestro y/o subordinado, de manera que estas funcionalidades son también variables y/o se pueden cambiar de acuerdo con ciclos determinados. Para una aplicación sencilla en la práctica está prevista, además, la utilización de un bus de direcciones común y de un bus de datos común.
Por lo tanto, durante el proceso de escritura las porciones de protocolo a inscribir en cada caso en al menos un lugar del registro pueden ser transmitidas a través del canal de procesamiento, que posee la autorización de escritura correspondiente, al bus de datos y desde allí pueden ser leídas para verificación a través de al menos otro canal de procesamiento.
Por ejemplo, el ordenador del primer canal de procesamiento para uno o varios lugares de registro determinados actúa como maestro y deposita los datos seguros correspondientes calculados por él sobre el bus de datos, de manera que está bloqueada todavía una liberación para la deposición sobre el módulo de memoria. El ordenador del segundo canal de procesamiento actúa como subordinado y verifica los datos depositados sobre el bus de datos con los datos seguros calculados propios. Solamente cuando la verificación ha dado como resultado la coincidencia de los datos, se provoca la liberación para la deposición sobre el módulo de memoria a través del ordenador verificador.
Por lo tanto, de manera conveniente, para la liberación de una señal de escritura, es decir, para la anulación del bloqueo de acceso, para la deposición de los datos a inscribir sobre el módulo de memoria, está prevista al menos la emisión de una señal de liberación a través del ordenador verificador.
Con preferencia, además, está previsto e requerimiento de una señal de liberación desde el ordenador de escritura al menos después de la transmisión de las porciones del protocolo al bus de datos para la liberación de una señal de escritura.
Para la previsión de un lugar de registro respectivo, en el que deben inscribirse realmente porciones de protocolo, se ha revelado que es conveniente la transmisión de las direcciones correspondiente al bus de direcciones común.
De acuerdo con las funcionalidades de maestro/subordinado asignadas, se realiza la transmisión de una dirección para la determinación de un lugar de registro y la escritura de porciones de protocolo para este lugar de registro a través del mismo canal de procesamiento o a través de diferentes canales de procesamiento.
Para la supervisión de la función de los canales de procesamiento y/o de los ordenadores está comprendido, además, de manera preferida un componente vigilante conectado con los canales de procesamiento y/o los ordenadores y el registro intermedio.
Con preferencia, además, el requerimiento de una señal de liberación desde el componente vigilante para la liberación del acceso al registro intermedio común para la deposición de porciones a inscribir es una señal de liberación. Si no está presenta esta señal, por ejemplo debido a fallo o error de un ordenador, no se puede generar, como consecuencia de ello, tampoco ningún telegrama de seguridad completo, de manera que se reconoce forzosamente un error y se puede activar una función dirigida a la seguridad. De este modo se pueden realizar también procedimientos de ensayo de una manera sencilla en la práctica.
Especialmente para una sincronización entre los ordenadores, los ordenadores desacoplados mutuamente en sí y por sí están conectados entre sí, además, con preferencia a través de una interfaz de comunicación.
Especialmente para garantizar en cada caso después de un procesamiento específico del protocolo de los datos de entrada para obtener un protocolo dirigido a la seguridad su registro en memoria y transmisión específica del protocolo al bus, de manera que el protocolo dirigido a la seguridad cumpla las previsiones basadas en la aplicación respectiva, especialmente en función del bus y/o de los procesos, en un conjunto de datos de protocolo seguro, un ordenador comprende, de acuerdo con una forma de realización, respectivamente, un chip de protocolo integrado. En configuración alternativa, el chip del protocolo puede estar conectado también en el lado de salida en un ordenador. Para evitar tales chips de protocolo integrados o conectados a continuación y, por lo tanto, también para la reducción de componentes y de costes, se propone en otra forma de realización especialmente conveniente acondicionar el ordenador con un software configurado de manera correspondiente para el procesamiento y transmisión de los datos específica del protocolo.
El dispositivo de acuerdo con la invención puede estar configurado como unidad usuaria del bus, de manera que los ordenadores están conectados a tal fin de manera conveniente en el lado de entrada al menos con canales de entrada para la conexión de un canal o de múltiples canales de unidades de entrada de datos de proceso y de una manera correspondiente para el registro de un canal o de múltiples canales de datos de entrada a procesar relevantes para la seguridad, o está configurado como unidad de control del bus, que genera, por ejemplo, los datos de entrada a procesar relevantes para la seguridad. Por lo tanto, los ordenadores están configurados especialmente como micro-controladores o como unidades centrales de procesos (CPU).
