ES2333550T3 - Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. - Google Patents
Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. Download PDFInfo
- Publication number
- ES2333550T3 ES2333550T3 ES07000939T ES07000939T ES2333550T3 ES 2333550 T3 ES2333550 T3 ES 2333550T3 ES 07000939 T ES07000939 T ES 07000939T ES 07000939 T ES07000939 T ES 07000939T ES 2333550 T3 ES2333550 T3 ES 2333550T3
- Authority
- ES
- Spain
- Prior art keywords
- further characterized
- protocol
- bus
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Storage Device Security (AREA)
- Communication Control (AREA)
Abstract
Procedimiento para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, en el que un conjunto de datos relevantes para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de acuerdo con reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y teniendo en cuenta al menos dos protocolos seguros redundantes (14, 24) se forma para el acoplamiento un protocolo seguro común y, en concreto, se accede a través de cada uno de los canales de procesamiento (1, 2) a un registro intermedio (30) común, en el que para cada lugar del registro se predetermina solamente una vez una autorización de escritura, caracterizado porque durante el proceso de escritura al menos de porciones (14'') del protocolo seguro común a través de un canal de procesamiento (1) autorizado para la escritura, se verifica (25) en primer lugar la identidad mutua de estas porciones (14'') a través de al menos otro canal de procesamiento (2), y se libera el acceso al registro intermedio común para la deposición de estas porciones solamente en caso de identidad mutua.
Description
Procedimiento y dispositivo para la conversión
de mensajes presentes en múltiples canales en un mensaje seguro de
un solo canal.
La invención se refiere a un procedimiento así
como a un dispositivo adaptado para la realización del procedimiento
para el acoplamiento de procesos relevantes para la seguridad desde
un entorno seguro de múltiples canales en un entorno no seguro y/o
que presenta menos canales, especialmente para el acoplamiento de
bus de un solo canal de procesos relevantes para la seguridad.
Por un proceso relevante para la seguridad o
bien crítico para la seguridad se entiende a continuación un
proceso, desde el que se deriva, en el caso de que se produzca un
fallo, un peligro considerable para el hombre y/o también para
productos materiales. Por lo tanto, en un proceso relevante para la
seguridad debe estar garantizado con 100% de seguridad en el caso
ideal que, en el caso de que se produzca un fallo de este proceso,
un proceso siguiente acoplado con este proceso y/o un sistema
general que comprende este proceso son transferidos a un estado
seguro. Tales procesos relevantes para la seguridad pueden ser, por
lo tanto, también procesos parciales de procesos generales mayores
de orden superior. Ejemplos de procesos relevantes para la seguridad
son procedimientos químicos, en los que los parámetros críticos
deben mantenerse incondicionalmente en un intervalo predeterminado,
controles de máquinas complejas, como por ejemplo en una prensa
hidráulica o un tren de fabricación, en las que, por ejemplo, la
puesta en marcha de una herramienta de prensa/corte puede
representar un proceso parcial relevante para la seguridad. Otros
ejemplos de procesos (parciales) relevantes para la seguridad son
la supervisión de rejillas de protección, de puertas de protección o
de barreras ópticas, el control de conmutadores por dos palancas o
también la reacción a interruptores de emergencia.
Por lo tanto, para todos los procesos relevantes
para la seguridad es absolutamente necesario que los datos
relevantes para la seguridad respectivos en cada caso, generados o
registrados o bien medidos, sean transportados en tiempo real sin
ninguna clase de falsificación, puesto que cualquier falsificación
puede tener como consecuencia una función y/o reacción erróneas
que, como última consecuencia, pueden poner en peligro la vida y la
salud de las personas.
Para cumplir los requerimientos de seguridad, se
han realizados numerosas convenciones en los últimos años, que
requieren un transporte de datos casi libre de errores en el caso de
empleo de sistemas de bus. Éstos se refieren especialmente al
transporte de datos propiamente dicho así como a una probabilidad de
error residual admisible en función de la aplicación respectiva o
bien del proceso respectivo. Como normas competentes se pueden
mencionar en este caso especialmente la Norma EN 61508 y la Norma EN
954-1 así como los principios para el ensayo e
identificación de "Sistemas de bus para la transmisión de mensajes
relevantes para la seguridad" del Centro de Ensayo y
Certificación de las Sociedades Profesionales Industriales.
De acuerdo con estas convenciones y normas, han
sido desarrollados sistemas de bus dirigidos a la seguridad, que
transmiten datos con alta redundancia. Los posibles errores son
detectados oportunamente y se puede evitar un peligro. Ejemplos de
ellos son, entre otros, el Safety Bus P, Profibus F, Interbus
Safety, etc.
Sin embargo, en este caso es un inconveniente
que para el empleo de sistemas de bus dirigidos a la seguridad
deben sustituirse sistemas de bus ya instalados y deben tolerarse
con frecuencia limitaciones en el número de los usuarios, en la
velocidad de transporte de los datos o en el protocolo de los
datos.
Como consecuencia, han sido desarrollados
procedimientos y/o componentes dirigidos a la seguridad, que
posibilitan un reequipamiento más sencillo y de coste más favorable
de sistemas de bus ya existentes. Especialmente los procedimientos
electrónicos de seguridad utilizados en la técnica de control y de
automatización utilizan en este caso para la transmisión de datos
relevantes para la seguridad, especialmente entre sensores,
actuadores y/o instalaciones de control, los sistemas de bis (de
campo) ya empleados entre las unidades individuales implicadas en un
proceso para la comunicación de datos.
El documento EP 1 188 096 B1 publica, por
ejemplo, un sistema de control para un proceso relevante para la
seguridad con un bus de campo, a través del cual están conectadas
una unidad de control para el control de proceso relevante para la
seguridad y una unidad de señalización, que está conectada a través
de canales E/A con el proceso relevante para la seguridad. Para
garantizar una comunicación entre sí a prueba de fallos, estas
unidades presentan instalaciones específicas de seguridad, a través
de las cuales, unidades no seguras deben convertirse en unidades
seguras. En particular, están previstos en cada caso al menos dos
canales de procesamiento redundantes, de tal manera que un fallo en
uno de los canales de procesamiento puede ser reconocido y, dado el
caso, corregido con la ayuda de un resultado, que se deriva de otro
de los canales de procesamiento redundantes. Esta estructura de
canales múltiples se realiza especialmente a través de dos
ordenadores redundantes, en la que la consideración de la seguridad
termina después de los dos ordenadores redundantes y se contempla
la consideración de un protocolo de datos seguro a partir de este
lugar sin otras indicaciones.
Por el concepto general de ordenador se
entienden a continuación esencialmente instalaciones de
procesamiento de datos que comprenden cualquier tipo de software y/o
hardware, como por ejemplo microordenadores,
micro-procesadores,
micro-controladores o también ordenadores
personales.
También el documento WO 01/15385 A2 se refiere
al control de procesos relevantes para la seguridad utilizando
sistemas de bus (de campo), en los que las unidades implicadas en el
control del proceso relevante para la seguridad presentan de nuevo
canales de procesamiento constituidos, en general, redundantes. Cada
uno de los canales redundantes comprende un ordenador, que se
controlan mutuamente. Esta estructura de múltiples canales es
transferida a través de otro ordenador conectado con el bus de campo
a una estructura de un solo canal (figura 3). De esta publicación
no se deducen explicaciones detalladas, incluyendo la transición
desde la pluralidad de canales a un sol
canal.
canal.
A partir del documento WO 01/15391 y de la
publicación DE 199 39 567 A1 se deducen otros ejemplos de usuarios
de bus seguros con canales de procesamiento y/u ordenadores
realizados de forma redundante y que se controlan mutuamente con
respecto a una creación de protocolo seguro y la transición
siguiente desde la pluralidad de canales a un solo canal a través
de otro ordenador acoplado en el bus, que está conectado en un chip
de protocolo o está integrado en éste. También aquí la
consideración de la seguridad sin publicación de otras medidas
técnicas termina después de los dos ordenadores redundantes y a
partir de este lugar se realiza la consideración de un protocolo de
datos seguro.
