ES2566679T3 - Procedimiento y sistema para una transmisión segura de datos - Google Patents

Procedimiento y sistema para una transmisión segura de datos Download PDF

Info

Publication number
ES2566679T3
ES2566679T3 ES07021351.7T ES07021351T ES2566679T3 ES 2566679 T3 ES2566679 T3 ES 2566679T3 ES 07021351 T ES07021351 T ES 07021351T ES 2566679 T3 ES2566679 T3 ES 2566679T3
Authority
ES
Spain
Prior art keywords
subscriber
data
evaluation unit
evaluation
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07021351.7T
Other languages
English (en)
Inventor
Johannes Kalhoff
Karsten Meyer-Gräfe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=39065815&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2566679(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Application granted granted Critical
Publication of ES2566679T3 publication Critical patent/ES2566679T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • H04L1/1671Details of the supervisory signal the supervisory signal being transmitted together with control information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Communication Control (AREA)
  • Small-Scale Networks (AREA)

Abstract

Procedimiento para la transmisión de datos segura entre al menos un primer (21, 21', 23, 26) y un segundo (22, 22', 24, 27) abonado de un sistema de comunicación (1, 1') empleado para controlar una máquina o instalación, configurado para la transmisión en serie de datos entre los abonados (21, 22, 21', 22', 23, 24, 26, 27), incluyendo el primer abonado una primera unidad de evaluación (212, 232, 262) y el segundo abonado una segunda unidad de evaluación (222, 242, 272), caracterizado por las etapas: - transmisión de un mensaje de datos desde el primer abonado (21, 21', 23, 26) al segundo abonado (22, 22', 24, 27), comprobando la primera unidad de evaluación los datos contenidos en el mensaje de datos a enviar por el primer abonado en cuanto a plausibilidad, antes de que se transmita el mensaje de datos al segundo abonado, - comprobación del mensaje de datos por parte de la segunda unidad de evaluación situada en el segundo abonado, comprobando de nuevo la segunda unidad de evaluación en el segundo abonado los datos recibidos en cuanto a plausibilidad tras recibirse el mensaje de datos, con lo que se realiza una evaluación redundante de datos que sirven para controlar procesos de una máquina o instalación relevantes para la seguridad, constituyendo en la evaluación la primera y la segunda unidad de evaluación respectivas partes de un par correspondiente de unidades de evaluación para lograr una redundancia distribuida, - transmisión de un mensaje de acuse de recibo desde el segundo abonado al primer abonado en función del resultado de la comprobación del mensaje de datos y - comprobación del mensaje de acuse de recibo por parte de la primera unidad de evaluación dispuesta en el primer abonado, consistiendo la comprobación del mensaje de acuse de recibo en registrar la recepción de un mensaje previamente definido, incluyendo la comprobación en cuanto a plausibilidad una evaluación de señales de sensor o señales de control para actuadores, comunicando entre sí las unidades de evaluación mediante un protocolo seguro y controlando el contenido de los datos enviados.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
PROCEDIMIENTO Y SISTEMA PARA UNA TRANSMISION SEGURA DE DATOS
DESCRIPCION
La invencion se refiere en general a la tecnica de seguridad de sistemas de automatizacion y en particular a un procedimiento y a un sistema para una transmision segura de datos entre abonados de un sistema de comunicacion utilizado para controlar una maquina o instalacion.
La tecnica de seguridad se utiliza en procesos automatizados en los diversos sectores industriales, para proteger a los colaboradores frente a lesiones y para mantener la funcionalidad de maquinas e instalaciones. En aplicaciones tecnicas de seguridad se considera la trayectoria completa de la senal de una funcion de seguridad. Esta esta compuesta por los aparatos seguros como por ejemplo unidades de control, sensores o actuadores y sus conexiones entre sr Estas conexiones se tienden en su mayor parte en cableado en paralelo. No obstante, los tramos cableados en paralelo exigen un elevado coste para detectar faltas en el cableado seguro. Esto se realiza mediante funciones de diagnostico de los aparatos seguros, para detectar por ejemplo derivaciones o cortocircuitos o conexiones abiertas. En funcion de las exigencias de seguridad se disenan estos sistemas redundantes o en parte tambien diversitarios, para controlar y/o descubrir las posibles faltas que se presenten. Esta forma de proceder no es realizable en la planificacion y para algunos sectores de aplicacion y ademas su realizacion es a menudo prolija y costosa.
Un aspecto de coste importante dentro de los costes de planificacion, cableado y aparatos son los costes de transformacion para la adaptacion de las senales entre senal logica y senal periferica, que se generan debido a puestos de transferencia entre los componentes de entrada o de salida y el sistema de control.
En sistemas mas modernos sustituyen las redes seguras grandes partes de estos tramos mediante conexiones serie, ya que de esta manera se simplifica la trayectoria de la senal entre el componente de entrada y/o salida y el sistema de control. No obstante, la integracion en serie con las soluciones actuales de red es muy costosa y se utiliza actualmente solo para aparatos terminales muy valiosos. La razon de ello es el distinto principio de actuacion hoy en dfa de la vigilancia del cableado, de la redundancia en el cableado y de la simplicidad de los sensores, como por ejemplo un simple contacto de apertura mecanico. Una combinacion de aparatos terminales con conexion de red y cableado paralelo no es posible en este contexto. Un sensor que puede integrarse en una red por ejemplo no puede sustituirse debido a ello de manera sencilla por un sensor cableado.
La transmision y procesamiento de datos orientados a la seguridad en un sistema de comunicacion serie utilizado para el control de un sistema de automatizacion implica exigencias especiales. Los datos orientados a la seguridad son en este contexto aquellos datos que sirven para el control de procesos relevantes para la seguridad en una maquina o instalacion, siendo relevante para la seguridad todo proceso en el que cuando se presenta una falta resulta un peligro no despreciable para personas y/o bienes materiales.
Un planteamiento para esta problematica segun el estado de la tecnica consiste en estructurar en multicanal en particular los componentes relevantes para la seguridad del sistema a partir de un determinado nivel de seguridad, es decir, constituirlos redundantes. Por ejemplo puede estar previsto en un sistema de bus de automatizacion equipar componentes del bus de seguridad, es decir, por ejemplo abonados del bus asociados a una maquina relevante para la seguridad, con componentes de hardware redundantes. A la vez puede estar constituido tambien multicanal el sistema central de control y el bus o bien puede incluso estar previsto un sistema de control de seguridad especial separado del control del proceso y en determinadas condiciones constituido redundante para el control de los componentes relevantes para la seguridad. El bus esta dotado usualmente de un protocolo seguro, pudiendo presentar tambien el propio protocolo seguro una redundancia. El sistema de control de seguridad ejecuta esencialmente las combinaciones de las informaciones que llegan referidas a la seguridad y transmite a continuacion, por ejemplo mediante un bus de automatizacion, datos de combinacion referidos a la seguridad, por ejemplo a traves de un bus de automatizacion, a componentes de salida. Los componentes de salida a su vez procesan las medidas de seguridad recibidas y emiten las mismas a la periferia, si el resultado de la comprobacion es positivo. Ademas conmutan sus salidas a un estado seguro cuando los mismos detectan una falta o no han recibido dentro de un periodo de tiempo predeterminado ningun dato util. Un sistema de control para controlar procesos cnticos para la seguridad, en el que los equipos orientados a la seguridad presentan una estructura multicanal, se conoce por ejemplo por el documento EP 1 188 096 B1.
Un protocolo seguro, es decir, un procedimiento para aumentar la fiabilidad de la transmision de datos, se describe por ejemplo en el documento JP 61 021640 A, en el que en el procedimiento allf descrito el receptor de un mensaje de datos comprueba el formato del mensaje y transmite de retorno el mensaje al emisor para confirmacion, cuando se ha detectado en la prueba que el formato es correcto.
5
10
15
20
25
30
35
40
45
50
55
60
65
Ademas se conoce la aportacion de abonados de comunicacion seguros, configurados especialmente, en los que se logra un aumento de la seguridad mediante una logica de evaluacion redundante en combinacion con un comparador Fail-Safe (a prueba de fallos). Tales abonados de bus seguros se utilizan por ejemplo en sistemas basados en INTERBUS-Safety (seguridad de INTERBUS).