La disposición de circuito para la conexión de acuerdo con la invención de los ordenadores o, dado el caso, de los chips de protocolo conectados a continuación de los ordenadores está configurada, en una forma de realización preferida, como circuito lógico sencillo, de manera que se pueden utilizar también circuitos altamente integrados, por ejemplo en forma de un FPGA (Field Programmable Gate Array) y pueden tener una ventaja adicional de manera específica de la aplicación.
El registro intermedio presenta una interfaz, a través de la cual el protocolo común dirigido a la seguridad depositado se puede acoplar con un solo canal directamente en el bus, por ejemplo un Interbus, o se puede transmitir con un solo canal a otra instalación de acoplamiento del bus, configurada de manera específica de la aplicación y conectada delante del bus, pudiendo utilizarse como instalación de acoplamiento de bus de manera específica de la aplicación especialmente otro chip de protocolo, otro micro-controlador u otra unidad inteligente.
Por lo tanto, como registro intermedio es suficiente ya una RAM estándar. No obstante, en un desarrollo preferido, está previsto especialmente configurar el registro intermedio o bien la memoria intermedia en forma de una memoria de doble puerto (DPM), para que los ordenadores se puedan conectar de una manera muy sencilla y de coste favorable a través de uno de los dos puertos de interfaz y se pueda realizar a través del segundo puerto de interfaz el acoplamiento de un canal en el bus. De manera especialmente conveniente, a través de la invención se posibilita también el empleo de módulos de memoria que no se pueden releer, como por ejemplo un chip de ampliación de registro en serie.
Otras características y ventajas de la invención se deducen a partir de la descripción detallada siguiente de una forma de realización preferida, pero solamente ejemplar de la invención con referencia a los dibujos adjuntos.
En los dibujos:
La figura 1 muestra un esbozo de principio esquemático para la formación redundante de protocolos dirigidos a la seguridad para un telegrama de seguridad a transmitir por medio de canales de procesamiento redundantes y la formación siguiente de un protocolo común idéntico dirigido a la seguridad, teniendo en cuenta todos los protocolos redundantes dirigidos a la seguridad y bajo el control de una regla de escritura y de verificación con relación a las porciones a transmitir/aceptar, respectivamente, a partir de los protocolos dirigidos a la seguridad.
La figura 2 muestra un diagrama funcional posible de una aplicación de la invención, sobre la base de dos micro-controladores que calculan, respectivamente, de forma redundante el protocolo completo dirigido a la seguridad, y
Las figuras 3 y 4 muestran realizaciones conocidas para la transición de dos canales a un solo canal.
En la figura 1 se representan dos canales de procesamiento 1 y 2 redundantes de una unidad de usuario del bus o unidad de control del bus no representadas en detalle para el acoplamiento de un solo canal de un proceso crítico para la seguridad en un bus 40, por ejemplo un Interbus. En el caso de una unidad de usuario del bus, cada uno de los canales de procesamiento está conectado con unidades de entrada/salida, como por ejemplo sensores y/o actuadores, no representados tampoco, asociados al proceso crítico para la seguridad.
Se ponen a la disposición de una unidad de usuario del bus con aplicación en el lado del sensor, por lo tanto, de acuerdo con el tipo de conexión específica de un canal o de dos canales, datos de entrada idénticos para los canales de procesamiento 1 y 2, relevantes para el proceso crítico para la seguridad y se depositan de una manera más conveniente en primer lugar en la memoria 12 y 22, respectivamente, para el procesamiento posterior. Especialmente en el caso de una unidad de control del bus, los datos a asegurar, es decir, los datos de entrada y/o datos de salida relevantes para la seguridad, que deben acondicionarse antes de una transmisión al bus, como se describe a continuación, se encuentran en las memorias 12 y 22, respectivamente.
Los datos de entrada y/o datos de salida son procesados en primer lugar antes de la transmisión en un solo canal de un telegrama de seguridad a través del bus 40, de forma redundante aplicando las mismas reglas para obtener un protocolo 14 y 24, respectivamente, dirigido a la seguridad. Los canales de procesamiento 1 y 2 comprenden a tal fin en cada caso un micro-controlador 11 y 21 para la preparación/procesamiento respectivos de los datos de entrada y/o datos de salida relevantes para la seguridad, que se encuentran en la memoria 12 ó 22, para obtener el protocolo 13 y 24, respectivamente, dirigido a la seguridad. Los protocolos seguros 14 ó 24 calculados por los micro-controladores 11 y 21 pueden estar depositados en cada caso en un chip de protocolo conectado a continuación del micro-controlador 11 ó 21, que recibe el protocolo 14 ó 24, respectivamente, dirigido a la seguridad, calculado por el micro-controlador 11 ó 21 respectivo, para la transmisión posterior al bus 40. En forma de realización alternativa, los micro-controladores 11 y 21 pueden comprender también un software configurado de forma correspondiente, de manera que la transmisión siguiente, descrita a continuación, de los protocolos 14 y 24 calculados el bus se realiza a través de los propios micro-controladores 11 y 21.
