ES2348747T3 - Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. - Google Patents
Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. Download PDFInfo
- Publication number
- ES2348747T3 ES2348747T3 ES07703483T ES07703483T ES2348747T3 ES 2348747 T3 ES2348747 T3 ES 2348747T3 ES 07703483 T ES07703483 T ES 07703483T ES 07703483 T ES07703483 T ES 07703483T ES 2348747 T3 ES2348747 T3 ES 2348747T3
- Authority
- ES
- Spain
- Prior art keywords
- protocol
- data
- redundant
- security
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L2001/0092—Error control systems characterised by the topology of the transmission link
- H04L2001/0094—Bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Alarm Systems (AREA)
- Bus Control (AREA)
- Storage Device Security (AREA)
Abstract
Procedimiento para el acoplamiento monocanal de un proceso crítico para la seguridad desde un entorno seguro hasta un bus o un equipo - configurado específicamente para la aplicación - de un entorno seguro o no seguro, en el que se procesa un juego de datos relevante para el proceso crítico para la seguridad a través de al menos dos canales de procesamiento relevantes (1, 2), especialmente con arreglo a protocolos específicos, según leyes idénticas, para obtener un respectivo protocolo seguro (14, 24), y se ensamblan los protocolos seguros redundantes (14, 24) de acoplamiento monocanal para obtener un protocolo seguro común, concretamente accediendo desde cada uno de los canales de procesamiento (1, 2) a un registro intermedio común (30), en donde se adjudica solamente una vez una autorización de escritura para cada sitio del registro de tal manera que el protocolo seguro común se ensamble proporcionalmente por inscripción de respectivas porciones diferentes de los respectivos protocolos seguros, en donde, antes de una entrega del protocolo seguro común desde el registro intermedio (30), se lee por cada uno de los canales de procesamiento redundantes (1, 2) el contenido de cada sitio del registro intermedio (30) para la verificación del protocolo seguro conjuntamente formado, y en donde el protocolo seguro conjuntamente formado es habilitado para su procesamiento ulterior únicamente como reacción a una habilitación otorgada por cada canal de procesamiento redundante (1, 2) para la entrega o la recepción desde el registro intermedio.
Description
Procedimiento y dispositivo para el acoplamiento
de bus de procesos relevantes para la seguridad.
La invención concierne a un procedimiento y un
dispositivo adaptado para la puesta en práctica del procedimiento,
diseñados para realizar un acoplamiento de bus monocanal de procesos
relevantes para la seguridad.
Por proceso relevante para la seguridad se
entiende seguidamente un proceso del cual parte, al presentarse un
error, un riesgo no despreciable para personas y/o también para
artículos materiales. Por tanto, en un proceso relevante para la
seguridad tiene que estar garantizada con una seguridad al 100% en
el caso ideal que, al presentarse un error, este proceso, un
proceso sucesivo acoplado con este proceso y/o un sistema total que
comprenda este proceso sean transferidos a un estado seguro. Por
consiguiente, tales procesos relevantes para la seguridad pueden
ser también procesos parciales de procesos totales mayores de rango
superior. Ejemplos de procesos relevantes para la seguridad son
procedimientos químicos en los que los parámetros críticos tienen
que mantenerse imprescindiblemente dentro de un intervalo prefijado,
y controladores complejos de máquinas, tal como, por ejemplo, en
una prensa hidráulica o en una cadena de fabricación, en los que,
por ejemplo, la puesta en funcionamiento de un útil de
prensado/corte puede representar un proceso parcial relevante para
la seguridad. Otros ejemplos de procesos (parciales) relevantes para
la seguridad son la vigilancia de rejillas de protección, puertas
de protección o barreras ópticas, el control de interruptores para
dos manos o bien la reacción a desconectores de emergencia.
Por tanto, para todos los procesos relevantes
para la seguridad es absolutamente necesario que los respectivos
datos correspondientes relevantes para la seguridad, generados o
captados o medidos, sean transportados con proximidad en el tiempo
sin ningún falseamiento de los mismos, ya que cualquier falseamiento
puede tener como resultado un funcionamiento y/o una reacción
erróneos que, como última consecuencia, pueden poner en peligro la
vida y la salud de las personas.
Para satisfacer los requisitos de seguridad se
han establecido en los últimos años numerosos convenios que
fomentan un transporte de datos casi exento de errores cuando se
utilizan sistemas de bus. Éstos conciernen especialmente al propio
transporte de datos y a una probabilidad de error residual admisible
en función de la respectiva aplicación o del respectivo proceso.
Como estándares pertinentes pueden citarse aquí especialmente las
normas EN 61508 y EN 954-1, así como los principios
para la comprobación y certificación de "sistemas de bus para la
transmisión de mensajes relevantes para la seguridad" del
departamento de ensayos y certificaciones de las asociaciones
profesionales industriales.
Según estos convenios y normas, se han
desarrollado sistemas de bus dirigidos a la seguridad que transmiten
datos con alta redundancia. Los posibles errores son descubiertos a
su debido tiempo y se puede evitar una situación de peligro.
Ejemplos de ellos son, entre otros, el Safety Bus P, el Profibus F,
el Interbus Safety y algunos más.
Sin embargo, es desventajoso a este respecto el
hecho de que para la utilización de sistemas de bus dirigidos a la
seguridad se tienen que sustituir sistemas de bus ya instalados y
tienen que aceptarse frecuentemente restricciones en cuanto al
número de abonados, la velocidad de transporte de datos o el
protocolo de datos.
Como consecuencia, se han desarrollado
procedimientos y/o componentes dirigidos a la seguridad que hacen
posible un reacondicionamiento más sencillo y más barato de
sistemas de bus ya existentes. Particularmente los procedimientos
de seguridad electrónicos empleados en la técnica de control y
automatización utilizan aquí para la transmisión de datos
relevantes para la seguridad, especialmente entre sensores, actores
y/o equipos de control, los sistemas de bus (de campo) de
comunicación de datos ya utilizados entre las distintas unidades
implicadas en un proceso.
El documento EP 1 188 096 B1 revela, por
ejemplo, un sistema de control para un proceso relevante para la
seguridad con un bus de campo a través del cual están unidas una
unidad de control para controlar el proceso relevante para la
seguridad y una unidad de señalización que está vinculada con el
proceso relevante para la seguridad a través de canales de
entrada/salida. Para garantizar una comunicación mutua segura frente
a errores, estas unidades presentan equipos referidos a la
seguridad mediante los cuales unas unidades en sí no seguras
deberán convertirse en unidades seguras. En particular, están
previstos cada vez al menos dos canales de procesamiento
redundantes de tal manera que un error en uno de los canales de
procesamiento pueda ser reconocido y eventualmente corregido en
base a un resultado que se desvíe del resultado de otro de los
canales de procesamiento redundantes. Esta estructura multicanal se
materializa especialmente por medio de dos ordenadores redundantes,
terminando la consideración de la seguridad después de los dos
ordenadores redundantes y entrando en acción a partir de este
punto, sin más explicaciones, la consideración para un protocolo de
datos seguro.
Bajo el término general de ordenador han de
entenderse en lo que sigue, siempre que no se efectúe una
especificación más amplia, sustancialmente cualquier clase de
equipos de procesamiento de datos tales como microordenadores,
microprocesadores, microcontroladores o bien PCs.
El documento WO 01/15385 A2 concierne también al
control de procesos relevantes para la seguridad empleando sistemas
de bus (de campo), en donde las unidades implicadas en el control
del proceso relevante para la seguridad presentan nuevamente
canales de procesamiento construidos generalmente en forma
redundante. Cada uno de los canales redundantes comprende un
ordenador, y estos ordenadores se controlan mutuamente. Esta
estructura multicanal se transfiere a una estructura monocanal
(figura 3) a través de otro ordenador unido con el bus de campo. No
se pueden encontrar en el documento explicaciones más amplias,
incluida la transición de la situación multicanal a la situación
monocanal.
