[go: up one dir, main page]

DE102004039932A1 - Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse - Google Patents

Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse Download PDF

Info

Publication number
DE102004039932A1
DE102004039932A1 DE102004039932A DE102004039932A DE102004039932A1 DE 102004039932 A1 DE102004039932 A1 DE 102004039932A1 DE 102004039932 A DE102004039932 A DE 102004039932A DE 102004039932 A DE102004039932 A DE 102004039932A DE 102004039932 A1 DE102004039932 A1 DE 102004039932A1
Authority
DE
Germany
Prior art keywords
safety
protocol
further characterized
register
intermediate register
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102004039932A
Other languages
English (en)
Inventor
Heinz-Carsten Dipl.-Ing. Landwehr
Viktor Dipl.-Ing. Oster
Rainer Dipl.-Ing. Esch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=35170041&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE102004039932(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority to DE102004039932A priority Critical patent/DE102004039932A1/de
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE502005002025T priority patent/DE502005002025D1/de
Priority to ES05016849T priority patent/ES2293443T3/es
Priority to EP05016849.1A priority patent/EP1631014B2/de
Priority to JP2005235667A priority patent/JP5068436B2/ja
Priority to US11/205,805 priority patent/US8576707B2/en
Priority to CN200510091762.8A priority patent/CN100595746C/zh
Priority to DE200610007844 priority patent/DE102006007844A1/de
Publication of DE102004039932A1 publication Critical patent/DE102004039932A1/de
Priority to JP2010241825A priority patent/JP2011054195A/ja
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Bus Control (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren sowie eine zur Durchführung des Verfahrens angepasste Vorrichtung zur einkanaligen Busankopplung sicherheitsrelevanter Prozesse. DOLLAR A Eine Aufgabe der Erfindung ist es, für die sichere Busankopplung von sicherheitsrelevanten Prozessen einen neuen Weg für den Übergang von der Mehrkanaligkeit zur Einkanaligkeit bereitzustellen. DOLLAR A Die Erfindung schlägt hierzu ein Verfahren vor, welches sich dadurch auszeichnet, dass ein für den sicherheitskritischen Prozess relevanter Datensatz über zumindest zwei redundante Verarbeitungskanäle (1, 2), insbesondere protokollspezifisch, nach identischen Gesetzmäßigkeiten zu jeweils einem sicheren Protokoll (14, 24) verarbeitet wird und die redundanten Sicherheitstelegramme (14, 24) zur einkanaligen Busankopplung wieder zu einem gemeinsamen sicheren Protokoll zusammengesetzt werden, und zwar indem von jedem der Verarbeitungskanäle (1, 2) auf ein gemeinsames Zwischenregister (30) zugegriffen wird, wobei für jede Registerstelle eine Schreibberechtigung nur einmal vergeben wird, derart, dass das gemeinsame sichere Protokoll anteilig durch Einschreiben jeweils unterschiedlicher Anteile der jeweiligen Sicherheitstelegramme wieder zusammengesetzt wird.