Los protocolos 14 y 24 calculados, seguros o bien dirigidos a la seguridad son, por lo tanto, idénticos, si no se ha producido ningún error o fallo en el cálculo. Hay que indicar que los protocolos seguros están constituidos en este caso evidentemente de tal forma que cumplen los requerimientos de la Norma para una transmisión dirigida a la seguridad.
Para la elevación adicional de la seguridad, de acuerdo con la invención está prevista, antes de la transmisión de un telegrama seguro a través del bus 40, la formación común de otro protocolo idéntico común, dirigido a la seguridad, que se puede transmitir a continuación en un solo canal al bus 40 para la transmisión. Este protocolo común dirigido a la seguridad se forma con la participación de los dos canales de procesamiento 1 y 2 redundantes y teniendo en cuenta los datos del protocolo seguro 14 y los datos del protocolo seguro 24 en una memoria intermedia o registro intermedio 30, al que puede acceder cada uno de los canales de procesamiento 1 y 2.
Para impedir que este protocolo a formar en común, dirigido a la seguridad, solamente sea constituido teniendo en cuenta datos calculados desde uno solo de los canales de procesamiento 1 ó 2, lo que equivaldría, por lo tanto, a la emisión de un telegrama de seguridad solamente a través de uno de los micro-controladores 11 ó 21, por ejemplo en virtud de la producción de un fallo de uno de los dos micro-controladores, una regla de acceso definida o definible controla los derechos de escritura en la memoria intermedia 30. La regla de acceso determina a tal fin que desde cada canal de procesamiento 1 y 2 solamente se pueden depositar partes del protocolo dirigido a la seguridad, calculado en cada caso, durante la escritura para la formación del protocolo común dirigido a la seguridad en lugares de registro correspondientes de la memoria intermedia 30, cuando el micro-controlador 11 ó 21 respectivo tiene una autorización de escritura para los lugares respectivos de la memoria y los datos a inscribir son idénticos con los datos calculados correspondientes desde el otro canal de procesamiento respectivo. Por lo tanto, de acuerdo con la invención, para cada lugar de la memoria o lugar de registro se define solamente en cada caso una autorización de escritura y durante la escritura se realiza adicionalmente todavía una verificación de los datos a inscribir.
Por consiguiente, de esta manera se realiza un mecanismo de bloqueo extraordinariamente efectivo, que durante la escritura de un dato respectivo solamente permite el acceso a la memoria intermedia 30 para la deposición en un lugar correspondiente de la memoria cuando el dato a inscribir procede del canal de procesamiento 1 ó 2, que tiene la autorización de escritura para este lugar de la memoria y ambos protocolos seguros 14 y 24 calculados son idénticos.
La invención prevé con preferencia a tal fin que uno de los micro-controladores 11, 21 funcione, respectivamente, como maestro y el otro funcione como subordinado, estando conectados ambos micro-controladores 11 y 21 a través de un bus de datos común 103 y bus de direcciones 102 (figura 2) en la memoria intermedia 30. De manera más conveniente, el maestro determina el (los) lugar(res) de la memoria, en los que debe inscribir en cada caso un dato o varios datos. Además, el maestro determina, en una forma de realización preferida, respectivamente, el micro-controlador que inscribe y que realiza la verificación durante la inscripción.
Si, por ejemplo, de acuerdo con la figura 1, el micro-controlador 11 es el maestro y el micro-controlador 21 es el subordinado, entonces el maestro 11 deposita, en el caso representado, la(s) dirección(es) correspondiente(s) al (los) lugar(es) de la memoria en el bus de direcciones 102 (figura 2) y el (los) dato(s) del protocolo seguro 14 calculado(s) por él mismo para esta(s) dirección(es) en el bus de datos 103 (figura 1). De acuerdo con la figura 1, el maestro 11 predetermina las direcciones de la memoria para el Byte X+1, el Byte X+2 y el Byte X+3 y deposita su Byte X-1, Byte X+2 y Byte X+3 calculado en el bus de datos 103. Estos datos depositados sobre el bus de datos 103, identificados en la figura 1 con 14, son comparados por el subordinado 21 con los datos propios, calculados por él mismo, para la dirección depositada, como se indica con el número de referencia 25 en la figura 1. En caso de coincidencia de los datos, el subordinado 21 transmite una señal de liberación 26 a la memoria intermedia 30, después de lo cual se libera la señal de escritura para la memoria. Con la reacción a la señal de liberación 26 se lleva a cabo de esta manera la aceptación de la porción segura del protocolo 14' desde el bus de datos 103 en la memoria 30.