En el documento WO 01/15391 A1 y en la
publicación de patente DE 199 39 567 A1 pueden encontrarse otros
ejemplos de abonados de bus seguros con canales de procesamiento
y/u ordenadores realizados en forma redundante, que se controlan
mutuamente respecto de un establecimiento de protocolo seguro, y con
transición subsiguiente de la situación bicanal a la situación
monocanal a través de otro ordenador que está acoplado al bus y que
está conectado a un chip de protocolo o tiene integrado este último.
La consideración de la seguridad termina aquí también después de
los dos ordenadores relevantes, sin la divulgación de otras medidas
técnicas, y la consideración para un protocolo de datos seguro
entra en acción a partir de este punto.
Para reducir el gasto en circuitos, la patente
DE 195 32 639 C2 concerniente a un equipo para la transmisión
monocanal de datos formados por medio de dos ordenadores redundantes
integra la función del acoplamiento de bus en uno de los dos
ordenadores realizados en forma redundante. Por tanto, únicamente el
ordenador que presenta la funcionalidad de acoplamiento de bus
tiene un canal de salida al que se alimentan datos útiles
provenientes de este ordenador y datos de ensayo provenientes del
otro ordenador, o viceversa, o bien al que se alimentan datos
útiles y datos de ensayo de ambos ordenadores en forma de
ensamblados unos dentro de otros (figura 4). Sin embargo, para
garantizar que el ordenador que sirve al bus no esté en condiciones
de generar telegramas que no puedan influir sobre el otro ordenador
es necesario, al realizar la puesta en práctica, un gasto elevado
para la consideración de la seguridad, ya que se tienen que
demostrar, por un lado, la ausencia de retroacción y, por otro
lado, la independencia de los ordenadores para establecer el
protocolo seguro. La patente propone para ello únicamente un
conexionado o no conexionado correspondiente de la respectiva
salidas de los ordenadores.
Asimismo, el documento DE 100 65 907 A1 describe
un procedimiento que se basa en el principio de una "redundancia
con comparación cruzada" y que está destinado a proporcionar un
transporte asegurado de datos para la transmisión de datos en redes
o sistemas de bus en paralelo o en serie, en donde se emplea un
registro intermedio con dos zonas de datos lógicamente idénticas
para la transición de la situación bicanal a la situación monocanal.
El mensaje completo dirigido a la seguridad, que se ha de
transmitir por un solo canal a través del sistema de bus, comprende
los contenidos de datos de ambas zonas de datos del registro
intermedio. Delante del registro intermedio en el lado del emisor
están conectados nuevamente dos ordenadores de funcionamiento
redundante que, según la naturaleza de la aplicación, procesan
datos relevantes para la seguridad proporcionados por un solo canal
o por dos canales, cada uno de tales datos con información
redundante, para convertirlos en datos seguros, y se intercambian
mutuamente estos datos a fines de comprobación. Siempre que ambos
hayan llegado al mismo resultado, cada uno de los ordenadores
entrega sus datos seguros al registro intermedio, ocupándose cada
zona de datos con los datos seguros de un respectivo ordenador, los
cuales a su vez contienen ya información redundante para el
reconocimiento de errores. Si en una forma de realización
alternativa el registro intermedio está contenido en uno de los dos
ordenadores, de modo que, en consecuencia, este un ordenador ocupa
correspondientemente ambas zonas de datos del registro intermedio
después de su sintonización con el segundo ordenador, este segundo
ordenador lee una vez más, para fines de control, el registro de
datos con las dos zonas de datos. Según la aplicación, el contenido
de datos de una de las dos zonas de datos del registro intermedio
puede presentar también datos invertidos u otros ensambles
adicionales para reconocer, por ejemplo, errores sistemáticos en
los emisores, receptores y/u otras unidades de retransmisión de los
datos. Por tanto, es desventajoso aquí especialmente el hecho de
que la longitud de datos total del mensaje dirigido a la seguridad
es excesivamente grande con respecto a los datos útiles reales y la
velocidad de transmisión de datos con respecto a los datos útiles
reales es así pequeña, ya que para juego de datos útiles a
transmitir hay que transmitir dos juegos de datos útiles idénticos
y una respectiva información redundante referente a cada uno de los
juegos de datos útiles idénticos. Al disminuir el número de datos
útiles a transmitir por cada paquete de datos, tal como esto se
hace, por ejemplo, en el Interbus, se empeora crecientemente la
relación de longitud de datos útiles a longitud de datos
totales.
La solicitud de patente alemana 10 2004 039
932.8 presentada el 17 de Agosto de 2004 por el mismo solicitante
de la presente invención, respecto de la cual la presente invención
representa un perfeccionamiento, se había planteado un problema
consistente en proporcionar, para el acoplamiento de bus seguro de
datos relevantes para la seguridad, otro camino nuevo y mejorado
para la transición de la situación multicanal a la situación
monocanal y en asegurar de una manera sencilla de materializar,
especialmente de una manera también sencilla de ensayar, una
ausencia de retroacción y una independencia para la confección de un
protocolo dirigido a la seguridad que deba transmitirse como
programa de seguridad a través de un bus.
A este fin, se ha propuesto prever un
procedimiento para el acoplamiento de bus monocanal de un proceso
crítico para la seguridad, en el que un juego de datos relevante
para el proceso crítico para la seguridad es procesado a través de
al menos dos canales de procesamiento redundantes, especialmente en
una forma específica de protocolo, según leyes idénticas, para
obtener un respectivo protocolo dirigido a la seguridad, y los
protocolos redundantes dirigidos a la seguridad para el
acoplamiento de bus monocanal pueden ensamblarse de nuevo para
formar un protocolo común dirigido a la seguridad, concretamente
accediendo desde cada uno de los canales de procesamiento a un
registro intermedio común, adjudicándose solamente una vez para cada
sitio del registro una autorización de escritura de tal manera que
el protocolo común dirigido a la seguridad, es decir, el telegrama
de seguridad que se debe transmitir, se ensamble proporcionalmente
por inscripción de respectivas porciones diferentes de los
respectivos protocolos dirigidos a la seguridad.
En consecuencia, una ventaja esencial consistía
aquí en que, por un lado, ambos canales de procesamiento están en
condiciones de calcular el protocolo completo dirigido a la
seguridad de modo que éste repercuta positivamente sobre la
longitud necesaria del telegrama, puesto que todos los bits de datos
con los diferentes mecanismos de seguridad son ya conocidos de
antemano en los canales de procesamiento redundantes y no tienen que
transmitirse bits de datos adicionales que permitan en el lado del
receptor llegar a la conclusión de que el cálculo es impecable.
Además, se garantiza que un canal de procesamiento en solitario no
esté en condiciones de enviar un telegrama de seguridad,
representando el control a través de la respectiva autorización de
escritura de datos en un sitio del registro adjudicable una sola
vez una posibilidad sencilla de implementar y altamente eficiente
para garantizar, con independencia del bus (sistema) empleado, una
barata seguridad sensiblemente incrementada.
Por tanto, la materialización de una unidad
inteligente para realizar el procedimiento según la invención puede
ser ya garantizada empleando un dispositivo que comprenda al menos
dos ordenadores redundantes y en el que los ordenadores estén
concebidos para procesar un juego de datos de entrada idénticos
empleando leyes idénticas a fin de obtener un respectivo protocolo
dirigido a la seguridad y estén unidos con un registro intermedio
común a través de una disposición de circuito de tal manera que para
cada sitio del registro intermedio se proporcione solamente un
acceso de escritura para un ordenador respectivo de entre los
ordenadores.
