DE102006007844A1

DE102006007844A1 - Method for single-channel bus coupling of safety-critical process, involves transmitting release signal from processing channel to intermediate register through processing channel

Info

Publication number: DE102006007844A1
Application number: DE200610007844
Authority: DE
Inventors: Rainer Dipl.-Ing. Esch; Steffen Dipl.-Ing. Horn; Johannes Dipl.-Ing. Kalhoff
Original assignee: Phoenix Contact GmbH and Co KG
Current assignee: Phoenix Contact GmbH and Co KG
Priority date: 2004-08-17
Filing date: 2006-02-17
Publication date: 2007-08-23

Abstract

The method involves transmitting a release signal from the processing channel to the intermediate register through a processing channel (1,2). The activation of an enabling-signal is caused by the presence of a release through each redundant processing channel accessing a common buffer register (30) over an "AND-circuit" of the individual releasing signals. Each redundant safe record (14,24) formed from a number of record parts corresponding to the number of redundant processing channels and a number of packets, where an authorization is assigned for a packet-wise registration. Another record part is registered in the intermediate register for assembling common safe record by each processing channel. Each of the redundant processing channels reads the contents of each register point in the buffer register, which is characterized in jointly formed safe protocol, which is transferred after a release by each redundant processing channel. Independent claims are also included for the following: (1) use of a method for the single-channel bus coupling of a sensitive process (2) device for the single-channel bus coupling of a sensitive process.

Description

Die Erfindung betrifft ein Verfahren sowie eine zur Durchführung des Verfahrens angepasste Vorrichtung zur einkanaligen Busankopplung sicherheitsrelevanter Prozesse.The The invention relates to a method and a for carrying out the Method adapted device for single-channel bus coupling safety-relevant processes.

Unter einem sicherheitsrelevanten Prozess wird nachfolgend ein Prozess verstanden, von dem bei Auftreten eines Fehlers eine nicht zu vernachlässigende Gefahr für Menschen und/oder auch materielle Güter ausgeht. Bei einem sicherheitsrelevanten Prozess muss daher mit im Idealfall 100-prozentiger Sicherheit gewährleistet sein, dass bei Vorliegen eines Fehlers dieser Prozess, ein mit diesem Prozess gekoppelter Folgeprozess und/oder ein diesen Prozess umfassendes Gesamtsystem in einen sicheren Zustand überführt wird. Derartige sicherheitsrelevante Prozesse können somit auch Teilprozesse von größeren, übergeordneten Gesamtprozessen sein. Beispiele für sicherheitsrelevante Prozesse sind chemische Verfahren, bei denen kritische Parameter unbedingt in einem vorgegebenen Bereich gehalten werden müssen, komplexe Maschinensteuerungen, wie etwa bei einer hydraulischen Presse oder einer Fertigungsstraße, bei welchen beispielsweise das Inbetriebnehmen eines Press/Schneidwerkzeuges einen sicherheitsrelevanten Teilprozess darstellen kann. Weitere Beispiele für sicherheitsrelevante (Teil-) Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zweihandschaltern oder auch die Reaktion auf Notausschalter.Under A safety-relevant process is subsequently a process understood, of which in the occurrence of a mistake a non-negligible danger for People and / or material goods. In a security-relevant process must therefore be guaranteed with 100 percent security in the ideal case be that in the presence of a mistake this process, one with this Process-coupled follow-up process and / or a process comprising this process Whole system is transferred to a safe state. Such security relevant Processes can thus also sub-processes of larger, higher-level Be whole processes. Examples of security-relevant processes are chemical processes where critical parameters are unconditional must be kept in a predetermined range, complex machine controls, such as a hydraulic press or a production line which, for example, the commissioning of a press / cutting tool can represent a safety-relevant sub-process. Further examples for Safety-relevant (partial) processes are the monitoring of protective gratings, protective doors or Photoelectric sensors, the control of two-hand switches or the Reaction to emergency stop switch.

Für alle sicherheitsrelevanten Prozesse ist es somit unbedingt erforderlich, dass die jeweils zugehörigen, erzeugten oder erfassten bzw. gemessenen, sicherheitsrelevanten Daten ohne irgendeine Verfälschung zeitnah transportiert werden, da jede Verfälschung eine fehlerhafte Funktion und/oder Reaktion zur Folge haben kann, die in letzter Konsequenz das Leben und die Gesundheit von Personen gefährden kann.For all security relevant Processes, it is thus absolutely necessary that the respectively associated, generated or recorded or measured, safety-relevant data without some adulteration be transported in a timely manner, since any adulteration is a faulty function and / or reaction can result in the last consequence can endanger the life and health of people.

Um den Sicherheitsanforderungen gerecht zu werden, hat es in den letzten Jahren zahlreiche Vereinbarungen gegeben, die einen nahezu fehlerfreien Datentransport beim Einsatz von Bussystemen fordern. Diese betreffen insbesondere den Datentransport selbst sowie eine zulässige Restfehlerwahrscheinlichkeit in Abhängigkeit der jeweiligen Anwendung bzw. des jeweiligen Prozesses. Als einschlägige Standards sind hierbei insbesondere die EN 61508 und die EN 954-1 zu nennen sowie die Grundsätze für die Prüfung und Zertifizierung von "Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten" der Prüf- und Zertifizierungsstelle der gewerblichen Berufsgenossenschaften.Around has to meet the safety requirements, it has in recent years Numerous agreements have been made that are nearly error-free Demand data transport when using bus systems. These concern in particular the data transport itself as well as a permissible residual error probability dependent on the respective application or process. As relevant standards Here, in particular, EN 61508 and EN 954-1 should be mentioned as well as the principles for the exam and certification of "bus systems for the transmission safety-relevant messages "of the testing and certification body the professional trade associations.

Entsprechend dieser Vereinbarungen und Normen sind sicherheitsgerichtete Bussysteme entwickelt worden, die Daten mit hoher Redundanz übertragen. Mögliche Fehler werden rechtzeitig entdeckt und eine Gefährdung kann abgewendet werden. Beispiele hierfür sind unter anderem der Safety Bus P, Profibus F, Interbus Safety, u.a.Corresponding These agreements and standards are safety-related bus systems have been developed which transmit data with high redundancy. Possible Errors are detected in good time and a threat can be averted. Examples of this include the Safety Bus P, Profibus F, Interbus Safety, et al

Nachteilig hierbei ist jedoch, dass für den Einsatz sicherheitsgerichteter Bussysteme bereits installierte Bussysteme ersetzt werden müssen und häufig Einschränkungen bei der Anzahl der Teilnehmer, bei der Datentransportrate oder beim Datenprotokoll in Kauf genommen werden müssen.adversely However, here is that for already installed the use of safety-related bus systems Bus systems must be replaced and often Restrictions on the number of participants, the data transport rate or the Data log must be accepted.

Als Folge sind sicherheitsgerichtete Verfahren und/oder Komponenten entwickelt worden, die eine einfachere und kostengünstigere Nachrüstung bereits existierender Bussysteme ermöglichen. Insbesondere bei der Steuerungs- und Automatisierungstechnik verwendete elektronische Sicherungsverfahren nutzen hierbei zur Übertragung sicherheitsrelevanter Daten, insbesondere zwischen Sensoren, Aktoren und/oder Steuerungseinrichtungen, die zwischen den einzelnen an einem Prozess beteiligten Einheiten bereits eingesetzten (Feld-) Bussysteme zur Datenkommunikation.When The result is safety-related procedures and / or components been developed, which is a simpler and more cost-effective Retrofit already enable existing bus systems. Especially in the control and Automation technology used electronic security methods use for transmission safety-relevant data, in particular between sensors, actuators and / or control devices operating between the individual units involved in a process already in use (field) Bus systems for data communication.

Die EP 1 188 096 B1 offenbart beispielsweise ein Steuerungssystem für einen sicherheitsrelevanten Prozesse mit einem Feldbus, über den eine Steuereinheit zum Steuern des sicherheitsrelevanten Prozesses und eine Signaleinheit, die über E/A-Kanäle mit dem sicherheitsrelevanten Prozess verknüpft ist, verbunden sind. Um eine fehlersichere Kommunikation miteinander zu gewährleisten weisen diese Einheiten sicherheitsbezogene Einrichtungen auf, durch welche an sich nicht sichere Einheiten zu sicheren Einheiten werden sollen. Im Einzelnen sind jeweils zumindest zwei redundante Verarbeitungskanäle derart vorgesehen, dass ein Fehler in einem der Verarbeitungskanäle anhand eines Ergebnisses, welches von demjenigen eines anderen der redundanten Verarbeitungskanals abweicht, erkannt und gegebenenfalls korrigiert werden kann. Diese mehrkanalige Struktur wird insbesondere durch zwei redundante Rechner realisiert, wobei die Sicherheitsbetrachtung nach den beiden redundanten Rechnern endet und die Betrachtung für ein sicheres Datenprotokoll ab dieser Stelle ohne weitere Ausführungen zum Tragen kommt.The EP 1 188 096 B1 discloses, for example, a control system for a safety-related processes with a fieldbus, via which a control unit for controlling the safety-relevant process and a signal unit, which is linked via I / O channels to the safety-relevant process, are connected. In order to ensure a fail-safe communication with each other, these units have safety-related facilities, by means of which non-secure units are supposed to become secure units. In detail, at least two redundant processing channels are provided in each case such that an error in one of the processing channels can be detected and possibly corrected on the basis of a result which differs from that of another of the redundant processing channels. This multichannel structure is realized, in particular, by two redundant computers, with the security consideration ending after the two redundant computers, and the consideration for a secure data protocol starting from this point comes to bear without further explanations.

Unter dem allgemeinen Begriff Rechner sind nachfolgend, sofern eine weitergehende Spezifizierung nicht erfolgt, im Wesentlichen jede Art von Datenverarbeitungseinrichtungen wie Mikro-Computer, Mikro-Prozessoren, Mikro-Controller oder auch PC's, zu verstehen.Under the general term calculator are below, if a more extensive Specification does not take place, essentially any type of data processing equipment like micro-computers, micro-processors, micro-controllers or even PC's, understand.

Auch die WO 01/15385 A2 betrifft die Steuerung sicherheitsrelevanter Prozesse unter Verwendung von (Feld-) Bussystemen, wobei die an der Steuerung des sicherheitsrelevanten Prozesses beteiligten Einheiten wiederum in der Regel redundant aufgebaute Verarbeitungskanäle aufweisen. Jeder der redundanten Kanäle umfasst einen Rechner, die sich gegenseitig kontrollieren. Diese mehrkanalige Struktur wird über einen weiteren mit dem Feldbus verbunden Rechner in eine einkanalige Struktur überführt (3). Weitergehende Ausführungen einschließlich des Übergangs von der Mehrkanaligkeit zur Einkanaligkeit sind der Schrift nicht zu entnehmen.WO 01/15385 A2 also relates to the control of safety-relevant processes using tion of (field) bus systems, wherein the units involved in the control of the safety-relevant process in turn generally have redundantly structured processing channels. Each of the redundant channels includes a computer that control each other. This multichannel structure is transferred via a further computer connected to the fieldbus into a single-channel structure ( 3 ). Further details, including the transition from multi-channeling to single-channeling, can not be found in the document.