Si esta "verificación" conduce a un resultado desigual, se reconoce forzosamente un error y se inicia una función dirigida a la seguridad.
En la forma de realización representada en la figura 1, se emite opcionalmente también desde el maestro 11 una señal de liberación 16, después de haber depositado su porción de protocolo segura calculada en el bus de datos 103. Por consiguiente, solamente se realiza la aceptación cuando están presentes ambas liberaciones, lo que conduce a una elevación todavía mayor de la seguridad.
Por lo tanto, en este caso se realiza una comparación del protocolo seguro inmediatamente durante la escritura de un dato o de varios datos, pero antes de la deposición en la memoria 30. Puesto que la comparación se realiza durante la escritura, el procedimiento de acuerdo con la invención trabaja más rápidamente que en los procedimientos conocidos hasta ahora, que realizan una comparación antes de la escritura o después de la escritura a través de relectura. Además, este procedimiento se puede aplicar con seguridad también en medios de memoria, que no se pueden releer, como por ejemplo en módulos SRE.
Por consiguiente, no es ya forzosamente necesario un acceso de lectura completo a la memoria.
La invención comprende, además, formas de realización, en las que se realiza un comportamiento alternativo de los micro-controladores, es decir, que el micro-ordenador que trabaja como maestro deposita la dirección y el micro-controlador que actúa como subordinado deposita a continuación los datos seguros correspondientes sobre el bus de datos. A continuación, el maestro compara los datos seguros con los datos propios calculados por él mismo y en caso de coincidencia libera la señal de escritura correspondiente.
También es concebible un cambio cíclico, en el que cada uno de los micro-controladores funciona alternando una vez como maestro y una vez como subordinado.
Además, por ejemplo, también el maestro puede depositar el protocolo seguro calculado completo, en general, en el bus de datos y las direcciones correspondientes de los lugares de la memoria en el bus de direcciones, de manera que el subordinado compara, en general, el protocolo seguro completo depositado en el bus de datos con el protocolo seguro propio, calculado por él mismo.
Una autorización de escritura respectiva se define, por lo tanto, con preferencia a través de un mecanismo de maestro y subordinado.
Por lo tanto, como memoria intermedia se puede emplear, además de una RAM estándar o DPM estándar ya suficiente, ria que no se puede releer, como por ejemplo un chip de ampliación de registro en serie (SRE).
La memoria intermedia 30 puede disponer también de otra interfaz, con la que se puede transmitir el protocolo seguro formado en común, depositado en esta memoria, o bien el mensaje seguro para la transmisión a un chip de protocolo o a otra unidad inteligente, desde la que se realiza, por ejemplo, el acoplamiento de un canal en el bus 40.
La figura 2 representa a modo de ejemplo, pero utilizando software descrito anteriormente en lugar de chips de protocolo, un diagrama funcional posible de una aplicación de la autorización de escritura esbozada en la figura 1 así como de los mecanismos de comparación y de liberación como base para la verificación de acuerdo con la invención durante el proceso de escritura.
Como se puede ver en la figura 2, la zona representada a la izquierda, identificada con M, comprende la arquitectura de múltiples canales con consideración de la seguridad y la zona derecha, identificada en la figura 2 con E, comprende la arquitectura de un solo canal con el protocolo dirigido a la seguridad formado en común, a transmitir como telegrama de seguridad. La consideración de la seguridad de la arquitectura redundante termina con la comparación y deposición de los mensajes seguros o bien del protocolo seguro en la memoria 30, puesto que a partir de allí interviene el mecanismo de seguridad del protocolo seguro, puesto que los errores posibles a partir de aquí son aceptados y considerados, en principio, para una transmisión y, por consiguiente, debe ser también controlables. Un error a contemplar aquí desde el principio para la verificación y certificación de "Sistemas de bus para la transmisión de mensajes revelantes para la seguridad" es, por ejemplo, una falsificación de mensajes.
Por lo tanto, esencialmente sobre la base de la figura 1, los dos micro-procesadores 11 y 21 están desacoplados de una manera conocida en sí, como se identifica en la figura 2 con el signo de referencia 100 y, además, están conectados entre sí a través de una interfaz de comunicación 101 para la verificación mutua adicional de los protocolos 14 y 24 dirigidos a la seguridad, calculados en cada caso por separado, antes de una escritura de datos para la formación común de un protocolo seguro en la memoria 30 y/o para la sincronización mutua.