Por consiguiente, la invención según la
solicitud de patente alemana 10 2004 039 932.8 hace ya posible
empleando componentes estándar y con independencia del respectivo
sistema de bus una solución sencilla de implementar, altamente
dinámica y altamente eficiente para formar sin retroacción e
independientemente un respectivo protocolo dirigido a la seguridad,
en donde las reglas de procesamiento específicas para formar el
telegrama de seguridad son aquí convenientemente adecuadas para
satisfacer los respectivos requisitos de seguridad, especialmente
los requisitos de seguridad para una sencilla transmisión según SIL
3 IEC 61508.
Asimismo, la invención según la solicitud de
patente alemana 10 2004 039 932.8 ya preveía configurar
convenientemente la disposición de circuito de tal manera que cada
uno de los ordenadores pueda acceder para lectura a cada sitio del
registro intermedio, con lo que, según una ejecución preferida,
antes de una entrega del protocolo común dirigido a la seguridad
desde el registro intermedio para fines de transmisión se recurre
para lectura a cada sitio del registro desde cada uno de los
canales de procesamiento redundantes a fin de realizar una
verificación del protocolo conjuntamente formado dirigido a la
seguridad. Gracias a la comparación adicional así posible del
protocolo conjuntamente formado dirigido a la seguridad con el
respectivo protocolo dirigido a la seguridad, formado por separado
o individualmente a través de los canales de procesamiento, se ha
podido incrementar sensiblemente una vez más la seguridad
conseguida, ya que, en caso de fallo o error de un ordenador, no se
puede generar consecuentemente ningún telegrama de seguridad
completo, con lo que se reconoce forzosamente el error y se puede
poner en marcha una función dirigida a la seguridad.
Sin embargo, se ha visto que, en caso de error,
el protocolo conjuntamente formado dirigido a la seguridad es
entregado eventualmente ya desde el registro intermedio a fines de
tratamiento ulterior, aun cuando no haya concluido todavía la
verificación del protocolo retroleído.
Un problema de la presente invención consiste
ahora en perfeccionar el objeto de la solicitud de patente alemana
10 2004 039 932.8 de tal manera que, al retroleer con fines de
verificación del protocolo común dirigido a la seguridad inscrito
en el registro intermedio, quede excluida la entrega de este
protocolo común dirigido a la seguridades desde el registro
intermedio en tanto no haya concluido completamente la
verificación.
La solución según la invención se proporciona ya
de una manera sumamente sorprendente por medio de un objeto con las
características de una de las reivindicaciones independientes
anexas.
Formas de realización y perfeccionamientos
ventajosos y/o preferidos son objeto de las respectivas
reivindicaciones subordinadas.
Por tanto, según la invención, se ha previsto
que, al retroleer el protocolo común dirigido a la seguridad
inscrito en el registro intermedio para su verificación, este
protocolo conjuntamente formado, seguro o dirigido a la seguridad,
inscrito en el registro intermedio, sea habilitado únicamente como
reacción a una habilitación por cada uno de los canales de
procesamiento redundantes para su entrega o recepción desde el
registro intermedio a fines de tratamiento ulterior.
Cuando, según la invención, el dispositivo que
comprende al menos dos ordenadores redundantes está concebido de
tal manera que, ante una posibilidad de acceso para lectura a
cualquier sitio del registro intermedio para cada uno de los
ordenadores, los ordenadores comprenden medios para verificar un
contenido retroleído desde el registro intermedio y para habilitar
el contenido del registro intermedio como reacción a una
verificación positiva, se puede producir ya esta habilitación de
una manera sencilla y barata por transmisión de señales de
habilitación correspondientes al registro intermedio.
Para hacer posible o habilitar un acceso al
contenido del registro intermedio para su entrega o recepción a
fines de tratamiento ulterior, exclusivamente al presentarse una
habilitación por cada uno de los canales de procesamiento
redundantes, se puede producir, por ejemplo, la activación de una
señal que habilite una salida del contenido, o señal de
habilitación, a través de una combinación Y de las distintas señales
de habilitación.
En otra realización preferida se ha previsto
también que cada uno de los protocolos seguros redundantes se
constituya a base de un número de partes de protocolo
correspondiente al número de canales de procesamiento redundantes,
y que se adjudiquen las autorizaciones de escritura de tal manera
que, para componer el protocolo seguro común, se inscriba por cada
canal de procesamiento en el registro intermedio otra respectiva
parte del protocolo.
Especialmente en el caso de una configuración
y/o un uso de un dispositivo según la invención en los que cada uno
de los al menos dos ordenadores redundantes está concebido para el
procesamiento de datos basado en paquetes, se propone en un
perfeccionamiento del procedimiento que cada protocolo seguro
redundante se constituya a base de una pluralidad de paquetes de
datos y que se adjudique la autorización de escritura para la
inscripción a modo de paquetes de datos.
Además, la invención comprende formas de
realización en las que los al menos dos ordenadores redundantes se
han formado por medio de hardware redundante y/o software
redundante.
Por tanto, el dispositivo según la invención y
el procedimiento según la invención, en lugar de utilizarse para el
acoplamiento de bus monocanal de un proceso crítico para la
seguridad, pueden emplearse también para otra clase de acoplamiento
de un proceso crítico para la seguridad desde un entorno seguro que
presenta al menos dos canales de procesamiento redundantes hasta un
entorno no seguro o hasta un entorno seguro, pero que comprende
menos canales de procesamiento redundantes, y, en consecuencia,
dicho dispositivo y dicho procedimiento son adecuados para
sustancialmente cualquier unión entre canales de procesamiento
seguros a través de vías de transporte no seguras.
Se puede garantizar así nuevamente un incremento
adicional de la seguridad que va más allá de esto cuando, en una
realización especialmente preferida, se comprueba primero, antes de
la inscripción del protocolo común dirigido a la seguridad, la
identidad mutua de los protocolos redundantemente formados dirigidos
a la seguridad por medio de los canales de procesamiento, de modo
que la formación de un protocolo común dirigido a la seguridad se
efectúe únicamente como reacción a protocolos idénticos dirigidos a
la seguridad elaborados independientemente uno de otro a partir de
un juego de datos de entrada idénticos. Si se presenta ya un error
durante el procesamiento redundante, éste es así reconocido aún más
temprano y el proceso puede conducirse aún más temprano hacia un
estado seguro. Por tanto, los ordenadores desacoplados en sí y de
por sí mutuamente están unidos de nuevo preferiblemente uno con
otro a través de una interfaz de comunicación.