Por “Fault tolerance in Interbus-Standard” (tolerancia al fallo en la norma Interbus) de S. Cavalieri y colab., Computer Standards and Interfaces (Normas e Interfaces en computadoras), vol. 23, num. 3, julio 2001, paginas 223-235 se conoce una ampliacion del protocolo para Interbus-S, que se basa en que estan previstos varios abonados de bus denominados master/slave (maestro/esclavo), que pueden funcionar como master y tambien como slave. Si falla el que en ese momento funciona como master, automaticamente asume la funcionalidad de master otro de los abonados de bus master/slave. En el procedimiento de trama sumatoria utilizado en Interbus desplazan los abonados en un ciclo una trama de datos con slots (intervalos) para cada abonado de bus como en un registro deslizante, estando previsto antes de la transmision de ciclos de datos un ciclo de identificacion para la inicializacion, en el que los distintos abonados de bus transmiten datos de identificacion y configuracion al master. Para detectar errores en los datos, esta prevista en cada trama de datos una suma de comprobacion, informando los abonados del bus al master de los errores detectados mediante bits de control incluidos en la trama de datos. En “Trafico seguro de datos”, de P. Wratil y colab., Elektronikpraxis (Practica de la electronica), num. 18, 25 septiembre 2000, paginas 38-43, se describe una arquitectura de seguridad de Interbus (Interbus-Safety) en la que pueden operar tanto abonados seguros como tambien abonados normales. Las unidades descentralizadas orientadas a la seguridad contienen entonces dos unidades de interfaz redundantes, que reciben paquetes de datos independientemente entre sf y comprueban si estan libres de errores, ejecutandose la accion deseada solo cuando hay coincidencia. Cada unidad segura contiene adicionalmente un reloj, que investiga si todos los datos si son actuales, por lo que una interrupcion del trafico de datos o un fallo del sistema de control se detecta inmediatamente y entra en juego una funcion de seguridad programable.
Una descripcion del bus de campo denominado Interbus se encuentra ademas en W. Blome y colab. “Das Sprungbrett zur offenen Automatisierung” (El trampolm de lanzamiento hacia la automatizacion abierta), Technische Rundschau, Editorial Colibri AG, Wabern, CH, vol. 10, num. 37/96, 1996, paginas 60-64, 66, asf como en “INTERBUS-LOOP: UN RESEAU BAS COUT A DEUX FILS” (BUCLE INTERBUS: UNA RED BIFILAR DE BAJO COSTE), Mesures Regulation Automatisme (Automatismo de regulacion de mediciones), CFE, Pans, FR, num. 689, 1 noviembre 1996, paginas 99-102.
No obstante, en los sistemas descritos origina desventajosamente la aportacion redundante de componentes de hardware un mayor gasto y costes mas elevados.
Por lo tanto, es objetivo de la invencion mostrar una via para proporcionar en un sistema de comunicacion una transmision de datos segura de manera sencilla y economica, en particular utilizando componentes estandarizados e incluyendo sensores o actuadores sencillos, en particular mecanicos.
Otro objetivo de la invencion es proporcionar un sistema de comunicacion orientado a la seguridad, que pueda realizarse con un bajo coste en hardware y que pueda adaptarse flexiblemente a los correspondientes requerimientos.
La invencion soluciona este problema con un procedimiento con las caractensticas de la reivindicacion 1, asf como un sistema realizado para ejecutar un tal procedimiento segun la reivindicacion 16. En las reivindicaciones secundarias se indican perfeccionamientos de la invencion.
Correspondientemente preve un procedimiento correspondiente a la invencion para una transmision de datos segura entre al menos un primer y un segundo abonados de un sistema de comunicacion configurado para la transmision en serie de datos entre los abonados, transmitir primeramente un mensaje de datos desde el primer abonado al segundo abonado. El mensaje de datos es comprobado por una segunda unidad de evaluacion, situada en el segundo abonado. En funcion del resultado de la comprobacion del mensaje de datos por parte de la segunda unidad de evaluacion genera esta un mensaje de acuse de recibo, que transmite el segundo abonado el primer abonado. Preferiblemente se envfa un mensaje de acuse de recibo solamente cuando la comprobacion del mensaje de datos da resultado positivo. El mensaje de acuse de recibo es comprobado tras recibirse por la primera unidad de evaluacion situada en el primer abonado. Asf realizan una comprobacion redundante la primera y la segunda unidad de evaluacion, formando el primer y el segundo abonado un par de abonados que se corresponde.
El procedimiento se utiliza con especial preferencia en el nivel de los sensores de sistemas para controlar procesos automatizados relevantes para la seguridad. Correspondientemente esta configurado el primer o el segundo abonado de manera especialmente ventajosa como sensor o actuador de un sistema de automatizacion. El mensaje de datos incluye asf ventajosamente una senal de entrada o de salida de un sensor o actuador del sistema de automatizacion.
5
10
15
20
25
30
35
40
45
50
55
60
65
Segun la invencion incluye la comprobacion del mensaje de datos y/o del mensaje de acuse de recibo por parte de la primera y/o segunda unidad de datos una comprobacion de los datos contenidos en el mensaje en cuanto a plausibilidad. Correspondientemente realiza la primera unidad de evaluacion una comprobacion de los datos contenidos en el mensaje de datos a enviar por parte del primer abonado, antes de que se transmita el mensaje de datos al segundo abonado, realizandose tras la recepcion del mensaje de datos otra comprobacion de los datos contenidos mediante la segunda unidad de evaluacion en el segundo abonado. La comprobacion del mensaje de acuse de recibo se limita a un registro de la recepcion de un mensaje previamente definido.
En otra forma de ejecucion ventajosa, genera el segundo abonado mediante la segunda unidad de evaluacion un mensaje de acuse de recibo, que incluye los datos contenidos en el mensaje de datos recibido. En esta variante de ejecucion incluye la comprobacion del mensaje de acuse de recibo por parte de la primera unidad de evaluacion una comparacion de los datos contenidos en el mensaje de acuse de recibo con datos contenidos en el mensaje de datos previamente transmitido. Para este fin se memorizan transitoriamente los datos transmitidos por el primer abonado en un mensaje de datos al menos hasta la recepcion del correspondiente mensaje de acuse de recibo.
En una forma de ejecucion ventajosa de nuevo ampliada genera el segundo abonado un mensaje de acuse de recibo que incluye otro mensaje de datos valido.
Si al comprobar una unidad de evaluacion el mensaje de datos o el mensaje de acuse de recibo se detecta un error, ejecuta el abonado cuya unidad de evaluacion ha detectado el error preferiblemente una funcion orientada a la seguridad.
Para transmitir los datos entre los abonados puede estar previsto en funcion de la finalidad de utilizacion ventajosamente un bus serie cableado o inalambrico o una red que actua por lmea ffsica o sin contacto. En el caso mas sencillo se utiliza un protocolo punto-a-punto entre el primer y el segundo abonado, estando configurados uno de los abonados por ejemplo como sensor o actuador y el otro como componente de entrada o bien salida, denominado en lo que sigue tambien modulo E/S.
La transmision de datos en serie entre los abonados del sistema de comunicacion se realiza ventajosamente sobre la base de un protocolo de comunicacion predeterminado. Puesto que el procedimiento descrito puede utilizarse ventajosamente en la tecnica de sensores y actuadores estandar y tambien en la tecnica de seguridad en la que se formulan exigencias adicionales al protocolo de comunicacion utilizado, esta configurado el protocolo de comunicacion predeterminado preferiblemente a eleccion seguro o no seguro.
Para el control de procesos relevantes para la seguridad se utiliza correspondientemente de forma ventajosa un protocolo de comunicacion seguro predeterminado, en el que por ejemplo mediante contenidos de datos redundantes resulta posible la deteccion de errores, incluyendo la comprobacion del mensaje de datos y/o del mensaje de acuse de recibo por parte de la primera y/o segunda unidad de evaluacion una comprobacion de errores segun el protocolo de comunicacion seguro predeterminado. El protocolo de comunicacion seguro puede incluir para este fin por ejemplo un procedimiento de suma de prueba como la comprobacion cfclica de redundancia (CRC; Cyclic Redundancy Check).
Un protocolo de comunicacion seguro puede ademas prever con ventaja que envfen todos los abonados o un grupo predeterminado de abonados del sistema de comunicacion repetitivamente, por ejemplo una vez por cada ciclo de comunicacion, un mensaje espedfico, que puede modificarse adicionalmente segun un algoritmo definido.
La invencion se basa asf ventajosamente en el principio de una conexion serie segura entre dos abonados. Para reducir la unidad de evaluacion prevista segun el estado de la tecnica y configurada segura y redundante por cada aparato, se reubica en cada punto terminal una parte de la unidad de evaluacion segura. Mediante un acuse de recibo de los datos se proporciona la seguridad de forma redundante.
Mediante la distribucion de la redundancia que garantiza la seguridad entre dos unidades de evaluacion distribuidas, resulta posible de manera especialmente ventajosa la utilizacion de componentes estandar para la transmision de datos mas seguros.
En otra forma de ejecucion del procedimiento correspondiente a la invencion esta dispuesta la segunda unidad de evaluacion junto con la primera unidad de evaluacion en un modulo comun, que en esta forma de ejecucion esta realizado con dos canales. Tambien en esta forma de ejecucion puede utilizarse ventajosamente un componente estandar de dos canales.
Mediante la redundancia distribuida y en particular mediante el intercambio de datos entre la primera y la segunda unidades de evaluacion resulta posible ademas de manera especialmente ventajosa incluir
5
10
15
20
25
30
35
40
45
50
55
60
65
componentes sencillos e incluso mecanicos, como por ejemplo interruptores estandar o de seguridad configurados como contactos de apertura o de cierre, manteniendo vigente la seguridad.
Correspondientemente en otra forma de ejecucion de la invencion especialmente preferente esta conectado entre la primera y la segunda unidad de evaluacion un elemento de control o de sensor, que en sf mismo no incluye ninguna unidad de evaluacion y que esta configurado en particular como sensor o actuador sencillo, preferiblemente mecanico.
Al respecto esta conectado preferiblemente el elemento mecanico con una salida de la primera unidad de evaluacion y con una entrada de la segunda unidad de evaluacion, estando conectada una salida de la segunda unidad de evaluacion con una entrada de la primera unidad de evaluacion. Un tal cableado especial se realiza de manera especialmente sencilla con un primer y segundo abonado, que estan dispuestos en un modulo comun.
Para vigilar las unidades de evaluacion distribuidas se utiliza preferiblemente un circuito de vigilancia dispuesto en el correspondiente abonado, que vigila la validez del flujo de datos hacia y/o desde la unidad de evaluacion correspondientemente asociada segun un protocolo predeterminado y en caso de error lleva la unidad de evaluacion asociada y/o un sensor o actuador controlado por la unidad de evaluacion asociada a un estado seguro o bien utiliza el correspondiente valor sustitutorio. Cuando falta un mensaje de acuse de recibo o bien se echa de menos el flujo de datos valido, se comunica inmediatamente la informacion relativa a la presencia de una falta a la estacion contrapuesta.
Tal como ya se ha mencionado antes, comunican las unidades de evaluacion entre sf mediante un protocolo seguro y controlan el contenido de los datos enviados. El circuito de vigilancia conectado a la unidad de evaluacion comprueba la validez del flujo de datos, realizandose esto en el caso mas sencillo mediante un reconocimiento de un patron, sin conocer los contenidos seguros. Correspondientemente incluye la vigilancia del flujo de datos mediante el circuito de vigilancia preferiblemente el reconocimiento de al menos un patron predeterminado. Ventajosamente puede incluir la vigilancia tambien un reconocimiento de patron dinamico, por ejemplo mediante comparacion de contenidos sencillos. Para este fin pueden estar dotados los mensajes de datos a transmitir de una fecha, que vana segun un algoritmo predeterminado. El circuito de vigilancia puede ademas vigilar la funcionalidad de la unidad de evaluacion que tiene asignada, por ejemplo mediante una funcion watchdog (de perro guardian). Como funcion watchdog se denomina en este contexto una funcion del circuito de vigilancia que vigila la recepcion regular de senales de la unidad de evaluacion asociada y reconoce como falta la ausencia de estas senales.
La comprobacion antes descrita de un mensaje de datos o de acuse de recibo mediante una unidad de evaluacion, asf como la vigilancia del flujo de datos mediante un circuito de vigilancia y/o la vigilancia de la funcionalidad de una unidad de evaluacion mediante un circuito de vigilancia, incluyen usualmente la ejecucion de una funcion, disponiendose de la funcion ventajosamente de forma identica en la primera y segunda unidad de evaluacion. Para este fin se preven ventajosamente una memoria y un microprocesador, incluyendo la ejecucion de la funcion la ejecucion mediante el microprocesador de un programa o codigo de secuencia almacenado en la memoria.
Debido a la diversidad de sistemas sensores y actuadores de un sistema de automatizacion y a la pluralidad de funciones distintas que de ello resulta, que no pueden unificarse de cualquier forma, no es conveniente prever de manera estandar en un abonado configurado como modulo de E/S, que se utiliza como un abonado que corresponde a un sensor o actuador, la pluralidad completa de distintas funcionalidades.
Mas bien se transmite ventajosamente una parte de la funcion de aplicacion orientada a la seguridad archivada en el sensor o actuador y/o parametros necesarios para ejecutar la funcion desde el sensor o actuador al correspondiente abonado. Esto se realiza preferiblemente dentro de una fase de inicializacion antes de comenzar con la transmision de datos orientados a la seguridad entre los abonados.
El abonado correspondiente, al que se transmiten desde un abonado configurado como sensor o actuador partes de una funcion de aplicacion orientada a la seguridad en forma de un programa o codigo de secuencia, presenta preferiblemente el correspondiente interprete para ejecutar el programa o codigo de secuencia.
Cargando una parte del programa de aplicacion de un sensor o actuador, en particular de aquella parte que debe estar disponible de forma redundante para aumentar la seguridad, en los componentes de entrada y/o de salida que cooperan, puede contribuir esta aplicacion de sensor y/o actuador al procesamiento. Los datos primarios necesarios para ello, como por ejemplo senales de sensor y los resultados necesarios para el tratamiento posterior, se intercambian en serie entre los abonados. Esto hace posible de manera especialmente ventajosa una fabricacion mas economica del sensor o actuador,
5
10
15
20
25
30
35
40
45
50
55
60
65
ya que mediante la colaboracion del aparato inteligente de entrada y/o salida, que procesa el codigo de aplicacion transmitido por ejemplo mediante un interprete, solo se necesita un hardware monocanal.
Correspondientemente preve el procedimiento ventajosamente que la comprobacion de un mensaje de datos mediante una unidad de evaluacion, la comprobacion de un mensaje de acuse de recibo mediante una unidad de evaluacion, la vigilancia del flujo de datos mediante un circuito de vigilancia y/o la vigilancia de la funcionalidad de una unidad de evaluacion mediante un circuito de evaluacion se realicen ejecutando una funcion archivada en el abonado que realiza la ejecucion, transmitiendose antes de la ejecucion de la funcion partes de la funcion a ejecutar y/o parametro para ejecutar la funcion de otro abonado al abonado que realiza la ejecucion.
Partes de un programa de evaluacion a ejecutar mediante una unidad de evaluacion pueden transmitirse al correspondiente abonado tal como antes se ha descrito desde otro abonado, en particular desde la unidad de evaluacion del correspondiente sensor o actuador. Alternativamente pueden transmitirse las correspondientes partes del programa tambien desde una unidad de control central, por ejemplo tras leer la funcionalidad del correspondiente sensor o actuador mediante la unidad de control. La transmision de las partes del programa puede realizarse ventajosamente de forma automatica, asf como dado el caso en funcion de un proyecto predeterminado del sistema de automatizacion. Tambien puede realizarse la transmision en funcion de la finalidad de utilizacion a traves de un canal de comunicacion separado.
Tal como se ha descrito antes, esta configurado el primer o segundo abonado preferiblemente como sensor o actuador. Para la comunicacion con unidades de tratamiento de datos de orden superior, esta conectado el abonado correspondiente en cada caso al sensor o actuador y por ejemplo configurado como modulo de E/S preferiblemente a otro sistema de bus superior.
Tambien puede estar prevista una pluralidad de primeros o segundos abonados. Por ejemplo puede estar conectada una pluralidad de abonados configurados como sensor o actuador a traves de un bus serie que puede alinearse con el correspondiente abonado. Ventajosamente puede realizarse la comunicacion serie entre los abonados segun el principio master/slave, formando por ejemplo el correspondiente abonado el master y el abonado configurado como sensor o actuador los slaves.
El correspondiente abonado puede ademas estar conectado adicionalmente de forma ventajosa a un bus superior, configurado por ejemplo como bus serie basado en un bus de campo o en Ethernet.
Un sistema correspondiente a la invencion para transmitir datos orientados a la seguridad para el control de un sistema de automatizacion, configurado en particular para ejecutar un procedimiento antes descrito, incluye un sistema de comunicacion serie con al menos un primer y un segundo abonados allf conectados, al menos una primera unidad de evaluacion dispuesta en el primer abonado y al menos una segunda unidad de evaluacion dispuesta en el segundo abonado, estando configurada la segunda unidad de evaluacion para comprobar un mensaje de datos recibido del primer abonado y para generar un mensaje de acuse de recibo en funcion del resultado de la comprobacion del mensaje de datos, estando configurada la primera unidad de evaluacion para comprobar un mensaje de acuse de recibo recibido por el segundo abonado y estando configurados el primer y/o segundo abonado para ejecutar en caso de falta una funcion de seguridad.
De manera especialmente ventajosa presenta el sistema de comunicacion para la transmision de datos en serie entre los abonados un bus serie que actua cableado o inalambricamente. El primer y/o segundo abonado esta configurado ventajosamente como sensor o actuador de un sistema de automatizacion. Las unidades de evaluacion sirven correspondientemente en particular para evaluar datos de entrada y/o salida orientados a la seguridad de un sensor y/o actuador con influencia sobre un proceso relevante para la seguridad de un sistema de automatizacion.
La primera y la segunda unidad de evaluacion forman asf una redundancia distribuida, estando dispuestas las unidades de evaluacion para este fin en distintos abonados.
En una forma de ejecucion preferente forman el primer y el segundo abonado un par de abonados que se corresponde, estando configurado uno de los abonados como sensor o actuador y el otro abonado como el correspondiente componente de entrada y/o salida. Ademas pueden incluir las primeras y segundas unidades de evaluacion dispuestas en los correspondientes abonados ventajosamente la funcionalidad de la otra unidad de evaluacion correspondiente. Se proporciona asf una interfaz que actua en ambos sentidos, con lo que los abonados pueden utilizarse como componentes de entrada o de salida.
Para evaluar senales de entrada y/o salida, por ejemplo senales de sensor o senales de control para actuadores, estan configuradas la primera y/o segunda unidad de evaluacion para comprobar datos contenidos en un mensaje de datos o en n mensaje de acuse de recibo en cuanto a plausibilidad. Ademas pueden estar configuradas la primera y/o segunda unidad de evaluacion ventajosamente para comparar datos contenidos en un mensaje de datos con datos contenidos en un mensaje de acuse de recibo. En
5
10
15
20
25
30
35
40
45
50
55
60
65
otra forma de ejecucion ventajosa esta configurada la primera y/o segunda unidad de evaluacion para generar otro mensaje de datos valido como mensaje de acuse de recibo.
El sistema puede ademas presentar ventajosamente cada una de las variantes de ejecucion descritas antes en relacion con los procedimientos.
Correspondientemente estan las unidades de evaluacion configuradas para intercambiar datos utilizando un protocolo de comunicacion seguro. Para que la posibilidad de utilizacion sea lo mas flexible posible, pueden presentar las unidades de evaluacion preferiblemente valores digitales y analogicos a traves del protocolo, pudiendo estar tambien mezclados los datos de duracion y parametros para aplicaciones seguras y no seguras.
Ademas de manera especialmente ventajosa pueden estar integrados en el sistema en particular sensores o actuadores mecanicos, que no disponen de ninguna unidad de evaluacion para evaluar datos orientados a la seguridad y que se conectan para este fin entre la primera y la segunda unidad de evaluacion. La posibilidad de utilizar ademas de sensores y actuadores que pueden conectarse en red tambien componentes mecanicos estandar, simplifica la reparacion de sistemas existentes y es compatible con sensores y actuadores actuales.
Para lograr un cableado sencillo de un componente mecanico estandar, estan dispuestos el primer y el segundo abonado ventajosamente en un modulo comun.
Para seguir aumentando la seguridad, lleva asociada ventajosamente cada unidad de evaluacion un circuito de vigilancia, configurado para vigilar la validez del flujo de datos hacia y/o desde la unidad de evaluacion asociada segun un protocolo predeterminado y en caso de falta llevar a un estado seguro la unidad de evaluacion asociada y/o un sensor o actuador controlado mediante la unidad de evaluacion asociada.
El circuito de evaluacion esta configurado para este fin preferiblemente para detectar un patron estatico o dinamico predeterminado y puede presentar ademas una funcion de watchdog para vigilar la funcionalidad de la unidad de evaluacion asociada. En el caso mas sencillo es suficiente una vigilancia de supervivencia del hardware monocanal para controlar el proceso seguro y en caso de falta dotar la entrada o salida de un valor sustitutorio para garantizar la seguridad.
Tal como ya se descrito antes en relacion con el procedimiento, esta configurado el sistema de comunicacion ventajosamente como sistema master/slave, constituyendo el master el primer o el segundo abonado. Ademas esta conectado el primer o segundo abonado preferiblemente a otro sistema de comunicacion superior, para intercambiar datos con una unidad de tratamiento de datos o de control superior.
Para no tener que mantener disponibles funcionalidades de las unidades de evaluacion para cada finalidad de utilizacion imaginable en cada abonado, estan configurados el primer y/o segundo abonado ventajosamente para solicitar partes de la funcion y/o parametros de otro abonado.
Correspondientemente esta configurado al menos un abonado ventajosamente para realizar la comprobacion de un mensaje de datos mediante una unidad de evaluacion, la comprobacion de un mensaje de acuse de recibo mediante una unidad de evaluacion, la vigilancia del flujo de datos mediante un circuito de evaluacion y/o la vigilancia de la funcionalidad de una unidad de evaluacion mediante un circuito de evaluacion ejecutando una funcion archivada en el abonado, estando configurado ademas el abonado, de los que al menos hay uno, para solicitar de otro abonado partes de la funcion y/o parametros que pueden ejecutarse, para ejecutar la funcion.
Convenientemente presenta el correspondiente abonado una memoria para memorizar el codigo de secuencia de la funcion a ejecutar, en la que esta archivada una funcionalidad basica del abonado y en la que adicionalmente en la fase de arranque del sistema se archivan las partes de la funcion y/o parametros solicitados segun necesidades o recibidos automaticamente. Para ejecutar la funcion presenta el abonado ventajosamente un microprocesador. Ademas, se preve para aumentar la flexibilidad ventajosamente un interprete en el abonado, que se utiliza para ejecutar las partes de la funcion adicionales.
Los parametros y/o partes de la funcion adicionales, pueden proporcionarse tambien ventajosamente desde una unidad de control central, por ejemplo en funcion de un proyecto predeterminado del sistema de automatizacion.
Mediante la invencion resulta posible de manera sencilla una comunicacion de datos segura. Los sensores o actuadores equipados segun la invencion pueden fabricarse economicamente y con poca variacion. Esto es asf tambien para tarjetas de E/S de sistemas de automatizacion configuradas como modulos centrales o abonados de red descentralizados.
5
10
15
20
25
30
35
40
45
50
55
60
65
Ademas se simplifican mediante la presente invencion, directrices de instalacion actuales, con lo que un comportamiento indebido y la incertidumbre respecto a los sensores y actuadores conectados tiene menos influencia sobre el funcionamiento de la tecnica de seguridad.
La invencion se describira a continuacion con mas precision a modo de ejemplo en base a formas de ejecucion preferentes y con referencia a los dibujos adjuntos. Al respecto las mismas referencias en los dibujos designan partes iguales o similares.
Se muestra en:
figura 1a: figura 1b: figura 2: figura 3: figura 4:
figura 5: figura 6: figura 7: figura 8:
una representacion esquematica de una trayectoria de senal a modo de ejemplo correspondiente a una senal de entrada hacia una unidad de control en conexion paralela, una representacion esquematica de una trayectoria de senal a modo de ejemplo correspondiente una senal de entrada hacia una unidad de control en conexion serie, una representacion esquematica de un ejemplo de ejecucion con un primer y segundo abonados,
una representacion esquematica de un ejemplo de ejecucion, en el que entre un primer y un segundo abonado esta conectado un interruptor de desconexion en emergencia, una representacion esquematica de un ejemplo de ejecucion, en el que entre un primer y un segundo abonado esta conectado un interruptor de desconexion de emergencia, estando dispuestos el primer y el segundo abonados en un modulo comun,
una representacion esquematica de una primera variante de ejecucion de los componentes
funcionales del primer y segundo abonados representados en la figura 2,
una representacion esquematica de una segunda variante de ejecucion de los componentes
funcionales del primer y segundo abonados representados en la figura 2,
una representacion esquematica de un ejemplo de ejecucion en el que la comunicacion
serie entre el primer y el segundo abonado se realiza inalambricamente y
una representacion esquematica de un ejemplo de ejecucion en el que el primer y el
segundo abonado forman una cortina de luz.
Las figuras 1a y 1b muestran para una aplicacion tecnica de seguridad a modo de ejemplo la trayectoria de la senal correspondiente a una senal de entrada desde un sensor hasta un modulo de E/S configurado como componente de entrada, comparandose el coste tfpico de una conexion paralela y una conexion serie.
Tal como se representa en la figura 1a, se determina una magnitud ffsica 101 de un proceso 100. Para ello se realiza en una unidad 110 proxima al proceso mediante un sensor 111 primeramente una medicion de una magnitud tfpicamente analogica. Esta magnitud de medida que puede evaluarse electricamente se transforma mediante un convertidor A/D 112 en una magnitud que puede procesarse digitalmente y se procesa mediante una unidad de procesamiento 113 para formar un valor de aplicacion digital. Cuando se trata de cableado en paralelo se realiza para transmitir los datos a un modulo de E/S 120 de nuevo una conversion del valor de aplicacion digital en una senal normalizada mediante un convertidor D/A 114. Esta senal normalizada se transmite a continuacion mediante un cableado 130, por ejemplo a traves de puntos de embornado, subdistribuidores, etc. al modulo de E/S 120, debiendose formular al cableado para la transmision de senales orientadas a la seguridad usualmente exigencias especiales. En el modulo de E/S 120 se realiza mediante convertidores A/D 121 una transformacion a la inversa de la senal transmitida al valor de aplicacion digital, que se procesa mediante la unidad de procesamiento 122 y caso necesario se transforma para transmitirlo a otros sistemas que vayan a continuacion mediante transformadores 123 por ejemplo en un protocolo de red.
La invencion simplifica la trayectoria de la senal desde el punto de vista de la tecnica de seguridad tal que pueden minimizarse los costes de los aparatos, del sistema sensorico o de actuadores y del cableado. Para este fin preve la invencion, tal como se representa en la figura 1b, ventajosamente una conexion serie directa 140 entre las unidades de procesamiento 113 y 122 del modulo de sensor 110' o bien del modulo de E/S 120'.
En sistemas no relevantes para la seguridad se conocen ya ciertamente en parte por el estado de la tecnica sistemas de bus serie para controlar sensores y actuadores, pero en la tecnica de seguridad se anaden exigencias que no se cumplen segun el estado de la tecnica.
Una posibilidad para cumplir con prescripciones de seguridad consistina en prever en los sensores o actuadores unidades de evaluacion redundantes. Para minimizar los costes del hardware es por el contrario ventajoso prever en un sistema correspondiente a la invencion una redundancia distribuida de las unidades de evaluacion, disponiendo en cada caso una unidad de evaluacion en los correspondientes abonados.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la figura 2 se representa un sistema de comunicacion serie 1 a modo de ejemplo, que es adecuado para utilizarlo en la invencion y que incluye dos abonados 21 y 22, entre los que existe una conexion serie segura a traves del sistema de bus 30. Los abonados del bus 21 y 22 contienen en cada caso una unidad de evaluacion 212 y 222 respectivamente, que forman respectivas partes del correspondiente par de unidades de evaluacion, para lograr una redundancia distribuida. Los abonados 21 y 22 incluyen ademas respectivos circuitos de vigilancia 214 y 224 respectivamente, que vigilan el flujo de datos, asf como una interfaz hacia una aplicacion relevante para la seguridad 216 y 226 respectivamente, representadas simbolicamente en la figura 2 como interruptores. La aplicacion relevante para la seguridad incluye usualmente un programa que puede ejecutarse, archivado en una memoria, que es adecuado para influir sobre procesos de un sistema de automatizacion que posiblemente aporten un peligro.
Las unidades de evaluacion 212 y 222 se comunican entre sf mediante el protocolo seguro y controlan el contenido de los datos enviados. Mediante un acuse de recibo de los datos, se aporta la seguridad redundante. El circuito de vigilancia 214 y 224 conectado a la correspondiente unidad de evaluacion comprueba la validez del flujo de datos mediante reconocimiento del patron y en caso de falta coloca la unidad de evaluacion 212 y 222 respectivamente en el estado seguro.
Tal como se representa en la figura 3, posibilita la invencion tambien la conexion de elementos mecanicos sencillos de control y de sensor. Se representan de nuevo los abonados 21 y 22, que estan conectados entre sf a traves del sistema de bus serie. En este ejemplo de ejecucion estan interconectados los abonados de bus 21 y 22 con el pulsador mecanico de desconexion en emergencia 70 tal que la trayectoria de la senal desde la salida de la unidad de evaluacion 212 hasta la entrada de la unidad de evaluacion 222 discurre a traves del pulsador de desconexion en emergencia 70 y pasa por los interruptores integrados redundantes 71 y 72. El pulsador de desconexion en emergencia 70 esta configurado tal que cuando se acciona manualmente se opera simultaneamente sobre ambos interruptores 71 y 72. Mediante el intercambio de datos entre las unidades de evaluacion distribuidas 212 y 222, se detecta con seguridad el accionamiento del pulsador de desconexion en emergencia 70. Mediante los correspondientes circuitos pueden utilizarse, ademas de los contactos de apertura representados (pulsadores de desconexion en emergencia) tambien contactos de cierre y combinaciones de contacto de cierre/contacto de apertura. Estos pueden utilizarse tambien con alimentacion separada de la senal de prueba o bien alimentacion comun de la senal de prueba.
En la figura 4 se representa una variante preferente de la forma de ejecucion representada en la figura 3, en la que los abonados 23 y 24, que corresponden esencialmente a los abonados 21 y 22, estan dispuestos en un modulo 25 comun, que se conecta con el pulsador de desconexion en emergencia 70. Los abonados 23 y 24 incluyen a su vez unidades de evaluacion 232 y 242 respectivamente, asf como circuitos de vigilancia asociados 234 y 244 respectivamente, y tambien interfaces hacia aplicaciones relevantes para la seguridad 236 y 246 respectivamente. En este ejemplo de ejecucion discurre la trayectoria de la senal desde la salida de la unidad de evaluacion 242 hasta la entrada de la unidad de evaluacion 232 a traves de los interruptores 71 y 72 del pulsador de desconexion en emergencia 70, estando conectada la correspondiente salida de la unidad de evaluacion 232 con la correspondiente entrada de la unidad de evaluacion 242b.
La figura 5 muestra una representacion esquematica de los componentes funcionales del primer y segundo abonados 21 y 22 representados en la figura 2. Para ejecutar una aplicacion relevante para la seguridad esta prevista en cada uno de los abonados 21 y 22 una memoria 21s y 22s respectivamente, en la que estan archivados respectivos codigos de secuencia 21p y 22p que pueden ejecutarse. Para ejecutar la aplicacion estan previstos respectivos microprocesadores 21m y 22m en los abonados 21 y 22, que tienen acceso a las correspondientes memorias.
En el ejemplo de ejecucion representado esta configurado el abonado 21 como sensor y el abonado 22 como modulo de e/s, que comunican entre sf a traves del sistema de bus serie 30. El modulo de E/S 22 que funciona como componente de entrada esta conectado adicionalmente a un sistema de comunicacion superior 40, que posibilita por ejemplo la comunicacion con un aparato de control superior.
Las aplicaciones 21p y 22p son esencialmente identicas en el ejemplo de ejecucion representado y pueden ejecutarse mediante las correspondientes unidades de evaluacion 212 y 222 respectivamente representadas en la figura 2.
La figura 6 muestra una variante de ejecucion preferente de los componentes funcionales del primer y segundo abonados 21 y 22 representados en la figura 2, estando a su vez configurados el abonado 21 como sensor y el abonado 22 como el correspondiente modulo de E/S. En esta variante de ejecucion dispone el abonado 21 de una aplicacion de seguridad archivada en la memoria 21s, que incluye las partes de aplicacion 21p1 y 21p2, de las que en principio no se dispone por completo o en parte en el correspondiente abonado 22.
5
10
15
20
25
30
En el ejemplo de ejecucion representado dispone el abonado 22 de una funcionalidad basica 22p1 archivada en su memoria 22s, que corresponde a la aplicacion 21p1. En la fase de arranque del sistema solicita el abonado 22 la parte de aplicacion 21p1 del abonado 21 que le falta, que transmite este a continuacion al abonado 22. El abonado 22 memoriza la parte de aplicacion 22p2 recibida en la memoria 22s. Para garantizar un elevado grado de flexibilidad, esta previsto en este ejemplo de ejecucion en el abonado 22 ademas un interprete 22i que tiene acceso a la memoria 22s y que esta conectado con el microprocesador 22m. El interprete 22i esta configurado para interpretar al menos el codigo de secuencia 22p2 proporcionado adicionalmente y con ello hacer posible la ejecucion mediante el microprocesador 22m.
La parte de aplicacion adicional 22p2 puede transmitirse al abonado 22 alternativamente tambien desde una unidad central de control basandose en un proyecto de un sistema de automatizacion mediante el sistema de comunicacion superior 40. Tambien puede realizarse la transmision por ejemplo a traves de un canal de comunicacion separado.
La figura 7 muestra un sistema de comunicacion 1' con los abonados 21' y 22', que a diferencia de los abonados 21 y 22 representados en la figura 2 se comunican a traves de una interfaz serie inalambrica 30'. Para este fin presentan los abonados 21' y 22' los correspondientes transceptores 218 y 228 respectivamente, mediante los cuales es posible una comunicacion serie inalambrica segura entre los abonados 21' y 22'. Por lo demas, corresponde la estructura de los abonados 21' y 22' a la de los abonados 21 y 22 representados en la figura 2.
En la figura 8 se representa otra forma de ejecucion de la invencion. Se preve una cortina de luz con un emisor 26 y un receptor 27. El emisor 26 incluye una pluralidad de fuentes de luz 265, una unidad de evaluacion 262, asf como una fuente de luz 266 que puede controlarse separadamente. El receptor 27 incluye una pluralidad de sensores de luz 275, una unidad de evaluacion 272, asf como un sensor de luz 276 que puede captarse separadamente. El emisor 26 y el receptor 27 constituyen un primer y un segundo abonados de un sistema de comunicacion serie. El intercambio de datos en serie entre la unidad de evaluacion 262 y la unidad de evaluacion 272 se realiza en este ejemplo de ejecucion a traves de un canal optico de transmision de datos formado por la fuente de luz 266 y el sensor de luz 276 y un canal electrico de retorno 32.

