JP5052532B2 - 安全関連プロセスのバス結合のための方法および装置 - Google Patents

安全関連プロセスのバス結合のための方法および装置 Download PDF

Info

Publication number
JP5052532B2
JP5052532B2 JP2008554683A JP2008554683A JP5052532B2 JP 5052532 B2 JP5052532 B2 JP 5052532B2 JP 2008554683 A JP2008554683 A JP 2008554683A JP 2008554683 A JP2008554683 A JP 2008554683A JP 5052532 B2 JP5052532 B2 JP 5052532B2
Authority
JP
Japan
Prior art keywords
redundant
protocol
safety
common
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008554683A
Other languages
English (en)
Other versions
JP2009527038A (ja
Inventor
エシュ,ライネル
ホルン,シュテフェン
カルホフ,ヨハネス
Original Assignee
フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE200610007844 external-priority patent/DE102006007844A1/de
Application filed by フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー filed Critical フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー
Publication of JP2009527038A publication Critical patent/JP2009527038A/ja
Application granted granted Critical
Publication of JP5052532B2 publication Critical patent/JP5052532B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L2001/0092Error control systems characterised by the topology of the transmission link
    • H04L2001/0094Bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/4026Bus for use in automation systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Alarm Systems (AREA)
  • Bus Control (AREA)
  • Storage Device Security (AREA)