Description

  • Die Erfindung betrifft ein Verfahren sowie eine zur Durchführung des Verfahrens angepasste Vorrichtung zur einkanaligen Busankopplung sicherheitsrelevanter Prozesse.
  • Unter einem sicherheitsrelevanten Prozess wird nachfolgend ein Prozess verstanden, von dem bei Auftreten eines Fehlers eine nicht zu vernachlässigende Gefahr für Menschen und/oder auch materielle Güter ausgeht. Bei einem sicherheitsrelevanten Prozess muss daher mit im Idealfall 100-prozentiger Sicherheit gewährleistet sein, dass bei Vorliegen eines Fehlers dieser Prozess, ein mit diesem Prozess gekoppelter Folgeprozess und/oder ein diesen Prozess umfassendes Gesamtsystem in einen sicheren Zustand überführt wird. Derartige sicherheitsrelevante Prozesse können somit auch Teilprozesse von größeren, übergeordneten Gesamtprozessen sein. Beispiele für sicherheitsrelevante Prozesse sind chemische Verfahren, bei denen kritische Parameter unbedingt in einem vorgegebenen Bereich gehalten werden müssen, komplexe Maschinensteuerungen, wie etwa bei einer hydraulischen Presse oder einer Fertigungsstraße, bei welchen beispielsweise das Inbetriebnehmen eines Press-/Schneidwerkzeuges einen sicherheitsrelevanten Teilprozess darstellen kann. Weitere Beispiele für sicherheitsrelevante (Teil-) Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zweihandschaltern oder auch die Reaktion auf Notausschalter.
  • Für alle sicherheitsrelevanten Prozesse ist es somit unbedingt erforderlich, dass die jeweils zugehörigen, erzeugten oder erfassten bzw. gemessenen, sicherheitsrelevanten Daten ohne irgendeine Verfälschung zeitnah transportiert werden, da jede Verfälschung eine fehlerhafte Funktion und/oder Reaktion zur Folge haben kann, die in letzter Konsequenz das Leben und die Gesundheit von Personen gefährden kann.
  • Um den Sicherheitsanforderungen gerecht zu werden, hat es in den letzten Jahren zahlreiche Vereinbarungen gegeben, die einen nahezu fehlerfreien Datentransport beim Einsatz von Bussystemen fordern. Diese betreffen insbesondere den Datentransport selbst sowie eine zulässige Restfehlerwahrscheinlichkeit in Abhängigkeit der jeweiligen Anwendung bzw. des jeweiligen Prozesses. Als einschlägige Standards sind hierbei insbesondere die EN 61508 und die EN 954-1 zu nennen sowie die Grundsätze für die Prüfung und Zertifizierung von "Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten" der Prüf- und Zertifizierungsstelle der gewerblichen Berufsgenossenschaften.
  • Entsprechend dieser Vereinbarungen und Normen sind sicherheitsgerichtete Bussysteme entwickelt worden, die Daten mit hoher Redundanz übertragen. Mögliche Fehler werden rechtzeitig entdeckt und eine Gefährdung kann abgewendet werden. Beispiele hierfür sind unter anderem der Safety Bus P, Profibus F, Interbus Safety, u.a.
  • Nachteilig hierbei ist jedoch, dass für den Einsatz sicherheitsgerichteter Bussysteme bereits installierte Bussysteme ersetzt werden müssen und häufig Einschränkungen bei der Anzahl der Teilnehmer, bei der Datentransportrate oder beim Datenprotokoll in Kauf genommen werden müssen.
  • Als Folge sind sicherheitsgerichtete Verfahren und/oder Komponenten entwickelt worden, die eine einfachere und kostengünstigere Nachrüstung bereits existierender Bussysteme ermöglichen. Insbesondere bei der Steuerungs- und Automatisierungstechnik verwendete elektronische Sicherungsverfahren nutzen hierbei zur Übertragung sicherheitsrelevanter Daten, insbesondere zwischen Sensoren, Aktoren und/oder Steuerungseinrichtungen, die zwischen den einzelnen an einem Prozess beteiligten Einheiten bereits eingesetzten (Feld-) Bussysteme zur Datenkommunikation.
  • Die EP 1 188 096 B1 offenbart beispielsweise ein Steuerungssystem für einen sicherheitsrelevanten Prozesse mit einem Feldbus, über den eine Steuereinheit zum Steuern des sicherheitsrelevanten Prozesses und eine Signaleinheit, die über E/A-Kanäle mit dem sicherheitsrelevanten Prozess verknüpft ist, verbunden sind. Um eine fehlersichere Kommunikation miteinander zu gewährleisten weisen diese Einheiten sicherheitsbezogene Einrichtungen auf, durch welche an sich. nicht sichere Einheiten zu sicheren Einheiten werden sollen. Im Einzelnen sind jeweils zumindest zwei redundante Verarbeitungskanäle derart vorgesehen, dass ein Fehler in einem der Verarbeitungskanäle anhand eines Ergebnisses, welches von demjenigen eines anderen der redundanten Verarbeitungskanals abweicht, erkannt und gegebenenfalls korrigiert werden kann. Diese mehrkanalige Struktur wird insbesondere durch zwei redundante Rechner realisiert, wobei die Sicherheitsbetrachtung nach den beiden redundanten Rechnern endet und die Betrachtung für ein sicheres Datenprotokoll ab dieser Stelle ohne weitere Ausführungen zum Tragen kommt.
  • Unter dem allgemeinen Begriff Rechner sind nachfolgend im Wesentlichen jede Art von Datenverarbeitungseinrichtungen wie Mikro-Computer, Mikro-Prozessoren, Mikro-Controller oder auch PC's, zu verstehen.
  • Auch die WO 01/24385 A2 betrifft die Steuerung sicherheitsrelevanter Prozesse unter Verwendung von (Feld-) Bussystemen, wobei die an der Steuerung des sicherheitsrelevanten Prozesses beteiligten Einheiten wiederum in der Regel redundant aufgebaute Verarbeitungskanäle aufweisen. Jeder der redundanten Kanäle umfasst einen Rechner, die sich gegenseitig kontrollieren. Diese mehrkanalige Struktur wird über einen weiteren mit dem Feldbus verbunden Rechner in eine einkanalige Struktur überführt (3). Weitergehende Ausführungen einschließlich des Übergangs von der Mehrkanaligkeit zur Einkanaligkeit sind der Schrift nicht zu entnehmen.
  • Der WO 01/24391 A1 und der Offenlegungsschrift DE 199 39 567 A1 sind weitere Beispiele sicherer Busteilnehmer mit sich gegenseitig hinsichtlich einer sicheren Protokollerstellung kontrollierenden, redundant ausgeführten Verarbeitungskanälen und/oder Rechner und anschließendem Übergang von der Zweikanaligkeit zur Einkanaligkeit über einen weiteren an den Bus gekoppelten Rechner, der an einen Protokoll-Chip angeschlossen ist oder diesen integriert hat, zu entnehmen. Auch hier endet die Sicherheitsbetrachtung ohne die Offenbarung weiterer technischer Maßnahmen nach den beiden redundanten Rechner und die Betrachtung für ein sicheres Datenprotokoll kommt ab dieser Stelle zum Tragen.
  • Die eine Einrichtung zur einkanaligen Übertragung von mittels zwei redundanten Rechnern gebildeten Daten betreffende Patentschrift DE 195 32 639 C2 integriert, um den Schaltungsaufwand zu verringern, die Funktion der Busankopplung in einen der beiden redundant ausgeführten Rechner. Lediglich der die Busankopplungsfunktionalität aufweisende Rech ner weist somit einen Ausgabekanal auf, welchem von diesem Rechner stammende Nutzdaten und vom anderen Rechner stammende Prüfdaten zugeführt werden oder umgekehrt oder Nutz- und Prüfdaten beider Rechner ineinander verschachtelt zugeführt werden (4). Um jedoch zu gewährleisten, dass der Rechner, der den Bus bedient, nicht in der Lage ist, Telegramme zu erzeugen, die der andere Rechner nicht beeinflussen kann, ist bei der Umsetzung ein erhöhter Aufwand bei der Sicherheitsbetrachtung erforderlich, da zum einen die Rückwirkungsfreiheit und zum anderen die Unabhängigkeit der Rechner zur Erstellung des sicheren Protokolls nachgewiesen werden muss. Die Patentschrift schlägt hierzu lediglich eine entsprechende Beschaltung bzw. Nichtbeschaltung der jeweiligen Rechnerausgänge vor.
  • Ferner beschreibt die DE 100 65 907 A1 ein auf dem Prinzip einer "Redundanz mit Kreuzvergleich" beruhendes Verfahren zum gesicherten Datentransport für die Datenübertragung an parallelen oder seriellen Netzwerken oder Bussystemen, wobei ein Zwischenregister mit zwei logisch identischen Datenbereichen für den Übergang von der Zweikanaligkeit zur Einkanaligkeit verwendet wird. Die vollständige, einkanalig über das Bussystem zu übertragende, sicherheitsgerichtete Nachricht umfasst die Dateninhalte beider Datenbereiche des Zwischenregisters. Dem Zwischenregister auf Senderseite vorgeschaltet sind wiederum zwei redundant arbeitende Rechner, die je nach Art der Applikation einkanalig oder zweikanalig zur Verfügung gestellte sicherheitsrelevante Daten jeweils mit redundanter Information zu sicheren Daten aufbereiteten und diese gegenseitig zur Überprüfung austauschen. Sofern beide zum gleichen Ergebnis gelangt sind, übergibt jeder der Rechner seine sicheren Daten dem Zwischenregister, wobei jeder Datenbereich mit den sicheren Daten jeweils eines Rechners belegt wird, die ihrerseits bereits redundante Information zur Fehlererkennung enthal ten. Ist in einer alternativen Ausführungsform das Zwischenregister in einem der beiden Rechner enthalten, so dass dieser eine Rechner folglich beide Datenbereiche des Zwischenregisters nach Abstimmung mit dem zweiten Rechner entsprechend belegt, liest dieser zweite Rechner zur Kontrolle das Zwischenregister mit den beiden Datenbereichen nochmals aus. Je nach Applikation kann der Dateninhalt eines der beiden Datenbereiche des Zwischenregisters auch invertierte Daten oder andere zusätzliche Verschachtelungen aufweisen, um beispielsweise systematische Fehler in den Sendern, Empfängern und/oder anderen die Daten weiterleitenden Einheiten zu erkennen. Nachteilig hierbei ist somit insbesondere, dass die Gesamtdatenlänge der sicherheitsgerichteten Nachricht in Bezug auf die tatsächlichen Nutzdaten überaus groß ist und die Datenübertragungsrate in Bezug auf die tatsächlichen Nutzdaten somit klein ist, da für jeden zu übertragenden Nutzdatensatz zwei identische Nutzdatensätze sowie eine jeweilige redundante Information zu jedem der identischen Nutzdatensätze zu übertragen ist. Bei abnehmender Anzahl von zu übertragenden Nutzdaten je Datenpaket, wie dieses beispielsweise beim Interbus gegeben ist, verschlechtert sich das Verhältnis von Nutzdatenlänge zur Gesamtdatenlänge zunehmend.