Los micro-controladores 11 y 21 están conectados a través de un bus de direcciones común 102 para la dirección Ax con x entre 0 y N y un bus de datos común 103 para los datos Dx con x entre 0 y N directamente en los pins correspondientes del módulo-SRE 30 representado en la figura 2 como memoria. El módulo-SRE 30 dispone de otra interfaz, a través de la cual se puede conectar un chip de protocolo 35, pero también otra memoria esencialmente discrecional, un micro-controlador o similar de una manera específica de la aplicación.
En el presente caso está conectado un OPC (Optical Protocol Chip) como chip de protocolo que está acoplado de nuevo con el bus 40. El módulo-SRE 30 sirve, por lo tanto, también para la ampliación de la anchura de los datos del chip de protocolo OPC 35.
Las señales/CS (Chipselect) de los dos micro-controladores 11 y 21, identificadas en la figura 2 como/CS_\muC1 o bien/CS_\muC2, están enlazadas con Y lógica. Esto corresponde en este caso, en virtud de la lógica negativa de las señales/CS a una puerta-O. De esta manera, solamente se puede activar la señal/CS_SRE del SRE cuando ambos micro-controladores 11 y 21 colocan su señal/CS en baja.
\newpage
De acuerdo con las señales/CS, también las señales de escritura, es decir, las señales/WR de los dos micro-controladores 11 y 21, identificadas en la figura 2 como/WR_\muC1 y/WR_\muC2, respectivamente, están enlazadas con Y lógica, lo que corresponde de nuevo a una puerta-O. La señal/WR_\muC1 + \muC2, que resulta a partir del enlace de la señal/WR_\muC1 y de la señal/WR_\muC2, está enlazada de nuevo, en el ejemplo representado, con Y lógica con la señal de otro micro-controlador \muC3, de manera que también este micro-controlador debe colocar su señal de escritura/WR_\muC3 en baja, antes de que pueda aplicar una señal de escritura en el SRE. Ésta puede ser, por ejemplo, la liberación general y/o final por medio de un circuito vigilante.
De esta manera, la señal/WR_SRE del SRE solamente se puede activar cuando ambos micro-controladores 11 y 21 colocan su señal de escritura en baja y adicionalmente existe la liberación del tercer micro-controlador \muC3 que acondiciona el circuito vigilante.
Por consiguiente, se posibilita también de una manera sencilla la supervisión y seguridad de la autorización de escritura definida, en el presente ejemplo, por medio de la división maestro - subordinado de los micro-controladores 11 y 21 así como la funcionalidad de comparación, puesto que los impulsos o las secuencias de impulsos generados en cada caso durante la escritura y la comparación pueden ser supervisados de manera fiable por medio de un micro-controlador \muC3 interacoplado de esta manera o similar como circuito vigilante.
Si ambos micro-controladores 11 y 21 han calculado, respectivamente, su mensaje seguro, entonces por ejemplo el micro-controlador 11 deposita una dirección en el bus de direcciones 102 y a continuación deposita los datos en el bus de datos 103. Al mismo tiempo, coloca la señal/CS_\muC1 y la señal/WR_\muC1 en baja. Esto corresponde a la liberación para la escritura de los datos en la memoria 30 desde el punto de vista del micro-controlador 11. No obstante, no es todavía posible un acceso a la memoria 30 para la deposición del/de los datos a inscribir, en virtud del circuito de la figura 2, debido a la ausencia de la liberación desde el segundo micro-controlador 21.
El micro-controlador 21 compara ahora el dato o los datos del micro-controlador 11 para el lugar correspondiente de la memoria con la parte segura del protocolo correspondiente, calculada por él mismo para este lugar de la memoria. Si ambos datos son idénticos, entonces se lleva a cabo la liberación desde el micro-controlador 21 para la señal/CS, es decir, que se coloca/CS_\muC2 en baja y a continuación se realiza la liberación para la señal/WR, de manera que se coloca/WR_\muC2 en baja.
Cuando el circuito vigilante \muC3 no se ha cerrado y, por lo tanto, la secuencia real de impulsos es igual a la secuencia definida, es decir, que la señal/WR_\muC3 está baja, se puede realizar la deposición de los datos a inscribir en la memoria, puesto que están presentes todas las liberaciones y, por consiguiente, tanto la señal/CS_SRE como también la señal/WR-SRE están colocadas, respectivamente, bajas.
De acuerdo con el módulo de memoria utilizado y las autorizaciones de lectura definidas, partiendo del ejemplo de realización representado aquí, en el caso de protocolos o mensajes seguros recibidos en dirección inversa, en principio, solamente se puede leer un protocolo seguro depositado en la memoria 30 desde un micro-controlador cuando éste activa su señal/RD y ambos micro-controladores activan su señal/CS.