La invención comprende también nuevamente formas
de realización en las que una respectiva autorización de escritura
asignada de manera definida a un respectivo canal de procesamiento
es comprobada por medio de un procedimiento de ensayo, para lo
cual, por ejemplo, es conveniente también el acceso de lectura en
todo su volumen para cada sitio del registro. Por ejemplo, a través
de cada uno de los canales de procesamiento se puede intentar aquí
inscribir un respectivo valor por defecto diferente específicamente
asociado en todos los sitios del registro intermedio, leyendo a
continuación cada uno de los canales de procesamiento todos los
sitios del registro intermedio y verificando los contenidos de los
sitios del registro en cuanto a un ensamble unívoco, y realizándose
este procedimiento de ensayo de una manera conveniente varias veces
y/o mediante una inscripción alternativa en los sitios del registro
y una lectura alternativa de estos sitios a través de canales de
procesamiento diferentes. En consecuencia, se puede ensayar
nuevamente de manera sencilla sustancialmente cada regla de
entrega/recepción de seguridad ajustada a través del acoplamiento de
los datos proporcionales - a entregar al registro intermedio - a
posiciones o direcciones determinadas dentro del protocolo común
dirigido a la seguridad o dentro del registro intermedio, y se
puede reconocer así con seguridad cualquier error en la formación
de un telegrama de seguridad transmitido, inclusive a consecuencia
de un fallo de ordenador. En particular, para que, después de un
respectivo procesamiento específico de protocolo de los datos de
entrada para obtener un protocolo dirigido a la seguridad, se
garantice el almacenamiento de éste y su entrega específica de
protocolo al bus, satisfaciendo el protocolo dirigido a la seguridad
las consignas basadas sobre la respectiva aplicación en un juego de
datos de protocolo seguros, un ordenador comprende, según una forma
de realización, un respectivo chip de protocolo integrado. En una
ejecución alternativa el chip de protocolo puede estar conectado
también al lado de salida de un ordenador. Para evitar tales chips
de protocolo integrados o pospuestos y, en consecuencia, para
reducir también los componentes y los costes, se propone en otra
realización especialmente conveniente proporcionar el ordenador con
un software correspondientemente configurado para el procesamiento
y la entrega específica de protocolo de los datos.
El dispositivo según la invención puede estar
concebido como una unidad de abonado de bus, estando conectados los
ordenadores de manera conveniente para ello, por el lado de entrada,
al menos con canales de entrada para establecer una conexión
monocanal o multicanal de unidades de entrada de datos del proceso y
para realizar correspondientemente una captación monocanal o
multicanal de datos de entrada relevantes para la seguridad que se
deben procesar, o bien dicho dispositivo está configurado como una
unidad de control de bus que genera, por ejemplo, los datos de
entrada relevantes para la seguridad que se deben procesar. Por
tanto, los ordenadores están configurados especialmente como
microcontroladores o como unidades de proceso centrales (CPUs).
La disposición de circuito para conectar los
ordenadores o eventualmente los chips de protocolo pospuestos a los
ordenadores puede estar configurada como un sencillo circuito
lógico, pudiendo emplearse también circuitos de mando altamente
integrados, por ejemplo en forma de un FPGA (Field Programmable Gate
Array = Agrupación ordenada de puertas lógicas programables en
campo), y pudiendo ser éstos adicionalmente ventajosos según las
aplicaciones específicas.
El registro intermedio presenta una interfaz a
través de la cual el protocolo común dirigido a la seguridad allí
archivado puede ser acoplado directamente en forma monocanal con un
bus, por ejemplo un Interbus, o puede ser entregado por un solo
canal a otro equipo configurado según la aplicación específica,
pudiendo emplearse como otro equipo, según la aplicación
específica, especialmente otro chip de protocolo, otro
microcontrolador u otra unidad inteligente.
Por tanto, como registro intermedio es ya
suficiente una RAM estándar. Sin embargo, en un perfeccionamiento
preferido se ha previsto especialmente que se configure el registro
intermedio o la memoria intermedia en forma de una memoria de doble
puerto (DPM), de modo que los ordenadores puedan conectarse de
manera sumamente sencilla y barata a través de uno de los dos
puertos de interfaz y el acoplamiento monocanal adicional pueda
tener lugar a través del segundo puerto de interfaz.
Otras características y ventajas de la invención
resultarán evidentes por la siguiente descripción detallada de una
forma de realización preferida de la invención, pero dada únicamente
a título de ejemplo, con referencia a los dibujos adjuntos.
En los dibujos muestran:
La figura 1, un croquis de principio esquemático
para la formación redundante de protocolos dirigidos a la seguridad
para un telegrama de seguridad a transmitir por medio de canales de
procesamiento redundantes y para la formación conjunta subsiguiente
de un protocolo idéntico dirigido a la seguridad bajo el control de
una regla de entrega/recepción concerniente a las respectivas
porciones a entregar/recibir desde los protocolos dirigidos a la
seguridad, según la solicitud de patente alemana 10 2004 039
932.8,
La figura 2, un posible diagrama de conexiones
funcionales de una realización de la invención basándose en dos
respectivos microcontroladores que calculan redundantemente el
protocolo completo dirigido a la seguridad, según la solicitud de
patente alemana 10 2004 039 932.8,
Las figuras 3 y 4, otras realizaciones conocidas
para la transición de la situación bicanal a la situación monocanal
y
La figura 5, un croquis de principio de una
forma de realización preferida de la presente invención, que se
basa en las figuras 1 y 2 y que concierne al acoplamiento desde un
entorno seguro - que presenta varios canales de procesamiento
redundantes - de un protocolo dirigido a la seguridad que está
constituido por un número de paquetes de datos correspondiente al
número de canales de procesamiento, hasta una zona de datos empleada
como registro intermedio que está dispuesta en un entorno no seguro
o en un entorno seguro, pero que comprende menos canales de
procesamiento.
En la figura 1 se representan dos canales de
procesamiento redundantes 1 y 2 de una unidad de abonado de bus o
una unidad de control de bus, no representada con detalle, para
acoplar un proceso crítico para la seguridad a un bus 40, por
ejemplo un Interbus. En el caso de una unidad de abonado de bus,
cada uno de los canales de procesamiento está unido con unidades de
entrada/salida, tales, por ejemplo, sensores y/o actores, que están
asociadas al proceso crítico para la seguridad y que tampoco han
sido representadas.
Por tanto, según la naturaleza de la conexión
específica, se ponen a disposición de una unidad de abonado de bus
con aplicación del lado del sensor, por un solo canal o por dos
canales, unos datos de entrada idénticos para los canales de
procesamiento 1 y 2 y relevantes para el proceso crítico para la
seguridad, y estos datos se archivan convenientemente primero en
las memorias 12 ó 22 para su ulterior procesamiento. Particularmente
en el caso de una unidad de control de bus, los datos de entrada
relevantes para la seguridad que se deben convertir en datos
seguros antes de una transmisión de bus se encuentran en las
memorias 12 ó 22.
Los datos de entrada son primero procesados
redundantemente, antes de la transmisión de un telegrama de
seguridad a través del bus 20, aplicando leyes iguales para obtener
un respectivo protocolo 14 y 24 dirigido a la seguridad. Los
canales de procesamiento comprenden para ello un respectivo
microcontrolador 11 ó 21 para el respectivo
tratamiento/procesamiento de los datos de entrada relevantes para la
seguridad, contenidos en la memoria 12 ó 22, a fin de obtener un
protocolo 14 ó 24 dirigido a la seguridad, así como, en la
realización según la figura 1, un respectivo chip de protocolo 13 ó
23 que esta pospuesto al microcontrolador 11 ó 21 y que obtiene el
protocolo 14 ó 24 dirigido a la seguridad, calculado por el
respectivo microcontrolador 11 ó 21, para la entrega ulterior del
mismo al bus 40. En una realización alternativa a los chips de
protocolo representados 13 ó 23 los microcontroladores 11 y 22
pueden comprender también un software correspondientemente
configurado, de modo que la entrega adicional seguidamente descrita
de los protocolos calculados 14 y 24 al bus 40 se efectúe a través
de los microcontroladores 11 y 21.
En consecuencia, los protocolos 14 y 24
calculados, seguros o dirigidos a la seguridad, siempre que no se
haya presentado ningún error o fallo durante el cálculo, son
idénticos. Cabe consignar que los protocolos seguros están
constituidos aquí, por supuesto, de modo que éstos satisfagan los
requisitos de la norma referente a una transmisión dirigida a
la
seguridad.
seguridad.
Para aumentar aún más la seguridad se ha
previsto, antes de la transmisión de un telegrama seguro a través
del bus 40, la formación conjunta de otro protocolo idéntico común
dirigido a la seguridad, el cual puede ser entregado después al bus
por un solo canal para la transmisión del mismo.