    •
  • Eine Aufgabe der Erfindung ist es somit, für die sichere Busankopplung von sicherheitsrelevanten Prozessen einen weiteren, neuen und verbesserten Weg für den Übergang von der Mehrkanaligkeit zur Einkanaligkeit bereit zu stellen und auf eine einfach zu realisierende Weise, insbesondere auch einfach zu testende Weise, eine Rückwirkungsfreiheit und Unabhängigkeit bei der Erstellung eines sicherheitsgerichteten Protokolls, welches als Sicherheitstelegramm über einen Bus übertragen werden soll, sicher zu stellen.
  • Die erfindungsgemäße Lösung ist auf höchst überraschende Weise bereits durch einen Gegenstand mit den Merkmalen eines der anhängigen unabhängigen Ansprüche gegeben.
  • Vorteilhafte und/oder bevorzugte Ausführungsformen und Weiterbildungen sind Gegenstand der jeweiligen abhängigen Ansprüche.
  • Erfindungsgemäß ist somit zur einkanaligen Busankopplung eines sicherheitskritischen Prozesses ein Verfahren vorgesehen, bei welchem ein für den sicherheitskritischen Prozess relevanter Datensatz über zumindest zwei redundante Verarbeitungskanäle, insbesondere protokollspezifisch, nach identischen Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll verarbeitet wird und die redundanten sicherheitsgerichteten Protokolle zur einkanaligen Busankopplung wieder zu einem gemeinsamen sicherheitsgerichteten Protokoll zusammengesetzt werden, und zwar indem von jedem der Verarbeitungskanäle auf ein gemeinsames Zwischenregister zugegriffen wird, wobei für jede Registerstelle eine Schreibberechtigung nur einmal vergeben wird, derart dass das gemeinsame sicherheitsgerichtete Protokoll, also das zu übertragende Sicherheitstelegramm, anteilig durch Einschreiben jeweils unterschiedlicher Anteile der jeweiligen sicherheitsgerichteten Protokolle zusammengesetzt wird.
  • Ein wesentlicher Vorteil ist hierbei folglich, dass zum einen beide Verarbeitungskanäle in der Lage sind, das komplette sicherheitsgerichtete Protokoll zu berechnen, so dass dieses sich positiv auf die benötigte Telegrammlänge auswirkt, da alle Datenbits mit den unterschiedlichen Sicherungsmechanismen bereits in den redundanten Verarbeitungskanälen vorbekannt sind und keine zusätzlichen Datenbits übertragen werden müssen, die auf der Empfängerseite den Rückschluss auf die einwandfreie Berechnung zulassen.
  • Darüber hinaus ist gewährleistet, dass ein Verarbeitungskanal alleine nicht in der Lage ist, ein Sicherheitstelegramm zu senden, wobei die Steuerung über die jeweils nur einmal vergebbare Schreibberechtigung von Daten in einer Registerstelle eine einfach zu implementierende und hoch effiziente Möglichkeit darstellt, um unabhängig vom verwendeten Bussystem) eine kostengünstige wesentlich erhöhte Sicherheit zu gewährleisten.
  • Die Realisierung einer intelligenten Einheit zum Durchführen des erfindungsgemäßen Verfahrens ist somit bereits durch Verwendung einer wenigstens zwei redundante Rechner umfassende Vorrichtung gewährleistbar, bei welcher die Rechner zum Verarbeiten eines identischen Eingangsdatensatzes unter Anwendung identischer Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll ausgebildet sind und die über eine Schaltungsanordnung mit einem gemeinsamen Zwischenregister derart verbunden sind, dass für jede Registerstelle des Zwischenregisters eine Schreibzugriff nur für jeweils einen der Rechner gegeben ist.
  • Die Erfindung ermöglicht somit bereits durch Verwendung von Standardkomponenten und unabhängig vom jeweiligen Bussystem eine einfach zu implementierende hoch dynamische und hoch effiziente Lösung zur rückwirkungsfreien und unabhängigen Bildung eines jeweiligen sicherheitsgerichteten Protokolls.
  • Die spezifischen Verarbeitungsregeln zur Bildung des Sicherheitstelegramms sind hierbei zweckmäßiger geeignet, den jeweiligen Sicherheitsanforderungen zu genügen, insbesondere den Sicherheitsanforderungen für eine einfache Übertragung gemäß SIL 3 IEC 61508.
  • Bei Verwendung einer derartigen Vorrichtung ist die Schaltungsanordnung in zweckmäßiger Weise derart ausgebildet, dass jeder der Rechner auf jede Registerstelle des Zwischenregisters lesend zugreifen kann.
  • Hierdurch ist einfach und kostengünstig mit Standard-Komponenten in bevorzugter Weiterbildung ferner gewährleistbar, dass vor einer Übergabe des gemeinsamen sicherheitsgerichteten Protokolls aus dem Zwischenregister an den Bus zur Übertragung von jedem der redundanten Verarbeitungskanäle auf jede Registerstelle lesend zurückgegriffen werden kann, um eine Verifikation des gemeinsam gebildeten sicherheitsgerichteten Protokolls durchführen. Durch den hierdurch möglichen zusätzlichen Vergleich des gemeinsam gebildeten sicherheitsgerichteten Protokolls mit dem jeweils separat bzw. individuell über die Verarbeitungskanäle gebildeten sicherheitsgerichteten Protokoll wird die erreichte Sicherheit nochmalig wesentlich erhöht. Beim Ausfall oder Fehler eines Rechners kann folglich kein vollständiges Sicherheitstelegramm erzeugt werden, so dass zwangsläufig auch Fehler erkannt und eine sicherheitsgerichtete Funktion auslösbar ist.
  • Eine darüber hinausgehende, weitere Steigerung der Sicherheit ist ferner dadurch gewährleistbar, wenn in besonders bevorzugter Ausführung vor dem Schreiben des gemeinsamen sicherheitsgerichteten Protokolls die redundant gebildeten sicherheitsgerichteten Protokolle durch die Verarbeitungskanäle zunächst auf gegenseitige Identität hin überprüft, so dass die Bildung eines gemeinsamen sicherheitsgerichteten Protokolls erst unter Ansprechen auf identische, unabhängig voneinander aus einem identischen Eingangsdatensatz verarbeitete sicherheitsgerichteten Protokolle erfolgt. Tritt bereits bei der redundanten Verarbeitung ein Fehler auf, wird dieser somit noch frühzeitiger erkannt und der Prozess kann noch frühzeitiger in einen sicheren Zustand gefahren werden.
  • Die an und für sich gegenseitig entkoppelten Rechner sind somit bevorzugt über eine Kommunikationsschnittstelle mit einander verbunden.
  • Vorteilhaft ist es ferner, eine jeweilige, definiert jeweils einem Verarbeitungskanal zugewiesene Schreibberechtung zur Verifikation mittels einer Testprozedur zu überprüfen. Auch hierzu der vollumfängliche Lesezugriff für jede Registerstelle zweckmäßig.
  • Gemäß einer bevorzugten Testprozedur wird hierbei über jeden der Verarbeitungskanäle versucht, einen jeweils unterschiedlichen, spezifisch zugeordneten Defaultwert in alle Registerstellen des Zwischenregisters einzuschreiben. Anschließend liest jeder der Verarbeitungskanäle alle Registerstellen des Zwischenregisters aus und verifiziert die Inhalte der Registerstellen auf eine eindeutige Verschachtelung hin.
  • Eine solche Testprozedur wird zweckmäßiger Weise mehrmalig und/oder durch ein abwechselndes Einschreiben in die und Auslesen der Registerstellen über unterschiedliche Verarbeitungskanäle durchgeführt.
  • Im Wesentlichen jede durch die Kopplung der an das Zwischenregister zu übergebenen anteiligen Daten an bestimmte Positionen oder Adressen innerhalb des gemeinsamen sicherheitsgerichteten Protokolls bzw. des Zwischenregisters eingestellte Sicherheitsübergabe-/-übernahmeregel lässt sich folglich einfach testen und jeder Fehler bei der Bildung eines zu übertragenen Sicherheitstelegramms, einschließlich aufgrund eines Rechnerausfalls, kann somit sicher erkannt werden.
  • Insbesondere, um nach einer jeweils protokollspezifischen Verarbeitung der Eingangsdaten zu einem sicherheitsgerichteten Protokoll deren Speicherung und protokollspezifische Übergabe an den Bus zu gewährleisten, wobei das sicherheitsgerichteten Protokoll den auf der jeweiligen Anwendung basierten Vorgaben, insbesondere in Abhängigkeit des Busses und/oder der Prozesse, an einen sicheren Protokolldatensatz genügt, umfasst ein Rechner gemäß einer Ausführungsform jeweils einen integrierten Protokollchip. In alternativer Ausbildung kann der Protokollchip auch ausgangseitig an einen Rechner angeschaltet sein. Zur Vermeidung derartiger, integrierter oder nachgeschalteter, Protokollchips und folglich auch zur Bauteil- und Kostenreduzierung ist in weiterer, besonders zweckmäßiger Ausführung vorgeschlagen, den Rechner mit einer zur Verarbeitung und protokollspezifischen Übergabe der Daten entsprechend ausgebildeten Software bereitzustellen.
  • Die erfindungsgemäße Vorrichtung kann als Busteilnehmereinheit ausgebildet sein, wobei die Rechner hierzu zweckmäßiger Weise eingangsseitig wenigstens mit Eingangskanälen zur ein- oder mehrkanaligen Anbindung von Prozessdaten-Eingabeeinheiten und entsprechend zur ein- oder mehrkanaligen Erfassung von zu verarbeitenden sicherheitsrelevanten Eingangsdaten verschaltet sind oder als Bus-Steuerungseinheit, welche z.B. die zu verarbeitenden sicherheitsrelevanten Eingangsdaten generiert, ausgebildet ist. Die Rechner sind somit insbesondere als Mikro-Controller oder als zentrale Prozesseinheiten (CPUs) ausgebildet.
  • Die Schaltungsanordnung zur erfindungsgemäßen Anbindung der Rechner oder gegebenenfalls der den Rechnern nachgeschalteten Protokollchips ist bei einer bevorzugten Ausführungs form als einfache Logikschaltung ausgebildet, wobei auch hochintegrierte Schaltkreise, z.B. in Form eines FPGA (Field Programmable Gate Array), verwendbar sind und applikationsspezifisch von zusätzlichem Vorteil sein können.
  • Das Zwischenregister weist eine Schnittstelle auf, über welche das dort hinterlegte gemeinsame sicherheitsgerichteten Protokoll einkanalig direkt in den Bus, z.B. einen Interbus, einkoppelbar ist oder einkanalig an eine anwendungsspezifisch ausgebildete weitere vor den Bus geschaltete Busankopplungseinrichtung übergeben werden kann, wobei als Busankopplungseinrichtung applikationsspezifisch insbesondere ein weiterer Protokollchip, ein weiterer Mikro-Controller oder eine sonstige intelligente Einheit verwendet sein kann.
  • Als Zwischenregister ist somit bereits ein Standard-RAM ausreichend. In bevorzugter Weiterbildung ist jedoch insbesondere vorgesehen, das Zwischenregister bzw. den Zwischenspeicher in Form eines Dualportmemory (DPM) auszubilden, so dass auf einfachste und kostengünstige Weise über einen der beiden Schnittstellen-Ports die Rechner anschaltbar sind und über den zweiten Schnittstellen-Port die einkanalige Ankopplung an den Bus erfolgen kann.
  • Weitere Merkmale und Vorteile der Erfindung werden aus der nachfolgenden, detaillierten Beschreibung einer bevorzugten, jedoch lediglich beispielhaften Ausführungsform der Erfindung unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich.
    •
  • In den Zeichnungen zeigen:
  • 1 eine schematische Prinzipskizze zur redundanten Bildung von sicherheitsgerichteten Protokollen für ein zu übertragendes Sicherheitstelegramm mittels redundanter Verarbeitungskanäle und anschließender gemeinsamer Bildung eines identischen sicherheitsgerichteten Protokolls unter Steuerung einer Übergabe-/Übernahmeregel betreffend die aus den sicherheitsgerichteten Protokollen jeweils zu übergebenden/übernehmenden Anteile;
  • 2 ein mögliches Funktionsschaltbild einer Umsetzung der Erfindung, basierend auf zwei jeweils das vollständige, sicherheitsgerichtete Protokoll redundant berechnenden Mikro-Controllern, und
  • 3 u. 4 bekannte Realisierungen für den Übergang von der Zweikanaligkeit zur Einkanaligkeit.
  • Bei 1 dargestellt sind zwei redundante Verarbeitungskanäle 1 und 2 einer nicht näher dargestellten Busteilnehmereinheit oder Bus-Steuerungseinheit zur Ankopplung eines sicherheitskritischen Prozesses an einen Bus 40, z.B. einen Interbus. Im Fall einer Busteilnehmereinheit ist jeder der Verarbeitungskanäle mit, dem sicherheitskritischen Prozess zugeordneten, gleichermaßen nicht dargestellten Ein-/Ausgabeeinheiten, wie z.B. Sensoren und/oder Aktoren, verbunden.
  • Einer Busteilnehmereinheit mit sensor-seitiger Applikation werden somit je nach Art der spezifischen Anbindung einkanalig oder zweikanalig den Verarbeitungskanälen 1 und 2 identische, für den sicherheitskritischen Prozess relevante Eingangsdaten zur Verfügung gestellt und zweckmäßigerweise zunächst in Speicher 12 bzw. 22 zur weiteren Verarbeitung abgelegt. Insbesondere im Fall einer Bus-Steuerungseinheit befinden sich zu sicheren Daten vor einer Busübertragung aufzubereitende sicherheitsrelevante Eingangsdaten in Speichern 12 bzw. 22.
  • Die Eingangsdaten werden zunächst vor der Übertragung eines Sicherheitstelegramms über den Bus 40 redundant unter Anwendung gleicher Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll 14 und 24 verarbeitet. Die Verarbeitungskanäle umfassen hierzu jeweils einen Mikro-Controller 11 bzw. 21 zur jeweiligen Aufbereitung/Verarbeitung der in dem Speicher 12 oder 22 befindlichen sicherheitsrelevanten Eingangsdaten zu einem sicherheitsgerichteten Protokoll 14 bzw. 24 sowie bei der Ausführung gemäß 1 jeweils einen dem Mikro-Controller 11 oder 21 nachgeschalteten Protokollchip 13 bzw. 23, der das von dem jeweiligen Mikro-Controller 11 oder 21 berechnete, sicherheitsgerichteten Protokoll 14 bzw. 24 zur weiteren Übergabe an den Bus 40 erhält. In alternativer Ausführung zu den dargestellten Protokollchips 13 bzw. 23 können die Mikro-Controller 11 und 21 auch eine entsprechend ausgebildete Software umfassen, so dass die weitere, nachfolgend beschriebene Übergabe der berechneten Protokolle 14 und 24 an den Bus 40 durch die Mikro-Controller 11 und 21 erfolgt.
  • Die berechneten, sicheren bzw. sicherheitsgerichteten Protokolle 14 und 24 sind folglich, sofern bei der Berechnung kein Fehler oder Ausfall aufgetreten ist, identisch. Es sei darauf hingewiesen, dass die sicheren Protokolle hierbei selbstverständlich so aufgebaut sind, dass diese den Anforderungen der Norm an eine sicherheitsgerichtete Übertragung genügen.
  • Zur weiteren Erhöhung der Sicherheit ist erfindungsgemäß vor Übertragung eines sicheren Telegramms über den Bus 40 die gemeinsame Bildung eines weiteren identischen, gemeinsamen sicherheitsgerichteten Protokolls vorgesehen, der an schließend einkanalig an den Bus 40 zur Übertragung übergeben werden kann.
  • Dieses gemeinsame sicherheitsgerichtete Protokoll wird durch ein anteiliges Zusammensetzen von Daten des sicheren Protokolls 14 und von Daten des sicheren Protokolls 24 in einem Zwischenspeicher oder Zwischenregister 30 gebildet, auf den jeder der Verarbeitungskanäle 1 und 2 zugreifen kann.
  • Um zu verhindern, dass dieses gemeinsam zu bildende sicherheitsgerichtete Protokoll lediglich auf Daten aus nur einem der Verarbeitungskanäle 1 oder 2 basiert, welches folglich dem Senden eines Sicherheitstelegramms nur durch einen der Mikro-Controller 11 oder 21 gleichkäme, z.B. aufgrund eines auftretenden Ausfalles eines der beiden Mikro-Controller, steuert eine definierte oder definierbare Zugriffsregel die Schreibrechte auf dem Zwischenspeicher 30. Die Zugriffsregel bestimmt hierzu, dass von jedem Verarbeitungskanal 1 und 2 aus nur die Teile des jeweils berechneten sicherheitsgerichteten Protokolls für das Bilden des gemeinsamen sicherheitsgerichteten Protokolls in die entsprechenden Speicherstellen des Zwischenspeichers 30 eingeschrieben werden kann, für die der jeweilige Mikro-Controller 11 oder 21 eine jeweilige Schreibberechtigung hat. Für jede Speicher- oder Registerstelle wird daher erfindungsgemäß nur jeweils eine Schreibberechtigung definiert.
  • Ausgehend von der Annahme, dass die sicheren Protokolle 14 und 24 identisch sind, umfasst also auch jedes der Protokolle die gleiche Anzahl von Bytes, bei 1 mit ByteX bis Byte X+5 gekennzeichnet. Im vorliegenden Beispiel gemäß 1 ist für den Mikro-Controller 21 des Verarbeitungskanals 2 die Schreibberechtigung für die Speicheradressen des Zwischenspeichers 30 für das Byte X, das Byte X+2 sowie für das Byte X+4 fest zugeordnet und für den Mikro-Controller 11 des Verarbeitungskanals 1 die Schreibberechtigung zum Eintragen des Bytes X+1, des Bytes X+3 und des Bytes X+5 zugeordnet. Folglich ist jedem der Mikro-Controller 11 und 21 nur eine Schreibberechtigung zum Eintragen jedes zweiten Bytes in den Zwischenspeicher 30 zugeordnet.
  • Ist beispielsweise X=0 und bestehen die redundanten sicherheitsgerichteten Protokolle 14 und 24 sowie das gemeinsam zu bildende identische sicherheitsgerichteten Protokoll, also das nachfolgend zu sendende Sicherheitstelegramm aus insgesamt 6 Bytes, setzen sich die Daten innerhalb der redundanten sicheren Protokolle und also auch innerhalb des zu sendenden Sicherheitstelegramms beispielsweise aus einem Header von 2 Bit, anschließenden Nutzdaten von 14 Bit, einer Adresse von 8 Bit und einer CRC-Checksumme von 24 Bit zusammen. Mit der vorstehenden, definiert zugeordneten Schreib-Zugriffsberechtigung, werden der 2 Bit umfassende Header und die ersten 6 Bit der Nutzdaten unter Bezugnahme auf 1 folglich aus dem über den Verarbeitungskanal 2 berechneten, sicheren Protokoll 24, die nächsten 8 Bit Nutzdaten aus dem über den Verarbeitungskanal 1 berechneten Protokoll 14, die 8 Bit umfassende Adresse wiederum aus dem Protokolldatensatz 24, und die 24 Bit umfassende CRC-Checksumme anteilsmäßig nacheinander aus den berechneten Protokollen 14, 24 und 14 übernommen.
  • Als Zwischenspeicher ist somit bereits ein Standard-RAM oder bevorzugt, wie nachfolgend ersichtlich, ein Standard-DPM einsetzbar.
  • Selbst bei nur zweifacher Redundanz wird eine darüber hinausgehende noch erhöhte Sicherheit erreicht, wenn in weiterer in zweckmäßiger Weise die Mikro-Controller 11 und 21 beider Verarbeitungskanäle 1 und 2 den vollständigen Lesezugriff auf den Zwischenspeicher 30 zugeteilt bekommen.
  • Dieses ermöglicht einen einfachen Vergleich der gesamten Daten, indem zum Einen auf einfache Weise überprüfbar ist, ob das gemeinsam gebildete, als Sicherheitstelegramm zu übertragende sichere Protokoll, welches beispielsweise die Sicherheitsanforderungen für eine einfache Übertragung gemäß SIL 3 IEC 61508 erfüllt, fehlerfrei ist, und zwar durch jeweilige Verifikation gegenüber dem eigenen vorhergehend separat gebildeten sicherheitsgerichteten Protokoll 14 oder 24. Darüber hinaus ermöglicht der vollumfängliche Lesezugriff für jeden der Verarbeitungskanäle 1 und 2 die, zweckmäßigerweise bereits im Vorfeld der Steuerung/Überwachung/Regelung eines sicherheitskritischen Prozesses durchführbare Überprüfung, ob die Zugriffsregel generell fehlerfrei erfolgt. Hierzu wird insbesondere überprüft, ob die berechneten Daten eines jeweiligen Mikro-Controllers des einen und des anderen Verarbeitungskanals ausschließlich, dies aber garantiert, nur in die jeweils zugewiesenen Speicheradressen des Zwischenspeichers 30 geschrieben werden.
  • Führt diese "Selbstverifikation" und/oder "Kreuzverifikation" zu einem ungleichen Ergebnis, wird zwangsläufig auf Fehler erkannt und eine sicherheitsgerichtete Funktion eingeleitet.
  • 2 stellt beispielhaft, jedoch unter Verwendung von vorbeschriebener Software anstelle von Protokollchips, ein mögliches Funktionsschaltbild einer Umsetzung der in 1 skizzierten Schreibberechtigung sowie der vollumfänglichen Leseberechtigung als Basis für diese Verifikationen dar.
  • Wie bei 2 dargestellt, umfasst der links dargestellte, mit M gekennzeichnete Bereich die erfindungsgemäße mehrkanalige Architektur mit Sicherheitsbetrachtung und der bei 2 mit E gekennzeichnete rechte Bereich die einkanalige Architektur mit dem als Sicherheitstelegramm zu übertragenden, gemeinsam gebildeten sicherheitsgerichteten Protokoll.
  • Somit im Wesentlichen basierend auf 1 sind die beiden Mikro-Prozessoren 11 und 21 über an sich bekannte Art und Weise entkoppelt, bei 2 mit der Bezugsziffer 100 gekennzeichnet, und ferner über eine Kommunikationsschnittstelle 101 zur zusätzlichen gegenseitigen Überprüfung der jeweils separat berechneten sicherheitsgerichteten Protokolle 14 und 24 miteinander verbunden.
  • Der Adressbus 102 für die Adressen Ax, mit x zwischen 0 und N, der Datenbus 103 für die Daten Dx, mit x zwischen 0 und N, sowie die Signale /CS (Chipselect) und /RD (Read) sind, wie normal üblich, direkt an das bei 2 dargestellte Standard-DPM an die entsprechenden Pins für die Signale /CSL bzw. /RDL angelegt. Die Adressleitung A0 ist mit den Schreibsignalen /WR_μC1 und /WR_μC2 der Mikro-Controller 11 und 21 so verknüpft, dass bei geraden Adressen nur der Mikro-Controller 11 schreibberechtigt ist und bei ungeraden Adressen nur der Mikro-Controller 21 schreibberechtigt ist. Nur in diesen beiden Fällen kann das Schreibsignal /WR über den entsprechenden Pin für das "low aktive" Signal /WL am RAM des Standard-DPM ausgelöst werden. Lesend können jedoch beide Mikro-Controller 11 und 21 auf den gesamten Speicher 30 zugreifen.
  • Ein zweckmäßigerweise vor dem Schreiben des gemeinsam zu bildenden Sicherheitstelegramms durchführbarer Tests der Zugriffsverriegelung erfolgt beispielsweise nach folgendem Ablauf:
    Der Mikro-Controller 11 versucht einen Defaultwert, z.B. FFh, in alle Speicherstellen des DPM 30 zu schreiben.
  • Der Mikro-Controller 21 versucht daraufhin einen weiteren Defaultwert, z.B. 00h, in alle Speicherstellen des DPM 30 zu schreiben.
  • Der Mikro-Controller 11 liest daraufhin alle Speicherstellen des DPM 30 aus und prüft, ob nur in den, dem Mikro-Controller 21 zugewiesenen Speicherstellen der Wert 00h eingetragen ist und ggfs., ob in den dem Mikro-Controller 11 zugewiesenen Speicherstellen der Wert FFh eingetragen ist. Anschließend versucht der Mikro-Controller 11 noch einmal den Wert FFh in alle Speicherstellen zu schreiben.
  • Daraufhin liest der Mikro-Controller 21 alle Speicherstellen des DPM 30 aus und prüft, ob nur in den, dem Mikro-Controller 11 zugewiesenen Speicherstellen der Wert FFh eingetragen ist und ggfs., ob in den dem Mikro-Controller 21 zugewiesenen Speicherstellen der Wert 00h eingetragen ist.
  • Tritt bei dieser Erwartungshaltung ein Fehler auf, so wird der Fehler erkannt und eine sicherheitsgerichtete Funktion eingeleitet, z.B. der Prozess in einen sicheren Zustand überführt. Anderenfalls kann davon ausgegangen werden, dass die Zugriffsverriegelung einwandfrei funktioniert. Ein wesentliches Merkmal bei der erfindungsgemäßen Realisierung ist somit, dass nicht die eigentlichen Schreibsignale vom jeweiligen Mikro-Controller 11 bzw. 21 direkt genutzt werden sondern, dass eine Verknüpfung mit den Adressen statt findet. Somit kann nur auf den Adressen geschrieben werden, die dem jeweiligen Mikro-Controller zugeordnet sind.
  • Die Daten, die im RAM des DPM 30 abgelegt werden, sind folglich über ein in höchstem Maße sicheres Protokoll gesichert. Das DPM 30 wird ähnlich wie der Übertragungskanal selbst, als nicht sicher angesehen. Die Sicherheit wird somit unter Anderem dadurch erreicht, dass auf der verarbeitenden Seite, also in dem bei 2 mit M gekennzeichneten Bereich, eine Erwartungshaltung an den Aufbau bzw. den Inhalt der Daten besteht. Folglich kann die weitere Verarbeitung oder Verteilung der im DPM 30 zwischengespeicherten Daten beispielsweise über einen weiteren Mikro-Controller 35, der die Daten aus dem DPM 30 einkanalig übernimmt, erfolgen und anschließend an das Bussystem, beispielsweise durch Einkopplung in einen Feldbus 40, übergeben werden.
  • Durch das Durchführen einer Selbstverifikation überwachen somit beide Mikro-Controller 11 und 21 die jeweilige Zugriffsregel praktisch während des Hineinschreibens des Sicherheitstelegramms in den Zwischenspeicher 30 selbsttätig und die in dem Speicher abgelegten Daten können über eine Schnittstelle des Zwischenspeichers 30 zur Übertragung an einen Protokollchip, einen weiteren Mikro-Controller oder eine sonstige intelligenten Einheit einkanalige übergeben werden. Da beim Ausfall oder Fehler eines Mikro-Controllers 11 oder 21 kein vollständiges Sicherheitstelegramm mehr erzeugt werden kann, wird zwangsläufig auf Fehler erkannt und eine sicherheitsgerichtete Funktion ausgelöst. Die Sicherheitsbetrachtung der redundanten Architektur M endet somit mit dem Ablegen der Daten auf den Speicher 30. Ab hier greift der Sicherungsmechanismus des Protokolls, denn die ab hier möglichen Fehler werden für eine Übertragung sowieso wie bisher betrachtet und müssen beherrscht werden. Ein hierfür in Betracht kommender Fehler aus dem Grundsatz für die Prüfung und Zertifizierung von "Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten" ist eine Nachrichtenverfälschung.
  • Durch die vorstehend aufgezeigte unbedingte Verknüpfung der Schreibberechtigung mit der zu beschreibenden Positionen im gemeinsam zu bildenden sicheren Protokoll und der uneingeschränkten Leseberechtigung beider Mikro-Controller ist somit bereits durch Verwendung von Standardkomponenten der Vergleich bzw. die Verifizierung des zu sendenden Sicherheitstelegramms vor der eigentlichen Übertragung über einen Bus 40 gewährleistet. Folglich ist ein Mikro-Controller 11 bzw. 21 alleine nicht in der Lage, ein Sicherheitstelegramm zu senden.
  • Das bei 2 dargestellte Funktionsschaltbild ist somit bereits durch eine einfache Logikschaltung realisierbar, kann jedoch beispielsweise auch durch ein FPGA realisiert sein. Ferner ist selbstverständlich anstelle des bei 2 dargestellten DPM 30 auch ein einfaches Standard-RAM eingesetzbar. Durch das eingesetzte DPM vereinfacht sich jedoch die Schaltung hinsichtlich des Auslesens der Sicherheitstelegramms aus dem Zwischenspeicher. Für einen Fachmann ist es ersichtlich, dass die bei 2 dargestellte Schaltungsanordnung nur eine der möglichen technischen Umsetzung für eine eindeutige Schreib-Zugriffsberechtigung darstellt. Die Datenleitungen können z.B. auch so aufgeteilt sein, dass ein Rechner nur auf die oberen Datenleitungen und ein redundanter Rechner lediglich auf die unteren Datenleitungen des Zwischenspeichers schreibend zugreifen kann. Eine Schreib-Zugriffregel gemäß der Erfindung ist ferner für mehr als nur zwei redundante Rechner/Verarbeitungskanäle anwendbar.

Claims (16)

  1. Verfahren zur einkanaligen Busankopplung eines sicherheitskritischen Prozesses, bei welchem ein für den sicherheitskritischen Prozess relevanter Datensatz über zumindest zwei redundante Verarbeitungskanäle (1, 2), insbesondere protokollspezifisch, nach identischen Gesetzmäßigkeiten zu jeweils einem sicheren Protokoll (14, 24) verarbeitet wird und die redundanten sicheren Protokolle (14, 24) zur einkanaligen Busankopplung zu einem gemeinsamen sicheren Protokoll zusammengesetzt werden, und zwar indem von jedem der Verarbeitungskanäle (1, 2) auf ein gemeinsames Zwischenregister (30) zugegriffen wird, wobei für jede Registerstelle eine Schreibberechtigung nur einmal vergeben wird, derart dass das gemeinsame sichere Protokoll anteilig durch Einschreiben jeweils unterschiedlicher Anteile der jeweiligen sicheren Protokolle zusammengesetzt wird.
  2. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass vor einer Übergabe des gemeinsamen sicheren Protokolls aus dem Zwischenregister (30) an den Bus (40) zur Verifikation des gemeinsam gebildeten sicheren Protokolls von jedem der redundanten Verarbeitungskanäle (1, 2) der Inhalt jeder Registerstelle des Zwischenregisters (30) gelesen wird.
  3. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass vor dem Schreiben des gemeinsamen sicheren Protokolls die redundant gebildeten sicheren Protokolle (14, 24) durch die Verarbeitungskanäle (1, 2) auf gegenseitige Identität überprüft werden.
  4. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass zur Verifikation einer eindeutig zugeordneten Schreibberechtigung eine Testprozedur durchlaufen wird.
  5. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass bei der Testprozedur über jeden der Verarbeitungskanäle (1, 2) versucht wird, einen jeweils unterschiedlichen, spezifisch zugeordneten Defaultwert in alle Registerstellen des Zwischenregisters (30) zu schreiben und anschließend über jeden der Verarbeitungskanäle (1, 2) alle Registerstellen des Zwischenregisters (30) ausgelesen werden und die Inhalte der Registerstellen auf eine eindeutige Verschachtelung hin verifiziert werden.
  6. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass die Testprozedur mehrmalig und/oder ein abwechselndes Schreiben und Lesen der Registerstellen über unterschiedliche Verarbeitungskanäle (1, 2) durchgeführt wird.
  7. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass als Zwischenregister (30) ein Standard-Ram oder ein Standard-DPM verwendet wird.
  8. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass das gemeinsame sichere Protokoll aus dem Zwischenregister (30) einkanalig an eine anwendungsspezifisch ausgebildete Busankopplungseinrichtung (35) übergeben wird.
  9. Vorrichtung zur einkanaligen Busankopplung eines sicherheitskritischen Prozesses, umfassend wenigstens zwei redundante Rechner (11, 21) zum, insbesondere protokollspezifischen, Verarbeiten eines identischen Eingangsdatensatzes unter Anwendung identischer Gesetzmäßigkeiten zu jeweils einem sicheren Protokoll (14, 24), und eine Schaltungsanordnung zum Verbinden jedes Rechners (11, 21) mit einem gemeinsamen Zwischenregister (30) derart, dass für jede Registerstelle des Zwischenregisters (30) eine Schreib-Zugriffsmöglichkeit nur für jeweils einen der Rechner gegeben ist.
  10. Vorrichtung nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass die Schaltungsanordnung derart ausgebildet ist, das für jede Registerstelle des Zwischenregisters (30) eine Lese-Zugriffsmöglichkeit für jeden der Rechner (11, 21) gegeben ist.
  11. Vorrichtung nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Rechner (11, 21) über eine Kommunikationsschnittstelle (101) mit einander verbunden sind.
  12. Vorrichtung nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Rechner (11, 21) jeweils einen integrierten Protokollchip umfassen oder ausgangseitig mit einen Protokollchip (13, 23) verbunden sind oder eine die Funktion des Protokollchips bereitstellende Software umfassen.
  13. Vorrichtung nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Vorrichtung als Busteilnehmereinheit ausgebildet ist und die Rechner eingangsseitig wenigstens mit Eingangskanälen zur Anbindung von Prozessdaten-Eingabeeinheiten verschal tet oder, dass die Vorrichtung als Bus-Steuerungseinheit ausgebildet ist.
  14. Vorrichtung nach einem der vorstehenden Ansprüche, dass die Schaltungsanordnung in einfacher Logik oder als als FPGA ausgebildet ist.
  15. Vorrichtung nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass das Zwischenregister (30) ein Standard-Ram oder ein Standard-DPM ist.
  16. Vorrichtung nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass das Zwischenregister (30) eine Schnittstelle zur direkten einkanaligen Busankopplung oder zur einkanaligen Anbindung an eine anwendungsspezifisch ausgebildete Busankopplungseinrichtung (35) aufweist.
DE102004039932A 2004-08-17 2004-08-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse Ceased DE102004039932A1 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
DE102004039932A DE102004039932A1 (de) 2004-08-17 2004-08-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE502005002025T DE502005002025D1 (de) 2004-08-17 2005-08-03 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
ES05016849T ES2293443T3 (es) 2004-08-17 2005-08-03 Procedimiento y dispositivo para el acoplamiento de procesos relevantes para la seguridad a un bus.
EP05016849.1A EP1631014B2 (de) 2004-08-17 2005-08-03 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
JP2005235667A JP5068436B2 (ja) 2004-08-17 2005-08-16 安全性関連処理のバス結合のための方法と装置
US11/205,805 US8576707B2 (en) 2004-08-17 2005-08-17 Method and apparatus for bus coupling of safety-relevant processes
CN200510091762.8A CN100595746C (zh) 2004-08-17 2005-08-17 总线耦合安全相关过程的方法和设备
DE200610007844 DE102006007844A1 (de) 2004-08-17 2006-02-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
JP2010241825A JP2011054195A (ja) 2004-08-17 2010-10-28 安全性関連処理のバス結合のための方法と装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004039932A DE102004039932A1 (de) 2004-08-17 2004-08-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse

Publications (1)

Publication Number Publication Date
DE102004039932A1 true DE102004039932A1 (de) 2006-03-09

Family

ID=35170041

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102004039932A Ceased DE102004039932A1 (de) 2004-08-17 2004-08-17 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
DE502005002025T Expired - Lifetime DE502005002025D1 (de) 2004-08-17 2005-08-03 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE502005002025T Expired - Lifetime DE502005002025D1 (de) 2004-08-17 2005-08-03 Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse

Country Status (6)

Country Link
US (1) US8576707B2 (de)
EP (1) EP1631014B2 (de)
JP (2) JP5068436B2 (de)
CN (1) CN100595746C (de)
DE (2) DE102004039932A1 (de)
ES (1) ES2293443T3 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1701270A1 (de) 2005-03-07 2006-09-13 Phoenix Contact GmbH & Co. KG Kopplung von sicheren Feldbussystemen
DE102006002824A1 (de) * 2006-01-19 2007-08-02 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US8271708B2 (en) 2006-02-17 2012-09-18 Phoenix Contact Gmbh & Co. Kg Method and device adapted for performing single-channel bus coupling of a safety-critical process
EP2642403B1 (de) 2012-03-23 2014-07-23 Siemens Aktiengesellschaft Schnittstellenvorrichtung und Verfahren für einen konsistenten Datenaustausch
EP3744033B1 (de) 2018-01-24 2022-08-03 WAGO Verwaltungsgesellschaft mbH System zum erzeugen eines datenstroms auf basis redundanter informationen