El ciclo descrito presupone, por lo tanto, una expectación y sincronización entre los micro-controladores, para poder depositar un protocolo seguro válido en la memoria 30, que asegura un aspecto esencial para la consecución de la seguridad requerida.
El diagrama funcional representado en la figura 2 se puede realizar ya a través de un circuito lógico sencillo, pero también se puede realizar, por ejemplo, a través de un FPGA. Además, es evidente que en lugar del SRE 30 representado en la figura 2, se puede emplear también una RAM estándar sencilla. Está claro para un técnico que la disposición de circuito representada en la figura 2 representa solamente una de las posibles aplicaciones técnicas. Una regla de acceso de escritura y el mecanismo de verificación durante la estructura de acuerdo con la invención se pueden aplicar, además, para más de dos ordenadores/canales de procesamiento redundantes. Así, por ejemplo, en el caso de un acoplamiento de un proceso crítico para la seguridad desde un entorno de más de dos canales a un entorno de un canal, de una manera correspondiente también más de dos micro-controladores redundantes están implicados en la comparación, en el bloqueo y en la liberación.

Claims (28)

1. Procedimiento para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, en el que un conjunto de datos relevantes para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de acuerdo con reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y teniendo en cuenta al menos dos protocolos seguros redundantes (14, 24) se forma para el acoplamiento un protocolo seguro común y, en concreto, se accede a través de cada uno de los canales de procesamiento (1, 2) a un registro intermedio (30) común, en el que para cada lugar del registro se predetermina solamente una vez una autorización de escritura, caracterizado porque durante el proceso de escritura al menos de porciones (14') del protocolo seguro común a través de un canal de procesamiento (1) autorizado para la escritura, se verifica (25) en primer lugar la identidad mutua de estas porciones (14') a través de al menos otro canal de procesamiento (2), y se libera el acceso al registro intermedio común para la deposición de estas porciones solamente en caso de identidad mutua.
2. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque las autorizaciones de escrituras y los deberes de verificación respectivos son determinados a través de la previsión de funcionalidades específicas de maestro y/o subordinado para los canales de procesamiento (1, 2).
3. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque las funcionalidades específicas de maestro y/o subordinado para los canales de procesamiento (1, 2) se cambian según ciclos determinados.
4. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado porque a través de cada uno de los canales de procesamiento (1, 2) se accede al mismo bus de direcciones (102) conectado con el registro intermedio y se accede al mismo bus de datos (103) conectado con el registro intermedio.
5. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque durante el proceso de escritura se transmiten las porciones del protocolo (14'), a inscribir en cada caso en al menos un lugar del registro, a través del canal de procesamiento (1) que posee la autorización de escritura correspondiente, al bus de datos (103), y desde allí son leídas para la verificación a través de al menos otro canal de procesamiento (2).
6. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque a través de al menos un canal de procesamiento (2) que lleva a cabo la verificación, se emite después de realizada la verificación una señal de liberación (26) para la liberación de la señal de escritura para el registro intermedio.
7. Procedimiento de acuerdo con una de las dos reivindicaciones precedentes, caracterizado, además, porque a través del canal de procesamiento (1) a inscribir se emite una señal de liberación (16) después de la transmisión de las porciones del protocolo al bus de datos (103).
8. Procedimiento de acuerdo con una de las cuatro reivindicaciones precedentes, caracterizado, además, porque se predetermina un único lugar del registro para la inscripción de porciones de protocolo a través de uno de los canales de procesamiento (1, 2) por medio de la transmisión de la dirección correspondiente al bus de direcciones (102).
9. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque la transmisión de una dirección para la determinación de un lugar del registro y la escritura de porciones del protocolo para este lugar del registro se realizan a través del mismo canal de procesamiento o a través de diferentes canales de procesamiento.
10. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado, además, porque para la supervisión de la función de los canales de procesamiento (1, 2) se utiliza un componente vigilante conectado entre los canales de procesamiento (1, 2) y el registro intermedio.
11. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque se necesita una señal de liberación desde el componente vigilante para la liberación del acceso al registro intermedio común para la deposición de porciones a inscribir.
12. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque como registro intermedio (30) se utiliza una RAM estándar, una DPM estándar, o un módulo de memoria/protocolo que no se puede releer, especialmente un chip de ampliación de registro en serie.
13. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado, además, porque el protocolo seguro común es transmitido desde el registro intermedio (30) por un canal a otra instalación de acoplamiento (35) configurada de manera específica de la aplicación.
14. Procedimiento de acuerdo con una de las reivindicaciones precedentes, que se utiliza para el acoplamiento de bus de un canal del proceso crítico para la seguridad.