La publicación DE 195 32 639 C2, que se refiere
a una instalación para la transmisión con un solo canal de datos
formados por medio de dos ordenadores redundantes integra, para
reducir el gasto del circuito, la función del acoplamiento del bus
en uno de los dos ordenadores realizados redundantes. Solamente el
ordenador que presenta la funcionalidad de acoplamiento del bus
presenta, por lo tanto, un canal de salida, al que son conducidos
los datos útiles que proceden desde este ordenador y los datos de
prueba que proceden desde el otro ordenador o a la inversa, los
datos útiles y los datos de prueba de ambos ordenadores son
alimentados interdireccionados entre sí (figura 4).
Sin embargo, para garantizar que el ordenador,
que dirige el bus, no está en condiciones de generar telegramas,
sobre los que no puede influir el otro ordenador, en la aplicación
es necesario un gasto elevado en la consideración de la seguridad,
puesto que, por una parte, debe verificarse, por una parte, la
ausencia de reacción y, por otra parte, la independencia de los
ordenadores para la creación del protocolo seguro. La publicación de
patente propone a tal fin solamente una conexión o desconexión
correspondiente de las salidas respectivas de los ordenadores.
Además, el documento DE 100 65 907 A1 describe
un procedimiento basado en el principio de una "redundancia con
comparación cruzada" para el transporte seguro de datos para la
transmisión de datos en redes o sistemas de bus paralelos o en
serie, en el que se utiliza un registro intermedio con dos zonas de
datos lógicamente idénticas para la transición desde múltiples
canales a un solo canal. El mensaje completo dirigido a la
seguridad, que debe transmitirse en un solo canal a través del
sistema de bus, comprende los contenidos de datos de las dos zonas
de datos del registro intermedio (figura 4). Delante del registro
intermedio están conectados en el lado del emisor de nuevo dos
ordenadores que trabajan de forma redundante que, de acuerdo con la
aplicación de un solo canal o de dos canales acondicionan datos
relevantes para la seguridad puestos a su disposición con
información redundante en datos seguros e intercambian estos datos
mutuamente para la verificación. Si ambos han llegado al mismo
resultado, cada uno de los ordenadores transmite sus datos seguros
al registro intermedio, de manera que cada zona de datos es ocupada
con los datos seguros de un ordenador, respectivamente, que
contienen, por su parte, ya información redundante para el
reconocimiento de errores. Si en una forma de realización
alternativa, el registro intermedio está contenido en uno de los dos
ordenadores, de manera que este ordenador ocupa, por lo tanto,
ambas zonas de datos del registro intermedio después de la
sintonización con el segundo ordenador, este segundo ordenador lee
de nuevo para el control el registro intermedio con las dos zonas
de datos. De acuerdo con la aplicación, el contenido de datos de una
de las dos zonas de datos del registro intermedio puede presentar
también datos invertidos u otros interdireccionamientos adicionales,
para reconocer, por ejemplo, errores sistemáticos en los emisores,
receptores y/u otras unidades que transmiten los datos. En este
caso es un inconveniente, por lo tanto, especialmente que la
longitud total de los datos del mensaje dirigido a la seguridad es
demasiado grande con relación a los datos útiles reales y, por lo
tanto, la velocidad de transmisión de los datos es pequeña con
relación a los datos útiles reales, puesto que para cada conjunto
de datos útiles a transmitir deben transmitirse dos conjuntos de
datos útiles idénticos así como una información redundante
respectiva para cada uno de los conjuntos de datos útiles idénticos.
En caso de número decreciente de datos útiles a transmitir por
paquete de datos, como existe, por ejemplo, en Interbus, se empeora
cada vez más la relación entre longitud de datos útiles y la
longitud total de los datos.
La solicitud de patente alemana 10 2004 039
932.8 de la misma Solicitante, a la que pertenece la presente
invención, representa un desarrollo, en el que se había propuesto el
cometido de acondicionar para el acoplamiento de bus seguro de
procesos relevantes para la seguridad otro camino nuevo y mejorado
para la transición desde la pluralidad de canales a un solo canal y
de asegurar de una manera sencilla de realizar, especialmente
también sencilla de verificar, una ausencia de reacción y la
independencia durante la creación de un protocolo dirigido a la
seguridad, que debe transmitirse como telegrama de seguridad a
través de un bus.
A tal fin se ha propuesto prever un
procedimiento para el acoplamiento de bus de un canal de un proceso
crítico para la seguridad, en el que un conjunto de datos relevante
para el proceso crítico para la seguridad es procesado a través de
al menos dos canales de procesamiento redundantes, especialmente de
forma específica del protocolo, de acuerdo con reglas idénticas
para obtener un protocolo dirigido a la seguridad y los protocolos
redundantes dirigidos a la seguridad son agrupados para el
acoplamiento del bus en un solo canal para obtener un protocolo
común dirigido a la seguridad, y en concreto accediendo desde cada
uno de los canales de procesamiento a un registro intermedio común,
en el que se predetermina solamente una vez para cada lugar del
registro una autorización de escritura, de tal manera que el
protocolo común dirigido a la seguridad, es decir, el telegrama de
seguridad a transmitir, se combina en el registro intermedio a
través de escritura forzosamente en porciones de diferentes
porciones, respectivamente, de los protocolos respectivos dirigidos
a la seguridad.
Por lo tanto, en este caso una ventaja esencial
era que, por una parte, ambos canales de procesamiento están en
condiciones de calcular el protocolo completo dirigido a la
seguridad, de manera que éste repercute positivamente sobre la
longitud necesaria del telegrama, puesto que todos los bits de datos
con los diferentes mecanismos de seguridad son conocidos
previamente ya en los canales de procesamiento redundantes y no
deben transmitirse bits de datos adicionales, que permitan en el
lado del receptor la deducción del cálculo perfecto. Además, se
garantiza que un canal de procesamiento por sí solo no está en
condiciones de emitir un telegrama de seguridad, de manera que el
control sobre la autorización de escritura de datos, predeterminada
solamente una vez en cada caso, en un lugar del registro representa
una posibilidad fácil de implementar y altamente eficiente para
garantizar, de manera independiente del sistema (de bus) utilizado,
una seguridad esencialmente elevada de coste favorable.
Por lo tanto, la realización de una unidad
inteligente para la aplicación del procedimiento de acuerdo con la
invención se podría garantizar ya a través de la aplicación de un
dispositivo que comprende al menos dos ordenadores redundantes, en
el que los ordenadores están configurados para el procesamiento de
un conjunto de datos de entrada idéntico aplicando reglas idénticas
para obtener en cada caso un protocolo dirigido a la seguridad y
los cuales están conectados a través de una disposición de circuito
con un registro intermedio común, de tal manera que para cada
ordenador existe una posibilidad de acceso de escritura para
determinados lugares del registro, respectivamente, y para cada
lugar de registro del registro intermedio existe una posibilidad de
acceso de escritura solamente para uno de los ordenadores,
respectivamente.
Por lo tanto, la invención posibilitaba ya a
través de la utilización de componentes estándar e
independientemente del sistema de bus respectivo, una solución fácil
de implementar, altamente dinámica y altamente eficiente para la
formación libre de reacción e independiente de un protocolo
respectivo dirigido a la seguridad.
No obstante, puesto que el protocolo dirigido a
la seguridad a transmitir solamente se genera, por lo tanto,
forzosamente en la memoria, se puede garantizar un incremento
adicional mucho más elevado de la seguridad o bien porque antes de
la escritura del protocolo común dirigido a la seguridad se
verifican en primer lugar la identidad mutua de los protocolos
dirigidos a la seguridad formados de manera redundante a través de
los canales de procesamiento, de manera que solamente se lleva a
cabo la formación de un protocolo común dirigido a la seguridad
bajo reacción a protocolos idénticos, dirigidos a la seguridad,
procesados de manera independiente entre sí a partir de un conjunto
de datos de entrada idéntico, o porque después de la escritura, pero
antes de una transmisión del protocolo común dirigido a la
seguridad desde el registro intermedio, por ejemplo en un bus, se
recurre desde cada uno de los canales de procesamiento redundantes a
lectura en cada lugar del registro, con el fin de realizar una
verificación del protocolo común dirigido a la seguridad
formado.
Un cometido de la presente invención es ahora
desarrollar la solución descrita en la solicitud de patente alemana
10 2004 039 932.8, de tal manera que manteniendo esta seguridad
incrementada, se concluye más rápidamente el proceso de
acoplamiento durante la escritura del protocolo dirigido a la
seguridad a través de los canales de procesamiento redundantes
seguros en un módulo común de memoria o de protocolo, y se puede
aplicar también en módulos de memoria o de protocolo, en los que no
es posible una lectura de datos inscritos.
La solución de acuerdo con la invención se
consigue de una manera muy sorprendente ya a través de un objeto con
las características de una de las reivindicaciones independientes
anexas.
Las formas de realización y los desarrollos
ventajosos y/o preferidos son objeto de las reivindicaciones
dependientes respectivas.
De acuerdo con la invención, se definen un
procedimiento de acuerdo con la reivindicación 1 y un dispositivo de
acuerdo con la reivindicación 15. Otras formas de realización se
definen a través de las reivindicaciones dependientes.
Por lo tanto, en este caso, una ventaja esencial
es que, por una parte, ambos canales de procesamiento están en
condiciones de calcular el protocolo completo dirigido a la
seguridad, de manera que esto repercute positivamente sobre la
longitud necesaria del telegrama, puesto que todos los bits de datos
con los diferentes mecanismos de seguridad son conocidos ya con
anterioridad en los canales de procesamiento redundantes y no deben
transmitirse bits de datos adicionales, que permiten en el lado del
receptor la deducción de un cálculo perfecto. Además, se garantiza
que un canal de procesamiento por sí solo no está en condiciones de
emitir un telegrama de seguridad, de manera que el control sobre la
autorización de escritura de datos, predeterminada solamente una vez
en cada caso, en un lugar del registro representa una posibilidad
fácil de implementar y altamente eficiente para garantizar, de
manera independiente del (sistema) de bus utilizado, una seguridad
esencialmente elevada de coste favorable.
Otras ventajas esenciales son, además, que el
procedimiento de acuerdo con la invención es más rápido en lo que
se refiere al proceso de acoplamiento, porque se realiza una
verificación de los datos a inscribir o bien una comparación de los
datos del protocolo seguros, procesados de forma redundante,
respectivos en lo que se refiere a la identidad mutua
inmediatamente durante el proceso de escritura de un dato o de
varios datos en el registro. Por lo tanto, la invención se puede
aplicar también a registros o memoria, que no posibilitan una
relectura.
La realización de una unidad inteligente para la
aplicación del programa de acuerdo con la invención se podría
garantizar ya a través de la aplicación de un dispositivo que
comprende al menos dos ordenadores redundantes, en el que los
ordenadores están configurados para el procesamiento de un conjunto
de datos de entrada idéntico aplicando reglas idénticas para
obtener en cada caso un protocolo dirigido a la seguridad y los
cuales están conectados a través de una disposición de circuito con
un registro (intermedio) común, de tal manera que para cada lugar
de registro solamente existe la posibilidad de un acceso de
escritura para uno de los ordenadores, respectivamente, y el acceso
al registro común para la deposición de las porciones a inscribir
está bloqueado hasta la verificación de las porciones a inscribir a
través de al menos otro de los ordenadores.
Por lo tanto, la invención posibilita ya a
través de la utilización de componentes estándar e
independientemente del sistema de bus respectivo, una solución
fácil de implementar, altamente dinámica y altamente eficiente para
la formación libre de reacción e independiente de un protocolo
respectivo dirigido a la seguridad y para la verificación de los
datos relevantes para la seguridad durante el proceso de escritura
incluso inmediatamente antes de la entrada en el módulo de memoria o
de registro.
Las reglas específicas de procesamiento para la
formación del telegrama de seguridad son en este caso adecuadas de
manera conveniente para cumplir los requerimientos de seguridad
respectivos, especialmente los requerimientos de seguridad para una
transmisión sencilla según SIL 3 IEC 61508.
Con preferencia, las autorizaciones de escritura
y los deberes de verificación respectivos están definidos o bien
asignados a través de la previsión de funcionalidades específicas de
maestro y/o subordinado, de manera que estas funcionalidades son
también variables y/o se pueden cambiar de acuerdo con ciclos
determinados. Para una aplicación sencilla en la práctica está
prevista, además, la utilización de un bus de direcciones común y de
un bus de datos común.
Por lo tanto, durante el proceso de escritura
las porciones de protocolo a inscribir en cada caso en al menos un
lugar del registro pueden ser transmitidas a través del canal de
procesamiento, que posee la autorización de escritura
correspondiente, al bus de datos y desde allí pueden ser leídas para
verificación a través de al menos otro canal de procesamiento.
Por ejemplo, el ordenador del primer canal de
procesamiento para uno o varios lugares de registro determinados
actúa como maestro y deposita los datos seguros correspondientes
calculados por él sobre el bus de datos, de manera que está
bloqueada todavía una liberación para la deposición sobre el módulo
de memoria. El ordenador del segundo canal de procesamiento actúa
como subordinado y verifica los datos depositados sobre el bus de
datos con los datos seguros calculados propios. Solamente cuando la
verificación ha dado como resultado la coincidencia de los datos,
se provoca la liberación para la deposición sobre el módulo de
memoria a través del ordenador verificador.
Por lo tanto, de manera conveniente, para la
liberación de una señal de escritura, es decir, para la anulación
del bloqueo de acceso, para la deposición de los datos a inscribir
sobre el módulo de memoria, está prevista al menos la emisión de una
señal de liberación a través del ordenador verificador.
Con preferencia, además, está previsto e
requerimiento de una señal de liberación desde el ordenador de
escritura al menos después de la transmisión de las porciones del
protocolo al bus de datos para la liberación de una señal de
escritura.
Para la previsión de un lugar de registro
respectivo, en el que deben inscribirse realmente porciones de
protocolo, se ha revelado que es conveniente la transmisión de las
direcciones correspondiente al bus de direcciones común.
De acuerdo con las funcionalidades de
maestro/subordinado asignadas, se realiza la transmisión de una
dirección para la determinación de un lugar de registro y la
escritura de porciones de protocolo para este lugar de registro a
través del mismo canal de procesamiento o a través de diferentes
canales de procesamiento.
Para la supervisión de la función de los canales
de procesamiento y/o de los ordenadores está comprendido, además, de
manera preferida un componente vigilante conectado con los canales
de procesamiento y/o los ordenadores y el registro intermedio.
Con preferencia, además, el requerimiento de una
señal de liberación desde el componente vigilante para la
liberación del acceso al registro intermedio común para la
deposición de porciones a inscribir es una señal de liberación. Si
no está presenta esta señal, por ejemplo debido a fallo o error de
un ordenador, no se puede generar, como consecuencia de ello,
tampoco ningún telegrama de seguridad completo, de manera que se
reconoce forzosamente un error y se puede activar una función
dirigida a la seguridad. De este modo se pueden realizar también
procedimientos de ensayo de una manera sencilla en la práctica.
Especialmente para una sincronización entre los
ordenadores, los ordenadores desacoplados mutuamente en sí y por sí
están conectados entre sí, además, con preferencia a través de una
interfaz de comunicación.
Especialmente para garantizar en cada caso
después de un procesamiento específico del protocolo de los datos
de entrada para obtener un protocolo dirigido a la seguridad su
registro en memoria y transmisión específica del protocolo al bus,
de manera que el protocolo dirigido a la seguridad cumpla las
previsiones basadas en la aplicación respectiva, especialmente en
función del bus y/o de los procesos, en un conjunto de datos de
protocolo seguro, un ordenador comprende, de acuerdo con una forma
de realización, respectivamente, un chip de protocolo integrado. En
configuración alternativa, el chip del protocolo puede estar
conectado también en el lado de salida en un ordenador. Para evitar
tales chips de protocolo integrados o conectados a continuación y,
por lo tanto, también para la reducción de componentes y de costes,
se propone en otra forma de realización especialmente conveniente
acondicionar el ordenador con un software configurado de manera
correspondiente para el procesamiento y transmisión de los datos
específica del protocolo.
El dispositivo de acuerdo con la invención puede
estar configurado como unidad usuaria del bus, de manera que los
ordenadores están conectados a tal fin de manera conveniente en el
lado de entrada al menos con canales de entrada para la conexión de
un canal o de múltiples canales de unidades de entrada de datos de
proceso y de una manera correspondiente para el registro de un
canal o de múltiples canales de datos de entrada a procesar
relevantes para la seguridad, o está configurado como unidad de
control del bus, que genera, por ejemplo, los datos de entrada a
procesar relevantes para la seguridad. Por lo tanto, los ordenadores
están configurados especialmente como
micro-controladores o como unidades centrales de
procesos (CPU).
La disposición de circuito para la conexión de
acuerdo con la invención de los ordenadores o, dado el caso, de los
chips de protocolo conectados a continuación de los ordenadores está
configurada, en una forma de realización preferida, como circuito
lógico sencillo, de manera que se pueden utilizar también circuitos
altamente integrados, por ejemplo en forma de un FPGA (Field
Programmable Gate Array) y pueden tener una ventaja adicional de
manera específica de la aplicación.
El registro intermedio presenta una interfaz, a
través de la cual el protocolo común dirigido a la seguridad
depositado se puede acoplar con un solo canal directamente en el
bus, por ejemplo un Interbus, o se puede transmitir con un solo
canal a otra instalación de acoplamiento del bus, configurada de
manera específica de la aplicación y conectada delante del bus,
pudiendo utilizarse como instalación de acoplamiento de bus de
manera específica de la aplicación especialmente otro chip de
protocolo, otro micro-controlador u otra unidad
inteligente.
Por lo tanto, como registro intermedio es
suficiente ya una RAM estándar. No obstante, en un desarrollo
preferido, está previsto especialmente configurar el registro
intermedio o bien la memoria intermedia en forma de una memoria de
doble puerto (DPM), para que los ordenadores se puedan conectar de
una manera muy sencilla y de coste favorable a través de uno de los
dos puertos de interfaz y se pueda realizar a través del segundo
puerto de interfaz el acoplamiento de un canal en el bus. De manera
especialmente conveniente, a través de la invención se posibilita
también el empleo de módulos de memoria que no se pueden releer,
como por ejemplo un chip de ampliación de registro en serie.
Otras características y ventajas de la invención
se deducen a partir de la descripción detallada siguiente de una
forma de realización preferida, pero solamente ejemplar de la
invención con referencia a los dibujos adjuntos.
En los dibujos:
La figura 1 muestra un esbozo de principio
esquemático para la formación redundante de protocolos dirigidos a
la seguridad para un telegrama de seguridad a transmitir por medio
de canales de procesamiento redundantes y la formación siguiente de
un protocolo común idéntico dirigido a la seguridad, teniendo en
cuenta todos los protocolos redundantes dirigidos a la seguridad y
bajo el control de una regla de escritura y de verificación con
relación a las porciones a transmitir/aceptar, respectivamente, a
partir de los protocolos dirigidos a la seguridad.
La figura 2 muestra un diagrama funcional
posible de una aplicación de la invención, sobre la base de dos
micro-controladores que calculan, respectivamente,
de forma redundante el protocolo completo dirigido a la seguridad,
y
Las figuras 3 y 4 muestran realizaciones
conocidas para la transición de dos canales a un solo canal.
En la figura 1 se representan dos canales de
procesamiento 1 y 2 redundantes de una unidad de usuario del bus o
unidad de control del bus no representadas en detalle para el
acoplamiento de un solo canal de un proceso crítico para la
seguridad en un bus 40, por ejemplo un Interbus. En el caso de una
unidad de usuario del bus, cada uno de los canales de procesamiento
está conectado con unidades de entrada/salida, como por ejemplo
sensores y/o actuadores, no representados tampoco, asociados al
proceso crítico para la seguridad.
Se ponen a la disposición de una unidad de
usuario del bus con aplicación en el lado del sensor, por lo tanto,
de acuerdo con el tipo de conexión específica de un canal o de dos
canales, datos de entrada idénticos para los canales de
procesamiento 1 y 2, relevantes para el proceso crítico para la
seguridad y se depositan de una manera más conveniente en primer
lugar en la memoria 12 y 22, respectivamente, para el procesamiento
posterior. Especialmente en el caso de una unidad de control del
bus, los datos a asegurar, es decir, los datos de entrada y/o datos
de salida relevantes para la seguridad, que deben acondicionarse
antes de una transmisión al bus, como se describe a continuación,
se encuentran en las memorias 12 y 22, respectivamente.
Los datos de entrada y/o datos de salida son
procesados en primer lugar antes de la transmisión en un solo canal
de un telegrama de seguridad a través del bus 40, de forma
redundante aplicando las mismas reglas para obtener un protocolo 14
y 24, respectivamente, dirigido a la seguridad. Los canales de
procesamiento 1 y 2 comprenden a tal fin en cada caso un
micro-controlador 11 y 21 para la
preparación/procesamiento respectivos de los datos de entrada y/o
datos de salida relevantes para la seguridad, que se encuentran en
la memoria 12 ó 22, para obtener el protocolo 13 y 24,
respectivamente, dirigido a la seguridad. Los protocolos seguros 14
ó 24 calculados por los micro-controladores 11 y 21
pueden estar depositados en cada caso en un chip de protocolo
conectado a continuación del micro-controlador 11 ó
21, que recibe el protocolo 14 ó 24, respectivamente, dirigido a la
seguridad, calculado por el micro-controlador 11 ó
21 respectivo, para la transmisión posterior al bus 40. En forma de
realización alternativa, los micro-controladores 11
y 21 pueden comprender también un software configurado de forma
correspondiente, de manera que la transmisión siguiente, descrita a
continuación, de los protocolos 14 y 24 calculados el bus se realiza
a través de los propios micro-controladores 11 y
21.
Los protocolos 14 y 24 calculados, seguros o
bien dirigidos a la seguridad son, por lo tanto, idénticos, si no
se ha producido ningún error o fallo en el cálculo. Hay que indicar
que los protocolos seguros están constituidos en este caso
evidentemente de tal forma que cumplen los requerimientos de la
Norma para una transmisión dirigida a la seguridad.
Para la elevación adicional de la seguridad, de
acuerdo con la invención está prevista, antes de la transmisión de
un telegrama seguro a través del bus 40, la formación común de otro
protocolo idéntico común, dirigido a la seguridad, que se puede
transmitir a continuación en un solo canal al bus 40 para la
transmisión. Este protocolo común dirigido a la seguridad se forma
con la participación de los dos canales de procesamiento 1 y 2
redundantes y teniendo en cuenta los datos del protocolo seguro 14 y
los datos del protocolo seguro 24 en una memoria intermedia o
registro intermedio 30, al que puede acceder cada uno de los canales
de procesamiento 1 y 2.
Para impedir que este protocolo a formar en
común, dirigido a la seguridad, solamente sea constituido teniendo
en cuenta datos calculados desde uno solo de los canales de
procesamiento 1 ó 2, lo que equivaldría, por lo tanto, a la emisión
de un telegrama de seguridad solamente a través de uno de los
micro-controladores 11 ó 21, por ejemplo en virtud
de la producción de un fallo de uno de los dos
micro-controladores, una regla de acceso definida o
definible controla los derechos de escritura en la memoria
intermedia 30. La regla de acceso determina a tal fin que desde
cada canal de procesamiento 1 y 2 solamente se pueden depositar
partes del protocolo dirigido a la seguridad, calculado en cada
caso, durante la escritura para la formación del protocolo común
dirigido a la seguridad en lugares de registro correspondientes de
la memoria intermedia 30, cuando el
micro-controlador 11 ó 21 respectivo tiene una
autorización de escritura para los lugares respectivos de la memoria
y los datos a inscribir son idénticos con los datos calculados
correspondientes desde el otro canal de procesamiento respectivo.
Por lo tanto, de acuerdo con la invención, para cada lugar de la
memoria o lugar de registro se define solamente en cada caso una
autorización de escritura y durante la escritura se realiza
adicionalmente todavía una verificación de los datos a
inscribir.
Por consiguiente, de esta manera se realiza un
mecanismo de bloqueo extraordinariamente efectivo, que durante la
escritura de un dato respectivo solamente permite el acceso a la
memoria intermedia 30 para la deposición en un lugar
correspondiente de la memoria cuando el dato a inscribir procede del
canal de procesamiento 1 ó 2, que tiene la autorización de
escritura para este lugar de la memoria y ambos protocolos seguros
14 y 24 calculados son idénticos.
La invención prevé con preferencia a tal fin que
uno de los micro-controladores 11, 21 funcione,
respectivamente, como maestro y el otro funcione como subordinado,
estando conectados ambos micro-controladores 11 y 21
a través de un bus de datos común 103 y bus de direcciones 102
(figura 2) en la memoria intermedia 30. De manera más conveniente,
el maestro determina el (los) lugar(res) de la memoria, en
los que debe inscribir en cada caso un dato o varios datos. Además,
el maestro determina, en una forma de realización preferida,
respectivamente, el micro-controlador que inscribe
y que realiza la verificación durante la inscripción.
Si, por ejemplo, de acuerdo con la figura 1, el
micro-controlador 11 es el maestro y el
micro-controlador 21 es el subordinado, entonces el
maestro 11 deposita, en el caso representado, la(s)
dirección(es) correspondiente(s) al (los)
lugar(es) de la memoria en el bus de direcciones 102 (figura
2) y el (los) dato(s) del protocolo seguro 14
calculado(s) por él mismo para esta(s)
dirección(es) en el bus de datos 103 (figura 1). De acuerdo
con la figura 1, el maestro 11 predetermina las direcciones de la
memoria para el Byte X+1, el Byte X+2 y el Byte X+3 y deposita su
Byte X-1, Byte X+2 y Byte X+3 calculado en el bus de
datos 103. Estos datos depositados sobre el bus de datos 103,
identificados en la figura 1 con 14, son comparados por el
subordinado 21 con los datos propios, calculados por él mismo, para
la dirección depositada, como se indica con el número de referencia
25 en la figura 1. En caso de coincidencia de los datos, el
subordinado 21 transmite una señal de liberación 26 a la memoria
intermedia 30, después de lo cual se libera la señal de escritura
para la memoria. Con la reacción a la señal de liberación 26 se
lleva a cabo de esta manera la aceptación de la porción segura del
protocolo 14' desde el bus de datos 103 en la memoria 30.
Si esta "verificación" conduce a un
resultado desigual, se reconoce forzosamente un error y se inicia
una función dirigida a la seguridad.
En la forma de realización representada en la
figura 1, se emite opcionalmente también desde el maestro 11 una
señal de liberación 16, después de haber depositado su porción de
protocolo segura calculada en el bus de datos 103. Por
consiguiente, solamente se realiza la aceptación cuando están
presentes ambas liberaciones, lo que conduce a una elevación todavía
mayor de la seguridad.
Por lo tanto, en este caso se realiza una
comparación del protocolo seguro inmediatamente durante la escritura
de un dato o de varios datos, pero antes de la deposición en la
memoria 30. Puesto que la comparación se realiza durante la
escritura, el procedimiento de acuerdo con la invención trabaja más
rápidamente que en los procedimientos conocidos hasta ahora, que
realizan una comparación antes de la escritura o después de la
escritura a través de relectura. Además, este procedimiento se
puede aplicar con seguridad también en medios de memoria, que no se
pueden releer, como por ejemplo en módulos SRE.
Por consiguiente, no es ya forzosamente
necesario un acceso de lectura completo a la memoria.
La invención comprende, además, formas de
realización, en las que se realiza un comportamiento alternativo de
los micro-controladores, es decir, que el
micro-ordenador que trabaja como maestro deposita la
dirección y el micro-controlador que actúa como
subordinado deposita a continuación los datos seguros
correspondientes sobre el bus de datos. A continuación, el maestro
compara los datos seguros con los datos propios calculados por él
mismo y en caso de coincidencia libera la señal de escritura
correspondiente.
También es concebible un cambio cíclico, en el
que cada uno de los micro-controladores funciona
alternando una vez como maestro y una vez como subordinado.
Además, por ejemplo, también el maestro puede
depositar el protocolo seguro calculado completo, en general, en el
bus de datos y las direcciones correspondientes de los lugares de la
memoria en el bus de direcciones, de manera que el subordinado
compara, en general, el protocolo seguro completo depositado en el
bus de datos con el protocolo seguro propio, calculado por él
mismo.
Una autorización de escritura respectiva se
define, por lo tanto, con preferencia a través de un mecanismo de
maestro y subordinado.
Por lo tanto, como memoria intermedia se puede
emplear, además de una RAM estándar o DPM estándar ya suficiente,
ria que no se puede releer, como por ejemplo un chip de ampliación
de registro en serie (SRE).
La memoria intermedia 30 puede disponer también
de otra interfaz, con la que se puede transmitir el protocolo
seguro formado en común, depositado en esta memoria, o bien el
mensaje seguro para la transmisión a un chip de protocolo o a otra
unidad inteligente, desde la que se realiza, por ejemplo, el
acoplamiento de un canal en el bus 40.
La figura 2 representa a modo de ejemplo, pero
utilizando software descrito anteriormente en lugar de chips de
protocolo, un diagrama funcional posible de una aplicación de la
autorización de escritura esbozada en la figura 1 así como de los
mecanismos de comparación y de liberación como base para la
verificación de acuerdo con la invención durante el proceso de
escritura.
Como se puede ver en la figura 2, la zona
representada a la izquierda, identificada con M, comprende la
arquitectura de múltiples canales con consideración de la seguridad
y la zona derecha, identificada en la figura 2 con E, comprende la
arquitectura de un solo canal con el protocolo dirigido a la
seguridad formado en común, a transmitir como telegrama de
seguridad. La consideración de la seguridad de la arquitectura
redundante termina con la comparación y deposición de los mensajes
seguros o bien del protocolo seguro en la memoria 30, puesto que a
partir de allí interviene el mecanismo de seguridad del protocolo
seguro, puesto que los errores posibles a partir de aquí son
aceptados y considerados, en principio, para una transmisión y, por
consiguiente, debe ser también controlables. Un error a contemplar
aquí desde el principio para la verificación y certificación de
"Sistemas de bus para la transmisión de mensajes revelantes para
la seguridad" es, por ejemplo, una falsificación de mensajes.
Por lo tanto, esencialmente sobre la base de la
figura 1, los dos micro-procesadores 11 y 21 están
desacoplados de una manera conocida en sí, como se identifica en la
figura 2 con el signo de referencia 100 y, además, están conectados
entre sí a través de una interfaz de comunicación 101 para la
verificación mutua adicional de los protocolos 14 y 24 dirigidos a
la seguridad, calculados en cada caso por separado, antes de una
escritura de datos para la formación común de un protocolo seguro
en la memoria 30 y/o para la sincronización mutua.
Los micro-controladores 11 y 21
están conectados a través de un bus de direcciones común 102 para la
dirección Ax con x entre 0 y N y un bus de datos común 103 para los
datos Dx con x entre 0 y N directamente en los pins
correspondientes del módulo-SRE 30 representado en
la figura 2 como memoria. El módulo-SRE 30 dispone
de otra interfaz, a través de la cual se puede conectar un chip de
protocolo 35, pero también otra memoria esencialmente discrecional,
un micro-controlador o similar de una manera
específica de la aplicación.
En el presente caso está conectado un OPC
(Optical Protocol Chip) como chip de protocolo que está acoplado de
nuevo con el bus 40. El módulo-SRE 30 sirve, por lo
tanto, también para la ampliación de la anchura de los datos del
chip de protocolo OPC 35.
Las señales/CS (Chipselect) de los dos
micro-controladores 11 y 21, identificadas en la
figura 2 como/CS_\muC1 o bien/CS_\muC2, están enlazadas con Y
lógica. Esto corresponde en este caso, en virtud de la lógica
negativa de las señales/CS a una puerta-O. De esta
manera, solamente se puede activar la señal/CS_SRE del SRE cuando
ambos micro-controladores 11 y 21 colocan su
señal/CS en baja.
\newpage
De acuerdo con las señales/CS, también las
señales de escritura, es decir, las señales/WR de los dos
micro-controladores 11 y 21, identificadas en la
figura 2 como/WR_\muC1 y/WR_\muC2, respectivamente, están
enlazadas con Y lógica, lo que corresponde de nuevo a una
puerta-O. La señal/WR_\muC1 + \muC2, que resulta
a partir del enlace de la señal/WR_\muC1 y de la
señal/WR_\muC2, está enlazada de nuevo, en el ejemplo
representado, con Y lógica con la señal de otro
micro-controlador \muC3, de manera que también
este micro-controlador debe colocar su señal de
escritura/WR_\muC3 en baja, antes de que pueda aplicar una señal
de escritura en el SRE. Ésta puede ser, por ejemplo, la liberación
general y/o final por medio de un circuito vigilante.
De esta manera, la señal/WR_SRE del SRE
solamente se puede activar cuando ambos
micro-controladores 11 y 21 colocan su señal de
escritura en baja y adicionalmente existe la liberación del tercer
micro-controlador \muC3 que acondiciona el
circuito vigilante.
Por consiguiente, se posibilita también de una
manera sencilla la supervisión y seguridad de la autorización de
escritura definida, en el presente ejemplo, por medio de la división
maestro - subordinado de los micro-controladores 11
y 21 así como la funcionalidad de comparación, puesto que los
impulsos o las secuencias de impulsos generados en cada caso
durante la escritura y la comparación pueden ser supervisados de
manera fiable por medio de un micro-controlador
\muC3 interacoplado de esta manera o similar como circuito
vigilante.
Si ambos micro-controladores 11
y 21 han calculado, respectivamente, su mensaje seguro, entonces por
ejemplo el micro-controlador 11 deposita una
dirección en el bus de direcciones 102 y a continuación deposita los
datos en el bus de datos 103. Al mismo tiempo, coloca la
señal/CS_\muC1 y la señal/WR_\muC1 en baja. Esto corresponde a
la liberación para la escritura de los datos en la memoria 30 desde
el punto de vista del micro-controlador 11. No
obstante, no es todavía posible un acceso a la memoria 30 para la
deposición del/de los datos a inscribir, en virtud del circuito de
la figura 2, debido a la ausencia de la liberación desde el segundo
micro-controlador 21.
El micro-controlador 21 compara
ahora el dato o los datos del micro-controlador 11
para el lugar correspondiente de la memoria con la parte segura del
protocolo correspondiente, calculada por él mismo para este lugar de
la memoria. Si ambos datos son idénticos, entonces se lleva a cabo
la liberación desde el micro-controlador 21 para la
señal/CS, es decir, que se coloca/CS_\muC2 en baja y a
continuación se realiza la liberación para la señal/WR, de manera
que se coloca/WR_\muC2 en baja.
Cuando el circuito vigilante \muC3 no se ha
cerrado y, por lo tanto, la secuencia real de impulsos es igual a
la secuencia definida, es decir, que la señal/WR_\muC3 está baja,
se puede realizar la deposición de los datos a inscribir en la
memoria, puesto que están presentes todas las liberaciones y, por
consiguiente, tanto la señal/CS_SRE como también la
señal/WR-SRE están colocadas, respectivamente,
bajas.
De acuerdo con el módulo de memoria utilizado y
las autorizaciones de lectura definidas, partiendo del ejemplo de
realización representado aquí, en el caso de protocolos o mensajes
seguros recibidos en dirección inversa, en principio, solamente se
puede leer un protocolo seguro depositado en la memoria 30 desde un
micro-controlador cuando éste activa su señal/RD y
ambos micro-controladores activan su señal/CS.
El ciclo descrito presupone, por lo tanto, una
expectación y sincronización entre los
micro-controladores, para poder depositar un
protocolo seguro válido en la memoria 30, que asegura un aspecto
esencial para la consecución de la seguridad requerida.
El diagrama funcional representado en la figura
2 se puede realizar ya a través de un circuito lógico sencillo,
pero también se puede realizar, por ejemplo, a través de un FPGA.
Además, es evidente que en lugar del SRE 30 representado en la
figura 2, se puede emplear también una RAM estándar sencilla. Está
claro para un técnico que la disposición de circuito representada
en la figura 2 representa solamente una de las posibles aplicaciones
técnicas. Una regla de acceso de escritura y el mecanismo de
verificación durante la estructura de acuerdo con la invención se
pueden aplicar, además, para más de dos ordenadores/canales de
procesamiento redundantes. Así, por ejemplo, en el caso de un
acoplamiento de un proceso crítico para la seguridad desde un
entorno de más de dos canales a un entorno de un canal, de una
manera correspondiente también más de dos
micro-controladores redundantes están implicados en
la comparación, en el bloqueo y en la liberación.
Claims (28)
1. Procedimiento para el acoplamiento de un
proceso crítico para la seguridad a partir de un entorno seguro, que
presenta al menos dos canales de procesamiento redundantes a un
entorno no seguro o un entorno seguro que, sin embargo, presenta
menos canales de procesamiento, en el que un conjunto de datos
relevantes para el proceso crítico para la seguridad es procesado a
través de al menos dos canales de procesamiento redundantes (1, 2)
de acuerdo con reglas idénticas para obtener en cada caso un
protocolo seguro (14, 24), y teniendo en cuenta al menos dos
protocolos seguros redundantes (14, 24) se forma para el
acoplamiento un protocolo seguro común y, en concreto, se accede a
través de cada uno de los canales de procesamiento (1, 2) a un
registro intermedio (30) común, en el que para cada lugar del
registro se predetermina solamente una vez una autorización de
escritura, caracterizado porque durante el proceso de
escritura al menos de porciones (14') del protocolo seguro común a
través de un canal de procesamiento (1) autorizado para la
escritura, se verifica (25) en primer lugar la identidad mutua de
estas porciones (14') a través de al menos otro canal de
procesamiento (2), y se libera el acceso al registro intermedio
común para la deposición de estas porciones solamente en caso de
identidad mutua.
2. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque las
autorizaciones de escrituras y los deberes de verificación
respectivos son determinados a través de la previsión de
funcionalidades específicas de maestro y/o subordinado para los
canales de procesamiento (1, 2).
3. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque las
funcionalidades específicas de maestro y/o subordinado para los
canales de procesamiento (1, 2) se cambian según ciclos
determinados.
4. Procedimiento de acuerdo con una de las
reivindicaciones precedentes, caracterizado porque a través
de cada uno de los canales de procesamiento (1, 2) se accede al
mismo bus de direcciones (102) conectado con el registro intermedio
y se accede al mismo bus de datos (103) conectado con el registro
intermedio.
5. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque
durante el proceso de escritura se transmiten las porciones del
protocolo (14'), a inscribir en cada caso en al menos un lugar del
registro, a través del canal de procesamiento (1) que posee la
autorización de escritura correspondiente, al bus de datos (103), y
desde allí son leídas para la verificación a través de al menos otro
canal de procesamiento (2).
6. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque a
través de al menos un canal de procesamiento (2) que lleva a cabo la
verificación, se emite después de realizada la verificación una
señal de liberación (26) para la liberación de la señal de escritura
para el registro intermedio.
7. Procedimiento de acuerdo con una de las dos
reivindicaciones precedentes, caracterizado, además, porque a
través del canal de procesamiento (1) a inscribir se emite una señal
de liberación (16) después de la transmisión de las porciones del
protocolo al bus de datos (103).
8. Procedimiento de acuerdo con una de las
cuatro reivindicaciones precedentes, caracterizado, además,
porque se predetermina un único lugar del registro para la
inscripción de porciones de protocolo a través de uno de los canales
de procesamiento (1, 2) por medio de la transmisión de la dirección
correspondiente al bus de direcciones (102).
9. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque la
transmisión de una dirección para la determinación de un lugar del
registro y la escritura de porciones del protocolo para este lugar
del registro se realizan a través del mismo canal de procesamiento o
a través de diferentes canales de procesamiento.
10. Procedimiento de acuerdo con una de las
reivindicaciones precedentes, caracterizado, además, porque
para la supervisión de la función de los canales de procesamiento
(1, 2) se utiliza un componente vigilante conectado entre los
canales de procesamiento (1, 2) y el registro intermedio.
11. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque se
necesita una señal de liberación desde el componente vigilante para
la liberación del acceso al registro intermedio común para la
deposición de porciones a inscribir.
12. Procedimiento de acuerdo con la
reivindicación precedente, caracterizado, además, porque como
registro intermedio (30) se utiliza una RAM estándar, una DPM
estándar, o un módulo de memoria/protocolo que no se puede releer,
especialmente un chip de ampliación de registro en serie.
13. Procedimiento de acuerdo con una de las
reivindicaciones precedentes, caracterizado, además, porque
el protocolo seguro común es transmitido desde el registro
intermedio (30) por un canal a otra instalación de acoplamiento (35)
configurada de manera específica de la aplicación.
14. Procedimiento de acuerdo con una de las
reivindicaciones precedentes, que se utiliza para el acoplamiento de
bus de un canal del proceso crítico para la seguridad.
\newpage
15. Dispositivo para el acoplamiento de un
proceso crítico para la seguridad a partir de un entorno seguro, que
presenta al menos dos canales de procesamiento redundantes a un
entorno no seguro o un entorno seguro que, sin embargo, presenta
menos canales de procesamiento, que comprende al menos dos
ordenadores redundantes (11, 21) para el procesamiento de un
conjunto de datos de entrada idéntico utilizando reglas idénticas
para obtener en cada caso un protocolo seguro (14, 24), y una
disposición de circuito para la conexión de cada ordenador (11, 21)
con un registro intermedio común (30), de tal manera que para cada
lugar de registro del registro intermedio (30) solamente existe una
posibilidad de acceso de escritura, respectivamente, para uno de los
ordenadores, y está bloqueado el acceso al registro intermedio común
para una deposición de porciones a inscribir hasta la verificación
de las porciones a inscribir a través de al menos otro
ordenador.
16. Dispositivo de acuerdo con la reivindicación
precedente, caracterizado, además, porque se asignan a los
ordenadores autorizaciones de escritura o deberes de verificación a
través de funcionalidades de maestro y/o subordinado específicas,
pero variables.
17. Dispositivo de acuerdo con una de las
reivindicaciones 15 ó 16, caracterizado, además, porque la
disposición de circuito comprende un bus común de direcciones (102)
y un bus común de datos (103).
18. Dispositivo de acuerdo con una de las
reivindicaciones precedentes 15 a 17, caracterizado, además,
porque los ordenadores (11, 21) están conectados entre sí a través
de una interfaz de comunicaciones (101).
19. Dispositivo de acuerdo con una de las
reivindicaciones precedentes 15 a 18, caracterizado, además,
porque la disposición de circuito requiere para la liberación de una
señal de escritura para el acceso al registro una señal de
liberación (26) del ordenador que realiza la verificación.
20. Dispositivo de acuerdo con la reivindicación
precedente, caracterizado, además, porque la disposición de
circuito requiere para la liberación de una señal de escritura para
el acceso al registro una señal de liberación (16) del ordenador de
escritura.
21. Dispositivo de acuerdo con una de las
reivindicaciones precedentes 15 a 20, caracterizado, además,
porque la disposición de circuito para la verificación de la función
de los ordenadores (11, 21) comprende un componente vigilante
conectado con los ordenadores (11, 21) y el registro intermedio.
22. Dispositivo de acuerdo con la reivindicación
precedente, caracterizado, demás, porque la liberación del
acceso al registro intermedio común para la deposición de porciones
a inscribir se realiza solamente bajo reacción a una señal de
liberación del componente vigilante.
23. Dispositivo de acuerdo con una de las
reivindicaciones anteriores 15 a 22, caracterizado, además,
porque los ordenadores (11, 21) comprenden, respectivamente, un chip
de protocolo integrado o están conectados en el lado de salida con
un chip de protocolo (13, 23) o comprenden un software que
acondiciona la función del chip de protocolo.
24. Dispositivo de acuerdo con una de las
reivindicaciones anteriores 15 a 23, caracterizado, además,
porque el dispositivo está configurado como unidad de usuario de bus
y los ordenadores están conectados en el lado de entrada al menos
con canales de entrada para la conexión de unidades de entrada de
datos de proceso o porque el dispositivo está configurado como
unidad de control del bus.
25. Dispositivo de acuerdo con una de las
reivindicaciones anteriores 15 a 24, caracterizado, además,
porque la disposición de circuito está configurada en lógica
sencilla o como FPGA.
26. Dispositivo de acuerdo con la reivindicación
precedente, caracterizado, además, porque el registro
intermedio (30) es una RAM estándar, una DPM estándar o una memoria
que no se puede releer, especialmente un chip de ampliación de
registro en serie.
27. Dispositivo de acuerdo con una de las
reivindicaciones anteriores 15 a 26, caracterizado, además,
porque el registro intermedio (30) presenta una interfaz para un
acoplamiento de bus de un canal directo o para la conexión de un
canal a una instalación de acoplamiento de bus (35) configurada de
forma específica de la aplicación.
