用于安全相关过程总线连接的方法和装置的制作方法

专利名称：用于安全相关过程总线连接的方法和装置的制作方法
用于安全相关过程总线连接的方法和装置
本发明涉及用于安全相关过程的单通道总线连接的方法和适合执行该方法的装置。
下面安全相关过程被理解为这样的一个过程当出现错误时产生 对于人和/或对于材料质量的不可忽视的危险。因此在一个安全相关过 程中必须理想地以百分之百的可靠性保证在此过程出现错误时与该过 程相连的后续过程和/或包含此过程的总体系统被转移到一个安全状 态。这种安全相关过程也可以是大的上级总体过程的子过程。安全相关过程的例子是化学工艺，其中的关键参数必须无条件地处于预定范 围内；安全相关过程的另一个例子是复杂的机械控制，如在液压机或 生产线中的机械控制，其中例如一个冲压/剪切机床的开动可代表安全相关子过程。安全相关(子)过程的其它例子是对防护网、防护门或 光电栅栏的监控，对双刀开关的控制或者对紧急断路开关的反应。因别相应的所产生或采集的、即测得的安全相关数据，因为任何错误都可能导致错误的功能和/或反应，它最终会危及人的生命和健康。
为了实现安全性要求，近年来给出了大量协议，它们要求在利用总线系统时几乎无错误地进行数据传输。这尤其是涉及数据传输本身， 也涉及与相应应用或相应过程有关的允许残余错误概率。这里推荐的 标准主要是EN61508和EN954-1,用于检验和确认的原理见行业协会 检验和认证站的"用于传输安全相关消息的总线系统"。
按照这些协议和规范已开发出针对安全性的总线系统，它们以高的冗余度传输数据。可能的错误被及时发现，并且危险可以得到防止。 这类总线的例子是安全总线P， ProfibusF， Interbus Safety等。
然而它们的缺点是为了应用这些针对安全性的总线系统必须更
换掉现已安装的总线系统，并且在数据传输或在数据协议中经常必须 容忍用户数量的限制。
因此开发了针对安全性的方法和/或部件，它们使得现有总线系 统的简单且廉价补充装配成为可能。特别是在控制和自动化技术中所 应用的电子安全方法中被用来传输安全相关数据，特别是在传感器、 执行单元和/或控制装置之间传输数据的是现有的在参与一个过程的 各个单元之间所采用的用于数据通信(现场)总线系统。
例如EP 1I88096B1 z^开了一种用于安全相关过程的控制系统， 它具有一个现场总线，通过该总线将用于控制安全相关过程的控制单 元与一个通过输入/输出通道与安全相关过程相关的信号单元相连接。 为了保证相互间无错误地通信，这些单元具有与安全性相关的装置， 通过这些装置使不可靠的单元变为可靠的单元。具体来说，分别具有 至少两个冗余的处理通道，在一个处理通道中的错误可借助于与另一 个冗余处理通道的结果发生背离而被识别出来，并在必要时被校正。 这种多通道结构尤其是由两个冗余的计算机实现，其中除了这两个冗 余的计算机之外，没有其它的对于安全数据协议的考虑。
倘若不作进一步说明，在下面计算机的一般概念被理解为各种形 式的数据处理装置，如微型计算机、微处理器、微控制器或者PC。
WO 01/15385A2也涉及应用(现场)总线系统控制安全相关过程，
道。每个冗余的通道包括一个计算机，它们相互控制。这个多通道结 构通过另一个连接于现场总线的计算机转化为一个单通道结构(图 3)。包括多通道到单通道转换的其它实施方式在该文件中没有给出。 WO 10/15391A1和乂〉开出版物DE19939567A1给出了另一些可 靠的总线结构示例，它们具有鉴于安全协议形成相互控制的、冗余地 构造的处理通道和/或计算机和接着的由双通道至单通道的转换，此转 换通过另一个连接到总线上的计算机完成，此计算机连接到一个协议 芯片或集成在其中。这里除了两个冗余的计算机之外也没有公开其它 的技术措施和对于安全数据协议的考虑。
专利文献DE 19532639C2涉及用于将借助于两个冗余计算机形 成的数据进行单通道传输的装置，以减小电路开销，此装置把总线连 接功能集成到两个冗余实现的计算机中的一个。只有具有总线连接功 能的计算机具有一个输出通道，来自这个计算机的有效数据和来自另 一计算机的检验数据被送往此通道或者反之，或者这两个计算机的有
效数据和检验数据相互交错地被送往此通道(图4)。然而为了保证 操作总线的计算机不能产生报文时不会影响到另一个计算机，在考虑 到安全性时需要较大的开销，因为一方面无反馈，另一方面计算机对 于形成安全协议的独立性必须被证实。该专利文献对此仅建议了相应 计算机输出的相应连接或不连接。
此外DE10065907A1描述了一种基于"具有交叉比较的冗余"原 理的对并行或串行网络或总线系统上的数据传输进行可靠数据传送的 方法，其中应用一个具有两个逻辑上相同的数据区的中间寄存器，用 于双通道至单通道的转换。完整的、通过总线系统单通道传输的针对 安全性的消息包括中间寄存器的两个数据区的数据内容。在发送侧连 接在中间寄存器之前的也是两个冗余工作的计算机，它们根据应用类
安全数据，并相1S换这些数^以进行检查。、倘若两者得到相同的结 果，则每个计算机传递它的安全数据给中间寄存器，其中每个数据区 中存放相应的一个计算机的安全数据，它们包含用于错误识别的冗余 信息。如果在 一个替代实施方式中此中间寄存器被包含在两个计算机 的一个中，则在与第二计算机协调后该计算机占用中间寄存器的两个 数据区，用于控制的第二个计算机仍然用这两个数据区读出。根据应 用，中间寄存器的两个数据区中一个的数据内容可具有变换后的数据 或其它附加的格式，以识别在发送端、接收端和/或其它数据转发单元 中的系统错误。这里缺点主要在于针对安全性的消息的总数据长度相 对于实际有效数据大得多，从而实际有效数据的数据传输速率很小， 这是因为对于每个要传输的有效数据组，需要传输两个相同的有效数 据组和对应于相同有效数据组中每一个的冗余信息。在每个数据包要
传送的有效数据的数量增大时，如在Interbus的情况下，有效数据与 总数据长度之比更加恶化。
本发明的申请人于2004年8月17日提交的德国专利申请 102004039932.8 (本发明是其进一步改进)已作为一个任务提出为 安全相关过程的可靠总线连接提供另一种新的且更好的途径来将多通 道转换为单通道，并且以简单的实现方式、特别是简单的测试方法在 建立一个针对安全性的协议(它作为安全报文通过一个总线传输)时 保障无反馈和独立性。
为此建议了一种用于单通道连接安全相关过程的方法，其中一个 与对安全性有严格要求的过程相关的数据组通过至少两个冗余处理通 道，特别是按协议规定，按同一规律被分别处理成一个针对安全性的 协议，并且这些冗余的针对安全性的协议为了单通道总线连接又被合 成为一个总的针对安全性的协议，并且每个处理通道对一个公共的中 间寄存器进行访问，其中对于每个寄存器位置只给出一次写操作权限， 使得总的针对安全性的协议(即要传输的安全报文)分别通过写入相 应的针对安全性的协议的相应不同部分而被合成。
这里主要优点在于'. 一方面两个处理通道能够计算出完整的针对 安全性的协议，使其对所需报文长度有积极影响，因为所有数据比特 与不同的安全机制已在冗余的处理通道中预先知道，不需要传输在接 收侧能够得出完美的计算的结论的附加数据比特。此外还保证了一个 处理通道不能单独发送一个安全报文，其中可以简单而高效地通过仅 允许一次给出在一个寄存器位置写数据的权限而实现控制，以保证不 依赖于所用总线(系统)而获得廉价的明显提高的安全性。
用于实施该发明所述方法的智能单元可以通过利用包括至少两 个冗余计算机的装置实现，其中这些用于处理同一输入数据组的计算 机应用同一个形成针对安全性协议的规律而被构造，并且它们通过一
个电路结构与 一个公共的中间寄存器相连接，使得对于中间寄存器的 每个寄存器位置一个写操作只对相应一个计算机给出。
德国专利申请102004039932.8所述的发明使得可通过应用标准
部件并且不依赖于相应总线系统简单地实现、高度动态和高效地实现 无反馈而独立地形成一个针对安全性的协议，其中用于形成安全报文 的特定处理规则合乎目的地适合于满足相应的安全性要求，特别是对
于简单的按照SIL 3 IEC 61508传输的安全性要求。
此外德国专利申请102004039932.8所述的发明建议以合乎目的 的方式设计电路结构，使得每个计算机可在中间寄存器的每个寄存器 位置上进行读操作，从而按照优选的设计在传输整个针对安全性的协 议之前从用于传输每个冗余的处理通道的中间寄存器的每个寄存器位 置上读回，以实现对公共形成的针对安全性协议的确认。通过由此可
通道构成的针;安全性协议的比较，可:;进一步提高;达到的安全性， 因为在一个计算机发生故障或错误时不能产生完整的安全^L文，从而 强制识别为错误并可触发一个针对安全性的功能。
然而现已表明，公共形成的针对安全性协议在错误情况下有时已 经从中间寄存器转交给后续处理，虽然读回的协议的确认还没有结束。
本发明的任务是进一步改进德国专利申请1O2004039932.8的主 题，使得在为确认写入到中间寄存器中的公共的针对安全性协议而进 行的读回过程中，只要此确认还没有完全结束，这个公共的针对安全 性协议从中间寄存器的转移被排除。
本发明的解决方案以令人意料不到的方式由独立权利要求的主 题给出。从属权利要求给出了具有优点的和/或优选的实施方式和进一
步改进。
根据本发明，在读回写入到中间寄存器中的公共的针对安全性协 议以确认它时，公共形成的、写入到中间寄存器中的安全协议或针对 安全性的协议只有在响应每个用于传递或接收的冗余处理通道的释放 时才从中间寄存器被释放用于后续处理。
如果按照本发明这种包括至少两个冗余计算机的装置被设计为 使得在可能对每个计算机在中间寄存器的每个寄存器位置上进行读操
作时，这些计算机包括用于确认从中间寄存器读回的内容和用于响应 肯定的确认而释放中间寄存器内容的装置，这种释放可以通过简单且 廉价的方式通过传送相应的释放信号到中间寄存器而进行。
为了只在出现每个冗余处理通道的释放时能够或释放对中间寄 存器内容的访问以实现其传递或接收用于进一步处理，输出 一个释放 内容的信号或使能信号的激活例如可以通过各个释放信号的与运算来 进行。
在另一个优选实施例中，每个冗余安全协议由数目对应于冗余处 理通道数目的协议部分中的一个构成，并且写操作权限如此被给出， 使得为了由每个处理通道合成公共安全协议的组合，另 一个协议部分 分别被写入到中间寄存器中。
特别是在设计和/或应用根据本发明的装置时，在此装置中至少 两个冗余计算机的每一个被设计为用于基于数据包的数据处理，则在
该方法的改进方案中建议每个冗余安全协议由 一定数量的数据包构 成，并且写操作权限对于一个数据包方式的写入被给出。
本发明还包括以下实施方式，其中至少两个冗余计算机借助于冗 余的硬件和/或冗余的软件构成。
本发明所述的装置和本发明所述的方法不仅可用于一个对安全 性要求严格的过程的单通道总线连接，而且也可用于由一个可靠的、 具有至少两个冗佘处理通道的环境的对安全性要求严格的过程到一个 不安全的环境或者到一个安全的、然而包括较少冗余处理信道的环境 上的其它连接，并且适合于在可靠的处理通道之间在不可靠的传输途 径上的基本上每个连接。
当釆用以下特别优选的实施例时安全性可获得进一步的提高，其 中在写公共的针对安全协议之前，冗余构成的针对安全性协议首先通 过处理通道检查其相互一致性，使得一个公共的针对安全性协议的形 成只有在确认这些针对安全性协议相同、相互独立并由同一个输入数 据组处理得到之后才进行。如果在冗余处理中出现了错误，则它被提 前识别出来，该过程还可以提前进入一个安全状态。这些相互去耦的
计算机最好通过一个通信接口相互连接。
本发明还包括以下实施方式，其中分别确定地分配给相应处理通 道的写操作权限借助于一个测试过程被检验，以进行确认，为此例如 对于每个寄存器位置的全范围读操作是合乎目的的。这里例如可以在 每个处理通道上尝试将分别不同的、专门配置的默认值写入到中间寄
存器的所有寄存器位置中，其中接着每个处理通道读出中间寄存器的 所有寄存器位置并确认该寄存器位置的内容的正确性，这样的测试过
程合理地被多次进行和/或在不同处理通道上通过交替地写入寄存器 位置和读出寄存器位置来进行。基本上每个通过向中间寄存器传输的 部分数据与公共的针对安全性协议或中间寄存器内的确定位置或地址 的连接所建立的安全传递/安全接收规则可以简单地被测试，并且在形 成一个要传输的安全报文时的任何错误、包括基于计算机故障的错误 都可以可靠地被识别出来。特别是，为了保证在输入数据分别针对协 议特定地被处理为一个针对安全性协议之后它的存储及针对协议特定 的向总线的传递，其中针对安全性协议能够基于相应的应用描述安全 协议数据组，按照一个实施方式， 一个计算机可以分别包括一个集成 的协议芯片。在一个替代设计中，此协议芯片也可以在输出侧连接到 一个计算机上。为了避免这种集成的或后接的协议芯片并从而减少构 件和降低成本，在另 一个特别合理的实施例中建议为计算机提供一个 为处理和针对协议特定的数据传递而相应设计的软件。
本发明所述的装置可以构造为总线用户单元，其中这些计算机以 合理方式在输入侧至少与输入通道相连接，用于过程数据输入单元的 单通道或多通道连接，并相应用于要处理的安全相关输入数据的单通
道或多通道采集；或者本发明所述的装置被构造成总线控制单元，它 例如产生要处理的安全相关输入数据。计算机特别是被构造成微控制 器或中央处理单元(CPU)。
用于连接计算机或必要时连接接在计算机之后的协议芯片的电 路结构可以构造成简单的逻辑电路，也可以应用高集成度的开关电路， 例如FPGA (现场可编程门阵列)形式，这些开关电路具有附加的针
对应用特定的优点。
中间寄存器具有一个接口，通过它可将存储在那里的公共的针对
安全性协议单通道地直接输入到一个总线、例如Interbus中，或者单 通道地传送到针对应用特定设计的其它装置，其中特别是另 一个协议 芯片、另 一个微控制器或其它的智能单元可以针对应用特定地被用作 其它装置。
一个标准的RAM足够用作中间寄存器。然而在优选的实施例中， 中间寄存器或中间存储器可设计为双端口存储器(DPM)的形式，从 而可以通过简单且廉价的方式通过两个接口端口中的一个连接计算 机，并通过第二个接口端口实现单通道的其它连接。
下面借助附图详细说明一个优选的、然而仅作为例子给出的实施 方式，从而展示本发明的其它特征和优点。附图中


图1示出用于为要传输的安全报文冗余地形成针对安全性协议的 原理简图，其中借助于冗余的处理通道形成针对安全性协议，并接着 共同形成一个相同的针对安全性协议，这在一个传递/接收规则的控制 下进行，它涉及由针对安全性协议分别得到要传递/接收的部分，如德 国专利申请102004039932.8所述；
图2示出该发明的一个变体的可能的功能电路图，它基于两个分 别冗余计算整个针对安全性协议的微控制器，如德国专利申请 102004039932.8所述；
图3和4示出另一种已知的由双通道转化为单通道的实现方法；
以及
图5示出一个根据图1和图2构造的本发明的优选实施方式，它 涉及从一个可靠的、具有多个冗余的处理通道的针对安全性协议环境 (此协议由数目对应于处理通道数目的数据包构成)到一个用作中间 寄存器的数据区的连接，此数据区被设置在一个不可靠的环境中或者 在只包含较少处理通道的可靠环境中。
图l示出一个未详细示出的总线用户单元或总线控制单元的两个
冗余处理通道1和2，它们用于将一个对安全性要求严格的过程连接 到一个总线40上，例如Interbus。在总线用户单元的情况下每个处理 通道与被配置给对安全性要求严格的过程的、图中同样未示出的输入/ 输出单元、例如传感器和/或执行单元相连接。
在传感器侧的应用的一个总线用户单元根据特定连接类型单通 道地或双通道地通过处理通道l和2提供同样的、用于对安全性要求 严格的过程相关的输入数据，并且合乎目的地首先将这些数据存储在 存储器12或22中用于进一步处理。特别是在总线控制单元的情况下， 要保护的数据在通过总线传输所提供的安全相关输入数据之前位于存 储器12或22中。
在通过总线40传输安全报文之前，输入数据首先利用同样的规 则冗余地被分别处理成针对安全性协议14和24。处理通道为此分别 包括一个微控制器11或21，它们用于将位于存储器12或22中的安 全相关输入数据提供/处理为针对安全性的协议14或24,以及在图1 所示实施例中分别包括一个接在微控制器11或21后面的协议芯片l3 或23，它接收由相应微控制器11或21计算出的针对安全性协议14 或24，用于到总线40的进一步传递。在协议芯片U或23的替代实 施例中，微控制器11和21还可以包括一个相应设计的软件，下面进 一步要说明的计算出的协议14和24到总线40的传递由微控制器11 和21完成。
在计算时倘若没有错误或故障出现，则计算出的安全的或针对安 全性的协议14和24是相同的。应该指出，安全协议在此显然应构造 为使得它满足针对安全性传输规范的要求。
为了进一步提高安全性，建议当安全报文在总线40上传输之前 共同形成另一个相同的、公共的针对安全性协议，它然后可以单通道 地被传递给总线40用于传输。
这个公共的针对安全性协议通过在一个中间存储器或中间寄存 器30中部分合成安全协议14的数据和安全协议24的数据而形成，每
个处理通道1和2可以对中间寄存器进行访问。
为了避免这个公共形成的针对安全性协议只基于来自 一个处理 通道1或2的数据，它仅被一个微控制器11或21同步于一个安全报 文的发送，例如由于两个微控制器中的一个出现故障， 一个规定的或 可规定的访问规则控制在中间存储器30上的写操作权限。该访问规则 确定从每个处理通道1和2只有部分计算出的针对安全性协议可被写 入中间存储器30的相应存储器位置，用于形成公共的针对安全性协 议，对于这部分相应的微控制器11或21有相应的写操作权限。对于 每个存储器或寄存器位置，按照本发明只相应规定一个写操作权限。
假设安全协议14和24是相同的，每个协议包括相同数量的字节， 在图1中用字节X至字节X+5表示。在图l所示例中对于处理通道2 的微控制器21，写操作权限被配置给用于字节X，字节X+2及字节 X+4的中间存储器30的存储器地址；对于处理通道1的微控制器11， 写操作权限被配置给用于输入字节X+1,字节X+3和字节X+5。这样 每个微控制器11和21只被配置一个写操作权限用于把每两个字节输 入到中间存储器30中。
例如如果X=0并且冗余的针对安全性协议14和24以及要公共 形成的同一针对安全性协议(即后续要发送的安全报文)由总共6个 字节组成，在冗余的安全协议内的并且也是在要发送的安全报文内的 数据例如由一个2比特的包头、接着的14比特有效数据、8比特的地 址和24比特的CRC校验和組成。通过如上所规定的写操作权限配置， 包含2比特的包头和有效数据的前6个比特按图1所示由处理通道2 计算出的安全协议24担任，接着的8比特有效数据由处理通道1计算 出的协议14担任，包含8比特的地址也是由协议数据组24取出，而 包含24比特的CRC校验和的各部分先后由计算出的协议14, 24和 14担任。
作为中间存储器，可以采用一个标准的RAM,或者最好采用一 个标准的DPM，这在后面还要说明。
在只有两倍冗余的情况下，如果进一步以合理方式允许两个处理
通道1和2的微控制器11和21在中间存储器30上进行完全的读访问， 则可以进一步提高安全性。
这样就可以简单地比较整个数据，其中一方面可以简单的方式检 查公共形成的、作为安全报文传输的安全协议(它例如满足SIL 3 IEC 61508所述对简单传输的安全性要求)是否无错误，并且还可以相对 于各个以前分开形成的针对安全性协议14或24进行确认。此外对于 每个处理通道1和2全范围的读操作使得在一个对安全性要求严格的 过程的控制/监控/调节现场符合目的地进行的检查访问规则是否无错 误地被执行成为可能。为此尤其是检查一个或另一个处理通道的相应 微控制器的计算出的数据是否像应保证做到的那样只被写入到中间存 储器30的所指配的存储器地址中。
这个"自我确认"和/或"交叉确认"如果获得不同的结论，则 强制识别为错误并启动 一个针对安全性的功能。
图2举例示出图l所示写操作权限的一个变体的可能的原理电路 图以及作为确认基础的全范围读操作权限，其中用预先写入的软件代 替协议芯片。
如图2所示，左边标有M的区域包括具有安全考虑的本发明所 述的多通道结构，而右边标有E的区域包括单通道结构以及要作为安 全报文传输的、公共形成的针对安全性协议。
基本上基于图1，两个微控制器11和21通过一种已知的方式被 去耦，在图2中用附图标记100来表示，并且它们还通过一个通信接 口 101相互连接，用于附加地对各自独立计算出的针对安全性协议14 和24进行相互检验。
地址总线102用于地址Ax,其中x在0与N之间；数据总线103 用于数据Dx,其中x在0和N之间；以及信号/CS(片选)和/RD(读) 像通常那样直接加到图2所示的标准DPM上以及加到相应用于信号 /CSL或/RDL的管脚上。地址线A0与微控制器11和21的写信号 /WRjCl和/WR—pC2相关联，使得在偶数地址时仅有微控制器11 有写操作权限，在奇数地址时只有微控制器21有写操作权限。
只在上述两种情况下写信号/WR可以通过用于"低电平激活"信 号/WL的相应管脚,皮加到标准DPM的RAM上。然而这两个孩i控制 器11和21可以对整个存储器30进行读访问。
则测试例如按以下步骤进行
微控制器11试图写一个默认值，例如FFh到DPM30的所有存 储器位置。
微控制器21试图写另一个默认值，例如OOh到PM30的所有存 储器位置。
接着，微控制器11读取DPM30的所有存储器位置并且检验是否 只有指配给微控制器21的存储器位置中输入了值OOh，并且必要时检 验是否在指配给微控制器11的存储器位置中输入了值FFh。接着微控 制器11再一次试图写值FFh到所有存储器位置。
接着，微控制器21读取DPM30的所有存储器位置并且检验是否 只有被指配给微控制器11的存储器位置中输入了值FFh，并且必要时 检验是否在被指配给微控制器21的存储器位置中输入了值OOh。
如果期待的结果出现错误，则识别为错误，并且启动一个针对安 全性的功能，例如过程被转入一个可靠的状态中。如果不出现错误， 则结论是访问联锁工作正常。根据本发明的这个实现方法的一个主要 特征在于，不直接利用各个微控制器11或21的写信号本身，而是与 地址相结合地进行，因为只有被指配给相应微控制器的地址上才能被 写入。
存储在DPM 30的RAM中的数据通过一个程度最高的安全协议 得到保护。DPM 30与传输通道类似地被看成是不安全的。这种安全 性另一方面还如此来实现在处理侧，即在图2中用M表示的区域中 存在一个对数据的结构或内容的期望。对DPM30中中间存储数据的 进一步处理或分配例如通过从DPM 30单通道地接收数据的另一个微 控制器35来实现，并且接着被传输到总线系统上，例如通过接入一个 现场总线40。
通过执行自我确认，两个微控制器11和21自动监控在把安全报 文实际写入到中间存储器30中时的访问规则，并且存储在存储器中的 数据可以单通道地通过中间存储器30的一个接口被传输，以传输到协 议芯片、另一个微控制器或其它的智能单元。由于在一个微控制器ll 或21发生故障或出错时不再能产生完整的安全报文，明确识别出错误 并触发一个针对安全性的功能。对冗余结构M的安全性考虑随着把数 据存入存储器30而结束，此后起作用的是协议的安全机制，因为此后 可能发生的错误对于传输一直是存在的并且必须得到控制。一个被"用 于传输安全相关消息的总线系统"视为来自检测和确认原理的错误是 消息出错。
通过前面所述写权限和在公共形成的安全协议中所写的位置以 及两个微控制不受限的读操作权限的无条件联系，保证了通过应用标 准元件就可实现在真正在总线40上传输之前对要发送的安全报文进 行比较或确认。因此一个微控制器11或21是不能单独发送安全报文的。
图2所示功能电路图可以由一个简单的逻辑电路实现，然而也可 以用例如FPGA实现。当然也可取代图2所示的DPM30而采用简单 的标准RAM。然而通过应用DPM简化了有关从中间存储器读出安全 报文的电路，对于本领域技术人员很明显的是，图2所示电路结构只 是用于明确的写操作授权的一种可能方案。数据线例如也可以如此分 配 一个计算机只能在中间存储器的上面的数据线上写操作，而另一 个计算机只能在中间存储器的下面的数据线上写操作。按照本发明的 写操作规则也可用于多于两个的冗余计算机/处理通道。
图5以原理图方式示出本发明的一个优选实施方式，其中在完整 执行了从一个数据存储器30读回安全报文的自确认并得到肯定结果 之后才释放它用于进一步传输。
图5示出两个处理通道1和2，它们是安全系统的一部分并且针 对应用特定地可借助于多通道的硬件或多个软件处理或它们的任意组 合构成，其在整体上给出一个基本上对应于前面所述要求的安全性，
用于确保安全性技术要求。这样的安全系统也包括至少两个冗余的可
靠处理通道l， 2，它们用于产生至少一个配置给对安全性要求严格的 过程的安全协议，以得到相应更高的安全性。
处理通道1和2，或者包括在其中的同样基于不同硬件或基于一 个公共硬件的不同软件的计算机11, 21在本实施例中被设计成进行针 对数据包的数据处理。
根据图5，每个安全处理通道1和2构造一个完整且相同的安全 协议14或24。基于针对数据包的数据处理的实现，在此每个安全协 议14和24分别由一定数目的数据包15和16构成。数据包15和16 的数目在本实施例中还对应于安全处理通道1和2的数目，从而每个 安全协议14和24由两个数据包15和16构成。
安全处理通道1和2可以可选地通过一个通信接口 101相互连接， 例如在相应数据包或协议部分15和16为了进一步处理、即写入到数 据存储器30而被释放之前，相互比较所形成的协议14和24。然而这 样的比较在这个位置上不是一定要进行的。
处理通道1和2在数据存储器30上读和写数据的访问权限以适 当的方式明确地控制，例如通过一个在图5中用标号8示出的硬件访 问联锁实现。基于处理通道1和2对数据包进行数据处理的实现，在 图5所示实施方式中写操作权限如此被指配，使得一个相应的以数据 包方式写数据到数据存储器30中是可行的。
为了确保由每个处理通道1和2分别把不同的数据包写入到数据 存储器30中，例如访问权限可以是处理通道1只能在数据存储器 30的第一个相关存储区的存储位置上写操作，而另一个处理通道2只 能在另一个相关存储区的存储器位置上写操作。
在图5中处理通道l的写操作权限和读操作权限用标有"sr或 "L，，的箭头表示，处理通道2的写操作权限和读操作权限由标有"S2，， 或"L2"的箭头表示。这样，处理通道1只可以把数据包15写到公 共数据存储器30中，而处理通道2可以把数据包l6写到公共数据存 储器30中。然而两个处理通道1和2都有权从数据存储器30分别读出两个数据包15和16。
每个安全的冗余处理通道1和2还分别把各自所产生的安全协议 14或24的不同部分设置到公共数据存储区30中，以在那里共同组合 成一个安全协议。
在处理通道1写入协议14的数据包15而处理通道2写入协议24 的数据包16到公共数据存储器30中作为相应的协议部分之后，安全 的冗余处理通道1和2从数据存储处理器30读出整个数据并将它与各 自内部释放的安全协议或数据组14或24相比较。如果比较的结果是 读出的数据与各自内部释放的数据组相同，则处理通道1或2释放数 据存储器30中的公共形成的安全协议用于后续处理，此释放通过适当 的手段和/或措施进行，例如借助于一个释放信号9。仅当每个冗余处 理通道1和2都已释放数据存储器30中的公共形成的安全协议用于后 续处理时它才真正从数据存储器30被释放用于传递/接收。为了只在 每个冗余处理通道都出现释放信号时才能够或允许存储用于其传递或 接收的中间寄存器内容用于后续处理，例如可以通过分别由每个冗余 处理通道1， 2给出的释放信号的与运算来激活一个释放相应内容输出 的信号或使能信号。
公共形成的协议在从数据存储器30传递/接收后的进一步传送可 以是任意的，例如按照前面对图1和2的说明进行，并且基本上只与 集成在安全协议中的那些措施有关。
图5所说明的实施方式不仅适合于对安全性要求严格的过程的单 通道总线连接，而且也适合于对安全性要求严格的过程从一个安全的、 具有至少两个冗余处理通道的环境到一个不安全的环境或者安全的、 但是具有少量通道的环境的其它连接，而不危及其安全性。前面所述 的连接机制合乎目的地可用于可靠的处理单元之间通过不可靠的传输 途径的每个连接。对于网络上、例如Interbus或以太网上的数据传输 以及在设备内部，包括其扩展、如在线站点、可配置设备的数据传输， 它都是有效的。
应该指出原理上数据可以以相同的方式方法从一个不可靠的或
者从一个可靠的、但具有较少处理通道的环境接收到一个可靠的、具 有多个处理通道的过程环境中。
权利要求
1. 用于对安全性要求严格的过程的单通道总线连接的方法，其中与对安全性要求严格的过程相关的数据组通过至少两个冗余处理通道(1，2)，特别是针对协议特定地，按照相同的规则被分别处理成相应的安全协议(14，24)，并且为了单通道总线连接，这些冗余安全协议(14，24)被合成为一个公共的安全协议，并且这通过每个处理通道(1，2)对一个公共的中间寄存器(30)进行访问而实现，其中对于每个寄存器位置只给出一个写操作权限，使得公共的安全协议分部分地通过写入相应安全协议的不同部分而合成得到，其中在公共的安全协议从中间寄存器(30)被传递出来之前，为了确认公共形成的安全协议，由每个冗余处理通道(1，2)读出中间寄存器(30)的每个寄存器位置的内容，其特征在于，只有在响应每个用于传递或接收的冗余处理通道(1，2)的释放时公共形成的安全协议才从中间寄存器被释放，用于后续处理。
2. 如上一权利要求所述的方法，其特征在于，处理通道(l， 2) 的释放通过从处理通道到中间寄存器传输一个释放信号来进行。
3. 如上一权利要求所述的方法，其特征在于，在出现每个冗余 处理通道(l, 2)的释放时通过各个释放信号的与运算激活一个使能 信号。
4. 如以上权利要求中任一项所述的方法，其特征在于，每个冗 余的安全协议(14， 24)由数目对应于冗余处理通道(1， 2)数目的 协议部分组成，并且为了合成公共的安全协议，每个处理通道分别把 一个不同的协议部分写入到中间寄存器中。
5. 如以上权利要求中任一项所述的方法，其特征在于，每个冗 余的安全协议(14， 24)由一定数目的数据包构成，并且写操作权限 对于数据包方式的写操作被设定。
6. 如以上权利要求中任一项所述方法的应用，此应用不是用于 对安全性要求严格的过程的单通道总线连接，而是用于对安全性要求 严格的过程从一个可靠的、具有至少两个冗余处理通道的环境到一个 不可靠的环境或者到一个可靠的、但是具有较少冗余处理通道的环境 的其它连接。
7. 如上一权利要求所述方法的应用，用于可靠的处理通道之间 通过不可靠的传输途径进行的连接。
8. 用于对安全性要求严格的过程的单通道总线连接的装置，它 包括至少两个冗余的计算机(11， 21)，这些计算机用于特别是针对 协议特定地应用相同的规则处理相同的输入数据组，得到各自的安全 协议(14， 24),此装置还包括一个电路结构，用于将每个计算机(ll， 21)与一个公共中间寄存器(30)相连接，使得对于中间寄存器(30) 的每个寄存器位置，写操作权限只给予相应一个计算机，而读操作权 限则给予每个计算机(11， 21),其特征在于，每个计算机都包括用 于确认一个从中间存储器读回的内容和用于在成功认证条件下释放中 间寄存器内容的装置。
9. 如上一权利要求所述的装置，其特征在于，至少两个冗余计 算机(ll， 21)中的每一个被设计成用于基于数据包的数据处理。
10. 如以上权利要求中任一项所述的装置，其特征在于，至少两 个冗余计算机借助于冗余的硬件和/或冗余的软件构成。
11. 如以上权利要求中任一项所述装置的应用，此应用不是用于单通道总线连接，而是用于对安全性要求严格的过程从一个可靠的、具有至少两个冗余处理通道的环境到一个不可靠的环境或者到一个可 靠的、但是具有较少冗余处理通道的环境的其它连接。
全文摘要
本发明提出一种方法，其中按照德国专利申请102004039932.8，一个与对安全性要求严格的过程相关的数据组通过至少两个冗余处理通道(1，2)按照相同的规则被分别处理成相应的安全协议(14，24)，并且这些冗余安全协议(14，24)被合成为一个公共的安全协议，其中这通过每个处理通道(1，2)对一个公共的中间寄存器(30)的访问实现，其中对于每个寄存器位置只给出一次写操作权限，使得公共的安全协议分部分地通过写入相应安全协议的不同部分而合成得到，其中在公共的安全协议从中间寄存器(30)被传递出来之前，为了确认公共形成的安全协议，由每个冗余处理通道(1，2)读出中间寄存器(30)的每个寄存器位置的内容，其特征在于，只有在响应每个冗余处理通道(1，2)的释放请求时公共形成的安全协议才被释放，用于传递。
文档编号H04L12/40GK101385282SQ200780005711
公开日2009年3月11日 申请日期2007年2月15日 优先权日2006年2月17日
发明者J·卡尔霍夫, R·艾施, S·霍恩 申请人:菲尼克斯电气公司