用于模块化验证设备配置的方法与流程

在当今的安全技术中，在对设备中实施配置时必须确保所设置的配置被正确地实施，以便例如可以识别在其上创建了配置的外部输入设备(诸如，计算机或智能电话)的存储错误和/或配置的传输错误。该检查过程称之为验证。

常见的验证方法是将所实现的参数可视化回到输入设备上，并使授权的用户明确确认参数的正确性。在此，先前的验证方法需要用户了解整个系统，即了解关于所有设定参数的知识，以便可以对设备的整个配置实施验证。因此，这种验证是复杂和困难的，并且带来了使验证容易出错的误差源。

换句话说，在创建和实施配置或将配置传输到设备之后，由必须完全理解设备的整个配置的选择的人对设备的整个配置进行验证。

因此，本发明的任务在于提供用于模块化验证设备配置的方法，利用该方法保障了简单且安全地验证设备。

根据本发明，该任务通过具有权利要求1的特征的用于模块化验证设备配置的方法得以实现。

换句话说，提出了用于模块化验证设备配置的方法，包括以下步骤：将设备的配置划分成被验证的至少两个部分配置；将这些部分配置分配给至少一个部分配置序列，其中预先确定了这些部分配置的验证的相互依赖性；确定每个部分配置的参数，其中这些参数用于验证各个部分配置；为每个部分配置计算单个校验和(einzel-prüfsumme)，该单个校验和表示部分配置的验证，其中在验证部分配置序列中后面的部分配置时，复算前面的部分配置的单个校验和，并且在单个校验和一致时，确认前面的部分配置的验证，并且其中当针对每个部分配置序列验证了最后的部分配置时，设备的配置被验证。

由此产生的优点在于，部分配置可被不同的用户验证，其中用户只需要具有关于将由他们验证的相应的部分配置的了解或理解，而不必完全理解整个设备的配置。

根据优选的实施例，输入单元和/或输出单元、控制装置、接口和设备的其它单元被划分为部分配置。这能够减少知识以便仅以设备的部分配置的部分知识来验证设备的配置，其中仍然保障了设备的总体配置的安全验证。

根据另一优选的实施例，在后面的部分配置中确认对每个紧接前面的部分配置的验证。也就是说，在验证后面的部分配置时，复算前面的部分配置的单个校验和，并且与在验证前面的部分配置时所计算的单个校验和进行比较，使得在单个校验和一致时仅确认前面的部分配置的验证。换句话说，当前面的部分配置已由另一用户验证并且前面的部分配置的复算的单个校验和仍然正确时，用户例如只需要理解将由他验证的部分配置，以便验证这个部分配置，并确认前面的部分配置的验证。

此外，根据另一优选的实施例，部分配置序列被分成不同的分支，使得部分配置不同地相互依赖。通过这种方式，例如可以更直观和清楚地再现部分配置的技术关系。有利地，每个部分配置与验证状态相关联，其中每个部分配置的验证状态取决于前面的部分配置的验证状态。特别地，验证状态指明部分配置是否被验证。由此，导致验证的安全级别提高，因为当前面的部分配置的验证状态未被验证或改变时，部分配置的验证无法确认。

根据另一优选的实施例，当前面的部分配置的验证状态从被验证变为未被验证时，后面的部分配置的验证状态从被验证变为未被验证。特别地，当部分配置的参数改变时，部分配置的验证状态改变。通过这种方式确保了，当部分配置序列的部分配置之一的验证状态尚未被验证或改变时，沿着部分配置序列的验证不会被错误地确认。

优选地，将参数区分为第一安全相关的参数和第二非安全相关的参数，其中根据部分配置的第一参数计算单个校验和。特别地，在验证后面的部分配置时，除了前面的部分配置的单个校验和还指明了第二参数。在此，更具体地，第二参数包括说明(beschreibung)，优选以明文形式的说明，其表示部分配置的语义、功能和/或验证状态。由此，产生的优点在于，必须验证后面的部分配置的用户通过第二参数被告知有关前面的部分配置的了解或信息，以便他可以更容易领会前面的部分配置的运行方式(funktionsweise)。

根据另一优选的实施例，单个校验和由外部输入设备计算并显示给用户以进行可信度测试在此优选地，部分配置的安全相关的参数用于计算单个校验和，其中在计算后面的部分配置的单个校验和时，前面的部分配置的安全相关的参数包含在计算中，使得前面的部分配置的安全相关的参数被考虑在后面的部分配置的单个校验和中。有利地，前面的部分配置的参数不需要由用户验证，因为这些参数已经通过验证前面的部分配置的单个校验和进行验证了。

