Procedimiento y dispositivo para la creación de un programa de usuario para un control de seguridad.

Procedimiento para la creación de un programa de usuario para un control de seguridad (20),

que está configurado para controlar una instalación (22) automatizada con una pluralidad de sensores (26) y una pluralidad de accionadores (24), presentando el control de seguridad (20) un primer procesador (30) y un segundo procesador (32), con las siguientes etapas:

- creación de un código fuente (52) para un programa de usuario, comprendiendo el código fuente (52) una cantidad de instrucciones de control (160, 162) para el control de los accionadores (24) y procesándose para el tratamiento de las instrucciones de control (160, 162) variables de programa relevantes para la seguridad con ayuda del primer y del segundo procesador (30, 32),

- generación de un código máquina (70) dependiendo del código fuente (52) y

- establecimiento de al menos una suma de comprobación (102, 104) para al menos una parte del código máquina (80, 98),

caracterizado por que el código fuente (52) comprende además una cantidad de instrucciones de diagnóstico (164, 166) para la generación de mensajes de diagnóstico que se indican en una unidad de indicación de diagnóstico (124), quedando desatendidas durante el establecimiento de la suma de comprobación (102, 104) las instrucciones de diagnóstico (164, 166) .

Procedimiento y dispositivo para la creación de un programa de usuario para un control de seguridad.

La presente invención se refiere a un procedimiento y a un dispositivo para la creación de un programa de usuario para un control de seguridad, que está configurado para controlar una instalación automatizada con una pluralidad de sensores y una pluralidad de accionadores, presentando el control de seguridad un primer procesador y un segundo procesador, creándose un código fuente para un programa de usuario, comprendiendo el código fuente una cantidad de instrucciones de control para el control de los accionadores y procesándose para el tratamiento de las instrucciones de control variables de programa relevantes para la seguridad con ayuda del primer y del segundo procesador en modo a prueba de errores, generándose además un código máquina dependiendo del código fuente y estableciéndose al menos una suma de comprobación para al menos una parte del código máquina.

Un procedimiento de este tipo y un dispositivo correspondiente son conocidos por el documento WO 02/067065 A2.

Un control de seguridad en el sentido de la presente invención es un aparato o un dispositivo que recoge señales de entrada suministradas por sensores y, a partir de esto, mediante combinaciones lógicas y eventualmente otras etapas de procesamiento de señal o datos, genera señales de salida. Las señales de salida pueden suministrarse entonces a accionadores que, dependiendo de las señales de entrada, dan lugar a acciones o reacciones en una instalación controlada.

Un campo de aplicación preferido para tales controles de seguridad es la supervisión de pulsadores de apagado de emergencia, controles bimanuales, puertas de protección o resguardos fotoeléctricos en el ámbito de la seguridad de las máquinas. Tales sensores se usan para asegurar, por ejemplo, una máquina de la cual parte durante el funcionamiento un peligro para seres humanos o productos materiales. Al abrir la puerta de protección o al activar el pulsador de apagado de emergencia se genera respectivamente una señal que se suministra como señal de entrada al control de seguridad. Como reacción a esto, el control de seguridad desconecta entonces, por ejemplo, con ayuda de un accionador, la parte de la máquina que genera peligro.

En un control de seguridad, a diferencia de un control "normal", es característico que el control de seguridad garantiza siempre un estado seguro de las instalaciones o máquinas que generan peligro, incluso cuando en el mismo o en un aparato unido con el mismo aparece un mal funcionamiento. Por tanto, en controles de seguridad se plantean requisitos extremadamente elevados a la propia seguridad contra errores, lo que tiene como consecuencia una considerable complejidad durante el desarrollo y la producción.

Por norma general, los controles de seguridad necesitan, antes de su uso, una autorización particular por las autoridades de inspección competentes, tales como, por ejemplo, en Alemania por las asociaciones profesionales oel servicio de inspección técnica (TÜV) . A este respecto, el control de seguridad tiene que cumplir estándares de seguridad predefinidos que están consignados, por ejemplo, en la norma europea EN 954-1 o una norma comparable, por ejemplo, la norma IEC 61508 y o la norma EN ISO 13849-1. En lo sucesivo, por tanto, por un control de seguridad se entiende un aparato o un dispositivo que cumple al menos la categoría de seguridad 3 de la norma europea mencionada EN 954-1 o cuyo Nivel de Integridad de Seguridad (SIL) alcanza al menos el nivel 2 de acuerdo con la norma mencionada IEC 61508.

Un control de seguridad programable ofrece al usuario la posibilidad de fijar individualmente las combinaciones lógicas y, dado el caso, otras etapas de procesamiento de señal o datos con ayuda de un software, el denominado programa de usuario, de forma que se corresponda a sus necesidades. A partir de esto resulta una gran flexibilidad en comparación con soluciones anteriores, en las que las combinaciones lógicas se generaron mediante una conexión alámbrica definida entre distintos elementos de seguridad. Un programa de usuario se puede crear, por ejemplo, con ayuda de un ordenador personal (PC) disponible en el mercado y mediante el uso de programas de software organizados correspondientemente.

Como se ha mencionado anteriormente, los controles de seguridad antes de su uso necesitan una autorización particular por una autoridad de inspección competente. En una autorización de este tipo se verifica el contenido relevante para la seguridad del programa de usuario. En el caso del contenido relevante para seguridad del programa de usuario se trata de las instrucciones de seguridad que se requieren para las tareas de seguridad a realizar por el control de seguridad. Para el tratamiento de las instrucciones de seguridad se procesan en modo a prueba de errores las variables del programa relevantes para la seguridad. Después de la verificación realizada se establece para el contenido relevante para la seguridad del programa de usuario, particularmente para el contenido relevante para la seguridad del código máquina, una suma de comprobación y este contenido relevante para la seguridad se sella con la suma de comprobación. Mediante la suma de comprobación, la autoridad de inspección, después de la validación realizada puede reconocer cambios realizados en el contenido relevante para la seguridad del programa de usuario. De este modo se pueden comprobar, por ejemplo, manipulaciones inadmisibles en el contenido relevante para la seguridad de un programa de usuario.

Si después de la autorización realizada por la autoridad de inspección se llevan a cabo cambios en el contenido relevante para la seguridad de un programa de usuario existente, por ejemplo, para optimizar la aplicación que se está ejecutando en la instalación controlada, se requiere una nueva autorización por la autoridad de inspección del programa de usuario cambiado. Ya que el contenido relevante para la seguridad de un programa de usuario comprende también instrucciones de diagnóstico, también se requiere una nueva autorización cuando se llevan a cabo posteriormente solo cambios en tales instrucciones de diagnóstico. A este respecto, no es infrecuente llevar a cabo, después de la autorización realizada, cambios en las instrucciones de diagnóstico. Por ejemplo, solo con motivo de un funcionamiento de prueba de la instalación se obtienen conclusiones que requieren una adaptación de las instrucciones de diagnóstico. Ya que las instrucciones de diagnóstico en sí no son relevantes para la seguridad, a diferencia de las instrucciones de control de seguridad, es desventajoso que se requiera una nueva autorización por una autoridad de inspección incluso en el caso de que se posteriormente lleven a cabo, después de una autorización ya realizada, solo cambios en las instrucciones de diagnóstico. Esto está asociado a un consumo de tiempo aumentado y costes adicionales. Además, esto limita la flexibilidad al proyectar una instalación a controlar y, por tanto, durante la creación de un programa de usuario.

El documento WO 02/067065 A2 mencionado al principio divulga un procedimiento para la programación de un control de seguridad, fijándose combinaciones lógicas entre señales de entrada de los controles de seguridad y asignándose productos de combinación a señales de salida del control de seguridad. La fijación de las combinaciones y la asignación se realizan mediante módulos de programa con especificidad de función predefinidos que se seleccionan de un conjunto de tales módulos de programa. Cada módulo de programa seleccionado se asigna inequívocamente a un grupo funcional definido. Cuando el programador ha seleccionado y parametrizado todos los módulos de programa necesarios, se almacena todo el programa de usuario en una memoria y se asegura allí adicionalmente con una suma de comprobación de CRC. Desde la memoria se puede transmitir entonces el programa de usuario al control de seguridad. Mediante la suma de comprobación de CRC se puede reconocer y, dado el caso, evitar una falsificación del programa de usuario durante la transmisión al control de seguridad.

El documento WO 88/09590 divulga un procedimiento para la comprobación de una señal que se transmite a través de una línea de transmisión con respecto a errores, aplicándose también en este caso una suma de comprobación de CRC.

Es un objetivo de la presente invención perfeccionar un procedimiento y un dispositivo del tipo mencionado al principio para continuar aumentando la flexibilidad durante la creación de un programa de usuario y, por tanto, la realización de un control de seguridad, para posibilitar, de este modo, una programación más... [Seguir leyendo]

1. Procedimiento para la creación de un programa de usuario para un control de seguridad (20) , que está configurado para controlar una instalación (22) automatizada con una pluralidad de sensores (26) y una pluralidad de accionadores (24) , presentando el control de seguridad (20) un primer procesador (30) y un segundo procesador (32) , con las siguientes etapas:

- creación de un código fuente (52) para un programa de usuario, comprendiendo el código fuente (52) una cantidad de instrucciones de control (160, 162) para el control de los accionadores (24) y procesándose para el tratamiento de las instrucciones de control (160, 162) variables de programa relevantes para la seguridad con ayuda del primer y del segundo procesador (30, 32) ,

- generación de un código máquina (70) dependiendo del código fuente (52) y

- establecimiento de al menos una suma de comprobación (102, 104) para al menos una parte del código máquina (80, 98) ,

caracterizado por que el código fuente (52) comprende además una cantidad de instrucciones de diagnóstico (164, 166) para la generación de mensajes de diagnóstico que se indican en una unidad de indicación de diagnóstico (124) , quedando desatendidas durante el establecimiento de la suma de comprobación (102, 104) las instrucciones de diagnóstico (164, 166) .

2. Procedimiento de acuerdo con la reivindicación 1, caracterizado por que las instrucciones de diagnóstico (164, 166) se enmarcan en el código fuente (52) .

3. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado por que el código máquina (70) comprende un primer código de seguridad (80) y un segundo código de seguridad (98) , estableciéndose para cada uno de los dos códigos de seguridad (80, 98) respectivamente una suma de comprobación (102, 104) .

4. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado por que el código máquina (70) comprende un primer código de seguridad (80) y un segundo código de seguridad (98) , teniéndose en cuenta durante la generación del primer código de seguridad (80) las instrucciones de diagnóstico (164, 166) y quedando desatendidas durante la generación del segundo código de seguridad (98) .

5. Dispositivo para la creación de un programa de usuario para un control de seguridad (20) , que está configurado para controlar una instalación (22) automatizada con una pluralidad de sensores (26) y una pluralidad de accionadores (24) , presentando el control de seguridad (20) un primer procesador (30) y un segundo procesador (32) , con unidades (12, 14, 16) para la creación de un código fuente (52) para un programa de usuario, comprendiendo el código fuente (52) una cantidad de instrucciones de control (160, 162) para el control de los accionadores (24) y procesándose para el tratamiento de las instrucciones de control (160, 162) variables de programa relevantes para la seguridad en modo a prueba de errores con ayuda del primer y segundo procesador (30, 32) , con unidades (74, 92) para la generación de un código máquina (70) dependiendo del código fuente (52) y con unidades (76, 94) para el establecimiento de al menos una suma de comprobación (102, 104) para al menos una parte del código máquina (80, 98) , caracterizado por que el código fuente (52) comprende además una cantidad de instrucciones de diagnóstico (164, 166) para la generación de mensajes de diagnóstico que se indican en una unidad de indicación de diagnóstico (124) , quedando desatendidas las instrucciones de diagnóstico (164, 166) durante el establecimiento de la suma de comprobación (102, 104) .

6. Programa informático con medios de código de programa para llevar a cabo un procedimiento de acuerdo con una de las reivindicaciones 1 a 4 cuando se ejecuta el programa informático (16) en un ordenador (12) .