\newpage
15. Dispositivo para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, que comprende al menos dos ordenadores redundantes (11, 21) para el procesamiento de un conjunto de datos de entrada idéntico utilizando reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y una disposición de circuito para la conexión de cada ordenador (11, 21) con un registro intermedio común (30), de tal manera que para cada lugar de registro del registro intermedio (30) solamente existe una posibilidad de acceso de escritura, respectivamente, para uno de los ordenadores, y está bloqueado el acceso al registro intermedio común para una deposición de porciones a inscribir hasta la verificación de las porciones a inscribir a través de al menos otro ordenador.
16. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque se asignan a los ordenadores autorizaciones de escritura o deberes de verificación a través de funcionalidades de maestro y/o subordinado específicas, pero variables.
17. Dispositivo de acuerdo con una de las reivindicaciones 15 ó 16, caracterizado, además, porque la disposición de circuito comprende un bus común de direcciones (102) y un bus común de datos (103).
18. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 17, caracterizado, además, porque los ordenadores (11, 21) están conectados entre sí a través de una interfaz de comunicaciones (101).
19. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 18, caracterizado, además, porque la disposición de circuito requiere para la liberación de una señal de escritura para el acceso al registro una señal de liberación (26) del ordenador que realiza la verificación.
20. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque la disposición de circuito requiere para la liberación de una señal de escritura para el acceso al registro una señal de liberación (16) del ordenador de escritura.
21. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 20, caracterizado, además, porque la disposición de circuito para la verificación de la función de los ordenadores (11, 21) comprende un componente vigilante conectado con los ordenadores (11, 21) y el registro intermedio.
22. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, demás, porque la liberación del acceso al registro intermedio común para la deposición de porciones a inscribir se realiza solamente bajo reacción a una señal de liberación del componente vigilante.
23. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 22, caracterizado, además, porque los ordenadores (11, 21) comprenden, respectivamente, un chip de protocolo integrado o están conectados en el lado de salida con un chip de protocolo (13, 23) o comprenden un software que acondiciona la función del chip de protocolo.
24. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 23, caracterizado, además, porque el dispositivo está configurado como unidad de usuario de bus y los ordenadores están conectados en el lado de entrada al menos con canales de entrada para la conexión de unidades de entrada de datos de proceso o porque el dispositivo está configurado como unidad de control del bus.
25. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 24, caracterizado, además, porque la disposición de circuito está configurada en lógica sencilla o como FPGA.
26. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque el registro intermedio (30) es una RAM estándar, una DPM estándar o una memoria que no se puede releer, especialmente un chip de ampliación de registro en serie.
27. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 26, caracterizado, además, porque el registro intermedio (30) presenta una interfaz para un acoplamiento de bus de un canal directo o para la conexión de un canal a una instalación de acoplamiento de bus (35) configurada de forma específica de la aplicación.
28. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 27, que está adaptado para un acoplamiento de bus de un canal del proceso crítico para la seguridad.
ES07000939T 2006-01-19 2007-01-17 Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. Active ES2333550T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006002824 2006-01-19
DE102006002824A DE102006002824B4 (de) 2006-01-19 2006-01-19 Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht

Publications (1)

Publication Number Publication Date
ES2333550T3 true ES2333550T3 (es) 2010-02-23

Family

ID=38024153

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07000939T Active ES2333550T3 (es) 2006-01-19 2007-01-17 Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.

Country Status (6)

Country Link
US (1) US7945818B2 (es)
EP (1) EP1811722B1 (es)
CN (1) CN101078922B (es)
AT (1) ATE450954T1 (es)
DE (2) DE102006002824B4 (es)
ES (1) ES2333550T3 (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2348747T3 (es) * 2006-02-17 2010-12-13 PHOENIX CONTACT GMBH & CO. KG Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
DE102007007537A1 (de) * 2007-02-15 2008-08-21 Siemens Ag Leitsystem einer technischen Anlage
ATE526614T1 (de) * 2007-03-19 2011-10-15 Siemens Ag Einrichtung und verfahren zur automatischen erkennung und unterscheidung von an eine zweikanalige sicherheitskombination angeschlossenen ein- oder zweikanaligen elektronischen sensoren
DE102007063291A1 (de) * 2007-12-27 2009-07-02 Robert Bosch Gmbh Sicherheitssteuerung
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
JP2011096163A (ja) * 2009-11-02 2011-05-12 Fujitsu Ltd レジスタアクセス制御方法およびレジスタアクセス制御回路
DE102011018431A1 (de) 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
DE102011115135A1 (de) * 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
DE102018000559A1 (de) 2018-01-24 2019-07-25 WAGO Verwaltungsgesellschaft mit beschränkter Haftung System zum erzeugen eines datenstroms auf basis redundanter informationen

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4131941A (en) * 1977-08-10 1978-12-26 Itek Corporation Linked microprogrammed plural processor system
AU568977B2 (en) 1985-05-10 1988-01-14 Tandem Computers Inc. Dual processor error detection system
US4967347A (en) * 1986-04-03 1990-10-30 Bh-F (Triplex) Inc. Multiple-redundant fault detection system and related method for its use
JPH05128080A (ja) * 1991-10-14 1993-05-25 Mitsubishi Electric Corp 情報処理装置
US5751955A (en) 1992-12-17 1998-05-12 Tandem Computers Incorporated Method of synchronizing a pair of central processor units for duplex, lock-step operation by copying data into a corresponding locations of another memory
US6161208A (en) * 1994-05-06 2000-12-12 International Business Machines Corporation Storage subsystem including an error correcting cache and means for performing memory to memory transfers
FR2721122B1 (fr) 1994-06-14 1996-07-12 Commissariat Energie Atomique Unité de calcul à pluralité de calculateurs redondants.