Der WO 01/15391 A1 und der Offenlegungsschrift DE 199 39 567 A1 sind weitere Beispiele sicherer Busteilnehmer mit sich gegenseitig hinsichtlich einer sicheren Protokollerstellung kontrollierenden, redundant ausgeführten Verarbeitungskanälen und/oder Rechner und anschließendem Übergang von der Zweikanaligkeit zur Einkanaligkeit über einen weiteren an den Bus gekoppelten Rechner, der an einen Protokoll-Chip angeschlossen ist oder diesen integriert hat, zu entnehmen. Auch hier endet die Sicherheitsbetrachtung ohne die Offenbarung weiterer technischer Maßnahmen nach den beiden redundanten Rechner und die Betrachtung für ein sicheres Datenprotokoll kommt ab dieser Stelle zum Tragen.WO 01/15391 A1 and the published patent application DE 199 39 567 A1 are other examples of secure bus subscribers with each other with respect to a secure log creation controlling, redundant running processing channels and / or computer and subsequent transition from two-channel to single-channel via another coupled to the bus computer, which is connected to a protocol chip or has integrated , refer to. Again, the safety consideration ends without the disclosure of further technical measures after the two redundant computer and the consideration for a secure data protocol comes from this point to bear.

Die eine Einrichtung zur einkanaligen. Übertragung von mittels zwei redundanten Rechnern gebildeten Daten betreffende Patentschrift DE 195 32 639 C2 integriert, um den Schaltungsaufwand zu verringern, die Funktion der Busankopplung in einen der beiden redundant ausgeführten Rechner. Lediglich der die Busankopplungsfunktionalität aufweisende Rechner weist somit einen Ausgabekanal auf, welchem von diesem Rechner stammende Nutzdaten und vom anderen Rechner stammende Prüfdaten zugeführt werden oder umgekehrt oder Nutz- und Prüfdaten beider Rechner ineinander verschachtelt zugeführt werden (4). Um jedoch zu gewährleisten, dass der Rechner, der den Bus bedient, nicht in der Lage ist, Telegramme zu erzeugen, die der andere Rechner nicht beeinflussen kann, ist bei der Umsetzung ein erhöhter Aufwand bei der Sicherheitsbetrachtung erforderlich, da zum einen die Rückwirkungsfreiheit und zum anderen die Unabhängigkeit der Rechner zur Erstellung des sicheren Protokolls nachgewiesen werden muss. Die Patentschrift schlägt hierzu lediglich eine entsprechende Beschaltung bzw. Nichtbeschaltung der jeweiligen Rechnerausgänge vor.The one device for single-channel. Transmission of data formed by two redundant computers data related patent DE 195 32 639 C2 integrated, in order to reduce the circuit complexity, the function of the bus coupling in one of the two redundantly running computer. Only the computer having the bus coupling functionality thus has an output channel to which user data originating from this computer and test data originating from the other computer are supplied or vice versa or useful and test data of both computers are interleaved with one another ( 4 ). However, to ensure that the computer that operates the bus is not able to generate telegrams that can not influence the other computer, in the implementation of an increased effort in the security consideration is required because on the one hand, the non-reaction and on the other hand, the independence of the computers for the creation of the secure protocol must be proven. The patent proposes this only a corresponding wiring or Nichtbeschaltung the respective computer outputs.

Ferner beschreibt die DE 100 65 907 A1 ein auf dem Prinzip einer "Redundanz mit Kreuzvergleich" beruhendes Verfahren zum gesicherten Datentransport für die Datenübertragung an parallelen oder seriellen Netzwerken oder Bussystemen, wobei ein Zwischenregister mit zwei logisch identischen Datenbereichen für den Übergang von der Zweikanaligkeit zur Einkanaligkeit verwendet wird. Die vollständige, einkanalig über das Bussystem zu übertragende, sicherheitsgerichtete Nachricht umfasst die Dateninhalte beider Datenbereiche des Zwischenregisters. Dem Zwischenregister auf Senderseite vorgeschaltet sind wiederum zwei redundant arbeitende Rechner, die je nach Art der Applikation einkanalig oder zweikanalig zur Verfügung gestellte sicherheitsrelevante Daten jeweils mit redundanter Information zu sicheren Daten aufbereiteten und diese gegenseitig zur Überprüfung austauschen. Sofern beide zum gleichen Ergebnis gelangt sind, übergibt jeder der Rechner seine sicheren Daten dem Zwischenregister, wobei jeder Datenbereich mit den sicheren Daten jeweils eines Rechners belegt wird, die ihrerseits bereits redundante Information zur Fehlererkennung enthalten. Ist in einer alternativen Ausführungsform das Zwischenregister in einem der beiden Rechner enthalten, so dass dieser eine Rechner folglich beide Datenbereiche des Zwischenregisters nach Abstimmung mit dem zweiten Rechner entsprechend belegt, liest dieser zweite Rechner zur Kontrolle das Zwischenregister mit den beiden Datenbereichen nochmals aus. Je nach Applikation kann der Dateninhalt eines der beiden Datenbereiche des Zwischenregisters auch invertierte Daten oder andere zusätzliche Verschachtelungen aufweisen, um beispielsweise systematische Fehler in den Sendern, Empfängern und/oder anderen die Daten weiterleitenden Einheiten zu erkennen. Nachteilig hierbei ist somit insbesondere, dass die Gesamtdatenlänge der sicherheitsgerichteten Nachricht in Bezug auf die tatsächlichen Nutzdaten überaus groß ist und die Datenübertragungsrate in Bezug auf die tatsächlichen Nutzdaten somit klein ist, da für jeden zu übertragenden Nutzdatensatz zwei identische Nutzdatensätze sowie eine jeweilige redundante Information zu jedem der identischen Nutzdatensätze zu übertragen ist. Bei abnehmender Anzahl von zu übertragenden Nutzdaten je Datenpaket, wie dieses beispielsweise beim Interbus gegeben ist, verschlechtert sich das Verhältnis von, Nutzdatenlänge zur Gesamtdatenlänge zunehmend.Furthermore, the describes DE 100 65 907 A1 a method based on the principle of "cross-redundancy redundancy" secured data transport for data transmission on parallel or serial networks or bus systems, wherein an intermediate register is used with two logically identical data areas for the transition from two-channel to single-channel. The complete, single-channel transmission over the bus system, safety-oriented message includes the data content of both data areas of the intermediate register. Upstream of the intermediate register on the transmitter side are in turn two redundantly operating computers which, depending on the nature of the application, provide single-channel or dual-channel security-relevant data each with redundant information about secure data and exchange these mutually for verification. If both have reached the same result, each of the computers transfers its secure data to the intermediate register, wherein each data area is assigned to the secure data of a respective computer, which in turn already contains redundant information for error detection. If, in an alternative embodiment, the intermediate register is contained in one of the two computers, so that this one computer accordingly occupies both data areas of the intermediate register in coordination with the second computer, this second computer again reads the intermediate register with the two data areas for checking purposes. Depending on the application, the data content of one of the two data areas of the intermediate register may also have inverted data or other additional interleaves, for example to detect systematic errors in the transmitters, receivers and / or other units forwarding the data. The disadvantage here is thus in particular that the total data length of the safety-related message in relation to the actual payload is very large and the data transmission rate with respect to the actual payload is thus small, since for each payload record to be transmitted two identical payload records and a respective redundant information to each the identical payload records is to be transmitted. As the number of user data per data packet to be transmitted decreases, as is the case, for example, with the Interbus, the ratio of the user data length to the total data length increasingly deteriorates.

Die am 17. August 2004 vom selben Anmelder der vorliegenden Erfindung eingereichte deutsche Patentanmeldung 10 2004 039 932.8, zu welcher die vorliegende Erfindung eine Weiterentwicklung darstellt, hatte sich als eine Aufgabe gestellt, für die sichere Busankopplung von sicherheitsrelevanten Prozessen einen weiteren, neuen und verbesserten Weg für den Übergang von der Mehrkanaligkeit zur Einkanaligkeit bereit zu stellen und auf eine einfach zu realisierende Weise, insbesondere auch einfach zu testende Weise, eine Rückwirkungsfreiheit und Unabhängigkeit bei der Erstellung eines sicherheitsgerichteten Protokolls, welches als Sicherheitstelegramm über einen Bus übertragen werden soll, sicher zu stellen.The on August 17, 2004, by the same assignee of the present invention filed German patent application 10 2004 039 932.8, to which the present invention represents a further development had presented as a task for the secure bus connection of security-related processes another, new and improved Way for the transition from multi-channeling to single-channeling and to provide in an easy to implement way, especially easy to be tested, a reaction free and independence when creating a safety-related protocol, which as safety telegram over transfer a bus is to be sure.

Hierzu wurde vorgeschlagen, ein Verfahren zur einkanaligen Busankopplung eines sicherheitskritischen Prozesses vorzusehen, bei welchem ein für den sicherheitskritischen Prozess relevanter Datensatz über zumindest zwei redundante Verarbeitungskanäle, insbesondere protokollspezifisch, nach identischen Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll verarbeitet wird und die redundanten sicherheitsgerichteten Protokolle zur einkanaligen Busankopplung wieder zu einem gemeinsamen sicherheitsgerichteten Protokoll zusammengesetzt werden, und zwar indem von jedem der Verarbeitungskanäle auf ein gemeinsames Zwischenregister zugegriffen wird, wobei für jede Registerstelle eine Schreibberechtigung nur einmal vergeben wird, derart dass das gemeinsame sicherheitsgerichtete Protokoll, also das zu übertragende Sicherheitstelegramm, anteilig durch Einschreiben jeweils unterschiedlicher Anteile der jeweiligen sicherheitsgerichteten Protokolle zusammengesetzt wird.For this It was proposed a method for single-channel bus coupling to provide a safety-critical process, in which one for the safety-critical Process relevant record over at least two redundant processing channels, in particular protocol-specific, according to identical laws is processed to a safety-related protocol and the redundant safety-related protocols for single-channel Bus coupling back to a common safety-related Protocol by putting from each of the processing channels to one common temporary register is accessed, wherein for each register location a write permission is given only once, so that the common safety-related protocol, that is to be transmitted Safety telegram, proportionate by registered letter in each case different Shares of the respective safety-related protocols composed becomes.

