ES2348747T3 - Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. - Google Patents

Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. Download PDF

Info

Publication number
ES2348747T3
ES2348747T3 ES07703483T ES07703483T ES2348747T3 ES 2348747 T3 ES2348747 T3 ES 2348747T3 ES 07703483 T ES07703483 T ES 07703483T ES 07703483 T ES07703483 T ES 07703483T ES 2348747 T3 ES2348747 T3 ES 2348747T3
Authority
ES
Spain
Prior art keywords
protocol
data
redundant
security
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07703483T
Other languages
English (en)
Inventor
Rainer Esch
Steffen Horn
Johannes Kalhoff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE200610007844 external-priority patent/DE102006007844A1/de
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Application granted granted Critical
Publication of ES2348747T3 publication Critical patent/ES2348747T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L2001/0092Error control systems characterised by the topology of the transmission link
    • H04L2001/0094Bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/4026Bus for use in automation systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Alarm Systems (AREA)
  • Bus Control (AREA)
  • Storage Device Security (AREA)

Abstract

Procedimiento para el acoplamiento monocanal de un proceso crítico para la seguridad desde un entorno seguro hasta un bus o un equipo - configurado específicamente para la aplicación - de un entorno seguro o no seguro, en el que se procesa un juego de datos relevante para el proceso crítico para la seguridad a través de al menos dos canales de procesamiento relevantes (1, 2), especialmente con arreglo a protocolos específicos, según leyes idénticas, para obtener un respectivo protocolo seguro (14, 24), y se ensamblan los protocolos seguros redundantes (14, 24) de acoplamiento monocanal para obtener un protocolo seguro común, concretamente accediendo desde cada uno de los canales de procesamiento (1, 2) a un registro intermedio común (30), en donde se adjudica solamente una vez una autorización de escritura para cada sitio del registro de tal manera que el protocolo seguro común se ensamble proporcionalmente por inscripción de respectivas porciones diferentes de los respectivos protocolos seguros, en donde, antes de una entrega del protocolo seguro común desde el registro intermedio (30), se lee por cada uno de los canales de procesamiento redundantes (1, 2) el contenido de cada sitio del registro intermedio (30) para la verificación del protocolo seguro conjuntamente formado, y en donde el protocolo seguro conjuntamente formado es habilitado para su procesamiento ulterior únicamente como reacción a una habilitación otorgada por cada canal de procesamiento redundante (1, 2) para la entrega o la recepción desde el registro intermedio.