Description

本発明は、安全関連プロセスの単一チャネル・バス結合のための方法に関し、またその方法を実行するのに適応した装置にも関する。
以下では、安全関連プロセスは、エラーが生じた場合に人々および/または有形財に無視できない危険性をもたらさないプロセスと理解される。したがって、安全関連プロセスでは、理想的なケースにおいて、このプロセスでエラーが生じた場合に、このプロセスにつながる後続のプロセスおよび/またはこのプロセスを含むシステム全体が安全な状態になるように、100パーセントの安全が保証されなければならない。したがって、そのような安全関連プロセスは、より大きな上位レベルの全体的なプロセスのサブプロセスとすることができる。安全関連プロセスの例は、重要なパラメータが所与の範囲内に絶対的に維持されなければならない化学プロセス、およびたとえばプレス/切断工具の始動が安全関連サブプロセスを表すことができる、たとえば液圧プレスや生産ラインなどにおける複雑な機械のコントローラである。安全関連(サブ)プロセスのさらなる例は、防護つい立、防護扉、または光バリアのモニタリング、両手スイッチの制御、あるいはまた非常用カットオフスイッチに対する反応である。
したがって、すべての安全関連プロセスについて、生成、検出、または測定された関連する安全関連データが、破損なしにリアルタイムで移送されることが絶対的に必要である。というのは、破損があると、最終的に人々の生命および健康を脅かしうる間違った機能および/または反応をもたらしうるためである。
安全要件を満たすために、近年、バス・システムの使用に際して本質的にエラーのないデータ転送を必要とする多くの取決めがなされている。これらは、特に、データ転送自体に関係し、さらに、各用途または各プロセスの関数としての許容可能な残差率にも関係する。この場合、適切な規格としては、具体的には、EN61508およびEN954−1、ならびに職業安全衛生サービスに関する試験認証機関の「bus systems for the transmission of safety−relevant messages(安全関連メッセージを伝送するためのバス・システム)」を試験しかつ認証するための原則などがある。
これらの取決めおよび規格に従って、高い冗長性を有するデータを送信する安全指向のバス・システム(safety−oriented bus system)が開発されている。起こりうるエラーは時が来れば発見され、危険性が回避されうる。この場合の例としては、とりわけ、Safety Bus P、Profibus F、Interbus Safetyなどがある。
しかし、この場合、安全指向のバス・システムを使用するために、既設のバス・システムは交換されなければならないこと、および加入者数、データ転送速度、またはデータプロトコルに対する制限が頻繁に考慮されなければならないことが不利である。
その結果、既存のバス・システムをより簡単にかつ経済的に改装できるようにする安全指向の方法および/または構成要素が開発されている。特に、制御および自動化技術向けの電子式安全方法では、安全関連データの送信のためのプロセスに加わっている個々のユニット間、具体的にはセンサ、アクチュエータ、および/または制御装置間のデータ通信に既に使用されている(フィールド)バス・システムを使用する。
欧州特許第1188096号は、たとえば、フィールド・バスを備える安全関連プロセス用の制御システムを開示しており、フィールド・バスによって安全関連プロセスを制御する制御ユニットとI/Oチャネルによって安全関連プロセスに関連付けられる信号ユニットとが接続されている。エラーのない通信を互いに保証するために、これらのユニットは安全関連装置を備えており、それによって安全でないユニットが安全なユニットになる。詳細には、それぞれ2つ以上の冗長処理チャネルが、処理チャネルのうちの1つにおけるエラーが他の冗長処理チャネルの結果から逸脱する結果を基準にして検出され、できる限り修正されうるように設けられる。この複数チャネル構造は、具体的には2つの冗長プロセッサによって実現され、安全性分析が2つの冗長プロセッサの後で終了し、安全データプロトコルの分析結果は、追加の詳細なしにこの時点から使用される。
以下では、プロセッサという一般的な用語は、さらに詳細に指定されなければ、たとえばマイクロコンピュータ、マイクロプロセッサ、マイクロコントローラ、あるいはまたPCなどの本質的に任意のタイプのデータ処理装置と理解されるべきである。
国際公開第01/15385号もまた、(フィールド)バス・システムを使用した安全関連プロセスの制御に関し、安全関連プロセスの制御に加わっているユニットもやはり、一般に冗長処理チャネルを有する。冗長チャネルはそれぞれ、他のものを監視するプロセッサを備える。この複数チャネル構造は、フィールド・バスに接続された別のプロセッサによって単一チャネル構造に変換される(図3)。複数チャネル構造の単一チャネル構造への転換を含むより詳細な仕様は、その文献には見られない。
国際公開第01/15391A1号および独国特許出願公開19939567号は、安全プロトコル設計と、後続の、バスに結合されかつプロトコル・チップに接続されるかまたはこのプロトコル・チップに一体化される別のプロセッサによる2チャネル構造から単一チャネル構造への転換とに関して、冗長処理チャネルおよび/または相互に制御し合うプロセッサを備える安全バス加入者のさらなる例である。この場合もまた、安全性分析が、追加の技術的対策の開示なしに2つの冗長プロセッサの後で終了し、この分析は、この時点の後で安全データプロトコルに使用される。
回路の費用を節減するために、2つの冗長プロセッサによって形成されたデータの単一チャネル送信のための装置に関する独国特許DE19532639号は、バス結合の機能を2つの冗長プロセッサの一方に一体化する。したがって、バス結合機能を有するプロセッサだけが出力チャネルを備え、出力チャネルには、このプロセッサに由来する有用なデータと他のプロセッサに由来する試験データとが供給されるかまたはその逆であり、あるいは両方のプロセッサの有用なデータおよび試験データがインタリーブ方式で供給される(図4)。しかし、バスを動作させるプロセッサが他のプロセッサに影響を与えることができないデータ・パケットを生成する状況にないことを保証するためには、変換の際に、安全性分析でのさらなる努力が必要である。というのは、安全プロトコルを確立するために、最初にフィードバックからの解放、次にコンピュータの独立性が、検出されなければならないためである。この目的のために、この特許明細書は、対応するプロセッサ出力の対応する接続または非接続を単に提案する。
独国特許出願公開第10065907号は、並列もしくは直列のネットワークまたはバス・システム上でのデータ送信のための安全データ転送に関する「照合を伴う冗長性」の原則に関する方法を記述しており、2つの同じ論理データ領域を有するバッファ・レジスタが、2チャネル構造から単一チャネル構造への転換のために使用される。バス・システムを介して単一チャネルで送信される完全な安全指向のメッセージは、バッファ・レジスタの両方のデータ領域のデータ内容を含む。送信機側部のバッファ・レジスタの前には2つの冗長プロセッサが接続され、2つの冗長プロセッサは、用途のタイプに応じて単一チャネルまたは2チャネルで供給される安全関連データを準備し、それぞれが安全なデータを形成するための冗長情報を有し、かつこのデータをやりとりしてチェックする。両方が同じ結果に至った場合、各プロセッサは、その安全なデータをバッファ・レジスタに送信し、各データ領域は、各プロセッサの安全なデータで占有され、そのデータは、その側面に、既にエラー認識のための冗長情報を含んでいる。代替実施形態では、バッファ・レジスタが2つのプロセッサの一方に含まれ、それによって、この一方のプロセッサが、結果としてそれに応じて、第2のプロセッサと合意してバッファ・レジスタの両データ領域を割り当てた場合、この第2のプロセッサは、2つのデータ領域を有するバッファ・レジスタを制御するために、別の読取りプロセスを実行する。用途に応じて、バッファ・レジスタの2つの領域の一方のデータ内容は、たとえば、送信機、受信機、および/またはそれらのユニットを転送する他のユニットにおいて系統的エラーを認識するために、反転データまたは他の追加のインタリービングを有することもできる。この場合、特に、安全指向のメッセージの全データ長が実際の使用可能なデータと比べて極端に大きくなり、それによって、データ転送速度が実際の使用可能なデータと比べて小さくなるという欠点がある。というのは、各使用可能なデータ・セットが送信されるべき場合、2つの同じ利用可能なデータ・セットと、さらにそれらの同じ利用可能なデータ・セットのそれぞれに関する冗長情報とが送信されるべきであるためである。たとえばInterbusに対して与えられるように、各データ・パケットの形で転送されるべき使用可能なデータ単位の数が減少した場合、利用可能なデータ長と全データ長との比は大幅に悪化する。