28. Dispositivo de acuerdo con una de las
reivindicaciones anteriores 15 a 27, que está adaptado para un
acoplamiento de bus de un canal del proceso crítico para la
seguridad.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102006002824 | 2006-01-19 | ||
DE102006002824A DE102006002824B4 (de) | 2006-01-19 | 2006-01-19 | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2333550T3 true ES2333550T3 (es) | 2010-02-23 |
Family
ID=38024153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES07000939T Active ES2333550T3 (es) | 2006-01-19 | 2007-01-17 | Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. |
Country Status (6)
Country | Link |
---|---|
US (1) | US7945818B2 (es) |
EP (1) | EP1811722B1 (es) |
CN (1) | CN101078922B (es) |
AT (1) | ATE450954T1 (es) |
DE (2) | DE102006002824B4 (es) |
ES (1) | ES2333550T3 (es) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2348747T3 (es) * | 2006-02-17 | 2010-12-13 | PHOENIX CONTACT GMBH & CO. KG | Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. |
DE102007007537A1 (de) * | 2007-02-15 | 2008-08-21 | Siemens Ag | Leitsystem einer technischen Anlage |
ATE526614T1 (de) * | 2007-03-19 | 2011-10-15 | Siemens Ag | Einrichtung und verfahren zur automatischen erkennung und unterscheidung von an eine zweikanalige sicherheitskombination angeschlossenen ein- oder zweikanaligen elektronischen sensoren |
DE102007063291A1 (de) * | 2007-12-27 | 2009-07-02 | Robert Bosch Gmbh | Sicherheitssteuerung |
DE102009042368B4 (de) * | 2009-09-23 | 2023-08-17 | Phoenix Contact Gmbh & Co. Kg | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
JP2011096163A (ja) * | 2009-11-02 | 2011-05-12 | Fujitsu Ltd | レジスタアクセス制御方法およびレジスタアクセス制御回路 |
DE102011018431A1 (de) | 2011-04-21 | 2012-10-25 | Giesecke & Devrient Gmbh | Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts |
DE102011115135A1 (de) * | 2011-10-07 | 2013-04-11 | Giesecke & Devrient Gmbh | Mikroprozessorsystem mit gesicherter Laufzeitumgebung |
DE102018000559A1 (de) | 2018-01-24 | 2019-07-25 | WAGO Verwaltungsgesellschaft mit beschränkter Haftung | System zum erzeugen eines datenstroms auf basis redundanter informationen |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4131941A (en) * | 1977-08-10 | 1978-12-26 | Itek Corporation | Linked microprogrammed plural processor system |
AU568977B2 (en) | 1985-05-10 | 1988-01-14 | Tandem Computers Inc. | Dual processor error detection system |
US4967347A (en) * | 1986-04-03 | 1990-10-30 | Bh-F (Triplex) Inc. | Multiple-redundant fault detection system and related method for its use |
JPH05128080A (ja) * | 1991-10-14 | 1993-05-25 | Mitsubishi Electric Corp | 情報処理装置 |
US5751955A (en) | 1992-12-17 | 1998-05-12 | Tandem Computers Incorporated | Method of synchronizing a pair of central processor units for duplex, lock-step operation by copying data into a corresponding locations of another memory |
US6161208A (en) * | 1994-05-06 | 2000-12-12 | International Business Machines Corporation | Storage subsystem including an error correcting cache and means for performing memory to memory transfers |
FR2721122B1 (fr) | 1994-06-14 | 1996-07-12 | Commissariat Energie Atomique | Unité de calcul à pluralité de calculateurs redondants. |
DE4444688A1 (de) * | 1994-12-15 | 1996-06-20 | Abb Patent Gmbh | Verfahren zur hochzuverlässigen und konsistenten Nachrichtenübertragung |
DE19532639C2 (de) * | 1995-08-23 | 2000-11-30 | Siemens Ag | Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten |
US6161202A (en) * | 1997-02-18 | 2000-12-12 | Ee-Signals Gmbh & Co. Kg | Method for the monitoring of integrated circuits |
DE19716197A1 (de) * | 1997-04-18 | 1998-10-22 | Itt Mfg Enterprises Inc | Mikroprozessorsystem für sicherheitskritische Regelungen |
DE19742716C5 (de) * | 1997-09-26 | 2005-12-01 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
DE19920299B4 (de) * | 1999-05-03 | 2008-01-03 | Siemens Ag | Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale |
DE19939567B4 (de) * | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
DE19949051A1 (de) * | 1999-10-11 | 2001-04-12 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug |
US6732300B1 (en) * | 2000-02-18 | 2004-05-04 | Lev Freydel | Hybrid triple redundant computer system |
DE10065907A1 (de) * | 2000-11-29 | 2002-09-26 | Heinz Gall | Verfahren zum gesicherten Datentransport |
DE10119791B4 (de) * | 2001-04-23 | 2006-11-02 | Siemens Ag | Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem |
DE60237888D1 (de) * | 2001-06-22 | 2010-11-18 | Omron Tateisi Electronics Co | Sicherheitsnetzwerksystem, sicherheits-slave und sicherheitssteuerung |
DE10301504B3 (de) * | 2003-01-17 | 2004-10-21 | Phoenix Contact Gmbh & Co. Kg | Einsignalübertragung sicherer Prozessinformation |
US7130703B2 (en) * | 2003-04-08 | 2006-10-31 | Fisher-Rosemount Systems, Inc. | Voter logic block including operational and maintenance overrides in a process control system |
DE102004039932A1 (de) * | 2004-08-17 | 2006-03-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
DE102005010820C5 (de) * | 2005-03-07 | 2014-06-26 | Phoenix Contact Gmbh & Co. Kg | Kopplung von sicheren Feldbussystemen |
-
2006
- 2006-01-19 DE DE102006002824A patent/DE102006002824B4/de not_active Withdrawn - After Issue
-
2007
- 2007-01-17 DE DE502007002132T patent/DE502007002132D1/de active Active
- 2007-01-17 EP EP07000939A patent/EP1811722B1/de active Active
- 2007-01-17 ES ES07000939T patent/ES2333550T3/es active Active
- 2007-01-17 AT AT07000939T patent/ATE450954T1/de active
- 2007-01-18 US US11/624,500 patent/US7945818B2/en active Active
- 2007-01-19 CN CN2007101288317A patent/CN101078922B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US20070180286A1 (en) | 2007-08-02 |
DE502007002132D1 (de) | 2010-01-14 |
EP1811722B1 (de) | 2009-12-02 |
EP1811722A3 (de) | 2008-07-02 |
CN101078922A (zh) | 2007-11-28 |
US7945818B2 (en) | 2011-05-17 |
EP1811722A2 (de) | 2007-07-25 |
ATE450954T1 (de) | 2009-12-15 |
CN101078922B (zh) | 2012-05-09 |
DE102006002824A1 (de) | 2007-08-02 |
DE102006002824B4 (de) | 2008-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2333550T3 (es) | Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. | |
ES2293443T3 (es) | Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus. | |
ES2366166T3 (es) | Método de transmisión de datos entre dispositivos maestros y esclavos. | |
ES2308480T3 (es) | Control de seguridad. | |
ES2323150T3 (es) | Unidad maestra, sistema de comunicacion y procedimiento para su funcionamiento. | |
ES2335788T3 (es) | Procedimiento para la transmision de datos y sistema de automatizacion para el empleo de un procedimiento de transmision de datos de este tipo. | |
ES2743246T3 (es) | Dispositivo para la transmisión de datos de sensor | |
ES2446349T3 (es) | Control de seguridad y procedimiento para el control de una instalación automática | |
ES2359650T3 (es) | Unidad de interfaz y sistema de comunicaciones con una estructura maestro-esclavo. | |
ES2566679T3 (es) | Procedimiento y sistema para una transmisión segura de datos | |
ES2361858T3 (es) | Sistema de detección y procedimiento de detección. | |
US8185934B2 (en) | Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit | |
ES2532466T3 (es) | Dispositivo y procedimiento para la transmisión de datos entre un aparato de medición de la posición y una electrónica siguiente | |
ES2733332T3 (es) | Protocolo de transmisión de datos con estado de excepción de protocolo | |
CN111130689A (zh) | 传送数据和数据校验字段的系统和方法 | |
ES2348747T3 (es) | Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. | |
ES2495432T3 (es) | Procedimiento y un aparato de bus para la transmisión de datos orientados a la seguridad | |
JP2013235300A (ja) | 安全信号処理システム | |
US8543774B2 (en) | Programmable logic apparatus employing shared memory, vital processor and non-vital communications processor, and system including the same | |
ES2229697T3 (es) | Telegramas de datos cortos de un sistema de automatizacion. | |
ES2363650T3 (es) | Control de seguridad. | |
ES2206343T3 (es) | Sistema y procedimiento para evitar el acceso no autorizado a modulos, especialmente en sistemas de automatizacion. | |
JP2015125459A (ja) | 複数のcpuと通信するioユニットを用いた安全通信システム | |
JP5094591B2 (ja) | 照合システム | |
ES2813125T3 (es) | Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras |