PROCEDIMIENTO Y DISPOSITIVO PARA LA CONVERSION DE MENSAJES PRESENTES EN MULTIPLES CANALES EN UN MENSAJE SEGURO DE UN SOLO CANAL.

Procedimiento para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro,

que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, en el que un conjunto de datos relevantes para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de acuerdo con reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y teniendo en cuenta al menos dos protocolos seguros redundantes (14, 24) se forma para el acoplamiento un protocolo seguro común y, en concreto, se accede a través de cada uno de los canales de procesamiento (1, 2) a un registro intermedio (30) común, en el que para cada lugar del registro se predetermina solamente una vez una autorización de escritura, caracterizado porque durante el proceso de escritura al menos de porciones (14'') del protocolo seguro común a través de un canal de procesamiento (1) autorizado para la escritura, se verifica (25) en primer lugar la identidad mutua de estas porciones (14'') a través de al menos otro canal de procesamiento (2), y se libera el acceso al registro intermedio común para la deposición de estas porciones solamente en caso de identidad mutua

Procedimiento y dispositivo para la conversión de mensajes presentes en múltiples canales en un mensaje seguro de un solo canal.

La invención se refiere a un procedimiento así como a un dispositivo adaptado para la realización del procedimiento para el acoplamiento de procesos relevantes para la seguridad desde un entorno seguro de múltiples canales en un entorno no seguro y/o que presenta menos canales, especialmente para el acoplamiento de bus de un solo canal de procesos relevantes para la seguridad.

Por un proceso relevante para la seguridad o bien crítico para la seguridad se entiende a continuación un proceso, desde el que se deriva, en el caso de que se produzca un fallo, un peligro considerable para el hombre y/o también para productos materiales. Por lo tanto, en un proceso relevante para la seguridad debe estar garantizado con 100% de seguridad en el caso ideal que, en el caso de que se produzca un fallo de este proceso, un proceso siguiente acoplado con este proceso y/o un sistema general que comprende este proceso son transferidos a un estado seguro. Tales procesos relevantes para la seguridad pueden ser, por lo tanto, también procesos parciales de procesos generales mayores de orden superior. Ejemplos de procesos relevantes para la seguridad son procedimientos químicos, en los que los parámetros críticos deben mantenerse incondicionalmente en un intervalo predeterminado, controles de máquinas complejas, como por ejemplo en una prensa hidráulica o un tren de fabricación, en las que, por ejemplo, la puesta en marcha de una herramienta de prensa/corte puede representar un proceso parcial relevante para la seguridad. Otros ejemplos de procesos (parciales) relevantes para la seguridad son la supervisión de rejillas de protección, de puertas de protección o de barreras ópticas, el control de conmutadores por dos palancas o también la reacción a interruptores de emergencia.

Por lo tanto, para todos los procesos relevantes para la seguridad es absolutamente necesario que los datos relevantes para la seguridad respectivos en cada caso, generados o registrados o bien medidos, sean transportados en tiempo real sin ninguna clase de falsificación, puesto que cualquier falsificación puede tener como consecuencia una función y/o reacción erróneas que, como última consecuencia, pueden poner en peligro la vida y la salud de las personas.

Para cumplir los requerimientos de seguridad, se han realizados numerosas convenciones en los últimos años, que requieren un transporte de datos casi libre de errores en el caso de empleo de sistemas de bus. Éstos se refieren especialmente al transporte de datos propiamente dicho así como a una probabilidad de error residual admisible en función de la aplicación respectiva o bien del proceso respectivo. Como normas competentes se pueden mencionar en este caso especialmente la Norma EN 61508 y la Norma EN 954-1 así como los principios para el ensayo e identificación de "Sistemas de bus para la transmisión de mensajes relevantes para la seguridad" del Centro de Ensayo y Certificación de las Sociedades Profesionales Industriales.

De acuerdo con estas convenciones y normas, han sido desarrollados sistemas de bus dirigidos a la seguridad, que transmiten datos con alta redundancia. Los posibles errores son detectados oportunamente y se puede evitar un peligro. Ejemplos de ellos son, entre otros, el Safety Bus P, Profibus F, Interbus Safety, etc.

Sin embargo, en este caso es un inconveniente que para el empleo de sistemas de bus dirigidos a la seguridad deben sustituirse sistemas de bus ya instalados y deben tolerarse con frecuencia limitaciones en el número de los usuarios, en la velocidad de transporte de los datos o en el protocolo de los datos.

Como consecuencia, han sido desarrollados procedimientos y/o componentes dirigidos a la seguridad, que posibilitan un reequipamiento más sencillo y de coste más favorable de sistemas de bus ya existentes. Especialmente los procedimientos electrónicos de seguridad utilizados en la técnica de control y de automatización utilizan en este caso para la transmisión de datos relevantes para la seguridad, especialmente entre sensores, actuadores y/o instalaciones de control, los sistemas de bis (de campo) ya empleados entre las unidades individuales implicadas en un proceso para la comunicación de datos.

El documento EP 1 188 096 B1 publica, por ejemplo, un sistema de control para un proceso relevante para la seguridad con un bus de campo, a través del cual están conectadas una unidad de control para el control de proceso relevante para la seguridad y una unidad de señalización, que está conectada a través de canales E/A con el proceso relevante para la seguridad. Para garantizar una comunicación entre sí a prueba de fallos, estas unidades presentan instalaciones específicas de seguridad, a través de las cuales, unidades no seguras deben convertirse en unidades seguras. En particular, están previstos en cada caso al menos dos canales de procesamiento redundantes, de tal manera que un fallo en uno de los canales de procesamiento puede ser reconocido y, dado el caso, corregido con la ayuda de un resultado, que se deriva de otro de los canales de procesamiento redundantes. Esta estructura de canales múltiples se realiza especialmente a través de dos ordenadores redundantes, en la que la consideración de la seguridad termina después de los dos ordenadores redundantes y se contempla la consideración de un protocolo de datos seguro a partir de este lugar sin otras indicaciones.

Por el concepto general de ordenador se entienden a continuación esencialmente instalaciones de procesamiento de datos que comprenden cualquier tipo de software y/o hardware, como por ejemplo microordenadores, micro-procesadores, micro-controladores o también ordenadores personales.

También el documento WO 01/15385 A2 se refiere al control de procesos relevantes para la seguridad utilizando sistemas de bus (de campo), en los que las unidades implicadas en el control del proceso relevante para la seguridad presentan de nuevo canales de procesamiento constituidos, en general, redundantes. Cada uno de los canales redundantes comprende un ordenador, que se controlan mutuamente. Esta estructura de múltiples canales es transferida a través de otro ordenador conectado con el bus de campo a una estructura de un solo canal (figura 3). De esta publicación no se deducen explicaciones detalladas, incluyendo la transición desde la pluralidad de canales a un sol canal.

A partir del documento WO 01/15391 y de la publicación DE 199 39 567 A1 se deducen otros ejemplos de usuarios de bus seguros con canales de procesamiento y/u ordenadores realizados de forma redundante y que se controlan mutuamente con respecto a una creación de protocolo seguro y la transición siguiente desde la pluralidad de canales a un solo canal a través de otro ordenador acoplado en el bus, que está conectado en un chip de protocolo o está integrado en éste. También aquí la consideración de la seguridad sin publicación de otras medidas técnicas termina después de los dos ordenadores redundantes y a partir de este lugar se realiza la consideración de un protocolo de datos seguro.

La publicación DE 195 32 639 C2, que se refiere a una instalación para la transmisión con un solo canal de datos formados por medio de dos ordenadores redundantes integra, para reducir el gasto del circuito, la función del acoplamiento del bus en uno de los dos ordenadores realizados redundantes. Solamente el ordenador que presenta la funcionalidad de acoplamiento del bus presenta, por lo tanto, un canal de salida, al que son conducidos los datos útiles que proceden desde este ordenador y los datos de prueba que proceden desde el otro ordenador o a la inversa, los datos útiles y los datos de prueba de ambos ordenadores son alimentados interdireccionados entre sí (figura 4).

Sin embargo, para garantizar que el ordenador, que dirige el bus, no está en condiciones de generar telegramas, sobre los que no puede influir el otro ordenador, en la aplicación es necesario un gasto elevado en la consideración de la seguridad, puesto que, por una parte, debe verificarse, por una parte, la ausencia de reacción y, por otra parte, la independencia de los ordenadores para la creación del protocolo seguro. La publicación de patente propone a tal fin solamente una conexión o desconexión correspondiente de las salidas respectivas de los ordenadores.

Además, el documento DE 100 65 907 A1 describe un procedimiento basado en el principio de una "redundancia con comparación cruzada" para el transporte seguro de datos para la transmisión de datos en...

1. Procedimiento para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, en el que un conjunto de datos relevantes para el proceso crítico para la seguridad es procesado a través de al menos dos canales de procesamiento redundantes (1, 2) de acuerdo con reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y teniendo en cuenta al menos dos protocolos seguros redundantes (14, 24) se forma para el acoplamiento un protocolo seguro común y, en concreto, se accede a través de cada uno de los canales de procesamiento (1, 2) a un registro intermedio (30) común, en el que para cada lugar del registro se predetermina solamente una vez una autorización de escritura, caracterizado porque durante el proceso de escritura al menos de porciones (14') del protocolo seguro común a través de un canal de procesamiento (1) autorizado para la escritura, se verifica (25) en primer lugar la identidad mutua de estas porciones (14') a través de al menos otro canal de procesamiento (2), y se libera el acceso al registro intermedio común para la deposición de estas porciones solamente en caso de identidad mutua.

2. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque las autorizaciones de escrituras y los deberes de verificación respectivos son determinados a través de la previsión de funcionalidades específicas de maestro y/o subordinado para los canales de procesamiento (1, 2).

3. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque las funcionalidades específicas de maestro y/o subordinado para los canales de procesamiento (1, 2) se cambian según ciclos determinados.

4. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado porque a través de cada uno de los canales de procesamiento (1, 2) se accede al mismo bus de direcciones (102) conectado con el registro intermedio y se accede al mismo bus de datos (103) conectado con el registro intermedio.

5. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque durante el proceso de escritura se transmiten las porciones del protocolo (14'), a inscribir en cada caso en al menos un lugar del registro, a través del canal de procesamiento (1) que posee la autorización de escritura correspondiente, al bus de datos (103), y desde allí son leídas para la verificación a través de al menos otro canal de procesamiento (2).

6. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque a través de al menos un canal de procesamiento (2) que lleva a cabo la verificación, se emite después de realizada la verificación una señal de liberación (26) para la liberación de la señal de escritura para el registro intermedio.

7. Procedimiento de acuerdo con una de las dos reivindicaciones precedentes, caracterizado, además, porque a través del canal de procesamiento (1) a inscribir se emite una señal de liberación (16) después de la transmisión de las porciones del protocolo al bus de datos (103).

8. Procedimiento de acuerdo con una de las cuatro reivindicaciones precedentes, caracterizado, además, porque se predetermina un único lugar del registro para la inscripción de porciones de protocolo a través de uno de los canales de procesamiento (1, 2) por medio de la transmisión de la dirección correspondiente al bus de direcciones (102).

9. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque la transmisión de una dirección para la determinación de un lugar del registro y la escritura de porciones del protocolo para este lugar del registro se realizan a través del mismo canal de procesamiento o a través de diferentes canales de procesamiento.

10. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado, además, porque para la supervisión de la función de los canales de procesamiento (1, 2) se utiliza un componente vigilante conectado entre los canales de procesamiento (1, 2) y el registro intermedio.

11. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque se necesita una señal de liberación desde el componente vigilante para la liberación del acceso al registro intermedio común para la deposición de porciones a inscribir.

12. Procedimiento de acuerdo con la reivindicación precedente, caracterizado, además, porque como registro intermedio (30) se utiliza una RAM estándar, una DPM estándar, o un módulo de memoria/protocolo que no se puede releer, especialmente un chip de ampliación de registro en serie.

13. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado, además, porque el protocolo seguro común es transmitido desde el registro intermedio (30) por un canal a otra instalación de acoplamiento (35) configurada de manera específica de la aplicación.

14. Procedimiento de acuerdo con una de las reivindicaciones precedentes, que se utiliza para el acoplamiento de bus de un canal del proceso crítico para la seguridad.

15. Dispositivo para el acoplamiento de un proceso crítico para la seguridad a partir de un entorno seguro, que presenta al menos dos canales de procesamiento redundantes a un entorno no seguro o un entorno seguro que, sin embargo, presenta menos canales de procesamiento, que comprende al menos dos ordenadores redundantes (11, 21) para el procesamiento de un conjunto de datos de entrada idéntico utilizando reglas idénticas para obtener en cada caso un protocolo seguro (14, 24), y una disposición de circuito para la conexión de cada ordenador (11, 21) con un registro intermedio común (30), de tal manera que para cada lugar de registro del registro intermedio (30) solamente existe una posibilidad de acceso de escritura, respectivamente, para uno de los ordenadores, y está bloqueado el acceso al registro intermedio común para una deposición de porciones a inscribir hasta la verificación de las porciones a inscribir a través de al menos otro ordenador.

16. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque se asignan a los ordenadores autorizaciones de escritura o deberes de verificación a través de funcionalidades de maestro y/o subordinado específicas, pero variables.

17. Dispositivo de acuerdo con una de las reivindicaciones 15 ó 16, caracterizado, además, porque la disposición de circuito comprende un bus común de direcciones (102) y un bus común de datos (103).

18. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 17, caracterizado, además, porque los ordenadores (11, 21) están conectados entre sí a través de una interfaz de comunicaciones (101).

19. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 18, caracterizado, además, porque la disposición de circuito requiere para la liberación de una señal de escritura para el acceso al registro una señal de liberación (26) del ordenador que realiza la verificación.

20. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque la disposición de circuito requiere para la liberación de una señal de escritura para el acceso al registro una señal de liberación (16) del ordenador de escritura.

21. Dispositivo de acuerdo con una de las reivindicaciones precedentes 15 a 20, caracterizado, además, porque la disposición de circuito para la verificación de la función de los ordenadores (11, 21) comprende un componente vigilante conectado con los ordenadores (11, 21) y el registro intermedio.

22. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, demás, porque la liberación del acceso al registro intermedio común para la deposición de porciones a inscribir se realiza solamente bajo reacción a una señal de liberación del componente vigilante.

23. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 22, caracterizado, además, porque los ordenadores (11, 21) comprenden, respectivamente, un chip de protocolo integrado o están conectados en el lado de salida con un chip de protocolo (13, 23) o comprenden un software que acondiciona la función del chip de protocolo.

24. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 23, caracterizado, además, porque el dispositivo está configurado como unidad de usuario de bus y los ordenadores están conectados en el lado de entrada al menos con canales de entrada para la conexión de unidades de entrada de datos de proceso o porque el dispositivo está configurado como unidad de control del bus.

25. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 24, caracterizado, además, porque la disposición de circuito está configurada en lógica sencilla o como FPGA.

26. Dispositivo de acuerdo con la reivindicación precedente, caracterizado, además, porque el registro intermedio (30) es una RAM estándar, una DPM estándar o una memoria que no se puede releer, especialmente un chip de ampliación de registro en serie.

27. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 26, caracterizado, además, porque el registro intermedio (30) presenta una interfaz para un acoplamiento de bus de un canal directo o para la conexión de un canal a una instalación de acoplamiento de bus (35) configurada de forma específica de la aplicación.

28. Dispositivo de acuerdo con una de las reivindicaciones anteriores 15 a 27, que está adaptado para un acoplamiento de bus de un canal del proceso crítico para la seguridad.