欧州特許第1188096号 国際公開第01/15385号 国際公開第01/15391号 独国特許出願公開第19939567号 独国特許第19532639号 独国特許出願公開第10065907号 独国特許出願第102004039932.8号
本発明と同じ出願者によって2004年8月17日に出願された独国特許出願第102004039932.8号の課題は、この特許出願の改良点を本発明が提示するものであり、安全関連プロセスの安全なバス結合のために、複数チャネル構造を単一チャネル構造に転換するための別の新規な改善された方法を提供すること、ならびに、実現しやすい方法で、そしてまた特に試験しやすい方法で、バスを介して安全パケット(safety packet)として送信されるべき安全指向のプロトコルの確立におけるフィードバックからの解放および独立性を保証することである。
この目的のために、安全上重要なプロセスの単一チャネル・バス結合の方法を提供することが提案され、この方法では、安全上重要なプロセスに関連するデータ・セットが、それぞれの安全指向のプロトコル用の同じ法則に従って、特にプロトコル固有の方法で、少なくとも2つの冗長処理チャネルによって処理され、単一チャネル・バス結合のための冗長な安全指向のプロトコルは、各処理チャネルが共通のバッファ・レジスタにアクセスするため、共通の安全指向のプロトコルにアセンブルバックされ、各レジスタ場所について、書込み権限が一度だけ割り当てられ、それによって、共通の安全指向のプロトコル、すなわち送信されるべき安全パケットは、各安全指向のプロトコルの異なる部分を書き込むことによって比例的にアセンブルされる。
したがって、この場合の1つの重要な利点は、第1に、両方の処理チャネルが、完全な安全指向のプロトコルを計算するための場所にあり、その結果これが必要なパケットの長さに対して好ましい効果があることである。というのは、すべてのデータ・ビットは、冗長処理チャネル内の異なる安全機構で既に知られており、追加のデータ・ビットが送信される必要がなく、それによって、受信機側でのエラーのない計算で決定されることが可能になるためである。さらに、一方の処理チャネルだけが安全パケットを送信するための場所にないことが保証され、データについてレジスタ場所に1回だけ割り当てられうる書込み権限による制御は、使用されるバス(システム)とは無関係の経済的な方法で著しく増大する安全を保証するために、実施しやすくかつ効率性の高い1つの可能性を示す。
したがって、本発明による方法を実行するためのインテリジェント・ユニットの実現は、少なくとも2つの冗長プロセッサを有する装置の使用によって既に保証することができ、この装置では、同じ入力データ・セットを処理するためのプロセッサは、各安全指向のプロトコルに対して同じ法則を使用して構成されるともに、バッファ・レジスタの各レジスタ場所について、書込みアクセスがプロセッサの一方だけに与えられるように、共通のバッファ・レジスタに回路装置によって接続される。
したがって、独国特許出願第102004039932.8号による発明は、各バス・システムから独立している標準的な構成要素を使用することにより、各安全指向のプロトコルのフィードバックのない独立した形成を実施しやすい高度に動的で高効率の解決法を可能にし、この場合、安全パケットを形成するための特定の処理ルールが、対応する安全要件、特にIEC61508のSIL3に準拠する単純な送信に関する安全要件を満たすのに適していることが好ましい。
さらに、独国特許出願第102004039932.8号による発明は、各プロセッサがバッファ・レジスタのそれぞれのレジスタ場所に読出しアクセスできるような有用な方法での回路装置の構成を既に提供しており、したがって、その好ましい構成によれば、送信用バッファ・レジスタから共通の安全指向のプロトコルを送信する前に、各レジスタ場所は、共通に形成された安全指向のプロトコルの検証を行うために、各冗長処理チャネルによって読出しアクセスされる。この場合、共通に形成された安全指向のプロトコルと、処理チャネルによって別々にまたは個別に形成された各安全指向のプロトコルとの考えられる追加比較により、達成される安全度もまた著しく増大しうる。というのは、プロセッサの喪失またはエラーのために、完全な安全パケットを生成することができず、その結果、エラーが確実に識別され、安全指向の機能が開始されうるためである。
しかし、エラーの場合、共通に形成された安全指向のプロトコルは、読出しプロトコルの検証がまだ完了していなくても、さらなる処理のためにバッファ・レジスタから既に送信された可能性があることが示されている。
ここで、本発明の1つの課題は、バッファ・レジスタに共通に書き込まれた安全指向のプロトコルを検証するための読出しプロセスにおいて、この共通の安全指向のプロトコルのバッファ・レジスタからの送信が、その検証が完全に終了しない限りは除外されるように、独国特許出願第102004039932.8号の対象を改良することである。
本発明による解決法は、係属中の独立請求項のうちの1つの特徴を有する対象によって、非常に驚くべき方法で既に与えられている。
有利なかつ/または好ましい実施形態および改良点が、各独立請求項の主題である。
したがって、本発明によれば、バッファ・レジスタに共通に書き込まれた安全指向のプロトコルをその検証のために読み出す際に、共通に形成されかつバッファ・レジスタに書き込まれたこの安全なまたは安全指向のプロトコルは、さらなる処理のためにバッファ・レジスタから転送または送信するために、各冗長処理チャネルによる解放に対して反応したときだけ解放されることが提供される。
この目的のために、少なくとも2つの冗長プロセッサを含む装置が、それらのプロセッサのそれぞれのためのバッファ・レジスタの任意のレジスタ場所での読出しアクセスの可能性に関して、それらのプロセッサが、バッファ・レジスタから読み出された内容を検証するための、および肯定的な検証結果に対する応答としてバッファ・レジスタの内容を解放するための手段を有するように構築されている場合、そのような解放は、対応する解放信号をバッファ・レジスタに送信することによって単純かつ経済的な形で実現することができる。
各冗長処理チャネルによる解放がある場合にのみ次の処理を行うために、バッファ・レジスタの内容へのアクセスを許可または解放してそれを送信または転送するためには、たとえば、その内容の出力を解放する解放信号またはイネーブル信号の活性化は、個々の解放信号をANDゲート制御することによって実施されうる。
他の好ましい構成ではさらに、それぞれの冗長で安全なプロトコルが、冗長処理チャネルの数に対応するいくつかのプロトコル部分で構成されること、および書込み権限は、各処理チャネルからの共通の安全プロトコルをアセンブルするために別のプロトコル部分がバッファ・レジスタに書き込まれるように割り当てられることが提供される。
具体的には、本発明による装置を構成しかつ/または使用するために、2つ以上の冗長プロセッサがそれぞれ、パケットをベースとするデータ処理のために形成され、方法の改良では、冗長安全プロトコルがそれぞれ、いくつかのデータ・パケットで構成され、書込み権限が、データ・パケット単位で書き込むために割り当てられることが提案される。
本発明はまた、冗長ハードウェアおよび/または冗長ソフトウェアを用いて2つ以上の冗長プロセッサが形成される実施形態も含む。
したがって、本発明による装置および本発明による方法はまた、安全上重要なプロセスの単一チャネル・バス結合のためではなく、少なくとも2つの冗長処理チャネルを備える安全環境から非安全環境への、あるいはより少ない冗長処理チャネルを備える安全環境への安全上重要なプロセスの異なる幅の結合のために使用することもでき、したがって、安全処理チャネルと非安全トランスポート・パスとの間の接続に本質的に適している。