Description

Procedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
La invención concierne a un procedimiento y un dispositivo adaptado para la puesta en práctica del procedimiento, diseñados para realizar un acoplamiento de bus monocanal de procesos relevantes para la seguridad.
Por proceso relevante para la seguridad se entiende seguidamente un proceso del cual parte, al presentarse un error, un riesgo no despreciable para personas y/o también para artículos materiales. Por tanto, en un proceso relevante para la seguridad tiene que estar garantizada con una seguridad al 100% en el caso ideal que, al presentarse un error, este proceso, un proceso sucesivo acoplado con este proceso y/o un sistema total que comprenda este proceso sean transferidos a un estado seguro. Por consiguiente, tales procesos relevantes para la seguridad pueden ser también procesos parciales de procesos totales mayores de rango superior. Ejemplos de procesos relevantes para la seguridad son procedimientos químicos en los que los parámetros críticos tienen que mantenerse imprescindiblemente dentro de un intervalo prefijado, y controladores complejos de máquinas, tal como, por ejemplo, en una prensa hidráulica o en una cadena de fabricación, en los que, por ejemplo, la puesta en funcionamiento de un útil de prensado/corte puede representar un proceso parcial relevante para la seguridad. Otros ejemplos de procesos (parciales) relevantes para la seguridad son la vigilancia de rejillas de protección, puertas de protección o barreras ópticas, el control de interruptores para dos manos o bien la reacción a desconectores de emergencia.
Por tanto, para todos los procesos relevantes para la seguridad es absolutamente necesario que los respectivos datos correspondientes relevantes para la seguridad, generados o captados o medidos, sean transportados con proximidad en el tiempo sin ningún falseamiento de los mismos, ya que cualquier falseamiento puede tener como resultado un funcionamiento y/o una reacción erróneos que, como última consecuencia, pueden poner en peligro la vida y la salud de las personas.
Para satisfacer los requisitos de seguridad se han establecido en los últimos años numerosos convenios que fomentan un transporte de datos casi exento de errores cuando se utilizan sistemas de bus. Éstos conciernen especialmente al propio transporte de datos y a una probabilidad de error residual admisible en función de la respectiva aplicación o del respectivo proceso. Como estándares pertinentes pueden citarse aquí especialmente las normas EN 61508 y EN 954-1, así como los principios para la comprobación y certificación de "sistemas de bus para la transmisión de mensajes relevantes para la seguridad" del departamento de ensayos y certificaciones de las asociaciones profesionales industriales.
Según estos convenios y normas, se han desarrollado sistemas de bus dirigidos a la seguridad que transmiten datos con alta redundancia. Los posibles errores son descubiertos a su debido tiempo y se puede evitar una situación de peligro. Ejemplos de ellos son, entre otros, el Safety Bus P, el Profibus F, el Interbus Safety y algunos más.
Sin embargo, es desventajoso a este respecto el hecho de que para la utilización de sistemas de bus dirigidos a la seguridad se tienen que sustituir sistemas de bus ya instalados y tienen que aceptarse frecuentemente restricciones en cuanto al número de abonados, la velocidad de transporte de datos o el protocolo de datos.
Como consecuencia, se han desarrollado procedimientos y/o componentes dirigidos a la seguridad que hacen posible un reacondicionamiento más sencillo y más barato de sistemas de bus ya existentes. Particularmente los procedimientos de seguridad electrónicos empleados en la técnica de control y automatización utilizan aquí para la transmisión de datos relevantes para la seguridad, especialmente entre sensores, actores y/o equipos de control, los sistemas de bus (de campo) de comunicación de datos ya utilizados entre las distintas unidades implicadas en un proceso.
El documento EP 1 188 096 B1 revela, por ejemplo, un sistema de control para un proceso relevante para la seguridad con un bus de campo a través del cual están unidas una unidad de control para controlar el proceso relevante para la seguridad y una unidad de señalización que está vinculada con el proceso relevante para la seguridad a través de canales de entrada/salida. Para garantizar una comunicación mutua segura frente a errores, estas unidades presentan equipos referidos a la seguridad mediante los cuales unas unidades en sí no seguras deberán convertirse en unidades seguras. En particular, están previstos cada vez al menos dos canales de procesamiento redundantes de tal manera que un error en uno de los canales de procesamiento pueda ser reconocido y eventualmente corregido en base a un resultado que se desvíe del resultado de otro de los canales de procesamiento redundantes. Esta estructura multicanal se materializa especialmente por medio de dos ordenadores redundantes, terminando la consideración de la seguridad después de los dos ordenadores redundantes y entrando en acción a partir de este punto, sin más explicaciones, la consideración para un protocolo de datos seguro.
Bajo el término general de ordenador han de entenderse en lo que sigue, siempre que no se efectúe una especificación más amplia, sustancialmente cualquier clase de equipos de procesamiento de datos tales como microordenadores, microprocesadores, microcontroladores o bien PCs.
El documento WO 01/15385 A2 concierne también al control de procesos relevantes para la seguridad empleando sistemas de bus (de campo), en donde las unidades implicadas en el control del proceso relevante para la seguridad presentan nuevamente canales de procesamiento construidos generalmente en forma redundante. Cada uno de los canales redundantes comprende un ordenador, y estos ordenadores se controlan mutuamente. Esta estructura multicanal se transfiere a una estructura monocanal (figura 3) a través de otro ordenador unido con el bus de campo. No se pueden encontrar en el documento explicaciones más amplias, incluida la transición de la situación multicanal a la situación monocanal.
En el documento WO 01/15391 A1 y en la publicación de patente DE 199 39 567 A1 pueden encontrarse otros ejemplos de abonados de bus seguros con canales de procesamiento y/u ordenadores realizados en forma redundante, que se controlan mutuamente respecto de un establecimiento de protocolo seguro, y con transición subsiguiente de la situación bicanal a la situación monocanal a través de otro ordenador que está acoplado al bus y que está conectado a un chip de protocolo o tiene integrado este último. La consideración de la seguridad termina aquí también después de los dos ordenadores relevantes, sin la divulgación de otras medidas técnicas, y la consideración para un protocolo de datos seguro entra en acción a partir de este punto.
Para reducir el gasto en circuitos, la patente DE 195 32 639 C2 concerniente a un equipo para la transmisión monocanal de datos formados por medio de dos ordenadores redundantes integra la función del acoplamiento de bus en uno de los dos ordenadores realizados en forma redundante. Por tanto, únicamente el ordenador que presenta la funcionalidad de acoplamiento de bus tiene un canal de salida al que se alimentan datos útiles provenientes de este ordenador y datos de ensayo provenientes del otro ordenador, o viceversa, o bien al que se alimentan datos útiles y datos de ensayo de ambos ordenadores en forma de ensamblados unos dentro de otros (figura 4). Sin embargo, para garantizar que el ordenador que sirve al bus no esté en condiciones de generar telegramas que no puedan influir sobre el otro ordenador es necesario, al realizar la puesta en práctica, un gasto elevado para la consideración de la seguridad, ya que se tienen que demostrar, por un lado, la ausencia de retroacción y, por otro lado, la independencia de los ordenadores para establecer el protocolo seguro. La patente propone para ello únicamente un conexionado o no conexionado correspondiente de la respectiva salidas de los ordenadores.
Asimismo, el documento DE 100 65 907 A1 describe un procedimiento que se basa en el principio de una "redundancia con comparación cruzada" y que está destinado a proporcionar un transporte asegurado de datos para la transmisión de datos en redes o sistemas de bus en paralelo o en serie, en donde se emplea un registro intermedio con dos zonas de datos lógicamente idénticas para la transición de la situación bicanal a la situación monocanal. El mensaje completo dirigido a la seguridad, que se ha de transmitir por un solo canal a través del sistema de bus, comprende los contenidos de datos de ambas zonas de datos del registro intermedio. Delante del registro intermedio en el lado del emisor están conectados nuevamente dos ordenadores de funcionamiento redundante que, según la naturaleza de la aplicación, procesan datos relevantes para la seguridad proporcionados por un solo canal o por dos canales, cada uno de tales datos con información redundante, para convertirlos en datos seguros, y se intercambian mutuamente estos datos a fines de comprobación. Siempre que ambos hayan llegado al mismo resultado, cada uno de los ordenadores entrega sus datos seguros al registro intermedio, ocupándose cada zona de datos con los datos seguros de un respectivo ordenador, los cuales a su vez contienen ya información redundante para el reconocimiento de errores. Si en una forma de realización alternativa el registro intermedio está contenido en uno de los dos ordenadores, de modo que, en consecuencia, este un ordenador ocupa correspondientemente ambas zonas de datos del registro intermedio después de su sintonización con el segundo ordenador, este segundo ordenador lee una vez más, para fines de control, el registro de datos con las dos zonas de datos. Según la aplicación, el contenido de datos de una de las dos zonas de datos del registro intermedio puede presentar también datos invertidos u otros ensambles adicionales para reconocer, por ejemplo, errores sistemáticos en los emisores, receptores y/u otras unidades de retransmisión de los datos. Por tanto, es desventajoso aquí especialmente el hecho de que la longitud de datos total del mensaje dirigido a la seguridad es excesivamente grande con respecto a los datos útiles reales y la velocidad de transmisión de datos con respecto a los datos útiles reales es así pequeña, ya que para juego de datos útiles a transmitir hay que transmitir dos juegos de datos útiles idénticos y una respectiva información redundante referente a cada uno de los juegos de datos útiles idénticos. Al disminuir el número de datos útiles a transmitir por cada paquete de datos, tal como esto se hace, por ejemplo, en el Interbus, se empeora crecientemente la relación de longitud de datos útiles a longitud de datos totales.