Claims (30)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Procedimiento para la transmision de datos segura entre al menos un primer (21, 21', 23, 26) y un segundo (22, 22', 24, 27) abonado de un sistema de comunicacion (1, 1') empleado para controlar una maquina o instalacion, configurado para la transmision en serie de datos entre los abonados (21, 22, 21', 22', 23, 24, 26, 27), incluyendo el primer abonado una primera unidad de evaluacion (212, 232, 262) y el segundo abonado una segunda unidad de evaluacion (222, 242, 272),
    caracterizado por las etapas:
    - transmision de un mensaje de datos desde el primer abonado (21, 21', 23, 26) al segundo abonado (22, 22', 24, 27), comprobando la primera unidad de evaluacion los datos contenidos en el mensaje de datos a enviar por el primer abonado en cuanto a plausibilidad, antes de que se transmita el mensaje de datos al segundo abonado,
    - comprobacion del mensaje de datos por parte de la segunda unidad de evaluacion situada en el segundo abonado, comprobando de nuevo la segunda unidad de evaluacion en el segundo abonado los datos recibidos en cuanto a plausibilidad tras recibirse el mensaje de datos, con lo que se realiza una evaluacion redundante de datos que sirven para controlar procesos de una maquina o instalacion relevantes para la seguridad, constituyendo en la evaluacion la primera y la segunda unidad de evaluacion respectivas partes de un par correspondiente de unidades de evaluacion para lograr una redundancia distribuida,
    - transmision de un mensaje de acuse de recibo desde el segundo abonado al primer abonado en funcion del resultado de la comprobacion del mensaje de datos y
    - comprobacion del mensaje de acuse de recibo por parte de la primera unidad de evaluacion dispuesta en el primer abonado, consistiendo la comprobacion del mensaje de acuse de recibo en registrar la recepcion de un mensaje previamente definido, incluyendo la comprobacion en cuanto a plausibilidad una evaluacion de senales de sensor o senales de control para actuadores, comunicando entre sf las unidades de evaluacion mediante un protocolo seguro y controlando el contenido de los datos enviados.
  2. 2. Procedimiento segun la reivindicacion 1,
    en el que la transmision de datos en serie entre los abonados (21, 22, 21', 22', 23, 24, 26, 27) se realiza mediante un protocolo de transmision de datos.
  3. 3. Procedimiento segun una de las reivindicaciones precedentes,
    en el que la transmision de datos en serie entre los abonados se realiza a traves de un bus serie, configurado cableado (30) o inalambrico (30').
  4. 4. Procedimiento segun una de las reivindicaciones precedentes,
    en el que el primer y/o el segundo abonado estan configurados como sensor o actuador de un sistema de automatizacion.
  5. 5. Procedimiento segun una de las reivindicaciones precedentes,
    en el que el mensaje de datos incluye una senal de entrada o salida de un sensor o actuador, respectivamente.
  6. 6. Procedimiento segun una de las reivindicaciones precedentes,
    en el que la comprobacion del mensaje de acuse de recibo incluye la comprobacion de los datos contenidos en el mensaje en cuanto a plausibilidad.
  7. 7. Procedimiento segun una de las reivindicaciones precedentes,
    en el que la comprobacion del mensaje de acuse de recibo incluye la comparacion de datos contenidos en el mensaje de acuse de recibo con datos recibidos en el mensaje de datos.
  8. 8. Procedimiento segun una de las reivindicaciones precedentes,
    en el que entre el primer y el segundo abonado esta conectado un elemento de control o de sensor (70), que no incluye ninguna unidad de evaluacion.
  9. 9. Procedimiento segun la reivindicacion 8,
    en el que el elemento de control o de sensor (70) esta configurado como elemento mecanico.
  10. 10. Procedimiento segun una de las reivindicaciones precedentes,
    en el que cada unidad de evaluacion (212, 222, 232, 242) lleva asociado un circuito de vigilancia (214, 224, 234, 244), que vigila la validez del flujo de datos hacia y/o desde la unidad de evaluacion (212, 222, 232, 242) asociada segun un protocolo predeterminado y en caso de falta lleva a un estado seguro la unidad de evaluacion asociada (212, 222, 232, 242) y/o un sensor o actuador controlado mediante la unidad de evaluacion asociada.
  11. 11. Procedimiento segun la reivindicacion 10,
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    en el que la vigilancia del flujo de datos mediante el circuito de evaluacion (214, 224, 234, 244) incluye el reconocimiento de un patron predeterminado.
  12. 12. Procedimiento segun la reivindicacion 10 u 11,
    en el que el circuito de vigilancia (214, 224, 234, 244) vigila la funcionalidad de la unidad de evaluacion (212, 222, 232, 242) asociada.
  13. 13. Procedimiento segun una de las reivindicaciones precedentes,
    en el que la comprobacion de un mensaje de datos mediante una unidad de evaluacion la comprobacion de un mensaje de acuse de recibo mediante una unidad de evaluacion, la vigilancia del flujo de datos mediante un circuito de vigilancia y/o la vigilancia de la funcionalidad de una unidad de evaluacion, se realizan mediante un circuito de evaluacion, ejecutando una funcion (22p1, 22p2) archivada en el abonado (22) que realiza la ejecucion y transmitiendose antes de la ejecucion de la funcion partes (22p2) de la funcion a ejecutar y/o parametros para ejecutar la funcion de otro abonado (21) al abonado (22) que realiza la ejecucion.
  14. 14. Procedimiento segun una de las reivindicaciones precedentes,
    en el que el sistema de comunicacion (1, 1') que incluye el primer y el segundo abonado esta configurado como sistema master/slave (maestro/esclavo), estando configurado el primer o el segundo abonado como master.
  15. 15. Procedimiento segun una de las reivindicaciones precedentes,
    en el que el primer o el segundo abonado esta conectado a un sistema de bus (40) superior.
  16. 16. Sistema para transmitir datos orientados a la seguridad para el control de un sistema de automatizacion, configurado en particular para ejecutar un procedimiento segun una de las reivindicaciones precedentes, que incluye
    - un sistema de comunicacion serie (1) con al menos un primer y un segundo abonados (21, 22, 21', 22', 23, 24, 26, 27) allf conectados,
    - al menos una primera unidad de evaluacion (212, 232, 262) dispuesta en el primer abonado (21, 21', 23, 26) y
    - al menos una segunda unidad de evaluacion (222, 242, 272) dispuesta en el segundo abonado (22, 22', 24, 27)
    caracterizado porque la primera unidad de evaluacion esta configurada para transmitir un mensaje de datos al segundo abonado y para comprobar los datos contenidos en el mensaje de datos a enviar en cuanto a plausibilidad, antes de transmitir el mensaje de datos al segundo abonado, la segunda unidad de evaluacion esta configurada para comprobar el mensaje de datos recibido del primer abonado, comprobando de nuevo la segunda unidad de evaluacion los datos recibidos en cuanto a plausibilidad tras recibirse el mensaje de datos en el segundo abonado, con lo que se realiza una evaluacion redundante de datos que sirven para controlar procesos de una maquina o instalacion relevantes para la seguridad, constituyendo en la evaluacion la primera y la segunda unidad de evaluacion respectivas partes de un par correspondiente de unidades de evaluacion para lograr una redundancia distribuida,
    la segunda unidad de evaluacion esta configurada para generar un mensaje de acuse de recibo en funcion del resultado de la comprobacion del mensaje de datos y para transmitir el mensaje de acuse de recibo al primer abonado,
    la primera unidad de evaluacion esta configurada para comprobar el mensaje de acuse de recibo recibido del segundo abonado, consistiendo la comprobacion del mensaje de acuse de recibo en registrar la recepcion de un mensaje previamente definido,
    incluyendo la comprobacion en cuanto a plausibilidad una evaluacion de senales de sensor o senales de control para actuadores, estando configuradas las unidades de evaluacion para comunicar entre sf mediante un protocolo seguro y estando configuradas para controlar el contenido de los datos enviados y
    estando configurados el primer y/o segundo abonados para ejecutar una funcion de seguridad en caso de falta.
  17. 17. Sistema segun la reivindicacion 16,
    en el que el protocolo de transmision de datos del sistema de comunicacion (1) esta configurado como protocolo de comunicacion seguro.
  18. 18. Sistema segun una de las reivindicaciones 16 y 17,
    en el que el sistema de comunicacion (1, 1') incluye para la transmision de datos en serie entre los abonados un bus serie cableado (30) o inalambrico (30').
  19. 19. Sistema segun una de las reivindicaciones 16-18,
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    en el que el primer y/o segundo abonado estan configurados como sensor o actuador del sistema de automatizacion.
  20. 20. Sistema segun una de las reivindicaciones 16-19,
    en el que la primera y/o segunda unidad de evaluacion estan configuradas para comprobar datos contenidos en un mensaje de acuse de recibo en cuanto a plausibilidad.
  21. 21. Sistema segun una de las reivindicaciones 16-20,
    en el que la primera y/o segunda unidad de evaluacion estan configuradas para comparar datos contenidos en un mensaje de datos con datos contenidos en un mensaje de acuse de recibo.
  22. 22. Sistema segun una de las reivindicaciones 16-21,
    en el que entre el primer y el segundo abonados esta conectado un elemento de control o de sensor (70), que no incluye ninguna unidad de evaluacion.
  23. 23. Sistema segun la reivindicacion 22,
    en el que el elemento de control o de sensor (70) esta configurado como elemento mecanico.
  24. 24. Sistema segun una de las reivindicaciones 16-23,
    en el que el primer (23) y el segundo (24) abonado estan dispuestos en un modulo (25) comun.
  25. 25. Sistema segun una de las reivindicaciones 16-24,
    en el que cada unidad de evaluacion (212, 222, 232, 242) lleva asociado un circuito de vigilancia (214, 224, 234, 244), configurado para vigilar la validez del flujo de datos hacia y/o desde la unidad de evaluacion (212, 222, 232, 242) asociada segun un protocolo predeterminado y en caso de falta llevar a un estado seguro la unidad de evaluacion (212, 222, 232, 242) asociada y/o un sensor o actuador controlado mediante la unidad de evaluacion asociada.
  26. 26. Sistema segun la reivindicacion 25,
    en el que el circuito de evaluacion (214, 224, 234, 244) esta configurado para reconocer un patron predeterminado.
  27. 27. Sistema segun la reivindicacion 25 o 26,
    en el que el circuito de vigilancia (214, 224, 234, 244) esta configurado para vigilar la funcionalidad de la unidad de evaluacion (212, 222, 232, 242) asociada mediante una funcion.
  28. 28. Sistema segun una de las reivindicaciones 16-27,
    en el que al menos un abonado esta configurado para realizar la comprobacion de un mensaje de datos mediante una unidad de evaluacion, la comprobacion de un mensaje de acuse de recibo mediante una unidad de evaluacion, la vigilancia del flujo de datos mediante un circuito de evaluacion y/o la vigilancia de la funcionalidad de una unidad de evaluacion mediante un circuito de evaluacion ejecutando una funcion (22p1, 22p2) archivada en el abonado (22), estando configurado ademas el abonado (22), de los que al menos hay uno, para solicitar de otro abonado (21) partes de la funcion (22p2) y/o parametros que pueden ejecutarse para ejecutar la funcion.
  29. 29. Sistema segun una de las reivindicaciones 16-28,
    en el que el sistema de comunicacion (1, 1') que incluye el primer y el segundo abonado esta configurado como sistema master/slave (maestro/esclavo), estando configurado el primer o el segundo abonado como master.
  30. 30. Sistema segun una de las reivindicaciones 16-29,
    en el que el primer o el segundo abonado estan conectados a otro sistema de comunicacion (40) superior.
ES07021351.7T 2006-11-15 2007-11-01 Procedimiento y sistema para una transmisión segura de datos Active ES2566679T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006054124 2006-11-15
DE102006054124A DE102006054124B4 (de) 2006-11-15 2006-11-15 Verfahren und System zur sicheren Datenübertragung

Publications (1)

Publication Number Publication Date
ES2566679T3 true ES2566679T3 (es) 2016-04-14

Family

ID=39065815

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07021351.7T Active ES2566679T3 (es) 2006-11-15 2007-11-01 Procedimiento y sistema para una transmisión segura de datos

Country Status (4)

Country Link
US (1) US8537726B2 (es)
EP (3) EP2390735A3 (es)
DE (1) DE102006054124B4 (es)
ES (1) ES2566679T3 (es)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007019201B4 (de) * 2007-04-20 2009-06-04 Phoenix Contact Gmbh & Co. Kg Abgleichen von Daten eines Steuer- und/oder Datenübertragungssystems und eines dieses repräsentierenden Systemmodells
FR2929873B1 (fr) * 2008-04-09 2010-09-03 Aldebaran Robotics Architecture de controle-commande d'un robot mobile utilisant des membres articules
US8101902B2 (en) 2008-11-07 2012-01-24 Ifm Electronic Gmbh Light grid having photoreceivers and programmable logic unit
DE102009042354C5 (de) * 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
DE102010003741A1 (de) 2010-04-08 2011-10-13 Endress + Hauser Gmbh + Co. Kg Verfahren zum Datenaustausch
DE102011052095B4 (de) * 2011-07-25 2013-08-01 Leuze Electronic Gmbh & Co. Kg Busanschaltung zum Anschluss eines Sicherheitssensors an ein AS-i Bussystem
US9740178B2 (en) * 2013-03-14 2017-08-22 GM Global Technology Operations LLC Primary controller designation in fault tolerant systems
WO2014155152A1 (de) 2013-03-27 2014-10-02 Gerwert Matthias Sprachgesteuerte alarmanlage für den häuslichen bereich
CN103869791B (zh) * 2014-03-27 2017-03-01 西安航天动力试验技术研究所 一种发动机试验集散式控制系统及方法
DE102014110017A1 (de) 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE102014217973A1 (de) * 2014-09-09 2016-03-10 Siemens Aktiengesellschaft Verfahren und System zur gesicherten Kommunikation
DE102014114883A1 (de) * 2014-10-14 2016-04-14 Beckhoff Automation Gmbh Verfahren und System zum Überwachen eines ersten Teilnehmers eines Kommunikationsnetzwerks
SE542715C2 (en) 2015-06-30 2020-06-30 Sspn Safety System Products North Ab A safety unit and an improved safety system comprising a number of safety units
CN105955160B (zh) * 2016-05-13 2019-07-26 中车株洲电力机车研究所有限公司 一种变频器控制系统信号监控方法、装置及系统
CN108614547B (zh) * 2018-06-14 2022-05-24 上海大学 一种基于削减因子的工业控制协议安全评估方法

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1171543A (en) * 1980-01-24 1984-07-24 Billy R. Slater Industrial control system
EP0165386B1 (de) 1984-04-26 1989-11-29 Heidelberger Druckmaschinen Aktiengesellschaft Verfahren und Speichersystem zum Speichern von Einstellwerten für Stellvorrichtungen an Druckmaschinen
JPS6121640A (ja) 1984-07-02 1986-01-30 Fujitsu Ltd デ−タ送受信方式
US5267277A (en) * 1989-11-02 1993-11-30 Combustion Engineering, Inc. Indicator system for advanced nuclear plant control complex
US5469150A (en) * 1992-12-18 1995-11-21 Honeywell Inc. Sensor actuator bus system
DE19614654C1 (de) * 1996-04-13 1997-08-21 Leuze Electronic Gmbh & Co Sensor-Aktor-Bussystem
DE19643092C2 (de) * 1996-10-18 1998-07-30 Elan Schaltelemente Gmbh Feld-Datenbussystem
DE19716197A1 (de) 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
DE19742716C5 (de) 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP0913750B1 (de) * 1997-10-31 2003-02-12 Endress + Hauser GmbH + Co. KG Anordnung zum Fernsteuern und/oder Fernbedienen eines Feldgeräts mittels eines Steuergeräts über einen Feldbus
US7162510B2 (en) * 1998-03-16 2007-01-09 Schneider Automation Inc. Communication system for a control system over Ethernet and IP networks
US6035240A (en) * 1998-11-12 2000-03-07 Moorehead; Jack Flexible distributed processing system for sensor data acquisition and control
DE19922561A1 (de) 1999-05-17 2000-11-23 Sick Ag Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media
DE10014352A1 (de) 2000-03-24 2001-10-04 Elan Schaltelemente Gmbh & Co Anordnung und Verfahren zur Übertragung sicherheitsrelevanter Daten über eine Funkstrecke
US20020099465A1 (en) * 2001-01-19 2002-07-25 Allen Su Methods and apparatus for facilitating communication between devices via an industrial network
US7093244B2 (en) 2001-04-18 2006-08-15 Domosys Corporation Method of remotely upgrading firmware in field-deployed devices
US7107176B2 (en) * 2001-06-25 2006-09-12 Invensys Systems, Inc. Sensor fusion using self evaluating process sensors
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
US6915444B2 (en) 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US6683432B2 (en) * 2001-09-12 2004-01-27 Eigenpoint Company Safety circuit with automatic recovery
DE10208013A1 (de) * 2002-02-26 2003-09-04 Endress & Hauser Process Solut Verfahren zur Übertragung von Feldgerätedaten an eine externe Datenbank
DE20205700U1 (de) * 2002-04-12 2003-05-22 Siemens Ag Vernetztes Notaus-System, insbesondere für mobile Bedien- und Beobachtungsgeräte an einem Feldbus
EP1478120A1 (de) * 2003-05-16 2004-11-17 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur Kommunikation mit Hilfe einer kryptographisch verschlüsselten Kodetabelle
US7328370B2 (en) * 2003-09-12 2008-02-05 Rockwell Automation Technologies, Inc. Safety controller with simplified interface
US20060095518A1 (en) * 2004-10-20 2006-05-04 Davis Jesse H Z Software application for modular sensor network node
DE102005015864B4 (de) * 2005-04-07 2007-03-01 Thomas Reich Verfahren zum Betreiben eines Bussystems für ein Gebäudeleitsystem
KR100800997B1 (ko) * 2005-10-13 2008-02-11 삼성전자주식회사 통신 스케쥴링 장치 및 방법
DE102005049931B4 (de) * 2005-10-19 2009-04-09 Atmel Germany Gmbh Sende-/Empfangsvorrichtung

Also Published As

Publication number Publication date
EP2390735A3 (de) 2014-12-03
EP2385433A3 (de) 2014-12-03
EP2385433A2 (de) 2011-11-09
EP1923759A3 (de) 2008-06-25
EP2390735A2 (de) 2011-11-30
DE102006054124B4 (de) 2009-05-28
US8537726B2 (en) 2013-09-17
EP1923759B1 (de) 2016-01-27
EP1923759A2 (de) 2008-05-21
US20080150713A1 (en) 2008-06-26
DE102006054124A1 (de) 2008-05-21

Similar Documents

Publication Publication Date Title
ES2566679T3 (es) Procedimiento y sistema para una transmisión segura de datos
ES2216929T3 (es) Sistema de bus de automatizacion relacionado con la seguridad.
ES2377186T5 (es) Procedimiento y dispositivo para una comunicación orientada a la seguridad en la red de comunicaciones de una instalación de automatización
US9645555B2 (en) Safety system
ES2385195T3 (es) Unidad de E/S y controlador industrial
RU2665890C2 (ru) Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами
US9830244B2 (en) Safety system with test signal path through bus line and termination element
JP4480311B2 (ja) プロセス制御システム
ES2362539T3 (es) Procedimiento e instalación de control y de transmisión de datos para la verificación del lugar de montaje de un componente de la comunicación seguro.
CN107193252B (zh) 从机装置、从机装置的控制方法以及记录介质
CN110799912B (zh) 安全关键和非安全关键的过程的控制系统
ES2908606T3 (es) Tecnología de comunicación en serie para ascensores relacionados con la seguridad
US8509927B2 (en) Control system for controlling safety-critical processes
US10732594B2 (en) Method for operating safety control in an automation network, and automation network having such safety control allowing mixed safety integrity levels
US20090055561A1 (en) Bus Module for Connection to a Bus System and Use of Such a Bus Module in an AS-I Bus System
RU2452114C2 (ru) Способ, а также система для надежной передачи циклических передаваемых данных процесса
JP2011054195A (ja) 安全性関連処理のバス結合のための方法と装置
CN103797467A (zh) 用于运行通信网络的方法和网络装置
US9276762B2 (en) Method for allocating subscriber addresses to bus subscribers of a bus-based control system
JP4599013B2 (ja) 安全ステーションを設定する方法およびそれを利用した安全制御システム
ES2259823T3 (es) Entrada y salida de procesos a prueba de errores.
US9130773B2 (en) Addressing method and communication system having such an addressing method
EP2383623B1 (en) Modular safety switching device system with optical link
ES2309643T3 (es) Modulos de entrada/salida seguros para un controlador.
US20040008467A1 (en) Safety communication system