安全性のさらなる増大は、特に好ましい構成において、共通の安全指向のプロトコルを書き込む前に、処理チャネルによって冗長的に形成された安全指向のプロトコルが最初に相互識別のためにチェックされたときに保証され、したがって、共通の安全指向のプロトコルの形成は、同一の入力データ・セットから処理された同一の独立した安全指向のプロトコルに対して応答したときだけ実現される。冗長処理においてエラーが生じた場合、これは時が来れば認識され、プロセスは時が来れば安全状態に移行することができる。したがって、相互に分離されたプロセッサは、通信インタフェースを介して互いに接続されることが好ましい。
本発明は、定義された方法で各処理チャネルに割り当てられた各書込み権限が試験手順による検証のためにチェックされる実施形態をさらに含み、これについては、たとえば、全内容の読出しアクセスもまた各レジスタ場所にとって有用である。たとえば、この方法では、各処理チャネルを用いることにより、別の特別に割り当てられた既定値をバッファ・レジスタのすべてのレジスタ場所に書き込むことを試みることができ、次いで、各処理チャネルは、バッファ・レジスタのすべてのレジスタ場所を読み出すとともに、一意的なインタリービングのためにレジスタ場所の内容を検証するが、そのような試験手順は、好ましくは、異なる処理チャネルを用いて数回かつ/またはレジスタ場所への書込みとレジスタ場所からの読出しとを交互に行うことによって実施される。本質的には、共通の安全指向のプロトコル内またはバッファ・レジスタ内の特定場所またはアドレスにあるバッファ・レジスタに送信されるべき比例データの結合によって設定された各安全転送/送信ルールは、結果として容易にチェックすることができ、したがって、プロセッサの喪失によるものを含む、送信されるべき安全パケットの形成におけるエラーは、容易に識別することができる。特に、入力データにプロトコル固有の処理を施して、安全なプロトコルのデータ・セットのそれぞれの用途に基づく要件を安全指向のプロトコルが満たす安全関連プロトコルにするごとに、安全指向のプロトコルの保存およびバスへのプロトコル固有の送信を保証するために、一実施形態によれば、各プロセッサは、一体化されたプロトコル・チップを含む。代替構成では、プロトコル・チップは、出力側のプロセッサにも接続されうる。そのような一体化されたまたは出力が接続されたプロトコル・チップを省き、その結果として構成要素を減らしかつコストを節減するために、別の特に好ましい構成において、プロセッサに、データの処理およびプロトコル固有の転送のために書き込まれたソフトウェアを設けることが提案される。
本発明による装置は、バス加入者ユニットとして構成することができ、この目的のためにプロセッサが、プロセス・データ入力ユニットの単一チャネル接続もしくは複数チャネル接続のために、そしてそれに応じて、処理されるべき安全関連入力データの単一チャネル検出もしくは複数チャネル検出のために、少なくとも入力チャネルを備える入力側に配線されることが好ましく、あるいは、たとえば処理されるべき安全関連入力データを生成するバス・コントローラとして構成される。したがって、プロセッサは、特にマイクロコントローラまたは中央処理装置(CPU)として構成される。
プロセッサまたはオプションとしてプロセッサの下流側に接続されるプロトコル・チップを接続するための回路装置は、単純な論理回路として構成することができ、たとえばFPGA(フィールド・プログラマブル・ゲート・アレイ)の形の高集積回路が、特定用途に使用されうるとともに有利にもなりうる。
バッファ・レジスタはインタフェースを備えており、そこに保存されている共通の安全指向のプロトコルは、そのインタフェースを用いて、単一チャネルをバス、たとえばInterbusに直接結合することができ、あるいは単一チャネルで用途専用に構成された別の装置に送信することができ、用途専用の別の装置としては、特に、別のプロトコル・チップ、別のマイクロコントローラ、または他のインテリジェント・ユニットが使用されうる。
バッファ・レジスタとしては、標準的なRAMで十分である。しかし、好ましい改良では、これは、デュアル・ポート・メモリ(DPM)の形をとるバッファ・レジスタまたはバッファ・メモリを構成するように設けられ、したがって、プロセッサは、2つのインタフェース・ポートの一方を用いて、最も単純かつ経済的な形で接続することができ、追加の単一チャネル結合は、第2のインタフェース・ポートを用いて行うことができる。
本発明の追加の特徴および利点は、好ましい実施形態であるが、添付の図面を参照した単なる例示実施形態の下記の詳細説明から明らかである。
図1には、安全上重要なプロセスをバス40、たとえばInterbusに結合させるための、詳細には示されていないバス加入者ユニットまたはバス・コントローラの2つの冗長処理チャネル1および2が示されている。バス加入者ユニットの場合、各処理チャネルは、安全上重要なプロセスに割り当てられた、同様に図示されていない入出力ユニット、たとえばセンサおよび/またはアクチュエータに接続される。
処理チャネル1および2に関する単一チャネルまたは2チャネルの特定の接続によれば、安全上重要なプロセスに関連する同一入力データが、センサ側に用途を有するバス加入者ユニットで利用できるようになり、好ましくは、最初にさらなる処理のためにメモリ12または22に保存される。特に、バス・コントローラの場合、バス伝送の前に安全なデータ内に準備されるべき安全関連入力データが、メモリ12または22に位置する。
最初に、入力データは、バス40を経由して安全パケットを送信する前に、各安全指向のプロトコル14および24に対して同じ法則を使用して、重複して処理される。この場合、処理チャネルはそれぞれ、メモリ12または22内にある安全関連入力データを準備/処理して安全指向のプロトコル14または24にするためのマイクロコントローラ11または21を含むとともに、図1による構成では、それぞれプロトコル・チップ13または23を含み、プロトコル・チップ13または23は、マイクロコントローラ11または21の後に接続され、それぞれのマイクロコントローラ11または21によって計算された安全指向のプロトコル14または24を受信して、その後バス40に送信する。示されているプロトコル・チップ13または23に対する代替構成では、マイクロコントローラ11および21は、対応するソフトウェアも含むことができ、したがって、計算されたプロトコル14および24のバス40への後述するさらなる送信が、マイクロコントローラ11および21によって実行される。
したがって、計算された安全な、すなわち安全指向のプロトコル14および24は、計算においてエラーまたは喪失が生じない限り同一である。ここでは、安全なプロトコルが、安全指向の送信に関する規格の要件を満たすようにセットアップされることは明らかであるという点に留意されたい。
さらに安全性を高めるためには、バス40を介して安全なパケットを送信する前に、もう1つの同一で共通の安全指向のプロトコルの形成が共通に行われ、次いで、そのプロトコルは、単一チャネルで送信用のバス40に転送されうる。
この共通の安全指向のプロトコルは、各処理チャネル1および2によってアクセスされうるバッファ・メモリまたはバッファ・レジスタ30に、安全なプロトコル14のデータと安全なプロトコル24のデータとを比例的にアセンブルすることによって形成される。
この安全指向のプロトコルの共通の形成が、たとえば2つのマイクロコントローラの一方の喪失により、単に、マイクロコントローラ11または21の一方だけによる安全パケットの送信と同等であるはずの処理チャネル1または2の一方だけからのデータに基づくことを防止するためには、定義済みもしくは定義可能なアクセス・ルールが、バッファ・メモリ30への書込み権限を制御する。アクセル・ルールは、各処理チャネル1および2から、共通の安全指向のプロトコルの形成のための各計算済み安全指向のプロトコルの一部だけが、バッファ・メモリ30の対応するメモリ場所に書き込まれうることを定義し、それに対しては、各マイクロコントローラ11または21が対応する書込み権限を有する。したがって、本発明によれば、それぞれのメモリまたはレジスタ場所に対して、ただ1つの書込み権限が定義される。
安全なプロトコル14および24が同一であるという前提から、したがって、プロトコルはそれぞれ、図1にバイトX〜バイトX+5で示されている同じ数のバイトを含む。図1によるこの実施例では、処理チャネル2のマイクロコントローラ21の場合、バイトX、バイトX+2、さらにバイトX+4に関するバッファ・メモリ30のメモリ・アドレスに対する書込み権限は、固定して割り当てられ、処理チャネル1のマイクロコントローラ11の場合、書込み権限は、バイトX+1、バイトX+3、およびバイトX+5を記録するために割り当てられる。したがって、1バイトおきにバッファ・メモリ30に記録するためのただ1つの書込み権限が、各マイクロコントローラ11および21に割り当てられる。