La solicitud de patente alemana 10 2004 039 932.8 presentada el 17 de Agosto de 2004 por el mismo solicitante de la presente invención, respecto de la cual la presente invención representa un perfeccionamiento, se había planteado un problema consistente en proporcionar, para el acoplamiento de bus seguro de datos relevantes para la seguridad, otro camino nuevo y mejorado para la transición de la situación multicanal a la situación monocanal y en asegurar de una manera sencilla de materializar, especialmente de una manera también sencilla de ensayar, una ausencia de retroacción y una independencia para la confección de un protocolo dirigido a la seguridad que deba transmitirse como programa de seguridad a través de un bus.
A este fin, se ha propuesto prever un procedimiento para el acoplamiento de bus monocanal de un proceso crítico para la seguridad, en el que un juego de datos relevante para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes, especialmente en una forma específica de protocolo, según leyes idénticas, para obtener un respectivo protocolo dirigido a la seguridad, y los protocolos redundantes dirigidos a la seguridad para el acoplamiento de bus monocanal pueden ensamblarse de nuevo para formar un protocolo común dirigido a la seguridad, concretamente accediendo desde cada uno de los canales de procesamiento a un registro intermedio común, adjudicándose solamente una vez para cada sitio del registro una autorización de escritura de tal manera que el protocolo común dirigido a la seguridad, es decir, el telegrama de seguridad que se debe transmitir, se ensamble proporcionalmente por inscripción de respectivas porciones diferentes de los respectivos protocolos dirigidos a la seguridad.
En consecuencia, una ventaja esencial consistía aquí en que, por un lado, ambos canales de procesamiento están en condiciones de calcular el protocolo completo dirigido a la seguridad de modo que éste repercuta positivamente sobre la longitud necesaria del telegrama, puesto que todos los bits de datos con los diferentes mecanismos de seguridad son ya conocidos de antemano en los canales de procesamiento redundantes y no tienen que transmitirse bits de datos adicionales que permitan en el lado del receptor llegar a la conclusión de que el cálculo es impecable. Además, se garantiza que un canal de procesamiento en solitario no esté en condiciones de enviar un telegrama de seguridad, representando el control a través de la respectiva autorización de escritura de datos en un sitio del registro adjudicable una sola vez una posibilidad sencilla de implementar y altamente eficiente para garantizar, con independencia del bus (sistema) empleado, una barata seguridad sensiblemente incrementada.
Por tanto, la materialización de una unidad inteligente para realizar el procedimiento según la invención puede ser ya garantizada empleando un dispositivo que comprenda al menos dos ordenadores redundantes y en el que los ordenadores estén concebidos para procesar un juego de datos de entrada idénticos empleando leyes idénticas a fin de obtener un respectivo protocolo dirigido a la seguridad y estén unidos con un registro intermedio común a través de una disposición de circuito de tal manera que para cada sitio del registro intermedio se proporcione solamente un acceso de escritura para un ordenador respectivo de entre los ordenadores.
Por consiguiente, la invención según la solicitud de patente alemana 10 2004 039 932.8 hace ya posible empleando componentes estándar y con independencia del respectivo sistema de bus una solución sencilla de implementar, altamente dinámica y altamente eficiente para formar sin retroacción e independientemente un respectivo protocolo dirigido a la seguridad, en donde las reglas de procesamiento específicas para formar el telegrama de seguridad son aquí convenientemente adecuadas para satisfacer los respectivos requisitos de seguridad, especialmente los requisitos de seguridad para una sencilla transmisión según SIL 3 IEC 61508.
Asimismo, la invención según la solicitud de patente alemana 10 2004 039 932.8 ya preveía configurar convenientemente la disposición de circuito de tal manera que cada uno de los ordenadores pueda acceder para lectura a cada sitio del registro intermedio, con lo que, según una ejecución preferida, antes de una entrega del protocolo común dirigido a la seguridad desde el registro intermedio para fines de transmisión se recurre para lectura a cada sitio del registro desde cada uno de los canales de procesamiento redundantes a fin de realizar una verificación del protocolo conjuntamente formado dirigido a la seguridad. Gracias a la comparación adicional así posible del protocolo conjuntamente formado dirigido a la seguridad con el respectivo protocolo dirigido a la seguridad, formado por separado o individualmente a través de los canales de procesamiento, se ha podido incrementar sensiblemente una vez más la seguridad conseguida, ya que, en caso de fallo o error de un ordenador, no se puede generar consecuentemente ningún telegrama de seguridad completo, con lo que se reconoce forzosamente el error y se puede poner en marcha una función dirigida a la seguridad.
Sin embargo, se ha visto que, en caso de error, el protocolo conjuntamente formado dirigido a la seguridad es entregado eventualmente ya desde el registro intermedio a fines de tratamiento ulterior, aun cuando no haya concluido todavía la verificación del protocolo retroleído.
Un problema de la presente invención consiste ahora en perfeccionar el objeto de la solicitud de patente alemana 10 2004 039 932.8 de tal manera que, al retroleer con fines de verificación del protocolo común dirigido a la seguridad inscrito en el registro intermedio, quede excluida la entrega de este protocolo común dirigido a la seguridades desde el registro intermedio en tanto no haya concluido completamente la verificación.
La solución según la invención se proporciona ya de una manera sumamente sorprendente por medio de un objeto con las características de una de las reivindicaciones independientes anexas.
Formas de realización y perfeccionamientos ventajosos y/o preferidos son objeto de las respectivas reivindicaciones subordinadas.
Por tanto, según la invención, se ha previsto que, al retroleer el protocolo común dirigido a la seguridad inscrito en el registro intermedio para su verificación, este protocolo conjuntamente formado, seguro o dirigido a la seguridad, inscrito en el registro intermedio, sea habilitado únicamente como reacción a una habilitación por cada uno de los canales de procesamiento redundantes para su entrega o recepción desde el registro intermedio a fines de tratamiento ulterior.
Cuando, según la invención, el dispositivo que comprende al menos dos ordenadores redundantes está concebido de tal manera que, ante una posibilidad de acceso para lectura a cualquier sitio del registro intermedio para cada uno de los ordenadores, los ordenadores comprenden medios para verificar un contenido retroleído desde el registro intermedio y para habilitar el contenido del registro intermedio como reacción a una verificación positiva, se puede producir ya esta habilitación de una manera sencilla y barata por transmisión de señales de habilitación correspondientes al registro intermedio.
Para hacer posible o habilitar un acceso al contenido del registro intermedio para su entrega o recepción a fines de tratamiento ulterior, exclusivamente al presentarse una habilitación por cada uno de los canales de procesamiento redundantes, se puede producir, por ejemplo, la activación de una señal que habilite una salida del contenido, o señal de habilitación, a través de una combinación Y de las distintas señales de habilitación.
En otra realización preferida se ha previsto también que cada uno de los protocolos seguros redundantes se constituya a base de un número de partes de protocolo correspondiente al número de canales de procesamiento redundantes, y que se adjudiquen las autorizaciones de escritura de tal manera que, para componer el protocolo seguro común, se inscriba por cada canal de procesamiento en el registro intermedio otra respectiva parte del protocolo.
Especialmente en el caso de una configuración y/o un uso de un dispositivo según la invención en los que cada uno de los al menos dos ordenadores redundantes está concebido para el procesamiento de datos basado en paquetes, se propone en un perfeccionamiento del procedimiento que cada protocolo seguro redundante se constituya a base de una pluralidad de paquetes de datos y que se adjudique la autorización de escritura para la inscripción a modo de paquetes de datos.
Además, la invención comprende formas de realización en las que los al menos dos ordenadores redundantes se han formado por medio de hardware redundante y/o software redundante.
Por tanto, el dispositivo según la invención y el procedimiento según la invención, en lugar de utilizarse para el acoplamiento de bus monocanal de un proceso crítico para la seguridad, pueden emplearse también para otra clase de acoplamiento de un proceso crítico para la seguridad desde un entorno seguro que presenta al menos dos canales de procesamiento redundantes hasta un entorno no seguro o hasta un entorno seguro, pero que comprende menos canales de procesamiento redundantes, y, en consecuencia, dicho dispositivo y dicho procedimiento son adecuados para sustancialmente cualquier unión entre canales de procesamiento seguros a través de vías de transporte no seguras.