Este protocolo común dirigido a la seguridad se
forma por el ensamble proporcional de datos del protocolo seguro 14
y de datos del protocolo seguro 24 en una memoria intermedia o
registro intermedio 30, al cual puede acceder cada uno de los
canales de procesamiento 1 y 2.
Para impedir que este protocolo dirigido a la
seguridad que se debe formar conjuntamente se base tan sólo en
datos procedentes de solamente uno de los canales de procesamiento 1
ó 2, lo cual, en consecuencia, equivaldría a la emisión de un
telegrama de seguridad por solamente uno de los microcontroladores
11 ó 21, por ejemplo a consecuencia de la aparición de un fallo en
uno de los dos microcontroladores, una regla de acceso definida o
definible controla los derechos de escritura en la memoria
intermedia 30. La regla de acceso determina para ello que sólo las
partes del respectivo protocolo calculado dirigido a la seguridad
para la formación del protocolo común dirigido a la seguridad
pueden ser inscritas desde cada canal de procesamiento 1 y 2 en los
sitios de almacenamiento correspondientes de la memoria intermedia
30 para los cuales el respectivo microcontrolador 11 ó 21 tiene una
respectiva autorización de escritura. Por tanto, para cada sitio de
la memoria o del registro se define solamente según la invención
una respectiva autorización de escritura.
Por tanto, partiendo del supuesto de que los
protocolos seguros 14 y 24 son idénticos, cada uno de los protocolos
comprende también el mismo número de bytes, identificados en la
figura 1 con ByteX a ByteX+5. En el presente ejemplo según la
figura 1 está fijamente asociada para el microcontrolador 21 del
canal de procesamiento 2 la autorización de escritura para las
direcciones de la memoria intermedia 30 para el byte X, el byte X+2
y el byte X+4, y para el microcontrolador 11 del canal de
procesamiento 1 está asociada la autorización de escritura para
registrar el byte X+1, el byte X+3 y el byte X+5. En consecuencia,
cada uno de los microcontroladores 11 y 21 lleva asociada solamente
una autorización de escritura para registrar cada segundo byte en la
memoria intermedia 30.
Si, por ejemplo, X = 0 y los protocolos
redundantes 14 y 24 dirigidos a la seguridad, así como el protocolo
idéntico dirigido a la seguridad que se debe formar conjuntamente,
es decir, el telegrama de seguridad que se debe enviar
seguidamente, constan de un total de 6 bytes, los datos dentro de
los protocolos seguros redundantes y, por tanto, también dentro del
telegrama de seguridad que se debe enviar se componen, por ejemplo,
de un encabezamiento de 2 bits, datos útiles subsiguientes de 14
bits, una dirección de 8 bits y una suma de verificación CRC de 24
bits. En consecuencia, con la anterior autorización de acceso para
escritura definidamente asociada la cabecera que comprende 2 bits y
los primeros 6 bits de los datos útiles son recibidos, haciendo
referencia a la figura 1, desde el protocolo seguro 24 calculado a
través del canal de procesamiento 2, los 8 bits siguientes de datos
útiles son recibidos desde el protocolo 14 calculado a través del
canal de procesamiento 1, la dirección que comprende 8 bits es
recibida nuevamente desde el juego de datos de protocolo 24 y la
suma de verificación CRC que comprende 24 bits es recibida
sucesivamente de manera proporcional desde los protocolos calculados
14, 24 y 14.
Por tanto, como memoria intermedia se puede
utilizar ya una RAM estándar o preferiblemente, como puede
apreciarse más adelante, una DPM estándar.
Incluso en el caso de solamente una redundancia
doble se consigue una seguridad aún incrementada que va más allá de
esto cuando, de otra manera conveniente, los microcontroladores 11 y
12 de ambos canales de procesamiento 1 y 2 tienen adjudicado el
acceso completo para lectura a la memoria intermedia 30.
Esto hace posible una sencilla comparación de
todos los datos, a cuyo fin se puede comprobar, por un lado, de una
manera sencilla si el protocolo seguro conjuntamente formado, que
debe transmitirse como telegrama de seguridad y que, por ejemplo,
satisface los requisitos de seguridad para una transmisión sencilla
según SIL 3 A IEC 61508, esta exento de error, concretamente debido
a una respectiva verificación frente al protocolo propio 14 ó 24
dirigido a la seguridad previamente formado por separado. Además, el
acceso de lectura en todo su volumen para cada uno de los dos
canales de procesamiento 1 y 2 hace posible la comprobación -
realizable convenientemente ya en los prolegómenos del
control/vigilancia/regulación de un proceso crítico para la
seguridad - de si la regla de acceso se desarrolla en general sin
error. A este fin, se comprueba especialmente si los datos
calculados de un respectivo microcontrolador del uno y del otro
canal de procesamiento se escriben exclusivamente, pero siendo esto
garantizado, tan sólo en las respectivas direcciones de
almacenamiento asignadas de la memoria intermedia 30.
Si esta "autoverificación" y/o
"verificación cruzada" conduce a un resultado desigual, se
reconoce forzosamente un error y se inicia una función dirigida a
la seguridad.
La figura 2 representa a título de ejemplo, pero
empleando un software anteriormente descrito en lugar de chips de
protocolo, un posible diagrama de conexiones funcionales de una
realización de la autorización de escritura esbozada en la figura
1, así como de la plena autorización de lectura como base para estas
verificaciones.
Como se representa en la figura 2, la zona
representada a la izquierda, identificada con M, comprende la
arquitectura multicanal según la invención con consideración de
seguridad y la zona derecha, identificada con E en la figura 2,
comprende la arquitectura monocanal con el protocolo dirigido a la
seguridad formado conjuntamente y que se debe transmitir como
telegrama de seguridad.
Por tanto, basándose sustancialmente en la
figura 1, los dos microprocesadores 11 y 21 están desacoplados de
una manera en sí conocida, en la figura 2 identificada con el número
de referencia 100, y asimismo están unidos uno con otro a través de
una interfaz de comunicación 101 para la comprobación mutua
adicional de los respectivos protocolos 14 y 24 dirigidos a la
seguridad y calculados por separado.
El bus de dirección 102 para las direcciones Ax,
con x entre 0 y N, el bus de datos 103 para los datos Dx, con x
entre 0 y N, y las señales /CS (selección de chip) y /RD (lectura)
se han aplicado de forma directa, tal como es normalmente usual, a
la DPM estándar representada en la figura 2 y a las patillas
correspondientes para las señales /CSL y /RDL. La línea de
dirección A0 está vinculada con señales de escritura /WR_\muC1 y
/WR_\muC2 de los microcontroladores 11 y 21 de modo que, en caso
de direcciones rectas, solamente está autorizado para escritura el
microcontrolador 11 y, en caso de direcciones no rectas, solamente
está autorizado para escritura el microcontrolador 21. Solamente en
estos dos casos se puede disparar la señal de escritura /WR a
través de la patilla correspondiente para la señal "baja
activa" /WL en la RAM de la DPM estándar. Sin embargo, ambos
microcontroladores 11 y 21 pueden acceder leyendo a la memoria total
30.
Un ensayo del enclavamiento de acceso, el cual
se puede realizar convenientemente antes de la escritura del
telegrama de seguridad que se debe formar conjuntamente, se efectúa,
por ejemplo, según el desarrollo siguiente:
El microcontrolador 11 intenta escribir un valor
por defecto, por ejemplo FFh, en todos los sitios de almacenamiento
de la memoria DPM 30.
El microcontrolador 21 intenta seguidamente
escribir otro valor por defecto, por ejemplo 00h, en todos los
sitios de almacenamiento de la memoria DPM 30.
El microcontrolador 11 lee a continuación todos
los sitios de almacenamiento de la memoria DPM 30 y comprueba si
solamente en los sitios de la memoria asignados al microcontrolador
21 se ha registrado el valor 00h y eventualmente si en los sitios
de la memoria asignados al microcontrolador 11 se ha registrado el
valor FFh. El microcontrolador 11 intenta después escribir una vez
más el valor FFh en todos los sitios de la memoria.
Seguidamente, el microcontrolador 21 lee todos
los sitios de almacenamiento de la memoria DPM 30 y comprueba si
solamente en los sitios de la memoria asignados al microcontrolador
11 se ha registrado el valor FFh y eventualmente si en los sitios
de la memoria asignados al microcontrolador 21 se ha registrado el
valor 00h.
Si en esta actitud de espera se presenta un
error, se reconoce entonces el error y se inicia una función
dirigida a la seguridad, por ejemplo se transfiere el proceso a un
estado seguro. En caso contrario, se puede partir de la
consideración de que funcione impecablemente el enclavamiento de
acceso. Por tanto, una característica esencial en la realización
según la invención consiste en que no se aprovechan directamente las
señales de escritura propiamente dichas por parte del respectivo
microcontrolador 11 ó 21, sino que tiene lugar una vinculación con
las direcciones. Por tanto, se puede escribir ahora sobre las
direcciones que están asociadas al respectivo microcontrolador.
Los datos que se archivan en la RAM de la DPM 30
están consecuentemente asegurados por medio de un protocolo seguro
en medida muy alta. La DPM 30 se considera como no segura,
análogamente a lo que ocurre con el propio canal de transmisión.
Por tanto, la seguridad se consigue, entre otras cosas, por el hecho
de que en el lado de procesamiento, es decir, en la zona
identificada con M en la figura 2, existe una actitud de espera en
la estructura o en el contenido de los datos. En consecuencia, el
procesamiento o distribución ulterior de los datos almacenados
transitoriamente en la DPM 30 puede efectuarse, por ejemplo, a
través de otro microcontrolador 35 que reciba los datos por un
canal desde la DPM 30, y a continuación estos datos pueden ser
entregados al sistema de bus, por ejemplo por acoplamiento con un
bus de campo 40.
Por tanto, realizando una autoverificación ambos
microcontroladores 11 y 12 vigilan automáticamente la respectiva
regla de acceso durante prácticamente la inscripción del telegrama
de seguridad en la memoria intermedia 30 y los datos archivados en
la memoria pueden ser entregados por un solo canal a través de una
interfaz de la memoria intermedia 30 para su transmisión a un chip
de protocolo, otro microcontrolador u otra unidad inteligente. Dado
que en caso de fallo o error de un microcontrolador 11 ó 21 no puede
generarse ya un telegrama de seguridad completo, se reconoce
forzosamente la existencia de un error y se pone en marcha una
función dirigida a la seguridad. Por tanto, la consideración de
seguridad de la arquitectura redundante M termina en principio con
el archivado de los datos en la memora 30, puesto que a partir de
aquí interviene el mecanismo de seguridad del protocolo debido a
que a partir de aquí los posibles errores para una transmisión se
consideran poco más o menos como hasta ahora y tienen que ser
subsanados. Un error que entra en consideración para ello en el
principio para la comprobación y certificación de "sistemas de bus
para la transmisión de mensajes relevantes para la seguridad" es
un falseamiento del mensaje.
Debido a la vinculación incondicional
anteriormente indicada de la autorización de escritura con las
posiciones a describir en el protocolo seguro a formar
conjuntamente y con la autorización de lectura ilimitada de ambos
microcontroladores queda ya así garantizada por el empleo de
componentes estándar la comparación o la verificación del telegrama
de seguridad a emitir antes de la transmisión propiamente dicha a
través de un bus 40. En consecuencia, un microcontrolador 11 ó 21
no está por sí solo en condiciones de enviar un telegrama de
seguridad.
Por tanto, el esquema de conexiones funcionales
representado en la figura 2 se puede materializar ya por medio de
un sencillo circuito lógico, pero puede estar materializado también,
por ejemplo, por un FPGA. Por supuesto, en lugar de la DPM 30
representada en la figura 2 se puede utilizar también una sencilla
RAM estándar. Sin embargo, debido a la DPM utilizada se simplifica
el circuito respecto de la lectura del telegrama de datos en la
memoria intermedia. Es evidente para un experto que la disposición
de circuito representada en la figura 2 representa solamente una de
las posibles realizaciones técnicas para una unívoca autorización de
acceso para escritura. Las líneas de datos pueden estar divididas
también, por ejemplo, de modo que un ordenador pueda acceder para
escritura solamente a las líneas de datos superiores de la memoria
intermedia y un ordenador redundante pueda acceder para escritura
únicamente a las líneas de datos inferiores de dicha memoria.
Asimismo, una regla de acceso para escritura según la invención
puede aplicarse para más de solamente dos ordenadores/canales de
procesamiento redundantes.
En la figura 5 se representa ahora a la manera
de un croquis de principio una forma de realización preferida de la
presente invención, en la que, únicamente después de una realización
completa y positiva de una autoverificación por parte de un
telegrama de seguridad retroleído en una memoria de datos 30, se
habilita este último para su ulterior transmisión.
En la figura 5 se han esbozado nuevamente dos
canales de procesamiento 1 y 2 que son parte de un sistema seguro y
que pueden estar constituidos según la aplicación específica por
medio de hardware multicanal o varios procesos de software o una
combinación cualquiera de ellos, los cuales dan como resultado en la
compilación total una seguridad sustancialmente correspondiente a
la seguridad requerida anteriormente indicada para garantizar los
requisitos técnicos de seguridad. Por tanto, un sistema seguro de
esta clase comprende nuevamente al menos dos canales de
procesamiento seguros redundantes 1, 2 para generar protocolos
seguros asociados a al menos un proceso crítico para la seguridad a
fin de obtener una seguridad correspondientemente más alta.
Los canales de procesamiento 1 y 2 o bien los
ordenadores 11, 21 contenidos en ellos, basados igualmente en un
hardware diferente o bien en un software diferente sobre un hardware
común, están configurados también en el presente ejemplo de
realización para el procesamiento de datos orientado a paquetes.
Según la figura 5, cada canal de procesamiento
seguro 1 y 2 confecciona nuevamente un protocolo seguro completo e
idéntico 14 ó 24. Sin embargo, debido a la configuración para el
proceso de datos orientado a paquetes, cada protocolo seguro 14 y
24 está constituido por un respectivo número de paquetes de datos 15
y 16. El número de paquetes de datos 15 y 16 corresponde también en
el presente ejemplo de realización al número de canales de
procesamiento seguros 1, 2, de modo que, por tanto, cada protocolo
seguro 14 y 24 consta de dos paquetes de datos 15 y 16.
Los canales de procesamiento seguros 1 y 2
pueden estar unidos nuevamente uno con otro, de forma opcional, a
través de una interfaz de comunicación 101, por ejemplo para
comparar eventualmente todavía entre ellos los protocolos seguros
confeccionados 14 y 24 antes de que los respectivos paquetes de
datos o partes de protocolo 15 y 16 sean habilitados para su
procesamiento ulterior, es decir, para su inscripción en la memoria
de datos 30. Sin embargo, esta comparación no tiene que estar
forzosamente prevista en este punto.