たとえば、X=0であり、かつ冗長な安全指向のプロトコル14および24、ならびに共通に形成されるべき同一の安全指向のプロトコル、すなわち後で送信される安全パケットが、合計6バイトで作られる場合、冗長で安全なプロトコル内のデータ、したがって送信されるべき安全パケット内のデータは、2ビットのヘッダと、次の14ビットの有用なデータと、8ビットのアドレスと、24ビットのCRCチェックサムとでアセンブルされる。上記の、定義済み割当ての書込みアクセス権限では、2ビットと有用なデータの最初の6ビットとを含むヘッダは、図1を参照すると、処理チャネル2によって計算された安全なプロトコル24から結果としてインポートされ、有用なデータの次の8ビットは、処理チャネル1によって計算されたプロトコル14からインポートされ、8ビットを含むアドレスは、プロトコル・データ・セット24から順にインポートされ、そして、24ビットを含むCRCチェックサムは、計算されたプロトコル14、24、および14から交互に部分的にインポートされる。
標準的なRAM、または好ましくは後述する標準的なDPMが、バッファ・メモリとして使用されうる。
二重冗長だけの場合でも、さらには、好ましくは両方の処理チャネル1および2のマイクロコントローラ11および21が、バッファ・メモリ30への完全な読出しアクセスを割り当てられた場合に、さらに高い安全性が達成される。
これは、全データの単純な比較を可能にする。というのは、共通に形成された、たとえばIEC61508のSIL3に準拠する単純な送信に関する安全要件を満たす安全パケットとして送信されるべき安全プロトコルが、すなわち事前に別個に形成された個々の安全指向のプロトコル14または24に対する対応する検証によってエラーがないかどうかが、容易にチェックされうるためである。さらに、各処理チャネル1および2に関する全内容の読出しアクセスは、各処理チャネル1および2について、安全上重要なプロセスを制御/監視/調整する前に既に実行されうるアクセス・ルールが概してエラーなしに実行されているかどうかのチェックを可能にする。この目的のために、特に、一方および他方の処理チャネルの各マイクロコントローラの計算済みデータが書き込まれているかどうかだけがチェックされるが、そのことは、バッファ・メモリ30の、対応して割り当てられたメモリ・アドレスにおいて保証される。
この「自己検証」および/または「交差検証」が不等な結果につながった場合、エラーが、必然的に識別され、安全指向の機能が開始される。
一例として、図2は、1つの考えられる機能回路図を示すが、この機能回路図は、図1に描かれている書込み権限ならびにこの検証の基礎としての全内容の読出し権限を変換するための、プロトコル・チップの代わりに事前に書き込まれたソフトウェアを使用している。
図2に示されているように、Mで左側に示されている領域は、安全性分析を有する本発明による複数チャネルのアーキテクチャを含み、図2にEで示されている右側の領域は、共通に形成された、安全パケットとして送信されるべき安全指向のプロトコルを有する単一チャネルのアーキテクチャを含む。
したがって、本質的に図1に基づくと、2つのマイクロプロセッサ11および21は、既知の方法で分離され、図2に参照符号100で特徴付けられ、さらに、それぞれ別々に計算された安全指向のプロトコル14および24の追加の相互チェックのために、通信インタフェース101によって互いに接続される。
xを0〜NとするアドレスAx用のアドレス・バス102、xを0〜NとするデータDx用のデータ・バス103、ならびに信号/CS(チップ選択)およびRD(読出し)は、通常の方法で、図2に示されている標準的なDPMに直接適用されるとともに、信号/CSLまたは/RDL用の対応するピンに適用される。アドレス線A0は、直接アドレスに対してマイクロコントローラ11だけが書込み認可され、かつ間接アドレスに対してマイクロコントローラ21だけが書込み認可されるように、マイクロコントローラ11および21の書込み信号/WR_μC1およびWR_μC2に関連付けられる。これらの2つのケースにおいてのみ、書込み信号/WRは、標準的なDPMのRAMの「ローアクティブ」信号/WL用の対応するピンを介して開始されうる。しかし、両方のマイクロコントローラ11および12は、読出しのためにメモリ全体30にアクセスすることができる。
共通に形成されるべき安全パケットの書込みが実行される前に実行されうるアクセス・ロックのチェックが、たとえば以下の順序で実行される。
マイクロコントローラ11は、既定値、たとえばFFhをDPM 30のすべてのメモリ場所に書き込むことを試みる。
次いで、マイクロコントローラ21は、別の既定値、たとえば00hをDPM 30のすべてのメモリ場所に書き込むことを試みる。
次いで、マイクロコントローラ11は、DPM 30のすべてのメモリ場所を読み出し、値00hがマイクロコントローラ21に割り当てられたメモリ場所だけに記録されたかどうかをチェックし、値FFhがマイクロコントローラ11に割り当てられたメモリ場所に記録されたかどうかを必要に応じてチェックする。次いで、マイクロコントローラ11は、再び、値FFhをすべてのメモリ場所に書き込むことを試みる。
次いで、マイクロコントローラ21は、DPM 30のすべてのメモリ場所を読み出し、値FFhがマイクロコントローラ11に割り当てられたメモリ場所だけに記録されたかどうかをチェックし、値00hがマイクロコントローラ21に割り当てられたメモリ場所に記録されたかどうかを必要に応じてチェックする。
この予想される挙動中にエラーが生じた場合、そのエラーが識別され、安全指向の機能が開始され、たとえば、プロセスは安全な状態に変わる。そうでない場合は、アクセス・ロッキングが問題なく機能していることが前提とされうる。したがって、本発明に従った実現における1つの本質的特徴は、各マイクロコントローラ11または21の実際の書込み信号が直接使用されるのではなく、代わりに論理機能がアドレス上で実行されることである。したがって、各マイクロコントローラに割り当てられたアドレスだけが書き込まれうる。
したがって、DPM 30のRAMに保存されたデータは、極めて高い安全なプロトコルによって安全である。DPM 30は、送信チャネル自体と同じように、安全であるとはみなされない。とりわけ、処理側に、すなわち図2にMで示されている領域内に、データの構成または内容に予想される挙動があるという点で、安全性が達成される。その結果、DPM 30内で緩衝されたデータの追加の処理または分配は、たとえば別のマイクロコントローラ35によって送信することができ、マイクロコントローラ35は、単一チャネルを用いてDPM 30からデータを、たとえばフィールド・バス40内での結合によってインポートする。
自己検証を実行することにより、両方のマイクロコントローラ11および21は、安全パケットをバッファ・メモリ30に書き込む間、各アクセス・ルールを事実上自動的に監視することができ、メモリに保存されたデータは、プロトコル・チップ、別のマイクロコントローラ、または他のインテリジェント・ユニットに送信するために、単一チャネルを用いてバッファ・メモリ30のインタフェースによって送信されうる。マイクロコントローラ11または21の一方の喪失があり、あるいはその中にエラーがある場合に、完全な安全パケットはもはや生成されないため、エラーは確実に検出され、安全指向の機能が開始される。したがって、冗長アーキテクチャMの安全分析は、原理的には、メモリ30に対するデータの保存で終了する。というのは、プロトコルの安全機構は、ここからの開始に連動するためであり、かつ、ここから開始する考えられるエラーは、前と同様に送信のために考慮され、修正されなければならないためである。この場合、「安全関連メッセージを送信するためのバス・システム」を試験し認証するための基本原理から考慮されるべきエラーが、メッセージの破損である。
上述の書込み権限と、共通に形成されるべき安全なプロトコルに書き込まれるべき場所と、両マイクロコントローラの無制限の読出し権限とを無条件に関連付けるため、バス40を介した実際の送信前に送信されるべき安全パケットの比較または検証が、標準的な構成要素の使用により保証される。したがって、マイクロコントローラ11または12は、それだけで安全パケットを送信する場所にある。