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7454252B2 (en) * 2006-03-08 2008-11-18 Moore Industries International, Inc. Redundant fieldbus system
DE102007016917B4 (de) * 2007-04-05 2009-12-17 Phoenix Contact Gmbh & Co. Kg Verfahren sowie System zur sicheren Übertragung von zyklischen zu übertragenden Prozessdaten
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
US8260487B2 (en) * 2008-01-08 2012-09-04 General Electric Company Methods and systems for vital bus architecture
DE102008049126B3 (de) * 2008-09-26 2010-04-08 Raytheon Anschütz Gmbh Schiffsruder-Steuerung/Autopilot mit einem CAN-Bus
FR2992083B1 (fr) 2012-06-19 2014-07-04 Alstom Transport Sa Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur
CN105517893B (zh) * 2013-08-23 2018-12-18 庞巴迪公司 异常飞机响应监视器
JP6183296B2 (ja) * 2014-06-02 2017-08-23 株式会社デンソー 車両用機器、車両用機器の起動方法
DE102018120344B4 (de) * 2018-08-21 2024-11-21 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
CN110069374A (zh) * 2019-04-28 2019-07-30 中国科学院微电子研究所 一种安全性测试方法及装置

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5386532A (en) * 1991-12-30 1995-01-31 Sun Microsystems, Inc. Method and apparatus for transferring data between a memory and a plurality of peripheral units through a plurality of data channels
DE19532639C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US6161202A (en) * 1997-02-18 2000-12-12 Ee-Signals Gmbh & Co. Kg Method for the monitoring of integrated circuits
JPH10307603A (ja) 1997-05-09 1998-11-17 Fanuc Ltd データ伝送装置
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
US6049901A (en) 1997-09-16 2000-04-11 Stock; Mary C. Test system for integrated circuits using a single memory for both the parallel and scan modes of testing
JP3680592B2 (ja) * 1998-10-30 2005-08-10 株式会社日立製作所 通信装置
DE19920299B4 (de) * 1999-05-03 2008-01-03 Siemens Ag Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
DE19928517C2 (de) 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE19947094C2 (de) 1999-09-30 2001-09-06 Siemens Ag Verfahren und Empfangsanordnung zur Erhöhung der Übertragungsreichweite bei einer Übertragung von Signalen im Basisband
US6782277B1 (en) 1999-09-30 2004-08-24 Qualcomm Incorporated Wireless communication system with base station beam sweeping
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane
US6594714B1 (en) * 2000-05-01 2003-07-15 Hewlett-Packard Development Company, L.P. Reconfigurable FIFO interface to support multiple channels in bundled agent configurations
CN2434703Y (zh) * 2000-07-25 2001-06-13 石忠祥 计算机系统硬盘切换控制装置
DE10037737B4 (de) * 2000-08-02 2007-03-22 Siemens Ag Verfahren und Vorrichtung zur sicheren einkanaligen Auswertung von Sensorsignalen
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
US6654021B2 (en) 2001-05-18 2003-11-25 Sun Microsystems, Inc. Multi-channel, demand-driven display controller
EP1396963B1 (de) * 2001-05-31 2010-01-27 Omron Corporation Sicherheitsnetzwerksystem und sicherheits-slaves und sicherheitssteuerung und kommunikationsverfahren und informationssammelverfahren und überwachungsverfahren in einem sicherheitsnetzwerksystem
US7472106B2 (en) * 2001-06-22 2008-12-30 Omron Corporation Safety network system and safety slave
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US7007220B2 (en) * 2002-03-01 2006-02-28 Broadlogic Network Technologies, Inc. Error correction coding across multiple channels in content distribution systems
JP4224766B2 (ja) 2002-10-25 2009-02-18 横河電機株式会社 プラント情報収集装置
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
JP2004103241A (ja) 2003-10-24 2004-04-02 Fujitsu Ltd 光ディスク装置用光学ヘッド

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1701270A1 (de) 2005-03-07 2006-09-13 Phoenix Contact GmbH & Co. KG Kopplung von sicheren Feldbussystemen
DE102005010820C5 (de) * 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
DE102006002824A1 (de) * 2006-01-19 2007-08-02 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP1811722A3 (de) * 2006-01-19 2008-07-02 Phoenix Contact GmbH & Co. KG Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7945818B2 (en) 2006-01-19 2011-05-17 Phoenix Contact Gmbh & Co. Kg Method and apparatus for converting multichannel messages into a single-channel safe message
US8271708B2 (en) 2006-02-17 2012-09-18 Phoenix Contact Gmbh & Co. Kg Method and device adapted for performing single-channel bus coupling of a safety-critical process
EP2642403B1 (de) 2012-03-23 2014-07-23 Siemens Aktiengesellschaft Schnittstellenvorrichtung und Verfahren für einen konsistenten Datenaustausch
US9274993B2 (en) 2012-03-23 2016-03-01 Siemens Aktiengesellschaft Interface device and method for consistently exchanging data
EP3744033B1 (de) 2018-01-24 2022-08-03 WAGO Verwaltungsgesellschaft mbH System zum erzeugen eines datenstroms auf basis redundanter informationen

Also Published As

Publication number Publication date
DE502005002025D1 (de) 2008-01-03
US20060087967A1 (en) 2006-04-27
EP1631014B1 (de) 2007-11-21
JP2011054195A (ja) 2011-03-17
EP1631014A3 (de) 2006-04-12
JP5068436B2 (ja) 2012-11-07
ES2293443T3 (es) 2008-03-16
US8576707B2 (en) 2013-11-05
EP1631014A2 (de) 2006-03-01
EP1631014B2 (de) 2017-08-16
CN1737787A (zh) 2006-02-22
JP2006059356A (ja) 2006-03-02
CN100595746C (zh) 2010-03-24

Similar Documents

Publication Publication Date Title
EP1701270B1 (de) Kopplung von sicheren Feldbussystemen
EP1188096B2 (de) Steuerungssystem zum steuern von sicherheitskritischen prozessen
EP1631014B2 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
EP1192511B1 (de) Sicherheitsbezogenes automatisierungsbussystem
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
DE102011082969B4 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1811722B1 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
DE102005009795A1 (de) Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
EP1985070B1 (de) Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
WO2008122355A1 (de) Verfahren sowie system zur sicheren übertragung von zyklischen zu übertragenden prozessdaten
DE102004018857A1 (de) Sicherheitssteuerung
EP1183827A2 (de) Schaltungsanordnung zur gesicherten datenübertragung, insbesondere in ringförmigen bussystemen
EP0182134B1 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE19833867C5 (de) Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
DE102019123146B4 (de) Diagnose- und/oder parameterdaten-übertragung zwischen steuermodul und eingabe/ausgabe-modul
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102006007844A1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1738262B1 (de) Verfahren und steuerungssystem zum erkennen eines fehlers bei einer verarbeitung von daten in einem verarbeitungssystem
WO2024245829A1 (de) Brücken-feldbusmodul und verfahren zum betreiben eines brücken-feldbusmoduls
EP2117151B1 (de) Übermittlung sicherheitsgerichteter Eingangssignale über einen unsicheren Kanal mittels eines sicherheitsgerichteten Telegramms

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R003 Refusal decision now final
R011 All appeals rejected, refused or otherwise settled
R130 Divisional application to

Ref document number: 102004064283

Country of ref document: DE

Effective date: 20140127

R003 Refusal decision now final

Effective date: 20140428