Las autorizaciones de acceso para los canales de
procesamiento 1 y 2 a la memoria de datos 30 para leer y escribir
datos están controladas de nuevo definidamente de una manera
adecuada, por ejemplo por un enclavamiento de acceso insinuado en
la figura 5 con el número de referencia 8 y realizado por medio de
hardware. Basándose en la construcción de los canales de
procesamiento 1 y 2 para el procesamiento de datos orientado a
paquetes, las autorizaciones de escritura en la forma de
realización según la figura 5 están repartidas de tal manera que se
haga posible una respectiva inscripción de paquetes de datos en la
memoria de datos 30.
Para garantizar que en la memoria de datos 30 se
inscriba desde cada canal de procesamiento 1 y 2 un respectivo
paquete de datos diferente, la autorización de acceso puede ser tal,
por ejemplo, que el canal de procesamiento 1 pueda acceder para
escritura solamente a sitios de memoria de una primera zona de
memoria coherente de la memoria de datos 30 y el canal de
procesamiento redundante 2 pueda acceder para escritura únicamente a
sitios de memoria de otra zona de memoria coherente de dicha
memoria de datos.
En la figura 5 se indican las autorizaciones de
escritura y las autorizaciones de lectura para el canal de
procesamiento 1 por medio de las flechas identificadas con "S1"
y "L1", respectivamente, y se indican también las
autorizaciones de escritura y las autorizaciones de lectura para el
canal de procesamiento 2 por medio de las flechas identificadas con
"S2" y "L2", respectivamente. Por consiguiente, el canal
de procesamiento 1 puede escribir así solamente el paquete de datos
15 en la memoria de datos común 30 y el canal de procesamiento 2
puede escribir el paquete de datos 16 en la memoria de datos común
30. Sin embargo, ambos canales de procesamiento 1 y 2 están
autorizados para leer cada uno de ellos ambos paquetes de datos 15 y
16 en la memoria de datos 30.
En consecuencia, cada canal de procesamiento
redundante seguro 1 y 2 confecciona nuevamente una respectiva parte
diferente del respectivo protocolo seguro generado 14 ó 24 en la
zona de datos común 30 para componer allí conjuntamente un
protocolo seguro.
Una vez que el canal de procesamiento 1 ha
inscrito el paquete de datos 15 del protocolo 14 en la memoria de
datos común 30 como respectiva parte de protocolo y el canal de
procesamiento 2 ha inscrito el paquete de datos 16 del protocolo 24
en dicha memoria de datos como respectiva parte del protocolo, los
canales de procesamiento redundantes seguros 1 y 2 leen nuevamente
los datos completos en la memoria de datos 30 y comparan éstos con
el respectivo protocolo o juego de datos seguro internamente
habilitado 14 ó 24. Si una respectiva comparación arroja el
resultado de que los datos leídos son iguales al respectivo conjunto
de datos internamente habilitado, el canal de procesamiento 1 ó 2
habilita el protocolo seguro conjuntamente formado en la memoria de
datos 30 a través de medios y/o medidas correspondientemente
adecuados, tal como, por ejemplo, por medio de una señal de
habilitación 9 para realizar un procesamiento ulterior. Únicamente
cuando cada canal de procesamiento redundante 1 y 2 ha habilitado
para su ulterior procesamiento el protocolo seguro conjuntamente
formado en la memoria de datos 30, se habilita eficazmente este
protocolo para su entrega/recepción desde la memoria de datos 30.
Por ejemplo, para hacer posible o habilitar un acceso al contenido
del registro intermedio para su entrega o recepción con fines de
procesamiento ulterior, exclusivamente al presentarse una
habilitación por parte de cada uno de los canales de procesamiento
redundantes, se puede provocar la activación de una señal que
habilite una salida correspondiente del contenido, o señal de
habilitación, a través de una combinación Y de las distintas
señales de habilitación al presentarse una liberación producida por
cada canal de procesamiento redundante 1, 2.
El transporte ulterior del protocolo
conjuntamente formado después de la entrega/recepción desde la
memoria de datos 30 puede ser de cualquier naturaleza, por ejemplo
según la descripción anterior con respecto a las figuras 1 y 2 y
depende sustancialmente tan sólo de las medidas que se hayan
integrado en el protocolo seguro.
Por tanto, la forma de realización descrita
según la figura 5 es adecuada no sólo para el acoplamiento de bus
monocanal de un proceso crítico para la seguridad, sino también para
el acoplamiento de otro tipo de procesos críticos para la seguridad
desde un entorno seguro, que presenta al menos dos canales de
procesamiento redundantes, hasta un entorno no seguro o un entorno
seguro, pero que presenta menos canales, sin que se ponga en riesgo
la seguridad. En consecuencia, el mecanismo de acoplamiento
anteriormente descrito se puede utilizar convenientemente para toda
unión entre unidades de procesamiento seguras a través de vías de
transporte no seguras. Esto rige para el transporte de datos a
través de redes, como, por ejemplo, Interbus o Ethernet, o dentro de
aparatos, incluyendo aparatos configurables por ampliaciones, como,
por ejemplo, estaciones en línea.
Cabe consignar que en principio pueden recibirse
también datos de la misma manera en un entorno de proceso seguro
que presenta varios canales de procesamiento desde un entorno no
seguro o un entorno seguro, pero que presenta menos canales de
procesamiento.
Claims (8)
1. Procedimiento para el acoplamiento monocanal
de un proceso crítico para la seguridad desde un entorno seguro
hasta un bus o un equipo - configurado específicamente para la
aplicación - de un entorno seguro o no seguro, en el que se procesa
un juego de datos relevante para el proceso crítico para la
seguridad a través de al menos dos canales de procesamiento
relevantes (1, 2), especialmente con arreglo a protocolos
específicos, según leyes idénticas, para obtener un respectivo
protocolo seguro (14, 24), y se ensamblan los protocolos seguros
redundantes (14, 24) de acoplamiento monocanal para obtener un
protocolo seguro común, concretamente accediendo desde cada uno de
los canales de procesamiento (1, 2) a un registro intermedio común
(30), en donde se adjudica solamente una vez una autorización de
escritura para cada sitio del registro de tal manera que el
protocolo seguro común se ensamble proporcionalmente por inscripción
de respectivas porciones diferentes de los respectivos protocolos
seguros, en donde, antes de una entrega del protocolo seguro común
desde el registro intermedio (30), se lee por cada uno de los
canales de procesamiento redundantes (1, 2) el contenido de cada
sitio del registro intermedio (30) para la verificación del
protocolo seguro conjuntamente formado, y en donde el protocolo
seguro conjuntamente formado es habilitado para su procesamiento
ulterior únicamente como reacción a una habilitación otorgada por
cada canal de procesamiento redundante (1, 2) para la entrega o la
recepción desde el registro intermedio.
2. Procedimiento según la reivindicación
anterior, en el que la habilitación otorgada por un canal de
procesamiento (1, 2) se efectúa transmitiendo una señal de
habilitación del canal de procesamiento al registro intermedio.
3. Procedimiento según la reivindicación
anterior, en el que la activación de una señal de habilitación al
presentarse una habilitación otorgada por cada canal de
procesamiento redundante (1, 2) se produce a través de una
combinación Y de las distintas señales de habilitación.
4. Procedimiento según cualquiera de las
reivindicaciones anteriores, caracterizado, además, porque
cada uno de los protocolos seguros redundantes (14, 24) se
constituye a base de un número de partes de protocolo
correspondiente al número de canales de procesamiento redundantes
(1, 2), y para componer el protocolo seguro común se inscribe por
cada canal de procesamiento una respectiva parte de protocolo
diferente en el registro intermedio.
5. Procedimiento según cualquiera de las
reivindicaciones anteriores, en el que cada protocolo seguro
redundante (14, 24) se constituye a base de una serie de paquetes
de datos y se adjudica la autorización de escritura para realizar
una inscripción a modo de paquetes de datos.