したがって、既に図2に示されている機能回路図は、単純な論理回路によって実現されうるが、たとえばFPGAによっても実現されうる。さらに、図2に示されているDPM 30の代わりに、標準的なRAMも使用されうる。しかし、使用されるDPMにより、回路は、バッファ・メモリからの安全パケットの読出しに関して簡略化される。当業者には、図2に示されている回路装置が、一意な書込みアクセス権限に対する考えられる技術的実現のうちの1つを代表しているにすぎないことは明らかである。データ線は、たとえば、1つのプロセッサが上方のデータ線だけに書込みアクセスすることができ、かつ冗長プロセッサがバッファ・メモリの下方のデータ線だけに書込みアクセスすることができるように、分割することもできる。本発明による書込みアクセス・ルールはさらに、たった2つよりも多い冗長プロセッサ/処理チャネルに使用することができる。
次に、図5には、一種の概略図で本発明の好ましい実施形態が示されており、この実施形態では、データ・メモリ30から読み出された安全パケットの自己検証の完全かつ肯定的な実行の後でのみ、これは、次の送信のために解放される。
図5では、2つの処理チャネル1および2が描かれており、処理チャネル1および2は、安全なシステムの一部であるとともに、複数チャネルのハードウェアまたは複数のソフトウェア・プロセスあるいはこれらの組合せによって用途に特有の構成をすることができ、そのことは、全体的な構成において、安全性固有の要件を保証するための上述の所要の安全性に本質的に対応する安全性をもたらす。したがって、そのような安全なシステムは、それに対応してより高い安全性を得るために、少なくとも1つの安全上重要なプロセスに割り当てられた安全なプロトコルを生成するための、少なくとも2つの冗長で安全な処理チャネル1、2を含む。
処理チャネル1および2、あるいはその中に含まれかつ別のハードウェアまたは共通ハードウェア上の別のソフトウェアをベースとするプロセッサ11、21はさらに、パケット志向のデータ処理のためにこの実施形態で構成される。
図5によれば、それぞれの安全な処理チャネル1および2は、完全かつ同一の安全なプロトコル14または24を生成する。しかし、パケット志向のデータ処理向けの構成のために、それぞれの安全なプロトコル14および24は、いくつかのデータ・パケット15および16で構成される。データ・パケット15および16の数はさらに、この実施形態において安全な処理チャネル1および2の数に対応しており、したがって、それぞれの安全なプロトコル14および24は、2つのデータ・パケット15および16で作られる。
安全な処理チャネル1および2は、それぞれのデータ・パケットまたはプロトコル部分15および16が、別の処理のために、すなわちデータ・メモリ30に書き込むために解放される前に、通信インタフェース101によって、たとえば生成された安全なプロトコル14および24を互いに比較するために、必要に応じて互いに接続されうる。しかし、そのような比較は、この時点で絶対必要というわけではない。
データを読み書きするための、処理チャネル1および2のデータ・メモリ30へのアクセス権限は、適切に定義された方法で、たとえば、ハードウェアを用いて、図5に参照符号8で示されているアクセス・ロッキングによって制御される。パケット志向のデータ処理のための処理チャネル1および2の構成に基づくと、書込み権限は、図5による実施形態で、データ・メモリ30へのデータのパケット単位の書込みがイネーブルとなるように割り当てられる。
別のデータ・パケットが、各処理チャネル1および2によってデータ・メモリ30に書き込まれることを保証するために、たとえば、アクセス許可は、処理チャネル1が第1の適合するメモリ領域のメモリ場所だけに書込みアクセスすることができ、かつ冗長処理チャネル2がデータ・メモリ30の別の適合するメモリ領域のメモリ場所だけに書込みアクセスすることができるようなものとすることができる。
図5には、処理チャネル1に関する書込み許可および読出し許可が、「S1」または「L1」で示されている矢印によって示されており、処理チャネル2に関する書込み許可および読出し許可が、「S2」または「L2」で示されている矢印によって示されている。したがって、処理チャネル1は、データ・パケット15だけを共通データ・メモリ30に書き込むことができ、処理チャネル2は、データ・パケット16を共通データ・メモリ30に書き込むことができる。しかし、両方の処理チャネル1および2は、データ・メモリ30から両方のデータ・パケット15および16を読み出すように認可される。
その結果、それぞれの安全な冗長処理チャネル1および2は、それぞれの生成済みの安全なプロトコル14または24の別の部分を共通データ領域30の中に、そこに安全なプロトコルを共通にアセンブルするために提示する。
処理チャネル1は、プロトコル14のデータ・パケット15を共通データ・メモリ30にプロトコルの一部として書き込み、処理チャネル2は、プロトコル24のデータ・パケット16を共通データ・メモリ30にプロトコルの一部として書き込んだため、安全な冗長処理チャネル1および2は、データ・メモリ30から完全なデータを読み戻し、これを内部で解放された安全なプロトコルまたはデータ・セット14または24と比較する。対応する比較で、読み出されたデータが内部で解放されたデータ・セットと同一であることが分かった場合、それに対応する適切な手段および/または方策によって、たとえば別の処理のための解放信号9によってなど、処理チャネル1または2は、データ・メモリ30内に共通に形成された安全なプロトコルを解放する。それぞれの冗長処理チャネル1および2が、別の処理のためにデータ・メモリ30内に共通に形成された安全なプロトコルを解放したときだけ、これは、データ・メモリ30からの転送/送信のために有効に解放される。たとえば、各冗長処理チャネルによる解放がある場合にのみ次の処理を行うために、バッファ・レジスタの内容へのアクセスを許可または解放してそれを送信または転送するためには、内容の対応する出力を解放する解放信号またはイネーブル信号の活性化は、各冗長処理チャネル1、2による解放がある場合に個々の解放信号をANDゲート制御することによって実施されうる。
データ・メモリ30からの送信/転送後に共通に形成されたプロトコルの追加の送信は、たとえば図1および2を参照した上記の説明に従って任意とすることができ、安全なプロトコルに一体化された方策にもっぱら本質的に依存する。
したがって、図5に従って説明した実施形態は、安全上重要なプロセスの単一チャネル・バス結合だけでなく、安全性を損なわずに、少なくとも2つの冗長処理チャネルを有する安全環境から非安全環境への、あるいはより少ないチャネルを有する安全環境への安全上重要なプロセスの異なる幅の結合にも適している。したがって、上述の結合機構は、安全な処理ユニット間の非安全なトランスポート・パスを介した接続に使用されうることが好ましい。これは、たとえば、InterbusやEthernet(登録商標)などのネットワークを用いて、あるいは装置内に、拡張ユニット、たとえばインライン局によって構成されうるものを含めることによって、データの転送に適用される。
原理的には、データもまた、同じ方法で、ただしより少ない処理チャネルを備える非安全または安全な環境から複数の処理チャネルを有する安全なプロセス環境にインポートされうることに留意されたい。
独国特許出願第102004039932.8号による、冗長処理チャネルによって送信される安全パケット用の安全指向のプロトコルの冗長形成、ならびに、後続の、安全指向のプロトコルから送信/転送されるべき各部分に関する送信/転送ルールの制御下での同一の安全指向のプロトコルの共通形成の概略ブロック図である。 独国特許出願第102004039932.8号による、それぞれが完全な安全指向のプロトコルを重複して計算する2つのマイクロコントローラをベースとした、本発明の転換の1つの考えられる機能回路図である。 2チャネル構造から単一チャネル構造に転換するための他の知られている実現図である。 2チャネル構造から単一チャネル構造に転換するための他の知られている実現図である。 バッファ・レジスタとして使用されかつ非安全環境または安全環境(ただしより少ない処理チャネルを備える)に配置されたデータ領域内に、処理チャネル数に対応するいくつかのデータ・パケットで構成された安全指向のプロトコルの冗長処理チャネルをいくつか備える安全環境からの結合に関する、図1および2に基づいて構成された本発明の好ましい実施形態のブロック図である。