根据另一优选的实施例，部分配置或部分配置序列的验证通过访问加密技术(zugangsverschlüsselung)，优选密码或pin，进行保护。通过这种方式，应验证部分配置或部分配置序列的用户在没有访问密码的情况下不能获得前面的部分配置或部分配置序列的详细信息，因为该详细信息已被加密技术保护，并且只有前面的部分配置或部分配置序列的单个校验和向用户显示以用于复算和确认。特别地，部分配置的验证被分派预定的认证级别，使得只有经认证的用户，例如经授权的客户或支持人员，在所分派的部分配置中获得动用权(zugriff)，并实施验证。

根据另一优选的实施例，所有部分配置序列的最后的部分配置是相同的。也就是说，所有的部分配置序列具有共同的最后的部分配置，使得部分配置序列通过计算最后的部分配置的单个校验和来验证。另一方面，优选地，至少两个部分配置序列的最后的部分配置是不同的。换句话说，当划分了至少两个部分配置序列且这些部分配置序列在技术上相互独立时，每个部分配置序列具有最后的部分配置，其中最后的部分配置也彼此独立。通过计算最后的部分配置的相应的单个校验和来验证部分配置序列。

本发明的优选实施例和改进方案以及其它优点可以从从属权利要求、以下说明和附图中获悉。

附图说明

下面将参考附图并根据实施例对本发明的其它优点和特征进行阐述。其中：

图1示出了安全控制装置的示意图，以及

图2示出了根据本发明的方法的示意图。

图1示出了示例性的安全控制装置11的示意图，该安全控制装置被配置为设备，从而验证安全控制装置11或设备的配置。下面根据示例性的安全控制装置11，对根据本发明的用于模块化验证设备或安全控制装置11的配置的方法进行描述。在此，设备或安全控制装置11的配置在外部输入设备(例如，优选计算机或智能电话)上创建，然后在设备或安全控制装置11上实施或传输。配置的实施被显示在外部输入设备上，以便用户可以确认配置并从而可以排除外部输入设备的可能的存储错误和/或传输错误。

安全控制装置11被设置用于接收连接到安全控制装置11上的信号发生器的输入信号。信号发生器在所示的实施例中是相机k和光栅lg，它们分别连接到安全控制装置11的输入端口11-i上。相机k和光栅lg的接收的输入信号从输入端口11-i传送到安全控制装置11的控制单元cpu，其中控制单元cpu可以由具有适当的逻辑的至少一个处理器组成。

控制单元11评估输入信号并生成相应输出的输出信号，该输出信号从控制单元11传送到安全控制装置11的输出端口11-o。输出信号用于安全地控制连接到至少一个输出端口11-o上的致动器。在此，在示出的实施例中，工业机器人r代表执行机构(aktuator)。

根据工业机器人r和监测工业机器人r或其周围环境的相机k以及光栅lg的应用，必须对安全控制装置11进行配置并对该配置进行验证。

根据本发明的方法将配置划分为被验证的至少两个部分配置。

也就是说，如在图2中所示的实施例，该方法例如将安全控制装置11的配置划分成四个部分配置t1、t2、t3和t4。特别地，输入单元和/或输出单元、控制装置、接口和设备或安全控制装置11的其它单元被划分为部分配置。这些部分配置将在下面的实施例中用t1表示“接口”，用t2表示“逻辑”，用t3表示“通信”以及用t4表示“整体”。

根据本发明，部分配置t1到t4被分配给至少一个部分配置序列tf1和tf2，其中部分配置的验证彼此依赖性被预定。

根据示出的实施例，在第一部分配置序列tf1中，部分配置t1、t2和t4被分配给彼此。在第二部分配置序列tf2中，部分配置t1、t3和t4被分配给彼此。在此，部分配置t1至t4之间的连接的箭头方向不表示物理部件之间的数据交换的方向。箭头方向象征部分配置序列tf1和tf2的验证的顺序，因为第一部分配置序列tf1和第二部分配置序列tf2的验证取决于各自分配的部分配置t1、t2和t4或t1、t3和t4。

换句话说，例如，当前面的部分配置t1还没有被验证，则部分配置序列tf1的部分配置t2不能被验证。也就是说，如果第一和第二部分配置序列tf1和tf2还没有被完全验证，则后面的部分配置t4不能被验证。

根据本发明的方法确定每个部分配置t1至t4的参数，其中这些参数用于验证相应的部分配置t1、t2、t3和t4。

在此，部分配置t3的参数例如可以由输入端口11-i和输出端口11-o的数量、占用率或寻址或数据传输速率组成。部分配置t1的参数可以例如由大量输入和输出的数据类型组成，其中参数优选由该方法或由用户定义。

为每个部分配置t1、t2、t3和t4计算单个校验和，该单个校验和表示部分配置t1、t2、t3和t4的验证。

也就是说，根据图2，部分配置t1(“接口”)从其参数计算出单独的单个校验和，部分配置t1通过该单个校验和被标记为被验证。部分配置t2(“逻辑”)或t3(“通信”)从其参数中且特别是前面的部分配置t1的安全相关的参数中计算出单独的单个校验和，从而使前面的部分配置t1的参数被考虑在后面的部分配置t2或t3的单个校验中。部分配置t4(“整体”)从其参数中且特别是前面的部分配置t1、t2和t3的安全相关的参数中计算出单独的单个校验和，从而使前面的部分配置t1、t2和t3的参数被考虑在部分配置t4的单个校验和中。因此，相应的单个校验和表示来自部分配置t1、t2、t3或t4的相应的参数和相应的前面的部分配置t1、t2、t3的参数的值，借助该值可以检查参数的完整性。

在验证部分配置序列tf1或tf2中的后面的部分配置t2和t4或t3和t4时，复算前面的部分配置t1和t2或t1和t3的单个校验和，并且在相应的前面的部分配置的单个校验和一致时，确认前面的部分配置的验证。优选地，借助外部输入设备来执行单个校验和的复算。

换句话说，并参考图2，在验证后面的部分配置t2或t3时，分别复算前面的部分配置t1的单个校验和。在部分配置t1的单独的单个校验和与针对部分配置t1复算的单个校验和一致时，后面的部分配置t2和t3可以确认前面的部分配置t1的配置的验证，并且可以通过从它们自己的参数且特别是前面的部分配置t1的与安全相关的参数计算其自身的单个校验和来验证它们自己的配置。在验证后面的部分配置t4时，复算前面的部分配置t2和t3的相应的单个校验和，并且在验证时所计算的单个校验和与部分配置t2和t3的复算的单个校验和一致时，确认部分配置t2和t3的验证。

因此，用户，例如必须验证部分配置t1(“接口”)的用户，仅需要在技术上理解关于部分配置t1的配置或仅需要有关部分配置t1的参数的知识。

用户，例如必须验证部分配置t2(“逻辑”)的用户，仅需要在技术上理解关于部分配置t2的配置或仅需要有关部分配置t2的参数和前面的部分配置t1的单个校验和的知识，以利用前面的部分配置t1的复算的单个校验和来确认特别是部分配置t1的参数的验证，并完成部分配置t2的验证。在这种情况下，用户不需要了解部分配置t1的参数。

用户，例如必须验证部分配置t3(“通信”)的用户，仅需要在技术上理解关于部分配置t3的配置或仅需要有关部分配置t3的参数和前面的部分配置t1的单个校验和的知识，以利用前面的部分配置t1的复算的单个校验和来确认特别是部分配置t1的参数的验证，并完成部分配置t3的验证。在这种情况下，用户也不需要了解部分配置t1的参数。

最后，当针对每个部分配置序列tf1和tf2均验证了最后的部分配置t4(“整体”)时，则设备或安全控制装置11的配置被验证。

也就是说，当部分配置t2(“逻辑”)和t3(“通信”)的复算的单个校验和与它们在验证时所计算的相应的单个校验和一致且部分配置t4的单个校验和是正确的时，如图2所示的最后的部分配置t4(“整体”)的配置被验证。然后，确认相应的部分配置序列tf1和tf2的验证，并验证整个设备或整个安全控制装置11的配置。在这种情况下，在验证部分配置t4时，用户只需要有关部分配置t4的特定参数的知识，其中在计算部分配置t4的单个校验和时，前面的部分配置t1、t2和t3的安全相关的参数一并考虑在内。例如，部分配置t4的参数可能在于，部分配置t4具有两个部分配置t2和t3。

特别地，部分配置t1的参数可以不告知负责验证最后的部分配置t4的用户，因为在验证部分配置t2和t3时，这些参数已经被考虑在内或确认了。因此，自动减少了负责在部分配置序列tf1或tf2中的后续的部分配置的用户必须验证的参数的数量。

由此，最终验证整个设备或整个安全控制装置11的配置的用户只需要理解关于待由他来验证的部分配置t4或仅需要了解相应的参数。该用户并不需要理解整个配置或不需要有关整个安全控制装置11的配置的所有参数的知识来验证设备或安全控制装置11，因为特别是后面的部分配置验证每个紧接在前的部分配置，而且用户仅根据复算的单个校验和而不是根据前面的部分配置的具体参数来确认前面的部分配置的验证。

有利地，每个部分配置t1至t4与验证状态相关联，其中每个部分配置t2至t4的验证状态取决于前面的部分配置t1至t3的验证状态。在这种情况下，验证状态指明部分配置t1至t4是否被验证。

换句话说，根据图2，部分配置t4(“整体”)的验证状态直接取决于部分配置t2(“逻辑”)和t3(“通信”)的验证状态。部分配置t2的验证状态不取决于部分配置t3的验证状态，反之亦然。通过这种方式，各个部分配置t1、t2、t3和t4或部分配置序列tf1和tf2可以由不同用户彼此模块化地创建和验证，而用户不必具有关于所有参数和部分配置t1到t4的完整的知识。

这反过来又意味着，如果部分配置t2和t3在功能上是完全相互独立的，则部分配置t4可能会省略，因为设备或安全控制装置11的配置的验证可以通过验证部分配置序列tf1和tf2并从而验证部分配置t2和t3来完成，并且可能不需要其它的验证步骤了。

此外，这意味着只有在部分配置t2和t3的验证状态变为验证状态“被验证”时才能验证部分配置t4。在例如部分配置t3的验证状态从“被验证”变为“未被验证”的情况下，由于部分配置t3的参数已改变，因此尽管如此，负责验证部分配置t4的用户接下来仍可以确认部分配置t2的配置的验证，并从而当部分配置t2的复算的单个校验和一致时也可以间接地确认部分配置t1的配置的验证。用户只需要借助部分配置t3的新参数通过重新计算部分配置t3的单个校验和，针对对部分配置t4的验证单独验证部分配置t3。在这种情况下，用户还可以通过从部分配置t3和t4的参数计算单个校验和来共同验证部分配置t3和t4。但是，这种情况假设用户了解这两个部分配置，以便实施共同验证。

由此，可以通过访问加密技术，优选通过密码或pin来保护部分配置或部分配置序列的验证。也就是说，如果例如部分配置t2特别重要，相应地已由用户验证并通过访问加密技术进行保护时，那么负责后面的部分配置t4的验证的用户可以通过确认部分配置t2的单个校验和来实施部分配置t4的验证，从而验证整个设备或整个安全控制装置11的配置。然而，在没有访问密码的情况下，用户无法获取前面的部分配置t2或部分配置序列tf1的详细信息，特别是无法获得相应的参数。

由此，部分配置t1、t2或t3，特别是它们的参数都可以保持加密，因为只有单个校验和会被显示给后面的部分配置的用户，而不是参数和前面的部分配置本身的配置。有利地，部分配置t1至t4的验证被分派预定的认证级别，从而只有经认证的用户，例如经授权和培训的客户或支持人员，在所分派的部分配置t1到t4中获得动用权并执行验证。通过这种方式，确保了通过有资格的用户保障安全的验证。

进一步优选地，参数被区分成第一安全相关的参数和第二非安全相关的参数，其中根据部分配置t1到t4的第一参数计算单个校验和。这意味着，在验证部分配置t1至t4时，安全相关的参数由计算部分配置t1至t4的单个校验和考虑在内。非安全相关的参数可以由计算单独的单个校验和考虑在内或显示给用户，使得用户可以更好地评估部分配置t1到t4的运行方式。例如，当前面的部分配置被访问加密技术保护并且因而不能被正在验证的用户查看时，这尤其有用。

参考标记列表

11安全控制装置

11-i输入端口

11-o输出端口

cpu控制单元

k相机

lg光栅

r工业机器人

t1部分配置“接口”

t2部分配置“逻辑”

t3部分配置“通信”

t4部分配置“整体”

tf1、tf2配置序列