Se puede garantizar así nuevamente un incremento adicional de la seguridad que va más allá de esto cuando, en una realización especialmente preferida, se comprueba primero, antes de la inscripción del protocolo común dirigido a la seguridad, la identidad mutua de los protocolos redundantemente formados dirigidos a la seguridad por medio de los canales de procesamiento, de modo que la formación de un protocolo común dirigido a la seguridad se efectúe únicamente como reacción a protocolos idénticos dirigidos a la seguridad elaborados independientemente uno de otro a partir de un juego de datos de entrada idénticos. Si se presenta ya un error durante el procesamiento redundante, éste es así reconocido aún más temprano y el proceso puede conducirse aún más temprano hacia un estado seguro. Por tanto, los ordenadores desacoplados en sí y de por sí mutuamente están unidos de nuevo preferiblemente uno con otro a través de una interfaz de comunicación.
La invención comprende también nuevamente formas de realización en las que una respectiva autorización de escritura asignada de manera definida a un respectivo canal de procesamiento es comprobada por medio de un procedimiento de ensayo, para lo cual, por ejemplo, es conveniente también el acceso de lectura en todo su volumen para cada sitio del registro. Por ejemplo, a través de cada uno de los canales de procesamiento se puede intentar aquí inscribir un respectivo valor por defecto diferente específicamente asociado en todos los sitios del registro intermedio, leyendo a continuación cada uno de los canales de procesamiento todos los sitios del registro intermedio y verificando los contenidos de los sitios del registro en cuanto a un ensamble unívoco, y realizándose este procedimiento de ensayo de una manera conveniente varias veces y/o mediante una inscripción alternativa en los sitios del registro y una lectura alternativa de estos sitios a través de canales de procesamiento diferentes. En consecuencia, se puede ensayar nuevamente de manera sencilla sustancialmente cada regla de entrega/recepción de seguridad ajustada a través del acoplamiento de los datos proporcionales - a entregar al registro intermedio - a posiciones o direcciones determinadas dentro del protocolo común dirigido a la seguridad o dentro del registro intermedio, y se puede reconocer así con seguridad cualquier error en la formación de un telegrama de seguridad transmitido, inclusive a consecuencia de un fallo de ordenador. En particular, para que, después de un respectivo procesamiento específico de protocolo de los datos de entrada para obtener un protocolo dirigido a la seguridad, se garantice el almacenamiento de éste y su entrega específica de protocolo al bus, satisfaciendo el protocolo dirigido a la seguridad las consignas basadas sobre la respectiva aplicación en un juego de datos de protocolo seguros, un ordenador comprende, según una forma de realización, un respectivo chip de protocolo integrado. En una ejecución alternativa el chip de protocolo puede estar conectado también al lado de salida de un ordenador. Para evitar tales chips de protocolo integrados o pospuestos y, en consecuencia, para reducir también los componentes y los costes, se propone en otra realización especialmente conveniente proporcionar el ordenador con un software correspondientemente configurado para el procesamiento y la entrega específica de protocolo de los datos.
El dispositivo según la invención puede estar concebido como una unidad de abonado de bus, estando conectados los ordenadores de manera conveniente para ello, por el lado de entrada, al menos con canales de entrada para establecer una conexión monocanal o multicanal de unidades de entrada de datos del proceso y para realizar correspondientemente una captación monocanal o multicanal de datos de entrada relevantes para la seguridad que se deben procesar, o bien dicho dispositivo está configurado como una unidad de control de bus que genera, por ejemplo, los datos de entrada relevantes para la seguridad que se deben procesar. Por tanto, los ordenadores están configurados especialmente como microcontroladores o como unidades de proceso centrales (CPUs).
La disposición de circuito para conectar los ordenadores o eventualmente los chips de protocolo pospuestos a los ordenadores puede estar configurada como un sencillo circuito lógico, pudiendo emplearse también circuitos de mando altamente integrados, por ejemplo en forma de un FPGA (Field Programmable Gate Array = Agrupación ordenada de puertas lógicas programables en campo), y pudiendo ser éstos adicionalmente ventajosos según las aplicaciones específicas.
El registro intermedio presenta una interfaz a través de la cual el protocolo común dirigido a la seguridad allí archivado puede ser acoplado directamente en forma monocanal con un bus, por ejemplo un Interbus, o puede ser entregado por un solo canal a otro equipo configurado según la aplicación específica, pudiendo emplearse como otro equipo, según la aplicación específica, especialmente otro chip de protocolo, otro microcontrolador u otra unidad inteligente.
Por tanto, como registro intermedio es ya suficiente una RAM estándar. Sin embargo, en un perfeccionamiento preferido se ha previsto especialmente que se configure el registro intermedio o la memoria intermedia en forma de una memoria de doble puerto (DPM), de modo que los ordenadores puedan conectarse de manera sumamente sencilla y barata a través de uno de los dos puertos de interfaz y el acoplamiento monocanal adicional pueda tener lugar a través del segundo puerto de interfaz.
Otras características y ventajas de la invención resultarán evidentes por la siguiente descripción detallada de una forma de realización preferida de la invención, pero dada únicamente a título de ejemplo, con referencia a los dibujos adjuntos.
En los dibujos muestran:
La figura 1, un croquis de principio esquemático para la formación redundante de protocolos dirigidos a la seguridad para un telegrama de seguridad a transmitir por medio de canales de procesamiento redundantes y para la formación conjunta subsiguiente de un protocolo idéntico dirigido a la seguridad bajo el control de una regla de entrega/recepción concerniente a las respectivas porciones a entregar/recibir desde los protocolos dirigidos a la seguridad, según la solicitud de patente alemana 10 2004 039 932.8,
La figura 2, un posible diagrama de conexiones funcionales de una realización de la invención basándose en dos respectivos microcontroladores que calculan redundantemente el protocolo completo dirigido a la seguridad, según la solicitud de patente alemana 10 2004 039 932.8,
Las figuras 3 y 4, otras realizaciones conocidas para la transición de la situación bicanal a la situación monocanal y
La figura 5, un croquis de principio de una forma de realización preferida de la presente invención, que se basa en las figuras 1 y 2 y que concierne al acoplamiento desde un entorno seguro - que presenta varios canales de procesamiento redundantes - de un protocolo dirigido a la seguridad que está constituido por un número de paquetes de datos correspondiente al número de canales de procesamiento, hasta una zona de datos empleada como registro intermedio que está dispuesta en un entorno no seguro o en un entorno seguro, pero que comprende menos canales de procesamiento.
En la figura 1 se representan dos canales de procesamiento redundantes 1 y 2 de una unidad de abonado de bus o una unidad de control de bus, no representada con detalle, para acoplar un proceso crítico para la seguridad a un bus 40, por ejemplo un Interbus. En el caso de una unidad de abonado de bus, cada uno de los canales de procesamiento está unido con unidades de entrada/salida, tales, por ejemplo, sensores y/o actores, que están asociadas al proceso crítico para la seguridad y que tampoco han sido representadas.
Por tanto, según la naturaleza de la conexión específica, se ponen a disposición de una unidad de abonado de bus con aplicación del lado del sensor, por un solo canal o por dos canales, unos datos de entrada idénticos para los canales de procesamiento 1 y 2 y relevantes para el proceso crítico para la seguridad, y estos datos se archivan convenientemente primero en las memorias 12 ó 22 para su ulterior procesamiento. Particularmente en el caso de una unidad de control de bus, los datos de entrada relevantes para la seguridad que se deben convertir en datos seguros antes de una transmisión de bus se encuentran en las memorias 12 ó 22.
Los datos de entrada son primero procesados redundantemente, antes de la transmisión de un telegrama de seguridad a través del bus 20, aplicando leyes iguales para obtener un respectivo protocolo 14 y 24 dirigido a la seguridad. Los canales de procesamiento comprenden para ello un respectivo microcontrolador 11 ó 21 para el respectivo tratamiento/procesamiento de los datos de entrada relevantes para la seguridad, contenidos en la memoria 12 ó 22, a fin de obtener un protocolo 14 ó 24 dirigido a la seguridad, así como, en la realización según la figura 1, un respectivo chip de protocolo 13 ó 23 que esta pospuesto al microcontrolador 11 ó 21 y que obtiene el protocolo 14 ó 24 dirigido a la seguridad, calculado por el respectivo microcontrolador 11 ó 21, para la entrega ulterior del mismo al bus 40. En una realización alternativa a los chips de protocolo representados 13 ó 23 los microcontroladores 11 y 22 pueden comprender también un software correspondientemente configurado, de modo que la entrega adicional seguidamente descrita de los protocolos calculados 14 y 24 al bus 40 se efectúe a través de los microcontroladores 11 y 21.
En consecuencia, los protocolos 14 y 24 calculados, seguros o dirigidos a la seguridad, siempre que no se haya presentado ningún error o fallo durante el cálculo, son idénticos. Cabe consignar que los protocolos seguros están constituidos aquí, por supuesto, de modo que éstos satisfagan los requisitos de la norma referente a una transmisión dirigida a la
seguridad.
Para aumentar aún más la seguridad se ha previsto, antes de la transmisión de un telegrama seguro a través del bus 40, la formación conjunta de otro protocolo idéntico común dirigido a la seguridad, el cual puede ser entregado después al bus por un solo canal para la transmisión del mismo.
Este protocolo común dirigido a la seguridad se forma por el ensamble proporcional de datos del protocolo seguro 14 y de datos del protocolo seguro 24 en una memoria intermedia o registro intermedio 30, al cual puede acceder cada uno de los canales de procesamiento 1 y 2.
Para impedir que este protocolo dirigido a la seguridad que se debe formar conjuntamente se base tan sólo en datos procedentes de solamente uno de los canales de procesamiento 1 ó 2, lo cual, en consecuencia, equivaldría a la emisión de un telegrama de seguridad por solamente uno de los microcontroladores 11 ó 21, por ejemplo a consecuencia de la aparición de un fallo en uno de los dos microcontroladores, una regla de acceso definida o definible controla los derechos de escritura en la memoria intermedia 30. La regla de acceso determina para ello que sólo las partes del respectivo protocolo calculado dirigido a la seguridad para la formación del protocolo común dirigido a la seguridad pueden ser inscritas desde cada canal de procesamiento 1 y 2 en los sitios de almacenamiento correspondientes de la memoria intermedia 30 para los cuales el respectivo microcontrolador 11 ó 21 tiene una respectiva autorización de escritura. Por tanto, para cada sitio de la memoria o del registro se define solamente según la invención una respectiva autorización de escritura.
Por tanto, partiendo del supuesto de que los protocolos seguros 14 y 24 son idénticos, cada uno de los protocolos comprende también el mismo número de bytes, identificados en la figura 1 con ByteX a ByteX+5. En el presente ejemplo según la figura 1 está fijamente asociada para el microcontrolador 21 del canal de procesamiento 2 la autorización de escritura para las direcciones de la memoria intermedia 30 para el byte X, el byte X+2 y el byte X+4, y para el microcontrolador 11 del canal de procesamiento 1 está asociada la autorización de escritura para registrar el byte X+1, el byte X+3 y el byte X+5. En consecuencia, cada uno de los microcontroladores 11 y 21 lleva asociada solamente una autorización de escritura para registrar cada segundo byte en la memoria intermedia 30.
Si, por ejemplo, X = 0 y los protocolos redundantes 14 y 24 dirigidos a la seguridad, así como el protocolo idéntico dirigido a la seguridad que se debe formar conjuntamente, es decir, el telegrama de seguridad que se debe enviar seguidamente, constan de un total de 6 bytes, los datos dentro de los protocolos seguros redundantes y, por tanto, también dentro del telegrama de seguridad que se debe enviar se componen, por ejemplo, de un encabezamiento de 2 bits, datos útiles subsiguientes de 14 bits, una dirección de 8 bits y una suma de verificación CRC de 24 bits. En consecuencia, con la anterior autorización de acceso para escritura definidamente asociada la cabecera que comprende 2 bits y los primeros 6 bits de los datos útiles son recibidos, haciendo referencia a la figura 1, desde el protocolo seguro 24 calculado a través del canal de procesamiento 2, los 8 bits siguientes de datos útiles son recibidos desde el protocolo 14 calculado a través del canal de procesamiento 1, la dirección que comprende 8 bits es recibida nuevamente desde el juego de datos de protocolo 24 y la suma de verificación CRC que comprende 24 bits es recibida sucesivamente de manera proporcional desde los protocolos calculados 14, 24 y 14.
Por tanto, como memoria intermedia se puede utilizar ya una RAM estándar o preferiblemente, como puede apreciarse más adelante, una DPM estándar.
Incluso en el caso de solamente una redundancia doble se consigue una seguridad aún incrementada que va más allá de esto cuando, de otra manera conveniente, los microcontroladores 11 y 12 de ambos canales de procesamiento 1 y 2 tienen adjudicado el acceso completo para lectura a la memoria intermedia 30.
Esto hace posible una sencilla comparación de todos los datos, a cuyo fin se puede comprobar, por un lado, de una manera sencilla si el protocolo seguro conjuntamente formado, que debe transmitirse como telegrama de seguridad y que, por ejemplo, satisface los requisitos de seguridad para una transmisión sencilla según SIL 3 A IEC 61508, esta exento de error, concretamente debido a una respectiva verificación frente al protocolo propio 14 ó 24 dirigido a la seguridad previamente formado por separado. Además, el acceso de lectura en todo su volumen para cada uno de los dos canales de procesamiento 1 y 2 hace posible la comprobación - realizable convenientemente ya en los prolegómenos del control/vigilancia/regulación de un proceso crítico para la seguridad - de si la regla de acceso se desarrolla en general sin error. A este fin, se comprueba especialmente si los datos calculados de un respectivo microcontrolador del uno y del otro canal de procesamiento se escriben exclusivamente, pero siendo esto garantizado, tan sólo en las respectivas direcciones de almacenamiento asignadas de la memoria intermedia 30.
Si esta "autoverificación" y/o "verificación cruzada" conduce a un resultado desigual, se reconoce forzosamente un error y se inicia una función dirigida a la seguridad.
La figura 2 representa a título de ejemplo, pero empleando un software anteriormente descrito en lugar de chips de protocolo, un posible diagrama de conexiones funcionales de una realización de la autorización de escritura esbozada en la figura 1, así como de la plena autorización de lectura como base para estas verificaciones.
Como se representa en la figura 2, la zona representada a la izquierda, identificada con M, comprende la arquitectura multicanal según la invención con consideración de seguridad y la zona derecha, identificada con E en la figura 2, comprende la arquitectura monocanal con el protocolo dirigido a la seguridad formado conjuntamente y que se debe transmitir como telegrama de seguridad.
Por tanto, basándose sustancialmente en la figura 1, los dos microprocesadores 11 y 21 están desacoplados de una manera en sí conocida, en la figura 2 identificada con el número de referencia 100, y asimismo están unidos uno con otro a través de una interfaz de comunicación 101 para la comprobación mutua adicional de los respectivos protocolos 14 y 24 dirigidos a la seguridad y calculados por separado.
El bus de dirección 102 para las direcciones Ax, con x entre 0 y N, el bus de datos 103 para los datos Dx, con x entre 0 y N, y las señales /CS (selección de chip) y /RD (lectura) se han aplicado de forma directa, tal como es normalmente usual, a la DPM estándar representada en la figura 2 y a las patillas correspondientes para las señales /CSL y /RDL. La línea de dirección A0 está vinculada con señales de escritura /WR_\muC1 y /WR_\muC2 de los microcontroladores 11 y 21 de modo que, en caso de direcciones rectas, solamente está autorizado para escritura el microcontrolador 11 y, en caso de direcciones no rectas, solamente está autorizado para escritura el microcontrolador 21. Solamente en estos dos casos se puede disparar la señal de escritura /WR a través de la patilla correspondiente para la señal "baja activa" /WL en la RAM de la DPM estándar. Sin embargo, ambos microcontroladores 11 y 21 pueden acceder leyendo a la memoria total 30.
Un ensayo del enclavamiento de acceso, el cual se puede realizar convenientemente antes de la escritura del telegrama de seguridad que se debe formar conjuntamente, se efectúa, por ejemplo, según el desarrollo siguiente:
El microcontrolador 11 intenta escribir un valor por defecto, por ejemplo FFh, en todos los sitios de almacenamiento de la memoria DPM 30.
El microcontrolador 21 intenta seguidamente escribir otro valor por defecto, por ejemplo 00h, en todos los sitios de almacenamiento de la memoria DPM 30.
El microcontrolador 11 lee a continuación todos los sitios de almacenamiento de la memoria DPM 30 y comprueba si solamente en los sitios de la memoria asignados al microcontrolador 21 se ha registrado el valor 00h y eventualmente si en los sitios de la memoria asignados al microcontrolador 11 se ha registrado el valor FFh. El microcontrolador 11 intenta después escribir una vez más el valor FFh en todos los sitios de la memoria.
Seguidamente, el microcontrolador 21 lee todos los sitios de almacenamiento de la memoria DPM 30 y comprueba si solamente en los sitios de la memoria asignados al microcontrolador 11 se ha registrado el valor FFh y eventualmente si en los sitios de la memoria asignados al microcontrolador 21 se ha registrado el valor 00h.
Si en esta actitud de espera se presenta un error, se reconoce entonces el error y se inicia una función dirigida a la seguridad, por ejemplo se transfiere el proceso a un estado seguro. En caso contrario, se puede partir de la consideración de que funcione impecablemente el enclavamiento de acceso. Por tanto, una característica esencial en la realización según la invención consiste en que no se aprovechan directamente las señales de escritura propiamente dichas por parte del respectivo microcontrolador 11 ó 21, sino que tiene lugar una vinculación con las direcciones. Por tanto, se puede escribir ahora sobre las direcciones que están asociadas al respectivo microcontrolador.
Los datos que se archivan en la RAM de la DPM 30 están consecuentemente asegurados por medio de un protocolo seguro en medida muy alta. La DPM 30 se considera como no segura, análogamente a lo que ocurre con el propio canal de transmisión. Por tanto, la seguridad se consigue, entre otras cosas, por el hecho de que en el lado de procesamiento, es decir, en la zona identificada con M en la figura 2, existe una actitud de espera en la estructura o en el contenido de los datos. En consecuencia, el procesamiento o distribución ulterior de los datos almacenados transitoriamente en la DPM 30 puede efectuarse, por ejemplo, a través de otro microcontrolador 35 que reciba los datos por un canal desde la DPM 30, y a continuación estos datos pueden ser entregados al sistema de bus, por ejemplo por acoplamiento con un bus de campo 40.
Por tanto, realizando una autoverificación ambos microcontroladores 11 y 12 vigilan automáticamente la respectiva regla de acceso durante prácticamente la inscripción del telegrama de seguridad en la memoria intermedia 30 y los datos archivados en la memoria pueden ser entregados por un solo canal a través de una interfaz de la memoria intermedia 30 para su transmisión a un chip de protocolo, otro microcontrolador u otra unidad inteligente. Dado que en caso de fallo o error de un microcontrolador 11 ó 21 no puede generarse ya un telegrama de seguridad completo, se reconoce forzosamente la existencia de un error y se pone en marcha una función dirigida a la seguridad. Por tanto, la consideración de seguridad de la arquitectura redundante M termina en principio con el archivado de los datos en la memora 30, puesto que a partir de aquí interviene el mecanismo de seguridad del protocolo debido a que a partir de aquí los posibles errores para una transmisión se consideran poco más o menos como hasta ahora y tienen que ser subsanados. Un error que entra en consideración para ello en el principio para la comprobación y certificación de "sistemas de bus para la transmisión de mensajes relevantes para la seguridad" es un falseamiento del mensaje.
Debido a la vinculación incondicional anteriormente indicada de la autorización de escritura con las posiciones a describir en el protocolo seguro a formar conjuntamente y con la autorización de lectura ilimitada de ambos microcontroladores queda ya así garantizada por el empleo de componentes estándar la comparación o la verificación del telegrama de seguridad a emitir antes de la transmisión propiamente dicha a través de un bus 40. En consecuencia, un microcontrolador 11 ó 21 no está por sí solo en condiciones de enviar un telegrama de seguridad.
Por tanto, el esquema de conexiones funcionales representado en la figura 2 se puede materializar ya por medio de un sencillo circuito lógico, pero puede estar materializado también, por ejemplo, por un FPGA. Por supuesto, en lugar de la DPM 30 representada en la figura 2 se puede utilizar también una sencilla RAM estándar. Sin embargo, debido a la DPM utilizada se simplifica el circuito respecto de la lectura del telegrama de datos en la memoria intermedia. Es evidente para un experto que la disposición de circuito representada en la figura 2 representa solamente una de las posibles realizaciones técnicas para una unívoca autorización de acceso para escritura. Las líneas de datos pueden estar divididas también, por ejemplo, de modo que un ordenador pueda acceder para escritura solamente a las líneas de datos superiores de la memoria intermedia y un ordenador redundante pueda acceder para escritura únicamente a las líneas de datos inferiores de dicha memoria. Asimismo, una regla de acceso para escritura según la invención puede aplicarse para más de solamente dos ordenadores/canales de procesamiento redundantes.
En la figura 5 se representa ahora a la manera de un croquis de principio una forma de realización preferida de la presente invención, en la que, únicamente después de una realización completa y positiva de una autoverificación por parte de un telegrama de seguridad retroleído en una memoria de datos 30, se habilita este último para su ulterior transmisión.
En la figura 5 se han esbozado nuevamente dos canales de procesamiento 1 y 2 que son parte de un sistema seguro y que pueden estar constituidos según la aplicación específica por medio de hardware multicanal o varios procesos de software o una combinación cualquiera de ellos, los cuales dan como resultado en la compilación total una seguridad sustancialmente correspondiente a la seguridad requerida anteriormente indicada para garantizar los requisitos técnicos de seguridad. Por tanto, un sistema seguro de esta clase comprende nuevamente al menos dos canales de procesamiento seguros redundantes 1, 2 para generar protocolos seguros asociados a al menos un proceso crítico para la seguridad a fin de obtener una seguridad correspondientemente más alta.
Los canales de procesamiento 1 y 2 o bien los ordenadores 11, 21 contenidos en ellos, basados igualmente en un hardware diferente o bien en un software diferente sobre un hardware común, están configurados también en el presente ejemplo de realización para el procesamiento de datos orientado a paquetes.
Según la figura 5, cada canal de procesamiento seguro 1 y 2 confecciona nuevamente un protocolo seguro completo e idéntico 14 ó 24. Sin embargo, debido a la configuración para el proceso de datos orientado a paquetes, cada protocolo seguro 14 y 24 está constituido por un respectivo número de paquetes de datos 15 y 16. El número de paquetes de datos 15 y 16 corresponde también en el presente ejemplo de realización al número de canales de procesamiento seguros 1, 2, de modo que, por tanto, cada protocolo seguro 14 y 24 consta de dos paquetes de datos 15 y 16.
Los canales de procesamiento seguros 1 y 2 pueden estar unidos nuevamente uno con otro, de forma opcional, a través de una interfaz de comunicación 101, por ejemplo para comparar eventualmente todavía entre ellos los protocolos seguros confeccionados 14 y 24 antes de que los respectivos paquetes de datos o partes de protocolo 15 y 16 sean habilitados para su procesamiento ulterior, es decir, para su inscripción en la memoria de datos 30. Sin embargo, esta comparación no tiene que estar forzosamente prevista en este punto.
Las autorizaciones de acceso para los canales de procesamiento 1 y 2 a la memoria de datos 30 para leer y escribir datos están controladas de nuevo definidamente de una manera adecuada, por ejemplo por un enclavamiento de acceso insinuado en la figura 5 con el número de referencia 8 y realizado por medio de hardware. Basándose en la construcción de los canales de procesamiento 1 y 2 para el procesamiento de datos orientado a paquetes, las autorizaciones de escritura en la forma de realización según la figura 5 están repartidas de tal manera que se haga posible una respectiva inscripción de paquetes de datos en la memoria de datos 30.
Para garantizar que en la memoria de datos 30 se inscriba desde cada canal de procesamiento 1 y 2 un respectivo paquete de datos diferente, la autorización de acceso puede ser tal, por ejemplo, que el canal de procesamiento 1 pueda acceder para escritura solamente a sitios de memoria de una primera zona de memoria coherente de la memoria de datos 30 y el canal de procesamiento redundante 2 pueda acceder para escritura únicamente a sitios de memoria de otra zona de memoria coherente de dicha memoria de datos.
En la figura 5 se indican las autorizaciones de escritura y las autorizaciones de lectura para el canal de procesamiento 1 por medio de las flechas identificadas con "S1" y "L1", respectivamente, y se indican también las autorizaciones de escritura y las autorizaciones de lectura para el canal de procesamiento 2 por medio de las flechas identificadas con "S2" y "L2", respectivamente. Por consiguiente, el canal de procesamiento 1 puede escribir así solamente el paquete de datos 15 en la memoria de datos común 30 y el canal de procesamiento 2 puede escribir el paquete de datos 16 en la memoria de datos común 30. Sin embargo, ambos canales de procesamiento 1 y 2 están autorizados para leer cada uno de ellos ambos paquetes de datos 15 y 16 en la memoria de datos 30.
En consecuencia, cada canal de procesamiento redundante seguro 1 y 2 confecciona nuevamente una respectiva parte diferente del respectivo protocolo seguro generado 14 ó 24 en la zona de datos común 30 para componer allí conjuntamente un protocolo seguro.
Una vez que el canal de procesamiento 1 ha inscrito el paquete de datos 15 del protocolo 14 en la memoria de datos común 30 como respectiva parte de protocolo y el canal de procesamiento 2 ha inscrito el paquete de datos 16 del protocolo 24 en dicha memoria de datos como respectiva parte del protocolo, los canales de procesamiento redundantes seguros 1 y 2 leen nuevamente los datos completos en la memoria de datos 30 y comparan éstos con el respectivo protocolo o juego de datos seguro internamente habilitado 14 ó 24. Si una respectiva comparación arroja el resultado de que los datos leídos son iguales al respectivo conjunto de datos internamente habilitado, el canal de procesamiento 1 ó 2 habilita el protocolo seguro conjuntamente formado en la memoria de datos 30 a través de medios y/o medidas correspondientemente adecuados, tal como, por ejemplo, por medio de una señal de habilitación 9 para realizar un procesamiento ulterior. Únicamente cuando cada canal de procesamiento redundante 1 y 2 ha habilitado para su ulterior procesamiento el protocolo seguro conjuntamente formado en la memoria de datos 30, se habilita eficazmente este protocolo para su entrega/recepción desde la memoria de datos 30. Por ejemplo, para hacer posible o habilitar un acceso al contenido del registro intermedio para su entrega o recepción con fines de procesamiento ulterior, exclusivamente al presentarse una habilitación por parte de cada uno de los canales de procesamiento redundantes, se puede provocar la activación de una señal que habilite una salida correspondiente del contenido, o señal de habilitación, a través de una combinación Y de las distintas señales de habilitación al presentarse una liberación producida por cada canal de procesamiento redundante 1, 2.
El transporte ulterior del protocolo conjuntamente formado después de la entrega/recepción desde la memoria de datos 30 puede ser de cualquier naturaleza, por ejemplo según la descripción anterior con respecto a las figuras 1 y 2 y depende sustancialmente tan sólo de las medidas que se hayan integrado en el protocolo seguro.
Por tanto, la forma de realización descrita según la figura 5 es adecuada no sólo para el acoplamiento de bus monocanal de un proceso crítico para la seguridad, sino también para el acoplamiento de otro tipo de procesos críticos para la seguridad desde un entorno seguro, que presenta al menos dos canales de procesamiento redundantes, hasta un entorno no seguro o un entorno seguro, pero que presenta menos canales, sin que se ponga en riesgo la seguridad. En consecuencia, el mecanismo de acoplamiento anteriormente descrito se puede utilizar convenientemente para toda unión entre unidades de procesamiento seguras a través de vías de transporte no seguras. Esto rige para el transporte de datos a través de redes, como, por ejemplo, Interbus o Ethernet, o dentro de aparatos, incluyendo aparatos configurables por ampliaciones, como, por ejemplo, estaciones en línea.
Cabe consignar que en principio pueden recibirse también datos de la misma manera en un entorno de proceso seguro que presenta varios canales de procesamiento desde un entorno no seguro o un entorno seguro, pero que presenta menos canales de procesamiento.

Claims (8)

1. Procedimiento para el acoplamiento monocanal de un proceso crítico para la seguridad desde un entorno seguro hasta un bus o un equipo - configurado específicamente para la aplicación - de un entorno seguro o no seguro, en el que se procesa un juego de datos relevante para el proceso crítico para la seguridad a través de al menos dos canales de procesamiento relevantes (1, 2), especialmente con arreglo a protocolos específicos, según leyes idénticas, para obtener un respectivo protocolo seguro (14, 24), y se ensamblan los protocolos seguros redundantes (14, 24) de acoplamiento monocanal para obtener un protocolo seguro común, concretamente accediendo desde cada uno de los canales de procesamiento (1, 2) a un registro intermedio común (30), en donde se adjudica solamente una vez una autorización de escritura para cada sitio del registro de tal manera que el protocolo seguro común se ensamble proporcionalmente por inscripción de respectivas porciones diferentes de los respectivos protocolos seguros, en donde, antes de una entrega del protocolo seguro común desde el registro intermedio (30), se lee por cada uno de los canales de procesamiento redundantes (1, 2) el contenido de cada sitio del registro intermedio (30) para la verificación del protocolo seguro conjuntamente formado, y en donde el protocolo seguro conjuntamente formado es habilitado para su procesamiento ulterior únicamente como reacción a una habilitación otorgada por cada canal de procesamiento redundante (1, 2) para la entrega o la recepción desde el registro intermedio.
2. Procedimiento según la reivindicación anterior, en el que la habilitación otorgada por un canal de procesamiento (1, 2) se efectúa transmitiendo una señal de habilitación del canal de procesamiento al registro intermedio.
3. Procedimiento según la reivindicación anterior, en el que la activación de una señal de habilitación al presentarse una habilitación otorgada por cada canal de procesamiento redundante (1, 2) se produce a través de una combinación Y de las distintas señales de habilitación.
4. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado, además, porque cada uno de los protocolos seguros redundantes (14, 24) se constituye a base de un número de partes de protocolo correspondiente al número de canales de procesamiento redundantes (1, 2), y para componer el protocolo seguro común se inscribe por cada canal de procesamiento una respectiva parte de protocolo diferente en el registro intermedio.
5. Procedimiento según cualquiera de las reivindicaciones anteriores, en el que cada protocolo seguro redundante (14, 24) se constituye a base de una serie de paquetes de datos y se adjudica la autorización de escritura para realizar una inscripción a modo de paquetes de datos.
6. Dispositivo para el acoplamiento monocanal de un proceso crítico para la seguridad desde un entorno seguro hasta un bus o un equipo - diseñado específicamente para la aplicación - de un entorno seguro o no seguro, cuyo dispositivo comprende
al menos dos ordenadores redundantes (11, 21) para procesar, en particular con arreglo a protocolos específicos, un juego de datos de entrada idéntico empleando leyes idénticas a fin de obtener un respectivo protocolo seguro (14, 24), y
una disposición de circuito para conectar cada ordenador (11, 21) con un registro intermedio común (30) de tal manera que se proporcione para cada sitio del registro intermedio (30) una posibilidad de acceso para escritura solamente para un respectivo ordenador de entre los ordenadores y una posibilidad de acceso para lectura para cada uno de los ordenadores (11, 21), y en donde cada ordenador comprende medios para verificar un contenido retroleído desde el registro intermedio y para habilitar el contenido del registro intermedio como reacción a una verificación positiva.
7. Dispositivo según la reivindicación anterior, caracterizado, además, porque cada uno de los al menos dos ordenadores redundantes (11, 21) está diseñado para realizar un procesamiento de datos basado en paquetes.
8. Dispositivo según cualquiera de las reivindicaciones anteriores, en el que los al menos dos ordenadores redundantes se han formado por medio de hardware redundante y/o software redundante.
ES07703483T 2006-02-17 2007-02-15 Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad. Active ES2348747T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006007844 2006-02-17
DE200610007844 DE102006007844A1 (de) 2004-08-17 2006-02-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse

Publications (1)

Publication Number Publication Date
ES2348747T3 true ES2348747T3 (es) 2010-12-13

Family

ID=37964728

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07703483T Active ES2348747T3 (es) 2006-02-17 2007-02-15 Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.

Country Status (8)

Country Link
US (1) US8271708B2 (es)
EP (1) EP1985070B1 (es)
JP (1) JP5052532B2 (es)
CN (1) CN101385282B (es)
AT (1) ATE483290T1 (es)
DE (1) DE502007005195D1 (es)
ES (1) ES2348747T3 (es)
WO (1) WO2007093427A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE540343T1 (de) 2009-10-23 2012-01-15 Sick Ag Sicherheitssteuerung
JP5699896B2 (ja) * 2011-10-12 2015-04-15 トヨタ自動車株式会社 情報処理装置、異常判定方法
DE102012208134B4 (de) 2012-05-15 2013-12-05 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
FR3018977B1 (fr) * 2014-03-24 2018-01-12 Thales Structure de controleur d'echanges de messages et de communications generique pour des systemes de communication avioniques rebondants
US10466702B1 (en) * 2018-02-14 2019-11-05 Rockwell Collins, Inc. Dual independent autonomous agent architecture for aircraft
CN111694271B (zh) * 2020-07-15 2022-02-01 中国核动力研究设计院 基于分布式控制系统的冗余容错控制系统和方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532639C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
TW436671B (en) * 1998-03-25 2001-05-28 Siemens Ag Automation system
DE10065907A1 (de) 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
DE102004039932A1 (de) * 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht

Also Published As

Publication number Publication date
US20100217408A1 (en) 2010-08-26
EP1985070A1 (de) 2008-10-29
EP1985070B1 (de) 2010-09-29
DE502007005195D1 (de) 2010-11-11
JP5052532B2 (ja) 2012-10-17
WO2007093427A1 (de) 2007-08-23
JP2009527038A (ja) 2009-07-23
CN101385282A (zh) 2009-03-11
CN101385282B (zh) 2012-11-28
ATE483290T1 (de) 2010-10-15
US8271708B2 (en) 2012-09-18

Similar Documents

Publication Publication Date Title
ES2293443T3 (es) Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.
ES2348747T3 (es) Procecedimiento y dispositivo para el acoplamiento de bus de procesos relevantes para la seguridad.
ES2308480T3 (es) Control de seguridad.
ES2323150T3 (es) Unidad maestra, sistema de comunicacion y procedimiento para su funcionamiento.
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
US5428745A (en) Secure communication system for re-establishing time limited communication between first and second computers before communication time period expiration using new random number
US20060229737A1 (en) Coupling of safe fieldbus systems
ES2335788T3 (es) Procedimiento para la transmision de datos y sistema de automatizacion para el empleo de un procedimiento de transmision de datos de este tipo.
SE9904033D0 (sv) Interferensskydd
ES2567268T3 (es) Sistema de comunicación y procedimiento para la transmisión de datos isócrona en tiempo real
US20090089861A1 (en) Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit
CN104364764A (zh) 用于总线系统的用户站和用于在总线系统的用户站之间传输消息的方法
JP2009182981A (ja) セキュリティ関連データのパケット指向伝送のための方法および装置
CN100452692C (zh) 用于数据传输的方法
US7376020B2 (en) Memory using a single-node data, address and control bus
ES2229697T3 (es) Telegramas de datos cortos de un sistema de automatizacion.
ES2206343T3 (es) Sistema y procedimiento para evitar el acceso no autorizado a modulos, especialmente en sistemas de automatizacion.
ES2655675T3 (es) Aparato y procedimiento para conectar redes informáticas
ES2237645T3 (es) Procedimiento para el encapsulado de un protocolo de alta calidad en un sistema de bus de campo.
ES2593831T3 (es) Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo
CN103220133B (zh) 具有信息安全管理功能的远控智能燃气表
CN103152175B (zh) 远控智能燃气表信息安全管理模块
ES2369648T3 (es) Dispositivo de almacenamiento masivo y sistema de almacenamiento.
CN103152176B (zh) 物联网智能燃气表信息安全管理模块
CN203104484U (zh) 远控智能燃气表信息安全管理模块