Ein wesentlicher Vorteil war hierbei folglich, dass zum einen beide Verarbeitungskanäle in der Lage sind, das komplette sicherheitsgerichtete Protokoll zu berechnen, so dass dieses sich positiv auf die benötigte Telegrammlänge auswirkt, da alle Datenbits mit den unterschiedlichen Sicherungsmechanismen bereits in den redundanten Verarbeitungskanälen vorbekannt sind und keine zusätzlichen Datenbits übertragen werden müssen, die auf der Empfängerseite den Rückschluss auf die einwandfreie Berechnung zulassen. Darüber hinaus ist gewährleistet, dass ein Verarbeitungskanal alleine nicht in der Lage ist, ein Sicherheitstelegramm zu senden, wobei die Steuerung über die jeweils nur einmal vergebbare Schreibberechtigung von Daten in einer Registerstelle eine einfach zu implementierende und hoch effiziente Möglichkeit darstellt, um unabhängig vom verwendeten Bus(system) eine kostengünstige wesentlich erhöhte Sicherheit zu gewährleisten.One The main advantage here was that on the one hand both processing channels are able to complete the safety-related protocol so that this has a positive effect on the required telegram length, since all data bits with the different security mechanisms already known in the redundant processing channels and none additional Transfer data bits Need to become, the on the receiver side the inference allow for proper calculation. In addition, it is guaranteed that a processing channel alone is not capable of a safety telegram to send, with the control over the only one ever assignable write authorization of data in a registrar one easy to implement and high efficient way Represents to be independent From the bus (system) used a cost significantly increased security to ensure.

Die Realisierung einer intelligenten Einheit zum Durchführen des erfindungsgemäßen Verfahrens ist somit bereits durch Verwendung einer wenigstens zwei redundante Rechner umfassenden Vorrichtung gewährleistbar, bei welcher die Rechner zum Verarbeiten eines identischen Eingangsdatensatzes unter Anwendung identischer Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll ausgebildet sind und die über eine Schaltungsanordnung mit einem gemeinsamen Zwischenregister derart verbunden sind, dass für jede Registerstelle des Zwischenregisters ein Schreibzugriff nur für jeweils einen der Rechner gegeben ist.The Realization of an intelligent unit for performing the inventive method is thus already by using at least two redundant Calculator comprehensive device guaranteed, in which the Computer for processing an identical input data set under Application of identical laws are each designed for a safety-related protocol and the over a circuit arrangement with a common intermediate register such are connected that for each register of the intermediate register is write-only for each one of the computers is given.

Die Erfindung gemäß der deutschen Patentanmeldung 10 2004 039 932.8 ermöglicht somit bereits durch Verwendung von Standardkomponenten und unabhängig vom jeweiligen Bussystem eine einfach zu implementierende, hoch dynamische und hoch effiziente Lösung zur rückwirkungsfreien und unabhängigen Bildung eines jeweiligen sicherheitsgerichteten Protokolls, wobei die spezifischen Verarbeitungsregeln zur Bildung des Sicherheitstelegramms hierbei zweckmäßigerweise geeignet sind, den jeweiligen Sicherheitsanforderungen zu genügen, insbesondere den Sicherheitsanforderungen für eine einfache Übertragung gemäß SIL 3 IEC 61508.The Invention according to the German Patent application 10 2004 039 932.8 thus already allows by Use of standard components and independent of the respective bus system an easy to implement, highly dynamic and highly efficient solution for non-reactive and independent Formation of a respective safety-related protocol, wherein the specific processing rules for the formation of the safety telegram this expediently are suitable to meet the respective safety requirements, in particular the security requirements for a easy transmission according to SIL 3 IEC 61508.

Ferner sah die Erfindung gemäß der deutschen Patentanmeldung 10 2004 039 932.8 bereits vor, die Schaltungsanordnung in zweckmäßiger Weise derart auszubilden, dass jeder der Rechner auf jede Registerstelle des Zwischenregisters lesend zugreifen kann, so dass gemäß bevorzugter Ausbildung vor einer Übergabe des gemeinsamen sicherheitsgerichteten Protokolls aus dem Zwischenregister zur Übertragung von jedem der redundanten Verarbeitungskanäle auf jede Registerstelle lesend zurückgegriffen wird, um eine Verifikation des gemeinsam gebildeten sicherheitsgerichteten Protokolls durchführen. Durch den hierdurch möglichen zusätzlichen Vergleich des gemeinsam gebildeten sicherheitsgerichteten Protokolls mit dem jeweils separat bzw. individuell über die Verarbeitungskanäle gebildeten sicherheitsgerichteten Protokoll konnte die erreichte Sicherheit nochmalig wesentlich erhöht werden, da beim Ausfall oder Fehler eines Rechners folglich kein vollständiges Sicherheitstelegramm erzeugt werden kann, so dass zwangsläufig auf Fehler erkannt wird und eine sicherheitsgerichtete Funktion auslösbar ist.Further saw the invention according to the German Patent Application 10 2004 039 932.8 before, the circuit arrangement in an appropriate manner such that each of the computers on each register location of the intermediate register can read, so that according to preferred Training before a handover of the common safety-related protocol from the intermediate register for transmission from each of the redundant processing channels to each register location recourse to reading is a verification of the jointly formed safety-related Protocol. Through this possible additional Comparison of the jointly formed safety-related protocol with each formed separately or individually via the processing channels Safety-related protocol was able to achieve the safety significantly increased again be, because in case of failure or error of a computer consequently no complete Safety telegram can be generated, so that inevitably Error is detected and a safety-related function can be triggered.

Es hat sich jedoch gezeigt, dass das gemeinsam gebildete sicherheitsgerichtete Protokoll im Fehlerfall gegebenenfalls bereits aus dem Zwischenregister zur Weiterbearbeitung übergeben wird, obwohl die Verifikation des rückgelesenen Protokolls noch nicht abgeschlossen ist.It However, it has been shown that the jointly formed safety-oriented Protocol in case of error possibly already from the intermediate register for further processing although the verification of the returned protocol is not yet is completed.

Eine Aufgabe der vorliegenden Erfindung ist es nunmehr, den Gegenstand der deutschen Patentanmeldung 10 2004 039 932.8 derart weiterzuentwickeln, dass bei Rücklesen zur Verifikation des in das Zwischenregister gemeinsamen eingeschriebenen sicherheitsgerichteten Protokolls die Übergabe dieses gemeinsamen sicherheitsgerichteten Protokolls aus dem Zwischenregister ausgeschlossen ist, solange die Verifikation nicht vollständig abgeschlossen ist.A Object of the present invention is now, the subject German Patent Application 10 2004 039 932.8 to develop such that when reading back for verification of the safety-related ones registered in the intermediate register Protocol the handover this common safety-related protocol from the intermediate register is excluded as long as the verification is not completed.

Die erfindungsgemäße Lösung ist auf höchst überraschende Weise bereits durch einen Gegenstand mit den Merkmalen eines der anhängigen unabhängigen Ansprüche gegeben.The inventive solution most surprising Already by an object with the characteristics of one of pending independent claims given.

Vorteilhafte und/oder bevorzugte Ausführungsformen und Weiterbildungen sind Gegenstand der jeweiligen abhängigen Ansprüche.advantageous and / or preferred embodiments and further developments are the subject of the respective dependent claims.

Erfindungsgemäß ist somit vorgesehen, dass bei Rücklesen des in das Zwischenregister gemeinsamen eingeschriebenen sicherheitsgerichteten Protokolls zu dessen Verifikation dieses gemeinsam gebildete, in das Zwischenregister eingeschriebene sichere bzw. sicherheitsgerichtete Protokoll erst in Reaktion auf eine Freigabe durch jeden der redundanten Verarbeitungskanäle zur Übergabe oder Übernahme aus dem Zwischenregister zur Weiterbearbeitung freigegeben wird.According to the invention is thus provided that when reading back of the written to the intermediate register safety-related protocol for its verification this jointly formed, in the intermediate register inscribed secure or safety-related protocol only in response to a release by each of the redundant processing channels for handover or takeover is released from the intermediate register for further processing.

Ist hierzu erfindungsgemäß die wenigstens zwei redundante Rechner umfassende Vorrichtung derart ausgebildet, dass bei einer Lese-Zugriffsmöglichkeit auf jede Registerstelle des Zwischenregisters für jeden der Rechner, die Rechner Mittel zum Verifizieren eines aus dem Zwischenregister rückgelesenen Inhalts und zum Freigeben des Inhalts des Zwischenregisters unter Ansprechen auf eine positive Verifikation umfassen, kann eine solche Freigabe auf einfache und kostengünstige Weise bereits durch Übertragen entsprechender Freigabesignale an das Zwischenregister bewirkt werden.is according to the invention, the at least two redundant computer comprehensive device designed such that with a read access option to each register location of the intermediate register for each of the computers, the computers Means for verifying a read from the intermediate register Contents and to release the contents of the clipboard below Such a response can include a positive verification Release in a simple and cost-effective way already by transfer corresponding release signals are effected to the intermediate register.

Um einen Zugriff auf den Zwischenregisterinhalt für dessen Übergabe oder Übernahme zur Weiterbearbeitung ausschließlich bei Vorliegen einer Freigabe durch jeden der redundanten Verarbeitungskanäle zu ermöglichen bzw. freizugeben, kann z.B. die Aktivierung eines eine Ausgabe des Inhalts freigebenden Signals oder Enable-Signals über eine UND-Verknüpfung der einzelnen Freigabesignale bewirkt werden.Around an access to the intermediate register contents for its transfer or acceptance for further processing exclusively when enabled by each of the redundant processing channels or release, e.g. the activation of an output of the Content enabling signal or enable signal via an AND operation of the individual release signals are effected.

In einer weiteren bevorzugten Ausführung ist ferner vorgesehen, dass jedes der redundanten sicheren Protokolle aus einer der Anzahl der redundanten Verarbeitungskanäle entsprechenden Anzahl von Protokollteilen aufgebaut wird, und die Schreibberechtigungen derart vergeben werden, dass zum Zusammensetzen des gemeinsamen sicheren Protokolls von jedem Verarbeitungskanal ein jeweils anderer Protokollteil in das Zwischenregister eingeschrieben wird.In a further preferred embodiment It is further contemplated that each of the redundant secure protocols from one of the number of redundant processing channels Number of protocol parts, and write permissions be assigned in such a way that to put together the common secure protocol from each processing channel one at a time Protocol part is written to the intermediate register.

Insbesondere bei Ausbildung und/oder Verwendung einer erfindungsgemäßen Vorrichtung, bei welcher jeder der wenigstens zwei redundanten Rechner zur paketbasierten Datenverarbeitung ausgebildet ist, ist in Weiterbildung des Verfahrens vorgeschlagen, dass jedes redundante sichere Protokoll aus einer Anzahl von Datenpaketen aufgebaut wird und die Schreibberechtigung für ein datenpaketweises Einschreiben vergeben wird.Especially during training and / or use of a device according to the invention, wherein each of the at least two redundant computers is packet-based Data processing is formed, is in development of the method suggested that any redundant secure protocol be from a Number of data packets is built and the write permission for a Data packet-wise registered mail is awarded.

Die Erfindung umfasst darüber hinaus Ausführungsformen, bei denen die wenigstens zwei redundanten Rechner mittels redundanter Hardware und/oder redundanter Software gebildet sind.The Invention encompasses this beyond embodiments, in which the at least two redundant computers by means of redundant Hardware and / or redundant software are formed.

Die erfindungsgemäße Vorrichtung und das erfindungsgemäße Verfahren sind somit anstelle zur einkanaligen Bussankopplung eines sicherheitskritischen Prozesses auch zur anderweitigen Ankopplung eines sicherheitskritischen Prozesses aus einer sicheren, wenigstens zwei redundante Verarbeitungskanäle aufweisenden Umgebung an eine nicht sichere Umgebung oder an eine sichere Umgebung, die jedoch weniger redundante Verarbeitungskanäle umfasst, verwendbar und eignen sich folglich für im Wesentlichen jegliche Verbindung zwischen sicheren Verarbeitungskanälen über nicht sichere Transportwege.The inventive device and the method according to the invention Thus, instead of one-channel bus coupling of a safety-critical Process also for otherwise coupling a safety-critical Process from a secure, having at least two redundant processing channels Environment to a non-secure environment or to a secure environment that but includes less redundant processing channels, usable and are therefore suitable for essentially any connection between secure processing channels via not safe transport routes.

Eine darüber hinausgehende, weitere Steigerung der Sicherheit ist wiederum dadurch gewährleistbar, wenn in besonders bevorzugter Ausführung vor dem Schreiben des gemeinsamen sicherheitsgerichteten Protokolls die redundant gebildeten sicherheitsgerichteten Protokolle durch die Verarbeitungskanäle zunächst auf gegenseitige Identität hin überprüft, so dass die Bildung eines gemeinsamen sicherheitsgerichteten Protokolls erst unter Ansprechen auf identische, unabhängig voneinander aus einem identischen Eingangsdatensatz verarbeitete sicherheitsgerichteten Protokolle erfolgt. Tritt bereits bei der redundanten Verarbeitung ein Fehler auf, wird dieser somit noch frühzeitiger erkannt und der Prozess kann noch frühzeitiger in einen sicheren Zustand gefahren werden. Die an und für sich gegenseitig entkoppelten Rechner sind somit wiederum bevorzugt über eine Kommunikationsschnittstelle mit einander verbunden.A about that In addition, further increase in security is in turn by it gewährleistbar, if in a particularly preferred embodiment before writing the common safety-related protocol the redundantly formed safety-related protocols through the processing channels initially mutual identity checked out so that the formation of a common safety-related protocol only in response to identical, independently from one another identical input data set processed safety-related Logs done. Occurs already in the redundant processing If there is an error, it will be detected even earlier and the process will be detected can be even earlier be driven to a safe state. The in and of themselves decoupled computers are thus again preferred via a communication interface connected with each other.

Die Erfindung umfasst ferner wiederum Ausführungsformen, bei denen eine jeweilige, definiert jeweils einem Verarbeitungskanal zugewiesene Schreibberechtung zur Verifikation mittels einer Testprozedur überprüft wird, wozu z.B. auch der vollumfängliche Lesezugriff für jede Registerstelle zweckmäßig ist. Beispielsweise kann hierbei über jeden der Verarbeitungskanäle versucht werden, einen jeweils unterschiedlichen, spezifisch zugeordneten Defaultwert in alle Registerstellen des Zwischenregisters einzuschreiben, wobei anschließend jeder der Verarbeitungskanäle alle Registerstellen des Zwischenregisters ausliest und die Inhalte der Registerstellen auf eine eindeutige Verschachtelung hin verifiziert und wobei eine solche Testprozedur zweckmäßiger Weise mehrmalig und/oder durch ein abwechselndes Einschreiben in die und Auslesen der Registerstellen über unterschiedliche Verarbeitungskanäle durchgeführt wird. Im Wesentlichen jede durch die Kopplung der an das Zwischenregister zu übergebenen anteiligen Daten an bestimmte Positionen oder Adressen innerhalb des gemeinsamen sicherheitsgerichteten Protokolls bzw. des Zwischenregisters eingestellte Sicherheitsübergabe-/-übernahmeregel lässt sich folglich wiederum einfach testen und jeder Fehler bei der Bildung eines zu übertragenen Sicherheitstelegramms, einschließlich aufgrund eines Rechnerausfalls, kann somit sicher erkannt werden. Insbesondere, um nach einer jeweils protokollspezifischen Verarbeitung der Eingangsdaten zu einem sicherheitsgerichteten Protokoll deren Speicherung und protokollspezifische Übergabe an den Bus zu gewährleisten, wobei das sicherheitsgerichteten Protokoll den auf der jeweiligen Anwendung basierten Vorgaben an einen sicheren Protokolldatensatz genügt, umfasst ein Rechner gemäß einer Ausführungsform jeweils einen integrierten Protokollchip. In alternativer Ausbildung kann der Protokollchip auch ausgangseitig an einen Rechner angeschaltet sein. Zur Vermeidung derartiger, integrierter oder nachgeschalteter, Protokollchips und folglich auch zur Bauteil- und Kostenreduzierung ist in weiterer, besonders zweckmäßiger Ausführung vorgeschlagen, den Rechner mit einer zur Verarbeitung und protokollspezifischen Übergabe der Daten entsprechend ausgebildeten Software bereitzustellen.The invention further comprises embodiments in which a respective, respectively assigned to a processing channel write permission for verification by means of a test procedure is checked, including, for example, the full read access for each register is appropriate. For example, each of the processing channels can be attempted to write a different, specifically assigned default value into all register locations of the intermediate register, wherein each of the processing channels then reads out all register locations of the intermediate register and verifies the contents of the register locations to a unique interleaving and wherein such a test procedure expediently repeatedly and / or by alternately writing to and reading out the register locations via different processing channels. Essentially, any safety transfer / acceptance rule set by the coupling of the proportionate data to be transferred to the intermediate register to specific positions or addresses within the common safety-related protocol or the intermediate register can again be easily tested and any error in the formation of a safety telegram to be transmitted gram, including due to a computer failure, can thus be reliably detected. In particular, in order to ensure, after a respectively protocol-specific processing of the input data for a safety-related protocol, its storage and protocol-specific transfer to the bus, wherein the safety-oriented protocol satisfies the specifications based on the respective application to a secure protocol data record, a computer according to one embodiment in each case comprises one integrated protocol chip. In an alternative embodiment, the protocol chip can also be connected on the output side to a computer. To avoid such, integrated or downstream, protocol chips and consequently also for component and cost reduction is proposed in a further, particularly expedient embodiment to provide the computer with a trained for processing and protocol-specific transfer of data appropriately designed software.

Die erfindungsgemäße Vorrichtung kann als Busteilnehmereinheit ausgebildet sein, wobei die Rechner hierzu zweckmäßiger Weise eingangsseitig wenigstens mit Eingangskanälen zur ein- oder mehrkanaligen Anbindung von Prozessdaten-Eingabeeinheiten und entsprechend zur ein- oder mehrkanaligen Erfassung von zu verarbeitenden sicherheitsrelevanten Eingangsdaten verschaltet sind oder als Bus-Steuerungseinheit, welche z.B. die zu verarbeitenden sicherheitsrelevanten Eingangsdaten generiert, ausgebildet ist. Die Rechner sind somit insbesondere als Mikro-Controller oder als zentrale Prozesseinheiten (CPUs) ausgebildet.The inventive device can be designed as a bus subscriber unit, wherein the computer this expedient manner on the input side at least with input channels for single or multi-channel Connection of process data input units and according to single or multi-channel Recording of safety-related input data to be processed are interconnected or as a bus control unit, which e.g. the generates safety-related input data to be processed, is trained. The computers are thus in particular as a micro-controller or formed as a central processing units (CPUs).

Die Schaltungsanordnung zur Anbindung der Rechner oder gegebenenfalls der den Rechnern nachgeschalteten Protokollchips kann als einfache Logikschaltung ausgebildet sein, wobei auch hochintegrierte Schaltkreise, z.B. in Form eines FPGA (Field Programmable Gate Array), verwendbar sind und applikationsspezifisch von zusätzlichem Vorteil sein können.The Circuit arrangement for connecting the computer or optionally the computer downstream protocol chips can be used as a simple logic circuit be formed, whereby also highly integrated circuits, e.g. in the form of an FPGA (Field Programmable Gate Array), are usable and application specific of additional Can be an advantage.

Das Zwischenregister weist eine Schnittstelle auf, über welche das dort hinterlegte gemeinsame sicherheitsgerichteten Protokoll einkanalig direkt in einen Bus, z.B. einen Interbus, einkoppelbar ist oder einkanalig an eine anwendungsspezifisch ausgebildete weitere Einrichtung übergeben werden kann, wobei als weitere Einrichtung applikationsspezifisch insbesondere ein weiterer Protokollchip, ein weiterer Mikro-Controller oder eine sonstige intelligente Einheit verwendet sein kann.The Intermediate register has an interface over which the deposited there common safety-related protocol single-channel directly into one Bus, e.g. an Interbus, can be coupled or one-channel to one pass application-trained further device can be, as a further device application specific in particular another protocol chip, another micro-controller or a other intelligent unit can be used.

Als Zwischenregister ist somit bereits ein Standard-RAM ausreichend. In bevorzugter Weiterbildung ist jedoch insbesondere vorgesehen, das Zwischenregister bzw. den Zwischenspeicher in Form eines Dualportmemory (DPM) auszubilden, so dass auf einfachste und kostengünstige Weise über einen der beiden Schnittstellen-Ports die Rechner anschaltbar sind und über den zweiten Schnittstellen-Port die einkanalige weitere Ankopplung erfolgen kann.When Intermediate register is thus already sufficient standard RAM. In a preferred embodiment, however, is provided in particular the intermediate register or the buffer in the form of a dual port memory (DPM), so that in a simple and cost-effective manner via a the two interface ports the computers are connectable and over the second interface port, the one-channel further coupling can take place.

Weitere Merkmale und Vorteile der Erfindung werden aus der nachfolgenden, detaillierten Beschreibung einer bevorzugten, jedoch lediglich beispielhaften Ausführungsform der Erfindung unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich.Further Features and advantages of the invention will become apparent from the following, detailed description of a preferred but merely exemplary embodiment of the invention with reference to the accompanying drawings.

In den Zeichnungen zeigen:In show the drawings:

1 eine schematische Prinzipskizze zur redundanten Bildung von sicherheitsgerichteten Protokollen für ein zu übertragendes Sicherheitstelegramm mittels redundanter Verarbeitungskanäle und anschließender gemeinsamer Bildung eines identischen sicherheitsgerichteten Protokolls unter Steuerung einer Übergabe-/Übernahmeregel betreffend die aus den sicherheitsgerichteten Protokollen jeweils zu übergebenden/übernehmenden Anteile gemäß der deutschen Patentanmeldung 10 2004 039 932.8; 1 a schematic diagram for the redundant formation of safety-related protocols for a safety telegram to be transmitted by redundant processing channels and subsequent common formation of an identical safety-oriented protocol under control of a transfer / takeover rule concerning the safety-related protocols each to be transferred / receiving shares according to the German patent application 10 2004 039 932.8;

2 ein mögliches Funktionsschaltbild einer Umsetzung der Erfindung, basierend auf zwei jeweils das vollständige, sicherheitsgerichtete Protokoll redundant berechnenden Mikro-Controllern gemäß der deutschen Patentanmeldung 10 2004 039 932.8, 2 a possible functional block diagram of an implementation of the invention, based on two micro-controllers redundantly calculating in each case the complete, safety-related protocol according to the German patent application 10 2004 039 932.8,

3 u. 4 weitere bekannte Realisierungen für den Übergang von der Zweikanaligkeit zur Einkanaligkeit, und 3 u. 4 other known realizations for the transition from two-channel to single-channel, and

5 eine Prinzipskizze einer auf den 1 und 2 aufbauenden bevorzugten Ausführungsform der vorliegenden Erfindung betreffend das Ankoppeln aus einer sicheren, mehrere redundante Verarbeitungskanäle aufweisenden Umgebung eines sicherheitsgerichteten Protokolls, das aus einer der Anzahl der Verarbeitungskanäle entsprechenden Anzahl von Datenpaketen aufgebaut ist, in einen als Zwischenregister verwendeten Datenbereich, der in einer nicht sicheren Umgebung angeordnet ist oder in einer sicheren Umgebung, die jedoch weniger Verarbeitungskanäle umfasst. 5 a schematic diagram of one on the 1 and 2 *** "" In the preferred embodiment of the present invention relating to coupling from a secure multi-redundant processing channel environment of a safety-related protocol constructed of a number of data packets corresponding to the number of processing channels to a data area used as an intermediate register located in a non-secure environment or in a secure environment, but with fewer processing channels.

Bei 1 dargestellt sind zwei redundante Verarbeitungskanäle 1 und 2 einer nicht näher dargestellten Busteilnehmereinheit oder Bus-Steuerungseinheit zur Ankopplung eines sicherheitskritischen Prozesses an einen Bus 40, z.B. einen Interbus. Im Fall einer Busteilnehmereinheit ist jeder der Verarbeitungskanäle mit, dem sicherheitskritischen Prozess zugeordneten, gleichermaßen nicht dargestellten Ein-/Ausgabeeinheiten, wie z.B. Sensoren und/oder Aktoren, verbunden.at 1 shown are two redundant processing channels 1 and 2 a bus subscriber unit, not shown, or bus control unit for coupling a safety-critical process to a bus 40 , eg an Interbus. In the case of a bus subscriber unit, each of the processing channels is associated with the safety-critical process associated, likewise not shown input / output units, such as sensors and / or Actuators connected.

Einer Busteilnehmereinheit mit sensor-seitiger Applikation werden somit je nach Art der spezifischen Anbindung einkanalig oder zweikanalig den Verarbeitungskanälen 1 und 2 identische, für den sicherheitskritischen Prozess relevante Eingangsdaten zur Verfügung gestellt und zweckmäßigerweise zunächst in Speicher 12 bzw. 22 zur weiteren Verarbeitung abgelegt. Insbesondere im Fall einer Bus-Steuerungseinheit befinden sich zu sicheren Daten vor einer Busübertragung aufzubereitende sicherheitsrelevante Eingangsdaten in Speichern 12 bzw. 22.A bus subscriber unit with sensor-side application thus become one-channel or two-channel processing channels, depending on the type of specific connection 1 and 2 identical, relevant for the safety-critical process input data provided and expediently initially in memory 12 respectively. 22 filed for further processing. Particularly in the case of a bus control unit, safety-related input data to be reprocessed for safe data in front of a bus transmission are stored in memories 12 respectively. 22 ,

Die Eingangsdaten werden zunächst vor der Übertragung eines Sicherheitstelegramms über den Bus 40 redundant unter Anwendung gleicher Gesetzmäßigkeiten zu jeweils einem sicherheitsgerichteten Protokoll 14 und 24 verarbeitet. Die Verarbeitungskanäle umfassen hierzu jeweils einen Mikro-Controller 11 bzw. 21 zur jeweiligen Aufbereitung/Verarbeitung der in dem Speicher 12 oder 22 befindlichen sicherheitsrelevanten Eingangsdaten zu einem sicherheitsgerichteten Protokoll 14 bzw. 24 sowie bei der Ausführung gemäß 1 jeweils einen dem Mikro-Controller 11 oder 21 nachgeschalteten Protokollchip 13 bzw. 23, der das von dem jeweiligen Mikro-Controller 11 oder 21 berechnete, sicherheitsgerichteten Protokoll 14 bzw. 24 zur weiteren Übergabe an den Bus 40 erhält. In alternativer Ausführung zu den dargestellten Protokollchips 13 bzw. 23 können die Mikro-Controller 11 und 21 auch eine entsprechend ausgebildete Software umfassen, so dass die weitere, nachfolgend beschriebene Übergabe der berechneten Protokolle 14 und 24 an den Bus 40 durch die Mikro-Controller 11 und 21 erfolgt.The input data is first sent before the transmission of a safety telegram via the bus 40 redundant using the same laws for each safety-related protocol 14 and 24 processed. The processing channels each include a microcontroller for this purpose 11 respectively. 21 for the respective treatment / processing in the store 12 or 22 safety-relevant input data for a safety-related protocol 14 respectively. 24 as well as in the execution according to 1 one each to the micro-controller 11 or 21 downstream protocol chip 13 respectively. 23 that of the respective micro-controller 11 or 21 calculated, safety-related protocol 14 respectively. 24 for further transfer to the bus 40 receives. In an alternative embodiment to the illustrated protocol chips 13 respectively. 23 can the micro-controller 11 and 21 also include a suitably trained software, so that the further, described below transfer of the calculated protocols 14 and 24 to the bus 40 through the micro-controller 11 and 21 he follows.

Die berechneten, sicheren bzw. sicherheitsgerichteten Protokolle 14 und 24 sind folglich, sofern bei der Berechnung kein Fehler oder Ausfall aufgetreten ist, identisch. Es sei darauf hingewiesen, dass die sicheren Protokolle hierbei selbstverständlich so aufgebaut sind, dass diese den Anforderungen der Norm an eine sicherheitsgerichtete Übertragung genügen.The calculated, safe or safety-related protocols 14 and 24 are therefore identical unless an error or failure has occurred in the calculation. It should be noted that the secure protocols are of course designed in such a way that they meet the requirements of the standard for a safety-related transmission.

Zur weiteren Erhöhung der Sicherheit ist vor Übertragung eines sicheren Telegramms über den Bus 40 die gemeinsame Bildung eines weiteren identischen, gemeinsamen sicherheitsgerichteten Protokolls vorgesehen, der anschließend einkanalig an den Bus 40 zur Übertragung übergeben werden kann.To further increase the security is before transmission of a secure telegram on the bus 40 the joint formation of another identical, common safety-related protocol is provided, which then one-channel to the bus 40 can be transferred for transmission.

Dieses gemeinsame sicherheitsgerichtete Protokoll wird durch ein anteiliges Zusammensetzen von Daten des sicheren Protokolls 14 und von Daten des sicheren Protokolls 24 in einem Zwischenspeicher oder Zwischenregister 30 gebildet, auf den jeder der Verarbeitungskanäle 1 und 2 zugreifen kann.This common safety-related protocol is achieved by sharing data from the secure protocol 14 and data of the secure protocol 24 in a buffer or intermediate register 30 formed on the each of the processing channels 1 and 2 can access.

Um zu verhindern, dass dieses gemeinsam zu bildende sicherheitsgerichtete Protokoll lediglich auf Daten aus nur einem der Verarbeitungskanäle 1 oder 2 basiert, welches folglich dem Senden eines Sicherheitstelegramms nur durch einen der Mikro-Controller 11 oder 21 gleichkäme, z.B. aufgrund eines auftretenden Ausfalles eines der beiden Mikro-Controller, steuert eine definierte oder definierbare Zugriffsregel die Schreibrechte auf dem Zwischenspeicher 30. Die Zugriffsregel bestimmt hierzu, dass von jedem Verarbeitungskanal 1 und 2 aus nur die Teile des jeweils berechneten sicherheitsgerichteten Protokolls für das Bilden des gemeinsamen sicherheitsgerichteten Protokolls in die entsprechenden Speicherstellen des Zwischenspeichers 30 eingeschrieben werden kann, für die der jeweilige Mikro-Controller 11 oder 21 eine jeweilige Schreibberechtigung hat. Für jede Speicher- oder Registerstelle wird daher erfindungsgemäß nur jeweils eine Schreibberechtigung definiert.To prevent this shared safety-related protocol from only looking at data from just one of the processing channels 1 or 2 which therefore transmits a security telegram only by one of the micro-controllers 11 or 21 gleichkäme, eg due to an occurring failure of one of the two micro-controller controls a defined or definable access rule the write rights on the cache 30 , The access rule determines that of each processing channel 1 and 2 from only the parts of the respective calculated safety-related protocol for the formation of the common safety-related protocol in the corresponding memory locations of the buffer 30 can be enrolled for which the respective micro-controller 11 or 21 has a respective write permission. Therefore, according to the invention, only one write authorization is defined for each memory or register location.

Ausgehend von der Annahme, dass die sicheren Protokolle 14 und 24 identisch sind, umfasst also auch jedes der Protokolle die gleiche Anzahl von Bytes, bei 1 mit ByteX bis Byte X+5 gekennzeichnet. Im vorliegenden Beispiel gemäß 1 ist für den Mikro-Controller 21 des Verarbeitungskanals 2 die Schreibberechtigung für die Speicheradressen des Zwischenspeichers 30 für das Byte X, das Byte X+2 sowie für das Byte X+4 fest zugeordnet und für den Mikro-Controller 11 des Verarbeitungskanals 1 die Schreibberechtigung zum Eintragen des Bytes X+1, des Bytes X+3 und des Bytes X+5 zugeordnet. Folglich ist jedem der Mikro-Controller 11 und 21 nur eine Schreibberechtigung zum Eintragen jedes zweiten Bytes in den Zwischenspeicher 30 zugeordnet.Assuming that the secure protocols 14 and 24 Thus, each of the protocols also includes the same number of bytes 1 marked with ByteX to Byte X + 5. In the present example according to 1 is for the micro-controller 21 of the processing channel 2 the write permission for the memory addresses of the cache 30 for the byte X, the byte X + 2 as well as for the byte X + 4 permanently assigned and for the micro-controller 11 of the processing channel 1 the write permission is assigned for entering the byte X + 1, the byte X + 3 and the byte X + 5. Consequently, each of the micro-controllers 11 and 21 only one write permission to enter every second byte in the cache 30 assigned.

Ist beispielsweise X = 0 und bestehen die redundanten sicherheitsgerichteten Protokolle 14 und 24 sowie das gemeinsam zu bildende identische sicherheitsgerichteten Protokoll, also das nachfolgend zu sendende Sicherheitstelegramm aus insgesamt 6 Bytes, setzen sich die Daten innerhalb der redundanten sicheren Protokolle und also auch innerhalb des zu sendenden Sicherheitstelegramms beispielsweise aus einem Header von 2 Bit, anschließenden Nutzdaten von 14 Bit, einer Adresse von 8 Bit und einer CRC-Checksumme von 24 Bit zusammen. Mit der vorstehenden, definiert zugeordneten Schreib-Zugriffsberechtigung, werden der 2 Bit umfassende Header und die ersten 6 Bit der Nutzdaten unter Bezugnahme auf 1 folglich aus dem über den Verarbeitungskanal 2 berechneten, sicheren Protokoll 24, die nächsten 8 Bit Nutzdaten aus dem über den Verarbeitungskanal 1 berechneten Protokoll 14, die 8 Bit umfassende Adresse wiederum aus dem Protokolldatensatz 24, und die 24 Bit umfassende CRC-Checksumme anteilsmäßig nacheinander aus den berechneten Protokollen 14, 24 und 14 übernommen.If, for example, X = 0, the redundant safety-related protocols exist 14 and 24 as well as the identical safety-related protocol to be formed together, ie the security telegram to be sent out of a total of 6 bytes, the data within the redundant secure protocols and thus also within the safety telegram to be transmitted, for example, consist of a header of 2 bits, then user data of 14 bits , an address of 8 bits and a CRC checksum of 24 bits together. With the above defined write-assigned permission, the 2-bit header and the first 6-bit of the payload are referenced 1 consequently from the via the processing channel 2 calculated, secure protocol 24 , the next 8 bits of payload from the via the processing channel 1 calculated protocol 14 , the 8-bit address in turn from the log record 24 , and the 24-bit CRC checksum in a proportional succession the calculated logs 14 . 24 and 14 accepted.

Als Zwischenspeicher ist somit bereits ein Standard-RAM oder bevorzugt, wie nachfolgend ersichtlich, ein Standard-DPM einsetzbar.When Cache is thus already a standard RAM or preferred As can be seen below, a standard DPM can be used.

Selbst bei nur zweifacher Redundanz wird eine darüber hinausgehende noch erhöhte Sicherheit erreicht, wenn in weiterer in zweckmäßiger Weise die Mikro-Controller 11 und 21 beider Verarbeitungskanäle 1 und 2 den vollständigen Lesezugriff auf den Zwischenspeicher 30 zugeteilt bekommen.Even with only two redundancy, a still greater security is achieved, if further in a suitable manner, the micro-controller 11 and 21 both processing channels 1 and 2 full read access to the cache 30 get assigned.

Dieses ermöglicht einen einfachen Vergleich der gesamten Daten, indem zum Einen auf einfache Weise überprüfbar ist, ob das gemeinsam gebildete, als Sicherheitstelegramm zu übertragende sichere Protokoll, welches beispielsweise die Sicherheitsanforderungen für eine einfache Übertragung gemäß SIL 3 IEC 61508 erfüllt, fehlerfrei ist, und zwar durch jeweilige Verifikation gegenüber dem eigenen vorhergehend separat gebildeten sicherheitsgerichteten Protokoll 14 oder 24. Darüber hinaus ermöglicht der vollumfängliche Lesezugriff für jeden der Verarbeitungskanäle 1 und 2 die, zweckmäßigerweise bereits im Vorfeld der Steuerung/Überwachung/Regelung eines sicherheitskritischen Prozesses durchführbare Überprüfung, ob die Zugriffsregel generell fehlerfrei erfolgt. Hierzu wird insbesondere überprüft, ob die berechneten Daten eines jeweiligen Mikro-Controllers des einen und des anderen Verarbeitungskanals ausschließlich, dies aber garantiert, nur in die jeweils zugewiesenen Speicheradressen des Zwischenspeichers 30 geschrieben werden.This allows a simple comparison of the entire data, by firstly verifiable, whether the jointly formed, to be transmitted as a safety telegram secure protocol, for example, meets the safety requirements for a simple transmission according to SIL 3 IEC 61508, error-free, namely by respective verification against its own separately formed safety-related protocol 14 or 24 , In addition, full read access allows for each of the processing channels 1 and 2 the, expediently already before the control / monitoring / regulation of a safety-critical process feasible check whether the access rule is generally error-free. For this purpose, it is in particular checked whether the calculated data of a respective microcontroller of the one and the other processing channel exclusively, but this guarantees, only in the respectively assigned memory addresses of the buffer 30 to be written.

Führt diese "Selbstverifikation" und/oder "Kreuzverifikation" zu einem ungleichen Ergebnis, wird zwangsläufig auf Fehler erkannt und eine sicherheitsgerichtete Funktion eingeleitet.Does this "self-certification" and / or "cross-verification" lead to an unequal Result becomes inevitable detected an error and initiated a safety-related function.

2 stellt beispielhaft, jedoch unter Verwendung von vorbeschriebener Software anstelle von Protokollchips, ein mögliches Funktionsschaltbild einer Umsetzung der in 1 skizzierten Schreibberechtigung sowie der vollumfänglichen Leseberechtigung als Basis für diese Verifikationen dar. 2 exemplifies, but using software described above instead of protocol chips, a possible functional diagram of an implementation of in 1 sketched write permission and the full read permission as the basis for these verifications.

Wie bei 2 dargestellt, umfasst der links dargestellte, mit M gekennzeichnete Bereich die erfindungsgemäße mehrkanalige Architektur mit Sicherheitsbetrachtung und der bei 2 mit E gekennzeichnete rechte Bereich die einkanalige Architektur mit dem als Sicherheitstelegramm zu übertragenden, gemeinsam gebildeten sicherheitsgerichteten Protokoll.As in 2 1, the area marked M on the left comprises the multichannel architecture with security consideration according to the invention and FIG 2 The right-hand area marked with E is the single-channel architecture with the safety-related protocol to be transmitted as a safety telegram.

Somit im Wesentlichen basierend auf 1 sind die beiden Mikro-Prozessoren 11 und 21 über an sich bekannte Art und Weise entkoppelt, bei 2 mit der Bezugsziffer 100 gekennzeichnet, und ferner über eine Kommunikationsschnittstelle 101 zur zusätzlichen gegenseitigen Überprüfung der jeweils separat berechneten sicherheitsgerichteten Protokolle 14 und 24 miteinander verbunden.Thus, essentially based on 1 are the two micro-processors 11 and 21 decoupled by known per se, at 2 with the reference number 100 characterized, and further via a communication interface 101 for additional mutual verification of separately calculated safety-related protocols 14 and 24 connected with each other.

Der Adressbus 102 für die Adressen Ax, mit x zwischen 0 und N, der Datenbus 103 für die Daten Dx, mit x zwischen 0 und N, sowie die Signale /CS (Chipselect) und /RD (Read) sind, wie normal üblich, direkt an das bei 2 dargestellte Standard-DPM und an die entsprechenden Pins für die Signale /CSL bzw. /RDL angelegt. Die Adressleitung A0 ist mit den Schreibsignalen /WR μC1 und /WR μC2 der Mikro-Controller 11 und 21 so verknüpft, dass bei geraden Adressen nur der Mikro-Controller 11 schreibberechtigt ist und bei ungeraden Adressen nur der Mikro-Controller 21 schreibberechtigt ist.The address bus 102 for the addresses Ax, with x between 0 and N, the data bus 103 for the data Dx, with x between 0 and N, as well as the signals / CS (Chipselect) and / RD (Read) are, as usual, directly to the at 2 shown default DPM and applied to the corresponding pins for the signals / CSL or / RDL. The address line A0 is the microcontroller with the write signals / WR μC1 and / WR μC2 11 and 21 so linked that in even addresses only the micro-controller 11 is write-authored and for odd addresses only the micro-controller 21 is authorized to write.

Nur in diesen beiden Fällen kann das Schreibsignal /WR über den entsprechenden Pin für das "low aktive" Signal /WL am RAM des Standard-DPM ausgelöst werden. Lesend können jedoch beide Mikro-Controller 11 und 21 auf den gesamten Speicher 30 zugreifen.Only in these two cases can the write signal / WR be triggered via the corresponding pin for the "low active" signal / WL on the RAM of the standard DPM. However, both micro-controllers can read 11 and 21 on the entire memory 30 access.

Ein zweckmäßigerweise vor dem Schreiben des gemeinsam zu bildenden Sicherheitstelegramms durchführbarer Tests der Zugriffsverriegelung erfolgt beispielsweise nach folgendem Ablauf:
Der Mikro-Controller 11 versucht einen Defaultwert, z.B. FFh, in alle Speicherstellen des DPM 30 zu schreiben.An expediently before the writing of the safety telegram to be formed feasible tests of access locking takes place, for example, according to the following sequence:
The micro-controller 11 tries a default value, eg FFh, in all memory locations of the DPM 30 to write.

Der Mikro-Controller 21 versucht daraufhin einen weiteren Defaultwert, z.B. 00h, in alle Speicherstellen des DPM 30 zu schreiben.The micro-controller 21 then tries another default value, eg 00h, in all memory locations of the DPM 30 to write.

Der Mikro-Controller 11 liest daraufhin alle Speicherstellen des DPM 30 aus und prüft, ob nur in den, dem Mikro-Controller 21 zugewiesenen Speicherstellen der Wert 00h eingetragen ist und ggfs., ob in den dem Mikro-Controller 11 zugewiesenen Speicherstellen der Wert FFh eingetragen ist. Anschließend versucht der Mikro-Controller 11 noch einmal den Wert FFh in alle Speicherstellen zu schreiben.The micro-controller 11 then reads all memory locations of the DPM 30 out and check if only in the, the micro-controller 21 Assigned memory locations the value 00h is registered and if necessary., whether in the the micro-controller 11 assigned memory locations the value FFh is entered. Subsequently, the micro-controller tries 11 once again write the value FFh in all memory locations.

Daraufhin liest der Mikro-Controller 21 alle Speicherstellen des DPM 30 aus und prüft, ob nur in den, dem Mikro-Controller 11 zugewiesenen Speicherstellen der Wert FFh eingetragen ist und ggfs., ob in den dem Mikro-Controller 21 zugewiesenen Speicherstellen der Wert 00h eingetragen ist.The microcontroller reads 21 all memory locations of the DPM 30 out and check if only in the, the micro-controller 11 allocated memory locations the value FFh is registered and if necessary, whether in the the micro-controller 21 Assigned memory locations the value 00h is entered.

Tritt bei dieser Erwartungshaltung ein Fehler auf, so wird der Fehler erkannt und eine sicherheitsgerichtete Funktion eingeleitet, z.B. der Prozess in einen sicheren Zustand überführt. Anderenfalls kann davon ausgegangen werden, dass die Zugriffsverriegelung einwandfrei funktioniert. Ein wesentliches Merkmal bei der erfindungsgemäßen Realisierung ist somit, dass nicht die eigentlichen Schreibsignale vom jeweiligen Mikro-Controller 11 bzw. 21 direkt genutzt werden sondern, dass eine Verknüpfung mit den Adressen stattfindet. Somit kann nur auf den Adressen geschrieben werden, die dem jeweiligen Mikro-Controller zugeordnet sind.If an error occurs with this expectation, the error is detected and a safety-related function is initiated, for example, the process is transferred to a safe state. Otherwise, it can be assumed that the access lock is working properly. An essential Feature in the implementation of the invention is thus that not the actual write signals from each micro-controller 11 respectively. 21 directly but that a link with the addresses takes place. Thus, it is only possible to write to the addresses assigned to the respective microcontroller.

Die Daten; die im RAM des DPM 30 abgelegt werden, sind folglich. über ein in höchstem Maße sicheres Protokoll gesichert. Das DPM 30 wird ähnlich wie der Übertragungskanal selbst, als nicht sicher angesehen. Die Sicherheit wird somit unter Anderem dadurch erreicht, dass auf der verarbeitenden Seite, also in dem bei 2 mit M gekennzeichneten Bereich, eine Erwartungshaltung an den Aufbau bzw. den Inhalt der Daten besteht. Folglich kann die weitere Verarbeitung oder Verteilung der im DPM 30 zwischengespeicherten Daten beispielsweise über einen weiteren Mikro-Controller 35, der die Daten aus dem DPM 30 einkanalig übernimmt, erfolgen und anschließend an das Bussystem, beispielsweise durch Einkopplung in einen Feldbus 40, übergeben werden.The data; in the RAM of the DPM 30 are filed accordingly. backed by a highly secure protocol. The DPM 30 Similar to the transmission channel itself, it is not considered secure. The security is thus achieved, among other things, that on the processing side, ie in the 2 marked with M, an expectation of the structure or content of the data exists. Consequently, the further processing or distribution of the DPM 30 cached data, for example via another micro-controller 35 that the data from the DPM 30 single-channel takes place, and then to the bus system, for example by coupling into a fieldbus 40 , be handed over.

Durch das Durchführen einer Selbstverifikation überwachen somit beide Mikro-Controller 11 und 21 die jeweilige Zugriffsregel praktisch während des Hineinschreibens des Sicherheitstelegramms in den Zwischenspeicher 30 selbsttätig und die in dem Speicher abgelegten Daten können über eine Schnittstelle des Zwischenspeichers 30 zur Übertragung an einen Protokollchip, einen weiteren Mikro- Controller oder eine sonstige intelligenten Einheit einkanalige übergeben werden. Da beim Ausfall oder Fehler eines Mikro-Controllers 11 oder 21 kein vollständiges Sicherheitstelegramm mehr erzeugt werden kann, wird zwangsläufig auf Fehler erkannt und eine sicherheitsgerichtete Funktion ausgelöst. Die Sicherheitsbetrachtung der redundanten Architektur M endet somit grundsätzlich mit dem Ablegen der Daten auf den Speicher 30, denn ab hier greift der Sicherungsmechanismus des Protokolls, da die ab hier möglichen Fehler werden für eine Übertragung sowieso wie bisher betrachtet und müssen beherrscht werden. Ein hierfür in Betracht kommender Fehler aus dem Grundsatz für die Prüfung und Zertifizierung von "Bussystemen für die Übertragung sicherheitsrelevanter Nachrichten" ist eine Nachrichtenverfälschung.By performing a self-certification, both micro-controllers monitor 11 and 21 the respective access rule practically during the writing of the security telegram in the cache 30 automatically and the data stored in the memory can be accessed via an interface of the buffer 30 for transmission to a protocol chip, another micro-controller or any other intelligent single-channel unit. Because in case of failure or failure of a micro-controller 11 or 21 If a complete safety telegram can no longer be generated, it will inevitably be detected for faults and a safety-related function triggered. The safety consideration of the redundant architecture M thus basically ends with the storage of the data on the memory 30 , because from here the security mechanism of the protocol, since the errors that are possible from here are considered for a transmission anyway as before and must be mastered. A possible error from the principle for the examination and certification of "bus systems for the transmission of security-relevant messages" is a message corruption.

Durch die vorstehend aufgezeigte unbedingte Verknüpfung der Schreibberechtigung mit der zu beschreibenden Positionen im gemeinsam zu bildenden sicheren Protokoll und der uneingeschränkten Leseberechtigung beider Mikro-Controller ist somit bereits durch Verwendung von Standardkomponenten der Vergleich bzw. die Verifizierung des zu sendenden Sicherheitstelegramms vor der eigentlichen Übertragung über einen Bus 40 gewährleistet. Folglich ist ein Mikro-Controller 11 bzw. 21 alleine nicht in der Lage, ein Sicherheitstelegramm zu senden.Thus, by the use of standard components, the comparison or verification of the security telegram to be transmitted before the actual transmission via a. By the above-mentioned unconditional linkage of the write authorization with the positions to be described in common to be formed secure protocol and the unrestricted read authorization of both micro-controller bus 40 guaranteed. Consequently, a micro-controller 11 respectively. 21 alone unable to send a security telegram.

Das bei 2 dargestellte Funktionsschaltbild ist somit bereits durch eine einfache Logikschaltung realisierbar, kann jedoch beispielsweise auch durch ein FPGA realisiert sein. Ferner ist selbstverständlich anstelle des bei 2 dargestellten DPM 30 auch ein einfaches Standard-RAM einsetzbar. Durch das eingesetzte DPM vereinfacht sich jedoch die Schaltung hinsichtlich des Auslesens der Sicherheitstelegramms aus dem Zwischenspeicher. Für einen Fachmann ist es ersichtlich, dass die bei 2 dargestellte Schaltungsanordnung nur eine der möglichen technischen Umsetzung für eine eindeutige Schreib-Zugriffsberechtigung darstellt. Die Datenleitungen können z.B. auch so aufgeteilt sein, dass ein Rechner nur auf die oberen Datenleitungen und ein redundanter Rechner lediglich auf die unteren Datenleitungen des Zwischenspeichers schreibend zugreifen kann. Eine Schreib-Zugriffregel gemäß der Erfindung ist ferner für mehr als nur zwei redundante Rechner/Verarbeitungskanäle anwendbar.The at 2 shown functional diagram is thus already realized by a simple logic circuit, but may for example also be implemented by an FPGA. Furthermore, of course, instead of at 2 represented DPM 30 also a simple standard RAM can be used. However, the DPM simplifies the circuit with regard to the readout of the safety telegram from the buffer. For a person skilled in the art, it is apparent that the 2 shown circuitry represents only one of the possible technical implementation for a unique write access. The data lines can also be divided, for example, so that a computer can only write to the upper data lines and a redundant computer can only write to the lower data lines of the buffer. A write access control according to the invention is further applicable to more than two redundant computer / processing channels.

Bei 5 ist nunmehr in Art einer Prinzipskizze eine bevorzugte Ausführungsform der vorliegenden Erfindung dargestellt, bei welcher erst nach vollständiger und positiver Durchführung einer Selbstverifikation von einem aus einem Datenspeicher 30 rückgelesenen Sicherheitstelegramm, dieses zur weiteren libertragung freigegeben wird.at 5 is now shown in the form of a schematic diagram of a preferred embodiment of the present invention, in which only after complete and positive implementation of a self-certification of a data from a memory 30 read back safety telegram, this is released for further transmission.

Bei 5 sind wiederum zwei Verarbeitungskanäle 1 und 2 skizziert, die Teil eines sicheren Systems sind und applikationsspezifisch, mittels mehrkanaliger Hardware oder mehreren Softwareprozessen oder einer beliebigen Kombination hieraus aufgebaut sein können, welche in der Gesamtzusammenstellung eine der vorstehend aufgezeigten geforderten Sicherheit im Wesentlichen entsprechende Sicherheit zur Gewährleistung der sicherheitstechnischen Anforderungen ergeben. Ein solches sicheres System umfasst somit wiederum wenigstens zwei redundante sichere Verarbeitungskanäle 1, 2 zur Erzeugung von wenigstens einem sicherheitskritischen Prozess zugeordneten sicheren Protokollen, um eine entsprechend höhere Sicherheit zu erhalten.at 5 again are two processing channels 1 and 2 outlines that are part of a secure system and application specific, can be constructed by means of multi-channel hardware or multiple software processes or any combination thereof, which in the overall composition of the above-indicated required security essentially corresponding security to ensure the safety requirements. Such a secure system thus again comprises at least two redundant secure processing channels 1 . 2 to generate at least one safety-critical process associated with secure protocols to obtain a correspondingly higher security.

Die Verarbeitungskanäle 1 und 2 bzw. darin umfasste, ebenfalls auf unterschiedlicher Hardware oder auch auf unterschiedlicher Software auf einer gemeinsamen Hardware basierte Rechner 11, 21 sind im vorliegenden Ausführungsbeispiel ferner zu paketorientierten Datenverarbeitung ausgebildet.The processing channels 1 and 2 or included therein, also on different hardware or on different software on a common hardware based computer 11 . 21 are further formed in the present embodiment for packet-oriented data processing.

Gemäß 5 erstellt jeder sichere Verarbeitungskanal 1 und 2 wiederum ein vollständiges und identisches sicheres Protokoll 14 bzw. 24. Aufgrund der Ausbildung zur paketorientierten Datenverarbeitung wird hierbei jedoch jedes sicheres Protokoll 14 und 24 jeweils aus einer Anzahl von Datenpaketen 15 und 16 aufgebaut. Die Anzahl von Datenpaketen 15 und 16 entspricht im vorliegenden Ausführungsbeispiel ferner der Anzahl der sicheren Verarbeitungskanäle 1 und 2, so dass also jedes sichere Protokoll 14 und 24 aus zwei Datenpaketen 15 und 16 besteht.According to 5 creates every secure processing channel 1 and 2 again a complete and identical secure protocol 14 respectively. 24 , Due to the training for packet-oriented data processing Here, however, every secure protocol 14 and 24 each of a number of data packets 15 and 16 built up. The number of data packets 15 and 16 corresponds in the present embodiment also the number of secure processing channels 1 and 2 So any secure protocol 14 and 24 from two data packages 15 and 16 consists.

Die sicheren Verarbeitungskanäle 1 und 2 können optional wiederum über eine Kommunikationsschnittstelle 101 miteinander verbunden sein, z.B. um die erstellten sicheren Protokolle 14 und 24 ggf. noch miteinander zu vergleichen, bevor die jeweiligen Datenpakete bzw. Protokollteile 15 und 16 zur weiteren Verarbeitung, d.h. zum Einschreiben in den Datenspeicher 30 freigegeben werden. Ein solcher Vergleich muss jedoch an dieser Stelle nicht zwingend vorgesehen sein.The secure processing channels 1 and 2 can optionally turn over a communication interface 101 connected to each other, eg the created secure protocols 14 and 24 if necessary, compare with each other before the respective data packets or protocol parts 15 and 16 for further processing, ie for writing in the data memory 30 be released. However, such a comparison need not necessarily be provided at this point.

Die Zugriffsberechtigungen für die Verarbeitungskanäle 1 und 2 auf den Datenspeicher 30 zum Lesen und Schreiben von Daten sind wiederum in geeigneter Weise definiert gesteuert, beispielsweise durch eine bei 5 mit der Bezugsziffer 8 angedeutete Zugriffsverriegelung mittels Hardware. Basierend auf der Ausbildung der Verarbeitungskanäle 1 und 2 zur paketorientierten Datenverarbeitung sind die Schreibberechtigungen bei der Ausführungsform nach 5 derart aufgeteilt, dass ein jeweiliges paketweises Einschreiben von Daten in den Datenspeicher 30 ermöglicht ist.The access permissions for the processing channels 1 and 2 to the data store 30 for reading and writing data are in turn controlled appropriately defined, for example by a at 5 with the reference number 8th indicated access lock by means of hardware. Based on the design of the processing channels 1 and 2 for packet-oriented data processing, write permissions are in the embodiment 5 divided such that a respective packet-wise writing data into the data memory 30 is possible.

Um zu gewährleisten, dass in den Datenspeicher 30 von jedem Verarbeitungskanal 1 und 2 jeweils ein anderes Datenpaket eingeschrieben wird, kann z.B. die Zugriffsberechtigung derart sein, dass der Verarbeitungskanal 1 nur auf Speicherstellen eines ersten zusammenhängenden Speicherbereichs und der redundante Verarbeitungskanal 2 lediglich auf Speicherstellen eines weiteren zusammenhängenden Speicherbereichs des Datenspeichers 30 schreibend zugreifen kann.To ensure that in the data store 30 from every processing channel 1 and 2 In each case, another data packet is written, for example, the access authorization may be such that the processing channel 1 only on storage locations of a first contiguous storage area and the redundant processing channel 2 only to memory locations of another contiguous memory area of the data memory 30 can write access.

Bei 5 sind die Schreibberechtigungen und Leseberechtigungen für den Verarbeitungskanal 1 durch die mit "S1" bzw. "L1" gekennzeichneten Pfeile angezeigt und die Schreibberechtigungen und Leseberechtigungen für den Verarbeitungskanal 2 durch die mit "S2" bzw. "L2" gekennzeichneten Pfeile. Demgemäß kann der Verarbeitungskanal 1 somit nur das Datenpaket 15 in den gemeinsamen Datenspeicher 30 schreiben und der Verarbeitungskanal 2 kann das Datenpaket 16 in den gemeinsamen Datenspeicher 30 schreiben. Beide Verarbeitungskanäle 1 und 2 sind jedoch berechtigt aus dem Datenspeicher 30 jeweils beide Datenpakete 15 und 16 zu lesen.at 5 are the write permissions and read permissions for the processing channel 1 indicated by the arrows marked "S1" or "L1" and the write permissions and read permissions for the processing channel 2 by the arrows marked "S2" or "L2". Accordingly, the processing channel 1 thus only the data package 15 in the common data store 30 write and the processing channel 2 can the data package 16 in the common data store 30 write. Both processing channels 1 and 2 are, however, authorized from the data store 30 both data packets 15 and 16 to read.

Wiederum stellt folglich jeder sichere redundante Verarbeitungskanal 1 und 2 jeweils einen anderen Teil des jeweils erzeugten sicheren Protokolls 14 bzw. 24 in den gemeinsamen Datenbereich 30, um dort gemeinsam ein sicheres Protokoll zusammenzusetzen.Again, therefore, each provides a secure redundant processing channel 1 and 2 each a different part of each generated secure protocol 14 respectively. 24 in the common data area 30 to put together a secure protocol together.

Nachdem der Verarbeitungskanal 1 das Datenpaket 15 des Protokoll 14 und der Verarbeitungskanal 2 das Datenpaket 16 des Protokolls 24 in den gemeinsamen Datenspeicher 30 als jeweiligen Protokollteil eingeschrieben haben, lesen die sicheren redundanten Verarbeitungskanäle 1 und 2 die vollständigen Daten wieder aus dem Datenspeicher 30 aus und vergleichen diese mit dem jeweils intern freigegebenen sicheren Protokoll bzw. Datensatz 14 bzw. 24. Ergibt ein jeweiliger Vergleich, dass die ausgelesen Daten mit dem jeweils intern freigegebenen Datensatz gleich sind, gibt der Verarbeitungskanal 1 bzw. 2 das im Datenspeicher 30 gemeinsam gebildete sichere Protokoll über entsprechend. geeignete Mittel und/oder Maßnahmen, wie beispielsweise mittels eines Freigabesignals 9 zur Weiterverarbeitung frei. Erst wenn jeder redundante Verarbeitungskanal 1 und 2 das im Datenspeicher 30 gemeinsam gebildete sichere Protokoll zur Weiterverarbeitung freigegeben hat, wird dieses zur Übergabe/Übernahme aus dem Datenspeicher 30 wirksam freigegeben. Beispielsweise kann, um einen Zugriff auf den Zwischenregisterinhalt für dessen Übergabe oder Übernahme zur Weiterbearbeitung ausschließlich bei Vorliegen einer Freigabe durch jeden der redundanten Verarbeitungskanäle zu ermöglichen bzw. freizugeben, die Aktivierung eines eine entsprechende Ausgabe des Inhalts freigebenden Signals oder Enable-Signals über eine UND-Verknüpfung der einzelnen Freigabesignale bei Vorliegen einer Freigabe durch jeden redundanten Verarbeitungskanal 1, 2 bewirkt werden.After the processing channel 1 the data package 15 of the protocol 14 and the processing channel 2 the data package 16 of the protocol 24 in the common data store 30 have written as respective protocol part read the secure redundant processing channels 1 and 2 the full data back from the data store 30 and compare them with the internally released secure protocol or data set 14 respectively. 24 , If a respective comparison reveals that the read-out data is the same as the internally released data record, the processing channel gives 1 respectively. 2 that in the data store 30 jointly formed secure protocol according to. suitable means and / or measures, such as by means of a release signal 9 free for further processing. Only when every redundant processing channel 1 and 2 that in the data store 30 shared secure protocol has been released for further processing, this is the transfer / transfer from the data store 30 effectively released. For example, to enable or disable access to the temporary register content for its handover or capture for further processing only in the presence of a release by each of the redundant processing channels, the activation of a signal or enable signal enabling a corresponding output of the content via an AND memory. Linking the individual enable signals in the presence of a release by each redundant processing channel 1 . 2 be effected.

Der weitere Transport des gemeinsam gebildeten Protokolls nach Übergabe/Übernahme aus dem Datenspeicher 30 kann beliebig sein, beispielsweise gemäß vorstehender Beschreibung in Bezug auf die 1 und 2 und ist im Wesentlichen ausschließlich von den Maßnahmen abhängig, die in dem sicheren Protokoll integriert wurden.The further transport of the jointly formed protocol after transfer / transfer from the data store 30 can be arbitrary, for example, according to the above description with respect to the 1 and 2 and is essentially dependent solely on the measures that have been integrated into the secure protocol.

Die gemäß 5 beschriebene Ausführungsform eignet sich somit nicht nur zur einkanaligen Busankopplung eines sicherheitskritischen Prozesses sondern auch zur andersweitigen Ankopplung von sicherheitskritischen Prozesses aus einer sicheren, wenigstens zwei redundante Verarbeitungskanäle aufweisenden Umgebung an eine nicht sichere Umgebung oder eine sichere, jedoch weniger Kanäle aufweisenden Umgebung, ohne die Sicherheit des zu gefährden. Der vorstehend beschriebene Ankopplungsmechanismus ist folglich zweckmäßigerweise für jede Verbindung zwischen sicheren Verarbeitungseinheiten über nicht sichere Transportwege einsetzbar. Dies gilt für den Transport von Daten über Netzwerke, wie. z.B. Interbus oder Ethernet, oder innerhalb von Geräten einschließlich von durch Erweiterungen, wie beispielsweise Inline-Stationen, konfigurierbaren Geräten.The according to 5 Thus, the described embodiment is not only suitable for single-channel bus coupling of a safety-critical process but also for coupling security-critical process from a secure, at least two redundant processing channels environment to a non-secure environment or a safe, but less channels having environment, without the security of to endanger. The coupling mechanism described above is therefore expediently used for any connection between secure processing units via non-secure transport routes. This applies to the transport of data over networks, like. eg Interbus or Ethernet, or within devices including devices that can be configured by extensions, such as inline stations.

Es sei darauf hingewiesen, dass grundsätzlich in der gleichen Art und Weise Daten auch in eine sichere, mehrere Verarbeitungskanäle aufweisende Prozessumgebung aus einer nicht sicheren oder einer sicheren, jedoch weniger Verarbeitungskanäle aufweisenden Umgebung übernommen werden können.It it should be noted that basically in the same way and data in a secure, multiple processing channels having process environment from a non-secure or a secure but fewer processing channels Environment taken over can be.

Claims

Method in which according to German Patent Application 10 2004 039932.8 for single-channel bus coupling of a safety-critical process, a data relevant for the safety-critical process data set via at least two redundant processing channels ( 1 . 2 ), in particular protocol-specific, according to identical laws to a secure protocol ( 14 . 24 ) and the redundant secure protocols ( 14 . 24 ) for single-channel bus coupling to a common secure protocol, by adding from each of the processing channels ( 1 . 2 ) to a common intermediate register ( 30 ), whereby a write authorization is assigned only once for each register location, so that the common secure protocol is proportionately composed by writing respectively different portions of the respective secure protocols, whereby prior to a transfer of the common secure protocol from the intermediate register ( 30 ) for verifying the jointly formed secure protocol of each of the redundant processing channels ( 1 . 2 ) the content of each register of the intermediate register ( 30 ), and characterized in that the shared secure protocol is not triggered until in response to a release by each redundant processing channel (16). 1 . 2 ) is released for transfer or transfer from the intermediate register for further processing.

Method according to the preceding claim, wherein the release by a processing channel ( 1 . 2 ) by transmitting an enable signal from the processing channel to the intermediate register.

Method according to the preceding claim, wherein the activation of an enable signal in the presence of a release by each redundant processing channel ( 1 . 2 ) is effected via an AND operation of the individual enable signals.

Method according to one of the preceding claims, further characterized in that each of the redundant secure protocols ( 14 . 24 ) from one of the number of redundant processing channels ( 1 . 2 corresponding number of protocol parts, and to assemble the common secure protocol of each processing channel, a different protocol part is written to the intermediate register.

Method according to one of the preceding claims, in which each redundant secure protocol ( 14 . 24 ) is constructed from a number of data packets and the write authorization is granted for a packet-by-packet write-in.

Use of a method according to one of the preceding claims instead of a single-channel bus connection of a safety-critical Process for otherwise coupling a safety-critical one Process from a secure, at least two redundant processing channels having environment to a non-secure environment or to a secure environment that however, includes fewer redundant processing channels.

Use of the method according to the preceding claim for one Connection between secure processing channels via non-secure transport routes.

Device comprising according to dt. Patent Application 10 2004 039932.8 for single-channel bus coupling of a safety-critical process at least two redundant computer ( 11 . 21 ) for, in particular protocol-specific, processing of an identical input data record using identical laws to a secure protocol ( 14 . 24 ), and circuitry for connecting each computer ( 11 . 21 ) with a common intermediate register ( 30 ) such that for each register location of the intermediate register ( 30 ) a write access option only for each of the computer and a read access option for each of the computer ( 11 . 21 ), and characterized in that each computer comprises means for verifying a content read back from the intermediate register and for releasing the contents of the intermediate register in response to a positive verification.

Device according to one of the two preceding claims, further characterized in that each of the at least two redundant computers ( 11 . 21 ) is designed for packet-based data processing.

Device according to one of the preceding claims, wherein the at least two redundant computers by means of redundant hardware and / or redundant software are formed.

Use of a device according to one of the preceding claims instead of the single-channel bus coupling for otherwise coupling a safety-critical process from a safe, at least two redundant processing channels environment to a non-secure environment or one secure environment, but with fewer redundant processing channels.