6. Dispositivo para el acoplamiento monocanal de
un proceso crítico para la seguridad desde un entorno seguro hasta
un bus o un equipo - diseñado específicamente para la aplicación -
de un entorno seguro o no seguro, cuyo dispositivo comprende
al menos dos ordenadores redundantes (11, 21)
para procesar, en particular con arreglo a protocolos específicos,
un juego de datos de entrada idéntico empleando leyes idénticas a
fin de obtener un respectivo protocolo seguro (14, 24), y
una disposición de circuito para conectar cada
ordenador (11, 21) con un registro intermedio común (30) de tal
manera que se proporcione para cada sitio del registro intermedio
(30) una posibilidad de acceso para escritura solamente para un
respectivo ordenador de entre los ordenadores y una posibilidad de
acceso para lectura para cada uno de los ordenadores (11, 21), y en
donde cada ordenador comprende medios para verificar un contenido
retroleído desde el registro intermedio y para habilitar el
contenido del registro intermedio como reacción a una verificación
positiva.
7. Dispositivo según la reivindicación anterior,
caracterizado, además, porque cada uno de los al menos dos
ordenadores redundantes (11, 21) está diseñado para realizar un
procesamiento de datos basado en paquetes.
8. Dispositivo según cualquiera de las
reivindicaciones anteriores, en el que los al menos dos ordenadores
redundantes se han formado por medio de hardware redundante y/o
software redundante.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102006007844 | 2006-02-17 | ||
DE200610007844 DE102006007844A1 (de) | 2004-08-17 | 2006-02-17 | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2348747T3 true ES2348747T3 (es) | 2010-12-13 |
Family
ID=37964728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES07703483T Active ES2348747T3 (es) | 2006-02-17 | 2007-02-15 | Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. |
Country Status (8)
Country | Link |
---|---|
US (1) | US8271708B2 (es) |
EP (1) | EP1985070B1 (es) |
JP (1) | JP5052532B2 (es) |
CN (1) | CN101385282B (es) |
AT (1) | ATE483290T1 (es) |
DE (1) | DE502007005195D1 (es) |
ES (1) | ES2348747T3 (es) |
WO (1) | WO2007093427A1 (es) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE540343T1 (de) | 2009-10-23 | 2012-01-15 | Sick Ag | Sicherheitssteuerung |
JP5699896B2 (ja) * | 2011-10-12 | 2015-04-15 | トヨタ自動車株式会社 | 情報処理装置、異常判定方法 |
DE102012208134B4 (de) | 2012-05-15 | 2013-12-05 | Ifm Electronic Gmbh | Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem |
FR3018977B1 (fr) * | 2014-03-24 | 2018-01-12 | Thales | Structure de controleur d'echanges de messages et de communications generique pour des systemes de communication avioniques rebondants |
US10466702B1 (en) * | 2018-02-14 | 2019-11-05 | Rockwell Collins, Inc. | Dual independent autonomous agent architecture for aircraft |
CN111694271B (zh) * | 2020-07-15 | 2022-02-01 | 中国核动力研究设计院 | 基于分布式控制系统的冗余容错控制系统和方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19532639C2 (de) * | 1995-08-23 | 2000-11-30 | Siemens Ag | Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten |
US6161202A (en) * | 1997-02-18 | 2000-12-12 | Ee-Signals Gmbh & Co. Kg | Method for the monitoring of integrated circuits |
US6999824B2 (en) * | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
TW436671B (en) * | 1998-03-25 | 2001-05-28 | Siemens Ag | Automation system |
DE10065907A1 (de) | 2000-11-29 | 2002-09-26 | Heinz Gall | Verfahren zum gesicherten Datentransport |
US6915444B2 (en) * | 2001-09-12 | 2005-07-05 | Rockwell Automation Technologies, Inc. | Network independent safety protocol for industrial controller using data manipulation techniques |
DE10301504B3 (de) * | 2003-01-17 | 2004-10-21 | Phoenix Contact Gmbh & Co. Kg | Einsignalübertragung sicherer Prozessinformation |
DE102004039932A1 (de) * | 2004-08-17 | 2006-03-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
DE102006002824B4 (de) * | 2006-01-19 | 2008-10-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht |
-
2007
- 2007-02-15 JP JP2008554683A patent/JP5052532B2/ja not_active Expired - Fee Related
- 2007-02-15 ES ES07703483T patent/ES2348747T3/es active Active
- 2007-02-15 WO PCT/EP2007/001337 patent/WO2007093427A1/de active Application Filing
- 2007-02-15 CN CN2007800057116A patent/CN101385282B/zh active Active
- 2007-02-15 AT AT07703483T patent/ATE483290T1/de active
- 2007-02-15 US US12/278,229 patent/US8271708B2/en active Active
- 2007-02-15 EP EP07703483A patent/EP1985070B1/de active Active
- 2007-02-15 DE DE502007005195T patent/DE502007005195D1/de active Active
Also Published As
Publication number | Publication date |
---|---|
US20100217408A1 (en) | 2010-08-26 |
EP1985070A1 (de) | 2008-10-29 |
EP1985070B1 (de) | 2010-09-29 |
DE502007005195D1 (de) | 2010-11-11 |
JP5052532B2 (ja) | 2012-10-17 |
WO2007093427A1 (de) | 2007-08-23 |
JP2009527038A (ja) | 2009-07-23 |
CN101385282A (zh) | 2009-03-11 |
CN101385282B (zh) | 2012-11-28 |
ATE483290T1 (de) | 2010-10-15 |
US8271708B2 (en) | 2012-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2293443T3 (es) | Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus. | |
ES2348747T3 (es) | Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. | |
ES2308480T3 (es) | Control de seguridad. | |
ES2323150T3 (es) | Unidad maestra, sistema de comunicacion y procedimiento para su funcionamiento. | |
ES2333550T3 (es) | Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. | |
US5428745A (en) | Secure communication system for re-establishing time limited communication between first and second computers before communication time period expiration using new random number | |
US20060229737A1 (en) | Coupling of safe fieldbus systems | |
ES2335788T3 (es) | Procedimiento para la transmision de datos y sistema de automatizacion para el empleo de un procedimiento de transmision de datos de este tipo. | |
SE9904033D0 (sv) | Interferensskydd | |
ES2567268T3 (es) | Sistema de comunicación y procedimiento para la transmisión de datos isócrona en tiempo real | |
US20090089861A1 (en) | Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit | |
CN104364764A (zh) | 用于总线系统的用户站和用于在总线系统的用户站之间传输消息的方法 | |
JP2009182981A (ja) | セキュリティ関連データのパケット指向伝送のための方法および装置 | |
CN100452692C (zh) | 用于数据传输的方法 | |
US7376020B2 (en) | Memory using a single-node data, address and control bus | |
ES2229697T3 (es) | Telegramas de datos cortos de un sistema de automatizacion. | |
ES2206343T3 (es) | Sistema y procedimiento para evitar el acceso no autorizado a modulos, especialmente en sistemas de automatizacion. | |
ES2655675T3 (es) | Aparato y procedimiento para conectar redes informáticas | |
ES2237645T3 (es) | Procedimiento para el encapsulado de un protocolo de alta calidad en un sistema de bus de campo. | |
ES2593831T3 (es) | Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo | |
CN103220133B (zh) | 具有信息安全管理功能的远控智能燃气表 | |
CN103152175B (zh) | 远控智能燃气表信息安全管理模块 | |
ES2369648T3 (es) | Dispositivo de almacenamiento masivo y sistema de almacenamiento. | |
CN103152176B (zh) | 物联网智能燃气表信息安全管理模块 | |
CN203104484U (zh) | 远控智能燃气表信息安全管理模块 |