Claims (8)

  1. 安全環境から安全または非安全環境のバスまたは装置への安全上重要なプロセスの単一チャネル結合のための方法であって、
    前記安全上重要なプロセスに関連するデータ・セットが、同じ法則に従って、少なくとも2つの冗長処理チャネル(1、2)によって、少なくとも2つの冗長なプロトコル(14、24)になるように処理され、
    記冗長なプロトコル(14、24)が、単一チャネル結合のための共通のプロトコルを形成するように結合され、該共通のプロトコルの中で共通のバッファ・レジスタ(30)が前記少なくとも2つの冗長処理チャネル(1、2)のそれぞれによってアクセスされ、
    各レジスタ場所について、前記冗長なプロトコル(14、24)の各々の異なる部分を書き込むことによって前記共通のプロトコルに順番に結合されるよう、書込み権限が一度だけ割り当てられ、
    前記共通のバッファ・レジスタ(30)から前記共通のプロトコルを送信する前に前記共通のプロトコルの検証のために、前記共通のバッファ・レジスタ(30)の各レジスタ場所の内容が、それぞれの前記冗長処理チャネル(1、2)によって読み出され、
    前記共通プロトコルが、さらなる処理のために前記共通のバッファ・レジスタから転送または送信するために、それぞれの前記冗長処理チャネル(1、2)による解放に対して反応するときだけ、解放される、ことを特徴とする方法。
  2. 各前記冗長処理チャネル(1、2)による前記解放が、解放信号を前記冗長処理チャネルから前記共通のバッファ・レジスタに送信することによって実現される、請求項1に記載の方法。
  3. 解放信号の活性化が、各前記冗長処理チャネル(1、2)による解放がある場合に、個々の前記解放信号のANDゲート制御によって行われる、請求項1または2に記載の方法。
  4. それぞれの前記冗長なプロトコル(14、24)が、前記冗長処理チャネル(1、2)の数に対応するいくつかのプロトコル部分から構成され、そして、各前記冗長処理チャネルからの異なるプロトコル部分を、前記共通のプロトコルに結合するために、前記共通のバッファ・レジスタに書き込まれることを特徴とする、請求項1乃至3のいずれか1項に記載の方法。
  5. 前記長なプロトコル(14、24)がそれぞれ、いくつかのデータ・パケットから構成され、そして、データ・パケット単位で書き込むために前記書込み権限が割り当てられる、請求項1乃至4のいずれか1項に記載の方法。
  6. 安全環境から安全または非安全環境のバスまたは装置への安全上重要なプロセスの単一チャネル結合のための装置であって、
    じ法則を使用して同じ入力データ・セットを少なくとも2つの冗長なプロトコル(14、24)になるように処理する少なくとも2つの冗長プロセッサ(11、21)と、
    共通のバッファ・レジスタ(30)の各レジスタ場所について、書込みアクセス権限を前記冗長プロセッサ(11、21)のうちの1つだけに与え、そして読出しアクセス権限を前記冗長プロセッサ(11、21)のそれぞれに与えるように前記冗長プロセッサ(11、21)を前記共通のバッファ・レジスタ(30)に接続する回路装置と
    を含み、
    前記冗長プロセッサ(11、21)は、前記共通のバッファ・レジスタ(30)から読み出された内容を検証し、そして肯定的な検証結果に応答して前記共通のバッファ・レジスタ(30)の前記内容を解放する手段を含むことを特徴とする装置。
  7. さらに、前記少なくとも2つの冗長プロセッサ(11、21)の各々が、パケットをベースとするデータ処理のために構成されることを特徴とする、請求項に記載の装置。
  8. 前記2つ以上の冗長プロセッサが、冗長ハードウェアおよび冗長ソフトウェアの少なくとも一方を用いて形成される、請求項またはのいずれか1項に記載の装置。
JP2008554683A 2006-02-17 2007-02-15 安全関連プロセスのバス結合のための方法および装置 Expired - Fee Related JP5052532B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE200610007844 DE102006007844A1 (de) 2004-08-17 2006-02-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102006007844.6 2006-02-17
PCT/EP2007/001337 WO2007093427A1 (de) 2006-02-17 2007-02-15 Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse

Publications (2)

Publication Number Publication Date
JP2009527038A JP2009527038A (ja) 2009-07-23
JP5052532B2 true JP5052532B2 (ja) 2012-10-17

Family

ID=37964728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008554683A Expired - Fee Related JP5052532B2 (ja) 2006-02-17 2007-02-15 安全関連プロセスのバス結合のための方法および装置

Country Status (8)

Country Link
US (1) US8271708B2 (ja)
EP (1) EP1985070B1 (ja)
JP (1) JP5052532B2 (ja)
CN (1) CN101385282B (ja)
AT (1) ATE483290T1 (ja)
DE (1) DE502007005195D1 (ja)
ES (1) ES2348747T3 (ja)
WO (1) WO2007093427A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE540343T1 (de) 2009-10-23 2012-01-15 Sick Ag Sicherheitssteuerung
JP5699896B2 (ja) * 2011-10-12 2015-04-15 トヨタ自動車株式会社 情報処理装置、異常判定方法
DE102012208134B4 (de) 2012-05-15 2013-12-05 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
FR3018977B1 (fr) * 2014-03-24 2018-01-12 Thales Structure de controleur d'echanges de messages et de communications generique pour des systemes de communication avioniques rebondants
US10466702B1 (en) * 2018-02-14 2019-11-05 Rockwell Collins, Inc. Dual independent autonomous agent architecture for aircraft
CN111694271B (zh) * 2020-07-15 2022-02-01 中国核动力研究设计院 基于分布式控制系统的冗余容错控制系统和方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532639C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
TW436671B (en) * 1998-03-25 2001-05-28 Siemens Ag Automation system
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
DE102004039932A1 (de) 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht

Also Published As

Publication number Publication date
DE502007005195D1 (de) 2010-11-11
EP1985070B1 (de) 2010-09-29
JP2009527038A (ja) 2009-07-23
EP1985070A1 (de) 2008-10-29
US20100217408A1 (en) 2010-08-26
WO2007093427A1 (de) 2007-08-23
ES2348747T3 (es) 2010-12-13
CN101385282B (zh) 2012-11-28
CN101385282A (zh) 2009-03-11
ATE483290T1 (de) 2010-10-15
US8271708B2 (en) 2012-09-18

Similar Documents

Publication Publication Date Title
JP5068436B2 (ja) 安全性関連処理のバス結合のための方法と装置
US7809449B2 (en) Coupling of safe fieldbus systems
JP5052532B2 (ja) 安全関連プロセスのバス結合のための方法および装置
US7945818B2 (en) Method and apparatus for converting multichannel messages into a single-channel safe message
ES2308480T3 (es) Control de seguridad.
CN107306185B (zh) 用于避免对数据传输的操纵的方法和装置
RU2452114C2 (ru) Способ, а также система для надежной передачи циклических передаваемых данных процесса
US9652322B2 (en) User station of a bus system and method for transmitting messages between user stations of a bus system
JP2004227575A (ja) 安全性関連プロセス情報の単一信号送信
US7418647B2 (en) Method for data transmission
JP6606293B2 (ja) 安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス
JP7063976B2 (ja) 少なくとも1つの安全なプロデューサーと少なくとも1つの安全なコンシューマーとの間のデータ伝送
CN115552846B (zh) 协议转换器及自动化系统
JP2006525720A (ja) Tdmaベースのネットワークノードにおけるエラー検出及び抑制
US9241043B2 (en) Method of connecting a hardware module to a fieldbus
JP7437370B2 (ja) 制御システム、産業装置、制御方法、及びプログラム
US20240007450A1 (en) Apparatus, Method, and Computer Program for the Secure, High-Availability Transmission of Messages, and a Vehicle Comprising the Apparatus
DE102006007844A1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
CN108141360B (zh) 在具有至少两个用户的网络中生成机密的方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120627

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120724

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees