CONTROL DE SEGURIDAD.

Control con al menos un medio de procesamiento de datos para la realización de un primer canal de datos (1) y de un segundo canal de datos (2),

con un medio de transmisión de datos (3), que está conectado con ambos canales de datos (1, 2), de tal manera que a través del medio de transmisión de datos (3) se pueden transmitir datos desde al menos un canal de datos (1, 2) a una instalación de orden superior conectada en el control, y con un bloqueo de datos activo (4), por medio del cual se puede ejercer una influencia sobre la transmisión de datos realizada a través del medio de transmisión de datos a la instalación de orden superior (5), caracterizado porque el medio de transmisión de datos (3) está realizado a través de un medio de memoria, al que son posibles varios accesos al mismo tiempo, en el que la transmisión de datos realizada a través del medio de transmisión de datos (3) a la instalación de orden superior (5) se puede influenciar por medio del bloqueo de datos (4), de tal manera que la instalación (5) de orden superior solamente recibe un derecho de acceso a datos memorizados en el medio de transmisión de datos (3) cuando cada uno de los dos canales de datos (1, 2) ha concedido explícitamente su conformidad para la liberación del bloqueo de datos (4)

La presente invención parte del campo de la técnica de automatización, en particular del campo de los controles programables, en particular el campo de los controles de seguridad, y describe un dispositivo para la elevación de la seguridad en procesos de aplicación así como un procedimiento para el funcionamiento de un control de este tipo.

En máquinas herramientas, máquinas de presión y máquinas de embalaje o en aplicaciones de montaje, de manipulación y de robótica, la protección de personas contra movimientos incontrolados de la máquinas es prioritaria. Todos los fabricantes de máquinas deben realizar, en el marco del diseño de sus máquinas, un análisis de amenazas y una evaluación de riesgos. Para el cumplimiento de estos requerimientos muy altos son necesarios los llamados controles de seguridad para el control de las máquinas.

El documento DE 102004018857 A1 muestra un control de seguridad del estado de la técnica. El cometido de la solución descrita aquí consiste en preparar un procedimiento y un dispositivo para el control de funciones de seguridad en el marco de un control del sistema ajustado a funciones de seguridad, de manera que el programa de seguridad que agrupa las funciones de seguridad se caracteriza por una complejidad reducida y se puede ejecutar en entorno de programa inseguro discrecional, sin que errores en el control de funciones de seguridad no relevantes para la seguridad conduzcan a un fallo durante el control de funciones de seguridad.

Los procesos de aplicación en conexión con controles de seguridad son realizados, en general, por medio de un control propiamente dicho y por una pluralidad de aparatos de campo. El cometido de los aparatos de campo es detectar y supervisar los estados de procesos y transmitir estas informaciones relevantes para el proceso al control o recibir informaciones relevantes del proceso desde el control. Los aparatos de campo pueden ser, por ejemplo, sensores, pulsadores, avisadores de movimiento, pero también accionamientos eléctricos. La conexión entre el aparato de campo y el control se realiza, por ejemplo, por medio de los llamados medios de entrada y de salida (módulos de entrada / salida). Los módulos de entrada y salida se pueden comunicar con el control, por ejemplo, por medio de un bus de campo. Los módulos de entrada y salida pueden estar ordenados jerárquicamente y se conectan, en general, por medio de una llamada cabeza de bus de campo en el bus de campo. A un control seguro pertenecen también módulos de entrada y de salida seguros.

Actualmente, la Firma Solicitante ha adquirido en el mecano bajo la designación SERCOS Interface® (SErial Real Time COmmunication System) un sistema de comunicaciones distribuido con estructura de forma anular, que es adecuado como bus de campo para aplicaciones de seguridad, pero que no está prescrito obligatoriamente. Los usuarios están conectados aquí normalmente por medio de guías de ondas ópticas con un usuario central (por ejemplo, el control). El sistema SERCOS Interface® especifica una comunicación estrictamente jerárquica. Los datos son intercambiados en forma de bloques de datos, los llamados telegramas o “Cuadros” (Frames) en ciclos de tiempo constante entre el control (maestro) y las subestaciones (subordinado). No tiene lugar una comunicación directa entre los otros usuarios o bien las subestaciones. Adicionalmente se establecen contenidos de datos, es decir, que la importancia, representación y funcionalidad de los datos transmitidos está en gran medida predefinidos. En el sistema SERCOS Interface®, al maestro corresponde la activación del control en el anillo y al subordinado corresponde la conexión de una o varias subestaciones (accionamientos o módulos de entrada y salida). Son posibles varios anillos en un control, siendo la coordinación de los anillos individuales entre sí una tarea del control y no es especificada por el sistema SERCOS Interface®. Normas de bus de campo alternativas serían Profibus o CAN-Bus.

La condición previa básica para componentes de una aplicación de seguridad es que éstos adopten un estado seguro en el caso de una avería de funcionamiento. Por un estado seguro se entiende aquel estado, que impide con seguridad una amenaza potencial. Para el campo de la técnica de automatización, en general, el estado libre de energía es un estado seguro. Para la comunicación se utiliza en estas aplicaciones los llamados buses de campo seguros, que se pueden basar, por ejemplo, en el sistema SERCOS Interface® descrito anteriormente. Los componentes relevantes para la seguridad deben cumplir, además, las normas competentes, como la IEC 61508 y son certificados por centros de certificación, como por ejemplo el TÜV. Además, existen diferentes niveles de seguridad SIL 1-4, a los que se pueden asociar estos módulos.

Los controles conocidos a partir del estado de la técnica trabajan, en general, con al menos un medio de procesamiento de datos para la realización de al menos dos canales de datos así como con preferencia con una derivación de datos, por medio de la cual confluyen los dos canales de datos y pueden ser depositados en un medio de memoria. Los datos se pueden depositar también sin la utilización de una derivación en una memoria y a continuación se puede verificar su corrección. Una unidad de procesamiento de datos de orden superior puede acceder entonces a la memoria y puede leer los datos. En la unidad de procesamiento de datos de orden superior se trata, en general, de un sistema Host, por ejemplo un sistema de bus de campo (Profibus, SERCOS, etc.).

Los principios conocidos a partir del estado de la técnica para la realización de controles de seguridad pueden ser propensos a fallos y, por lo tanto, representan un riesgo para la seguridad, cuando es posible un acceso al medio de memoria en cualquier momento y de forma incontrolada. Es decir, que independientemente de si los datos están presentes completos o correctos en el medio de memoria, se podría realizar un acceso a datos teóricamente incompletos y, por lo tanto, inseguros. El documento EP-A-1 672 446 y el documento EP-A-1 128 241 describen, respectivamente, un control de acuerdo con el preámbulo de la reivindicación 1.

El cometido de la invención consiste en elevar adicionalmente la seguridad de controles de seguridad.

La invención soluciona este cometido con el control de acuerdo con la reivindicación 1 y con el procedimiento de acuerdo con la reivindicación 12. En este caso, el cometido se soluciona utilizando un control con al menos un medio de procesamiento de datos para la realización de un primer canal de datos y de un segundo canal de datos así como con un medio de transmisión de datos o bien con una memoria de transferencia, que está conectada con los dos canales de datos de tal forma que a través del medio de transmisión de datos se pueden transmitir datos desde al menos un canal de datos a una instalación o bien sistema Host o bien Host de orden superior que está conectado en el control, de manera que de acuerdo con la invención está previsto un bloqueo activo de datos o bien un bloqueo activo de Host, por medio del cual se puede ejercer una influencia sobre la transmisión de datos, que puede ser realizada a través del medio de transmisión de datos, a la instalación de orden superior.

En el medio de transmisión de datos se trata de una unidad de cálculo (microcontrolador, CPU), que puede realizar al mismo tiempo varios canales de datos (en tiempo real). Evidentemente, también se podrían utilizar varias unidades de cálculo en paralelo, que están realizadas sobre el mismo silicio o se pueden constituir por separado. La realización concreta depende de la aplicación y del volumen futuro de datos. La solución de acuerdo con la invención tiene la ventaja de que se puede realizar una transmisión de datos a la instalación de orden superior en un instante definible y la instalación de orden superior solamente recibe un derecho de acceso cuando los datos a leer son válidos. La solución de acuerdo con la invención se puede emplear en conexión con todos los protocolos disponibles (SERCOS, Profibus, etc.), aunque entonces el protocolo seguro a transmitir se base, por ejemplo, en un número impar de bytes. Con la idea de acuerdo con la invención se evitan accesos en colisión al medio de transmisión de datos a través de accesos de datos por medio de varias instancias (unidad de cálculo, instalaciones de orden superior, canales) y se puede controlar la transmisión de datos, lo que facilita especialmente el cumplimiento de las especificaciones de centros de certificación para aplicaciones relevantes para la... [Seguir leyendo]

1. Control con al menos un medio de procesamiento de datos para la realización de un primer canal de datos (1) y de un segundo canal de datos (2), con un medio de transmisión de datos (3), que está conectado con ambos canales de datos (1, 2), de tal manera que a través del medio de transmisión de datos (3) se pueden transmitir datos desde al menos un canal de datos (1, 2) a una instalación de orden superior conectada en el control, y con un bloqueo de datos activo (4), por medio del cual se puede ejercer una influencia sobre la transmisión de datos realizada a través del medio de transmisión de datos a la instalación de orden superior (5), caracterizado porque el medio de transmisión de datos (3) está realizado a través de un medio de memoria, al que son posibles varios accesos al mismo tiempo, en el que la transmisión de datos realizada a través del medio de transmisión de datos (3) a la instalación de orden superior (5) se puede influenciar por medio del bloqueo de datos (4), de tal manera que la instalación (5) de orden superior solamente recibe un derecho de acceso a datos memorizados en el medio de transmisión de datos (3) cuando cada uno de los dos canales de datos (1, 2) ha concedido explícitamente su conformidad para la liberación del bloqueo de datos (4).

2. Control de acuerdo con la reivindicación 1, en el que al menos un canal de datos (1, 2) utiliza una interfaz física de datos para el intercambio de datos con el medio de transmisión de datos (3), que es la misma interfaz física de datos que utiliza el medio de transmisión de datos (3) para el intercambio de datos con el bloqueo de datos (4).

3. Control de acuerdo con una de las reivindicaciones anteriores, en el que la influencia sobre la transmisión de datos se realiza por medio de una señal de liberación de datos (6), que se puede generar también a través del medio de procesamiento de datos.

4. Control de acuerdo con una de las reivindicaciones anteriores, en el que la influencia sobre la transmisión de datos se realiza por medio de una señal de liberación de datos (6), que se puede generar también a través de un medio de supervisión (9) controlable en el tiempo.

5. Control de acuerdo con una de las reivindicaciones anteriores, en el que el bloqueo de datos (4) está realizado por medio de un control del bus de datos que trabaja bidireccionalmente, y que se puede controlar por medio de una lógica de control interna y está dispuesta entre el medio de transmisión de datos (3) y la instalación (5) de orden superior conectable por medio de al menos un bus.

6. Control de acuerdo con una de las reivindicaciones anteriores, en el que está previsto un medio de ensayo, que está realizado por medio de una señal de retorno (8) , por medio de la cual se puede verificar la capacidad funcional del bloqueo de datos (4).

7. Control de acuerdo con una de las reivindicaciones anteriores, en el que están comprendidos más de dos canales de datos (1, 2, 7).

8. Control de acuerdo con una de las reivindicaciones anteriores, en el que este control está realizado como módulo de enchufe para un PC de la industria.

9. Control de acuerdo con una de las reivindicaciones anteriores, en el que este control está comprendido por una instalación de regulación del accionamiento.

10. Control de acuerdo con una de las reivindicaciones anteriores, en el que este control está comprendido por un SPS.

11. Disposición para el control seguro de al menos un módulo de entrada seguro y/o de un módulo de salida seguro, que comprende un control de acuerdo con una de las reivindicaciones 1 a 11, en el que entre el control y el módulo de entrada y/o el módulo de salida está prevista la instalación (5) de orden superior, por medio de la cual se pueden transmitir datos entre el control y el módulo de entrada seguro y/o el módulo de salida seguro por medio de un protocolo de datos seguro.

12. Procedimiento para el funcionamiento de un control con al menos un medio de procesamiento de datos para la realización de un primer canal de datos (1) y de un segundo canal de datos (2) así como con un medio de transmisión de datos (3), que está conectado con los dos canales de datos (1, 2), de tal forma que a través del medio de transmisión de datos (3) se pueden transmitir datos desde al menos un canal de datos (1, 2) a una instalación (5) de orden superior conectada en el control, en el que está previsto un bloqueo activo de datos (4), por medio del cual se puede ejercer una influencia sobre la transmisión de datos realizable a través del medio de transmisión de datos (3) a la instalación (5) de orden superior, con las siguientes etapas del procedimiento:

a) procesamiento de datos a través del medio de procesamiento de datos;

b) transmisión de datos por medio de los canales de datos (1, 2) al medio de transmisión de datos (2), que está realizado a través de un medio de memoria, al que son posibles varios accesos al mismo tiempo;

c) influencia sobre el flujo de datos para una instalación (5) que se puede conectar en el control, de tal manera que la instalación (5) de orden superior solamente recibe un derecho de acceso a datos memorizados en el medio de transmisión de datos (3) cuando cada uno de los dos canales de datos (1, 2) ha concedido explícitamente su conformidad para la liberación del bloqueo de datos (4). 13. Procedimiento de acuerdo con la reivindicación 12, en el que el medio de procesamiento de datos genera una señal para la generación de una señal de liberación de los datos (6) teniendo en cuenta un resultado de una verificación de datos transmitidos por medio de los canales de datos (1, 2) al medio de transmisión de datos (3).

14. Procedimiento de acuerdo con una de las reivindicaciones 12 ó 13, en el que por medio del bloqueo de datos (4) se transmiten datos bidireccionalmente, siendo activado el bloqueo de datos (4) por medio de una señal de

10 liberación de datos (6).

15. Procedimiento de acuerdo con una de las reivindicaciones 12 a 14, en el que especialmente durante la inicialización del control se verifica la función del bloqueo de datos (4).