DE4444688A1 (de) * 1994-12-15 1996-06-20 Abb Patent Gmbh Verfahren zur hochzuverlässigen und konsistenten Nachrichtenübertragung
DE19532639C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
DE19742716C5 (de) * 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19920299B4 (de) * 1999-05-03 2008-01-03 Siemens Ag Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE19949051A1 (de) * 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug
US6732300B1 (en) * 2000-02-18 2004-05-04 Lev Freydel Hybrid triple redundant computer system
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
DE10119791B4 (de) * 2001-04-23 2006-11-02 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
DE60237888D1 (de) * 2001-06-22 2010-11-18 Omron Tateisi Electronics Co Sicherheitsnetzwerksystem, sicherheits-slave und sicherheitssteuerung
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
US7130703B2 (en) * 2003-04-08 2006-10-31 Fisher-Rosemount Systems, Inc. Voter logic block including operational and maintenance overrides in a process control system
DE102004039932A1 (de) * 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102005010820C5 (de) * 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen

Also Published As

Publication number Publication date
US20070180286A1 (en) 2007-08-02
DE502007002132D1 (de) 2010-01-14
EP1811722B1 (de) 2009-12-02
EP1811722A3 (de) 2008-07-02
CN101078922A (zh) 2007-11-28
US7945818B2 (en) 2011-05-17
EP1811722A2 (de) 2007-07-25
ATE450954T1 (de) 2009-12-15
CN101078922B (zh) 2012-05-09
DE102006002824A1 (de) 2007-08-02
DE102006002824B4 (de) 2008-10-09

Similar Documents

Publication Publication Date Title
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
ES2293443T3 (es) Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.
ES2366166T3 (es) Método de transmisión de datos entre dispositivos maestros y esclavos.
ES2308480T3 (es) Control de seguridad.
ES2323150T3 (es) Unidad maestra, sistema de comunicacion y procedimiento para su funcionamiento.
ES2335788T3 (es) Procedimiento para la transmision de datos y sistema de automatizacion para el empleo de un procedimiento de transmision de datos de este tipo.
ES2743246T3 (es) Dispositivo para la transmisión de datos de sensor
ES2446349T3 (es) Control de seguridad y procedimiento para el control de una instalación automática
ES2359650T3 (es) Unidad de interfaz y sistema de comunicaciones con una estructura maestro-esclavo.
ES2566679T3 (es) Procedimiento y sistema para una transmisión segura de datos
ES2361858T3 (es) Sistema de detección y procedimiento de detección.
US8185934B2 (en) Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit
ES2532466T3 (es) Dispositivo y procedimiento para la transmisión de datos entre un aparato de medición de la posición y una electrónica siguiente
ES2733332T3 (es) Protocolo de transmisión de datos con estado de excepción de protocolo
CN111130689A (zh) 传送数据和数据校验字段的系统和方法
ES2348747T3 (es) Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
ES2495432T3 (es) Procedimiento y un aparato de bus para la transmisión de datos orientados a la seguridad
JP2013235300A (ja) 安全信号処理システム
US8543774B2 (en) Programmable logic apparatus employing shared memory, vital processor and non-vital communications processor, and system including the same
ES2229697T3 (es) Telegramas de datos cortos de un sistema de automatizacion.
ES2363650T3 (es) Control de seguridad.
ES2206343T3 (es) Sistema y procedimiento para evitar el acceso no autorizado a modulos, especialmente en sistemas de automatizacion.
JP2015125459A (ja) 複数のcpuと通信するioユニットを用いた安全通信システム
JP5094591B2 (ja) 照合システム
ES2813125T3 (es) Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras