专利名称:用于将多信道消息转换成单信道安全消息的方法和设备的制作方法
技术领域:
本发明涉及一种方法和一种适合于执行该方法的设备,用于将安全相关过程从安全的多信道环境耦合到不安全的和/或具有更少信道的环境,特别是用于安全相关过程的单信道总线连接。
背景技术:
在下文中,表述“安全相关或安全关键过程”意思是其中当故障发生时导致对于人类和/或也对于经济货物不可忽略的危险的过程。在安全相关过程中,因此必须以在理想情况下100%安全来确保当故障存在时,这个过程、与这个过程相连的下一过程、和/或包括这个过程的整个系统被转移到安全状态。因此,这种安全相关过程也可以是更大的上级总过程的子过程。安全相关过程的例子是其中必须将关键参数绝对保持在预定范围内的化学过程、复杂的机器控制,如在液压过程或生产线中,其中例如压制/切割工具的启动可以表示安全相关子过程。安全相关(子)过程的进一步的例子是防护网、防护门或挡光板的监控,双手操作开关(Zweihandschalter)的控制或还有对应急断路开关的响应。
因此,对于所有安全相关过程来说,所产生、记录或测量的相应安全相关数据被实时传输而没有任何恶化,这是绝对必要的,因为任何恶化都可能导致最后可能危及人的生命和健康的不正确的操作和/或响应。
为了遵守安全规章,近几年来,很多协议都规定,在使用总线系统时要求几乎无故障的数据传输。这尤其涉及数据传输本身,并且涉及取决于相应应用和/或相应过程的允许的剩余故障可能性。其中可以作为相关标准的尤其是EN61508和EN 954-1,以及用于由工业专业协会的测试和证明中心所制订的“Bussystemen fuer die Uebertragung sicherheitsrelevanter Nachrichten(用于安全相关消息传输的总线系统)”的测试和证明的原则。
根据这些协议和标准,已经开发以高冗余传输数据的基于安全的(sicherheitsgerichtet)总线系统。可能的故障被及时地发现,并且危险可以被避免。对此的例子包括安全总线P、Profibus总线F、Interbus总线安全等等。
但是,在这种情况下,一个缺点是,为了使用基于安全的总线系统,已经安装的总线系统必须被替换,并且经常必须以用户数量、数据传输率或数据协议方面的限制为代价。
结果,开发了支持以更简单和更经济的方式更新改进已经存在的总线系统的基于安全的方法和/或部件。其中,尤其是在控制和自动化技术中所使用的电子安全方法使用已经设置在各个参与过程的单元之间的用于数据通信的(现场)总线系统来传输安全相关数据,尤其是在传感器、执行器和/或控制装置之间。
作为例子,EP1188096B1公开了一种用于安全相关过程的控制系统,其具有被用于连接用于控制安全相关过程的控制单元和通过I/O信道与安全相关过程相结合的信号单元的现场总线。为了确保彼此间的故障保护通信,这些单元具有安全相关装置,通过该安全相关装置,本身不可靠的单元应该变成可靠的单元。特别地,这样分别提供至少两个冗余处理信道,使得其中一个处理信道中的故障可以借助于与另一冗余处理信道不同的结果而被识别、并且有可能被校正。尤其通过两个冗余计算机实现该多信道结构,其中安全分析(Sicherheitsbetrachtung)在这两个冗余计算机之后结束,且从该位置开始进行用于安全数据协议的分析,而没有其他说明。
在下文中,一般的术语“计算机”基本上应该被理解为任意类型的包括软件和/或硬件的数据处理装置,例如微计算机、微处理器、微控制器或PC。
WO 01/15385A2也涉及通过使用(现场)总线系统控制安全相关过程,其中参与安全相关过程的控制的单元一般又具有冗余构造的过程信道。相互控制的冗余信道中的每一个都包括计算机。通过另一个与现场总线相连的计算机,该多信道结构被转换为单信道结构(图3)。该文献并没有公开进一步详细解释,包括从多信道形式到单信道形式的转换。
WO 01/15391 A1和公开文献DE19939567 A1公开了具省相互控制安全协议创建(Protokollerstellung)的冗余实现的处理信道和/或计算机的安全总线用户、以及随后经由耦合到总线的与协议芯片(Protokoll-Chip)相连或集成有协议芯片的另一计算机而从两信道形式到单信道形式的转换的进一步的例子。同样,这里,安全分析结束,而没有公开在这两个冗余计算机之后的进一步的技术描施,并且从该位置开始进行用于安全数据协议的分析。
专利文献DE19532639 C2涉及一种用于单信道传输由两个冗余计算机所形成的数据的装置,其将将总线耦接功能集成到这两个冗余实现的计算机中的一个中,以减少电路复杂性。因此,只有具有总线耦接功能性的计算机具有向其馈送来自该计算机的有用数据和来自另一计算机的测试数据或相反,或者相互交叉地向其馈送这两个计算机的有用数据和测试数据的输出信道(图4)。但是,为了确保操作总线的计算机不能产生该另一计算机不能影响的消息,在实现时需要安全分析中增加的开销,因为,一方面,无反作用,以及另一方面用于创建安全协议的计算机的独立性都必须被检验。对此,该专利文献只建议了各计算机输出的相应接线或不接线。
另外,DE10065907A1介绍了一种基于“具有交叉比较的冗余(Redundanzmit Kreuzvergleich)”原则的方法,用于在并行或串行网络或总线系统中数据传输的安全数据传送,其中具有两个逻辑相同数据区域的中间寄存器被用于从两信道形式到单信道形式的转换。通过总线系统单信道地要被传输的完整的、基于安全的消息包括中间寄存器的这两个数据区域的数据内容(图4)。两个冗余工作的计算机又被连接在位于发送器侧的中间寄存器之前,其中这两个计算机根据应用类型,分别用冗余信息将单信道或两信道地提供的安全相关数据预处理为安全数据,并且它们相互更替以用于检验。如果二者得到相同的结果,那么每个计算机都将它的安全数据传输到中间寄存器,其中每个数据区域被填充以各自一个计算机的安全数据,其中安全数据本身已经包含用于误差识别的冗余信息。在一个可选实施例中,如果这两个计算机的一个中包含中间寄存器,以使得在与第二计算机一致之后,该一个计算机相应地填充中间寄存器的两个数据区域,则这第二计算机为了控制而再次读出中间寄存器的这两个数据区域。根据应用,中间寄存器的这两个数据区域中的一个的数据内容也可以具有反向数据(invertierte Daten)或其它附加嵌套(Verschachtelung),以便例如识别发送器、接收器和/或其他转发数据的单元中的系统故障。因此,其缺点尤其在于基于安全的消息的总数据长度相对于实际有用数据极其大,并且因此对于实际有用数据的数据传输率很低,因为对于每个要被传输的有用数据项,必须传输两个相同的有用数据项以及用于每个相同有用数据项的各自冗余信息。如果每个数据包中要被传输的有用数据的数量减少,如例如在Interbus总线中那样,那么有用数据长度对总数据长度的比率变得愈加糟糕。
本发明是其进一步改进的同一申请人的德国专利申请10 2004 039 932.8的任务是为安全相关过程的安全总线连接提供进一步的、新的和改进的用于从多信道形式到单信道形式的转换的方式,并且以容易实现的方式,尤其还以容易测试的方式确保在创建应该作为安全消息通过总线传输的基于安全的协议时的无反作用以及独立性。
发明内容
为此,要提供一种用于安全关键过程的单信道总线连接的方法,其中与安全关键过程相关的数据项在至少两个冗余的处理信道上尤其是特定于协议地根据相同的规律(Gesetzmaessigkeit)被处理成各自基于安全的协议,并且用于单信道总线连接的冗余的基于安全的协议又被组合为公共的基于安全的协议,也就是说通过由每个处理信道访问公共中间寄存器,其中对于每个寄存器位置只分配写入授权一次,从而在中间寄存器中,通过各基于安全的协议的各不同成分的必要的按分额的写入,形成公共的基于安全的协议,即要被传输的安全信息。
因此,在这种情况下的一个主要优点在于,一方面,两个处理信道都能够计算完整的基于安全的协议,使得其对所需要的消息长度具有积极影响,因为已知已经在冗余处理信道中具有不同安全机制的所有数据比特,并且不必传输在接收器侧允许推断校正计算的附加数据比特。另外确保处理信道自己不能单独发送安全信息,其中通过对寄存位置中的数据分别仅仅可分配写入授权一次的控制是容易实现并且高效率的可能,以便与所使用的总线(系统)无关地确保经济的显著提高的安全性。
因此通过使用包括至少两个冗余计算机的装置已经可以确保用于根据本发明的方法的智能单元的实现,其中计算机被构造用于在使用相同的规律的情况下将相同的输入数据项处理为各自的基于安全的协议,并且经由电路装置与公共的中间寄存器相连,使得对于每个计算机提供用于各自的特定寄存器位置的写入访问权,并且对于中间寄存器的每个寄存器位置,只对于计算机中相应一个提供写入访问权。
因此,本发明通过使用标准组件并且与相应总线系统无关地已经使得能够实现用于无反作用且独立形成各自基于安全的协议的容易实现的高动态其高效的解决方案。
但是,因为要被传输的基于安全的协议由此必须首先在存储器中被产生,所以可以通过以下方式确保安全的进一步的、附加的提高,即在写入公共的基于安全的协议之前,首先检验通过处理信道冗余地形成的基于安全的协议是否彼此相等,使得在响应于从相同输入数据项彼此独立处理的、相同的基于安全的协议的情况下才形成公共的基于安全的协议,或者在在公共的基于安全的协议写入之后,但是在公共的基于安全的协议从中间寄存器传输到例如总线之前,每个冗余的处理信道回读地访问每个寄存器位置,以便检验共同形成的基于安全的协议。
本发明的一个目的在于进一步改进德国专利申请10 2004 039932.8中所描述的方案,使得在保持提高的安全性的情况下,在通过安全的冗余处理信道将基于安全的协议写入公共存储器或协议组件中时,连接过程更快地结束,并且即使在其中不能回读被写入的数据的存储器或协议组件的情况下也可以使用。
根据本发明的解决方案通过具有所附独立权利要求之一的特征的主题以极其惊奇的方式被提供。
各从属权利要求涉及有利的和/或优选的实施例和改进方式。
因此,为了将至少一个安全关键的过程从具有多个冗余处理信道的安全环境连接到不安全环境或安全但具有更少处理信道的环境,本发明提供了一种方法,其中与安全关键过程相关的数据项在至少两个冗余处理信道上,尤其是特定于协议地,根据相同规律被处理成各自的基于安全的协议,并且在考虑至少两个用于连接的冗余的基于安全的协议的情况下形成公共的基于安全的协议,即通过在每个处理信道上访问公共的(中间)寄存器,其中对于每个寄存器位置,仅分配写入授权一次,并且通过在写入授权的处理信道上公共的基于安全的协议的至少部分的写入过程中,首先检验至少一个另外的处理信道上该部分是否相同,并且只当它们彼此相同时才允许访问公共的寄存器以存储该部分。
因此,一个主要优点也在于,一方面,两个处理信道都能够计算完整的基于安全的协议,使得其对所需的信息长度产生积极影响,因为所有数据比特以不同安全机制在冗余处理信道中已经已知,并且不必传送使得能在接收器侧推断无错计算的附加的数据比特。另外,确保了处理信道自己不能独自用发送安全消息,其中寄存器位置中数据的仅分配一次的写入授权的控制是一种容易实现并且高效的方式,以便与所使用的总线(系统)无关地确保经济的显著提高的安全性。
进一步的主要优点还在于,根据本发明的方法在连接过程方面更快,因为直接在一个数据或多个数据被写入寄存器的过程中检验要被写入的数据以及比较相应的冗余处理的安全协议的相互一致性。本发明因此也可以被应用于不能回读的寄存器或存储器。
用于执行根据本发明的方法的智能单元的实现因此可以通过使用包括至少两个冗余计算机的设备来确保,其中计算机被设计用于通过使用相同规则将相同的输入数据项处理成各自的基于安全的协议,并且通过电路布置被连接到公共(中间)寄存器,使得对于每个寄存器位置,仅为相应一个汁算机提供写入访问的引入,并且为了存储要被写入的部分而对公共寄存器的访问被锁定,直到要被写入的部分已经由至少另一个计算机检验了。
因此,本发明已经通过使用标准部件并且与各自总线系统无关地实现了高动态其高效的、容易实现的解决方案,用于无反作用且独立地形成各自的基于安全的协议,并且在写入过程中在进入存储器或寄存器组件的紧邻之前检验安全相关数据。
其中,用于形成安全消息的特定处理规则更加方便地适合于满足各自的安全要求,特别是对于根据SIL 3IEC 61508的简单传输的安全要求。
优选地,各自的写入授权和检验职责通过指定特定的主功能和/或从功能性来定义或分配,其中,这些功能性优选地可以被改变,和/或根据特定周期更换。为了实践简单的实现,还使用公共地址总线和公共数据总线。
因此,在写入操作期间,要被写入至少一个寄存器位置的各协议部分可以通过具有相应写入授权的处理信道被传送到数据总线,并且在那里通过至少一个另外的处理信道被读出以检验。
例如,对于一个或更多特定寄存器位置,第一处理信道的计算机作为主计算机,并且将由其计算的相应的安全数据放置在数据总线上,其中还锁定存储器组件芯片上存储的允许。第二处理信道的计算机作为从计算机,并且使用自己的计算的安全数据来检验位于数据总线上的数据。执行检验的计算机只在检验显示数据一致时才提供存储器组件上存储的允许。
因此,有利地,为了使能写入信号,即为了消除访问锁定,为了将要写入的数据存储在存储器组件中,至少由执行检验的计算机输出使能信号。
此外,优选地,至少在协议部分被传送到数据总线以后需要来自于写入计算机的使能信号,以使能写入信号。
为了指定协议部分分别实际被写入的相应寄存器位置,已经证明将相应地址传送到公共地址总线是有利的。
根据所分配的主/从功能性,在同一处理信道上或在不同处理信道上传送用于确定寄存器位置的地址以及写入该寄存器位置的协议部分。
此外,为了处理信道和/或计算机的功能监控,优选包括被连接到处理信道和/或计算机以及中间存储器的监视器(watchdog)部件。
此外,有利地,需要来自于监视器部件的用于允许访问公共中间寄存器以存储要被写入的部分的使能信号。如果没有该使能信号,例如在计算机故障或错误的情况下,则因此不能产生完整的安全消息,使得必然识别到故障并且可以触发基于安全的功能。由此,测试程序也可以以容易实践的方式来执行。
尤其用于计算机之间的同步,彼此去耦的计算机优选地还通过通信接口彼此连接。
特别地,为了确保在将输入数据特定于协议地处理为基于安全的协议之后其被存储和被特定于协议地传送到总线上,其中基于安全的协议满足基于相应应用的要求,特别是根据总线和/或处理满足安全的协议数据项,根据一个实施例的计算机分别包括集成的协议芯片。在可选构造中,协议芯片也可以在输出侧被连接到计算机。为了避免这种集成的或串接的协议芯片,并因此也为了减少部件和花费,在另一特别有利的实施例中,提供具有相应构造为处理和特定于协议地传送数据的软件的计算机。
根据本发明的设备可以被构造为总线用户单元,其中对此有利方式的计算机在输入侧至少连接到输入信道,用于单信道或多信道地连接过程数据输入单元,并且相应地用于单信道或多信道地检测要被处理的安全相关的输入数据,或者被构造为总线控制单元,其例如产生要被处理的安全相关的输入数据。因此,计算机尤其被构造为微控制器或中央处理单元(CPU)。
在一个优选实施例中,用于根据本发明连接计算机或连接可能的与计算机串接的协议芯片的电路布置被构造为简单的逻辑电路,其中例如FPGA(现场可编程门阵列)形式的大规模集成电路也可以被使用,并且特定于应用可以是有附加优点的。
中间寄存器具有接口,存储在那里的公共的基于安全的协议可以通过其而单信道地直接连接到总线,例如Inter总线,或者可以单信道地被传送到特定于应用构造的连接在总线前的另一总线连接装置,其中特定于协议,另一协议芯片、另一微控制器或其他智能单元可以被用作总线连接装置。
因此,标准RAM已经足以作为中间存储器。但是,在优选的发展方案中,构造双端口存储器(DPM)形式的中间寄存器或中间存储器,使得计算机可以通过这两个接口端口之一以最简单和最经济的方式连接,并且通过第二接口端口可以单信道地连接到总线。在特别方便的方式中,本发明也使得可能使用不利于回读的存储器组件,例如串行寄存器扩展芯片。
参考附图,从下面对本发明的优选、但仅仅示例性的实施例的详细描述中,本发明进一步的特征和优点将变得明显,其中图1示出了用于借助于冗余处理信道冗余地形成用于要被传送的安全信息的基于安全的协议,然后在考虑所有冗余的基于安全的协议的情况下,并且在控制与要分别从基于安全的协议中传送/接收的部分相关的写入和检验规则的情况下形成公共的相同的基于安全的协议的示意性的原理图;图2示出了本发明的、基于两个分别冗余地计算完整的基于安全的协议的微控制器的可能的功能电路图;以及图3和4示出了从双信道形式到单信道形式的改变的已知实现。
具体实施例方式
图1示出了用于将安全关键的过程单信道地连接到总线40、例如Inter总线的未详细示出的总线用户单元或总线控制单元的两个冗余处理信道1和2。在总线用户单元的情况下,每个处理信道被连接到对应于安全关键过程的、同样没有示出的输入/输出单元,诸如传感器和/或致动器。
因此,根据特定连接的类型,与安全关键过程相关的相同输入数据在处理信道1和2上单信道或双信道地被提供给具有传感器侧应用的总线用户,并且有利地首先被存储在存储器12或22中,用于进一步处理。特别地,在总线控制单元的情况下,要保证安全的数据,即如下所述在总线传输之前要被预处理的安全相关的输入数据和/或输出数据被放置在存储器12或22中。
首先,在通过总线40单信道地传送安全消息之前,输入数据和/或输出数据通过使用相同的规律被冗余地处理成各自的基于安全的协议14和24。为此,处理信道1和2分别包括用于分别将位于存储器12或22中的安全相关的输入数据和/或输出数据预处理/处理成基于安全的协议14或24的微控制器11或21。由微控制器11和21所计算的安全协议14或24每个都可以被存储在与微控制器11或21串接的协议芯片中,该协议芯片接收由相应微控制器11或21所计算的基于安全的协议14或24,用于进一步传送到总线40。在一个可选实施例中,微控制器11和21还可以包括相应构造的软件,使得微控制器11和21自己将所计算的协议14和24进一步传送到总线40,其在下文中进行描述。
因此,只要在计算期间没有发生错误或故障,所计算的、安全的或基于安全的协议14和24就是相同的。应当指出的是,在这种情况下,安全协议当然被设计为使得它们满足基于安全传输的标准的需求。
为了进一步提高安全性,根据本发明,在通过总线40传送安全消息之前,公共地形成另一个相同的、公共的基于安全的协议,其随后可以单信道地被传送到总线40用于传输。这个公共的基于安全的协议通过参与两个冗余处理信道1和2并在考虑安全协议14的数据和安全协议24的数据的情况下在每个处理信道1和2可以访问的中间存储器或中间寄存器30中被形成。
为了防止该公共的要被形成的基于安全的协议仅仅在考虑仅来自处理信道1或2之一的计算的数据的情况下被构造,这因此不亚于例如由于这两个微控制器中的一个发生故障而只由微控制器11或21之一发送安全消息,被定义的或可定义的访问规则控制对中间存储器31中的写入权限。为此,存取规则规定,当相应的微控制器11或21具有对于各自存储器位置的写入授权,并且要被写入的数据与来自相应另一处理信道的相应计算数据相同时,在为了形成公共的基于安全的协议的写入期间,从每个处理信道1和2出发,只有相应计算的基于安全的协议中的部分被存储在中间存储器30的相应存储器位置中。因此,根据本发明,对于每个存储器或寄存器位置,分别只定义一个写入授权,并且在写入期间,还附加地执行要被写入的数据的检验。
因此,这实现了非常有效的锁定机制,其在写入相应数据时,只在要被写入的数据来自于对于该存储器位置具有写入授权的处理信道1或2,并且所计算的两个安全协议14和24相同时,才允许访问中间存储器30以便存储在相应存储器位置。
为此,根据本发明,优选地,微控制器11、21中一个作为主微控制器,并且相应的另一个微控制器作为从微控制器,其中这两个微控制器11和21通过公共数据总线103和地址总线102(图2)被连接到中间存储器30。有利地,主微控制器确定相应的数据或多个数据要被写入的存储器位置。在一个优选实施例中,主微控制器还确定写入以及在写入时执行检验的微控制器。
例如图1中所示,如果微控制器11是主控制器,并且微控制器21是从控制器,那么在所示情况下,主控制器11将对应于特定存储器位置的地址放置在地址总线102(图2)上,并且将其自身为该地址所计算的安全协议14的数据放置在数据总线103(图1)上。如图1中所示,主微控制器11为字节X+1、字节X+2和字节X+3指示存储器地址,并且将它所计算的字节X+1、字节X+2、字节X+3放置在数据总线103上。从微控制器21比较这些被放置在数据总线103上的数据(在图1中用14’表示)与它自己所计算的用于所施加地址的数据,如图1中用参考数字25所指示的。如果数据一致,则从微控制器21将使能信号26传送到中间存储器30,由此使能用于存储器的写入信号。因此,响应于使能信号26,安全协议部分14’从数据总线103被接收到存储器30中。
如果这个“检验”得到不相同的结果,那么必然识别出错误,并且启动基于安全的功能。
在图1所示的实施例中,主微控制器11可选地在其已经将它所计算的安全协议部分放置在数据总线103之后也提供使能信号16。因此,只有当存在两个使能时才进行接收,这导致进一步提高的安全性。
在这种情况下,因此,直接在写入一个数据或多个数据时但是在存储在存储器30中之前比较安全协议。因为在写入期间执行比较,所以根据本发明的方法以比先前公知的方法更快地工作,其中先前公知的方法在写入之前或在写入之后通过回读来执行比较。另外,本方法还可以可靠地应用于不能被回读的存储媒体,例如SRE组件。
因此,对存储器的完整的读取访问不再绝对必需。
本发明还包括这样的实施例,其中微控制器以相互作用的方式工作,即作为主微控制器工作的微控制器施加地址,而作为从微控制器工作的微控制器随后将相应的安全数据放置在数据总线上。然后,主微控制器将安全数据与自己的所计算的数据相比较,并且当一致时使能相应的写入信号。
循环交替也是可能的,其中每个微控制器交替地有时作为主微控制器,有时作为从微控制器。
另外,例如,主微控制器可以将整个所计算的安全协议全部放置在数据总线上,并且将存储器位置的相应地址放置在地址总线上,使得从微控制器将被放置在数据总线上的整个安全协议与它自己的所计算的安全协议整体进行比较。
因此,各自的写入授权优选地通过主/从机制进行定义。
因此,除了已经足够的标准RAM或标准DPM以外,不可回读的存储器、例如串行寄存器扩展芯片(SRE)也可以被用作为中间存储器。
中间存储器30可以具有另一接口,存储在该存储器中的整体形成的安全协议或用于传输的安全消息可以通过其被传送到协议芯片或被传送到从其例如实现到总线40的单信道连接的另一智能单元中。
图2示例性地、但是通过使用预写的软件代替协议芯片而示出了图1所绘写入授权的实现以及在写入操作期间作为根据本发明的检验的基础的比较和使能机制的可能的功能电路图。
如在图2中可以看见的,左边所示的标记为M的区域包括根据本发明的具有安全分析的多信道结构,并且图2中标记为E的右手区域包括具有要作为安全消息传输的、公共构成的基于安全的协议的单信道结构。冗余结构的安全分析以安全消息或安全协议的比较和存储在存储器30中而结束,因为从那里开始,安全协议的安全机制是有效的,由于从这里开始的可能的错误原则上被假设和认为用于传输,并且因此也必须能够被控制。由于“用于传送安全相关消息的总线系统”的检验和证明的原因而要考虑的错误例如是消息失真。
因此,基本上基于图1,这两个微处理器11和21以公知的方式去耦(在图2中使用参考数字100标记),并且还通过通信接口101相互连接,以在将用于共同形成安全协议的数据写入存储器30之前附加地互相检验分别单独计算的基于安全的协议14和24,并且和相互同步。
微控制器11和21通过用于地址Ax的公共地址总线102(其中x在0到N之间)以及用于数据Dx的公共数据总线103(其中x在0到N之间)被直接连接到图2中所示的作为存储器的SRE组件30的相应管脚上。SRE组件30具有另一接口,后接的协议芯片35可以通过英被连接,但是通过其也可以特定于应用地连接基本上任意的其他存储器、微控制器等。
在这种情况下,OPC(光学协议芯片)被连接作为协议芯片,其又被连接到总线40。SRE芯片30因此也用于扩展OPC协议芯片35的数据宽度。
两个微控制器11和21的在图2中标示为/CS_μC1或/CS_μC2的信号/CS(芯片选择)被逻辑与(AND)。其中,由于/CS信号的负逻辑,这对应于或(OR)门。因此,SRE的信号/CS_SRE只有当两个微控制器11和21使它们的/CS信号处于低时才可以被激活。
对应于/CS信号,写入信号,即两个微控制器11和21的在图2中标示为/WR_μC1或/WR_μC2的/WR信号也被逻辑与(AND),这又对应于或(OR)门。在所示例子中,/WR_μC1和/WR_μC2逻辑运算所得到的信号/WR_μC1+μC2又与另一微控制器μC3的信号逻辑与,使得在写入信号可以施加于SRE之前,这个微控制器也必须使它的写入信号/WR_μC3处于低。这可以例如是借助于监视器电路的一般和/或结束使能。
因此,SRE的/WR_SRE信号只有当两个微控制器11和21使它们的写入信号处于低、并且提供监视器电路的第三微控制器μC3的使能也存在时才可以被激活。
因此,也以简单的方式支持在本例中借助于微控制器11和21的主/从划分所定义的写入授权和比较功能性的监控和确保,因为在写入和比较期间所分别产生的脉冲或脉冲序列可以借助于以监视器电路的方式或类似方式中间连接的微控制器μC3进行可靠地监控。
如果两个微控制器11和21每一个计算它们的安全消息,那么微控制器11例如将地址放置在地址总线102上,并且随后将数据放置在数据总线103上。同时,它将/CS_μC1信号和/WR_μC1信号设置为低。从微控制器11的观点来看,这对应于用于将数据写到存储器30中的使能。但是,在图2所示电路的基础上,由于第二微控制器21的使能的缺失,还不能访问存储器30以存储要被写入的数据。
微控制器21现在将微控制器11的用于相应存储器位置的数据与用于这个存储器位置的相应自己计算的安全协议部分进行比较。如果这些数据相同,那么微控制器21的对于/CS信号,即/CS_μC2的使能被设置为低,然后是对于/WR信号的使能,使得/WR_μC2被设置为低。
如果监视器电路μC3没有合上,并且因此实际脉冲序列与所定义的相同,即信号/WR_μC3为低,则要被写入的数据可以被存储在存储器中,因为存在所有使能,并且因此/CS_SRE信号和/WR_SRE信号每一个都是低。
此外,根据所使用的存储器组件和所定义的读取授权,在本情况所示的示例性实施例的基础上,对于在相反方向上所接收的安全协议或消息,被存储在存储器30中的安全协议基本上只有当微控制器激活它的/RD信号并且两个微控制器都激活它们的/CS信号时才被微控制器读取。
因此,所描述的过程以期望的行为和微控制器之间的同步为前提,以便能够将有效的安全协议存储到存储器30中,这是用于获得所需安全的基本方面。
图2中所示的功能电路图可以通过简单的逻辑电路来实现,但是例如也可以通过FPGA来实现。另外,当然,也可以使用简单的标准RAM代替图2中所示的SRE 30。对本领域技术人员来说,显而易见的是,图2中所示的电路布置仅仅表示一种可能的技术实现。根据本发明的写入期间的写入访问规则和检验机知也可以被应用于多于只有两个冗余计算机/处理信道。作为例子,相应地,在将安全关键过程从多于只有双信道的环境连接到单信道环境时,多于只有两个冗余微控制器也可以参与比较、锁定和使能。
权利要求
1.一种用于将安全关键过程从具有至少两个冗余处理信道的安全环境连接到不安全环境或具有更少处理信道的安全环境的方法,其中与安全关键过程相关的数据项在所述至少两个冗余处理信道(1,2)上,尤其是特定于协议地,根据相同规律被处理为各自的安全协议(14,24),并且在考虑至少两个冗余安全协议(14,24)用于连接的情况下形成公共安全协议,即通过经由每个处理信道(1,2)访问公共的(中间)寄存器(30),其中对于每个寄存器位置只分配写入授权一次,其中,在经由具有写入授权的处理信道(1)至少写入公共的基于安全的协议的部分(14’)时,首先检验(25)至少一个其他处理信道(2)上该部分(14’)是否彼此一致,只在彼此一致时才允许访问公共寄存器,以存储该部分。
2.如前一权利要求所述的方法,其中,通过给定用于处理信道(1,2)的特定主和/或从功能来确定各自的写入授权和检验职责。
3.如前一权利要求所述的方法,其中,用于处理信道(1,2)的特定主和/或从功能根据特定周期而更替。
4.如前述权利要求之一所述的方法,其中,经由每个所述处理信道(1,2)访问被连接到中间寄存器的相同地址总线(102)以及被连接到中间寄存器的相同数据总线(103)。
5.如前一权利要求所述的方法,其中,在写入操作期间,要被写入至少一个寄存器位置的各协议部分(14’)经由具有相应写入授权的处理信道(1)被传送到数据总线(103),并且经由所述至少一个其他处理信道(2)从所述数据总线中读出以检验。
6.如前一权利要求所述的方法,其中,在执行检验之后,经由执行检验的所述至少一个处理信道(2)输出用于使能寄存器写入信号的使能信号(26)。
7.如前两个权利要求中一个所述的方法,其中,在协议部分被传送到数据总线(103)之后,经由写入的处理信道(1)输出使能信号(16)。
8.如前四个权利要求中一个所述的方法,其中,通过将相应的地址传送到地址总线(102)来指定用于经由所述处理信道(1,2)中的一个写入协议部分的相应寄存器位置。
9.如前一权利要求所述的方法,其中,用于确定寄存器位置的地址使用相同处理信道或不同处理信道被传送,并且用于这个寄存器位置的协议部分使用相同处理信道或不同处理信道被写入。
10.如前述权利要求中的一个所述的方法,其中,连接在处理信道(1,2)和中间寄存器之间的监视器部件被用于监控处理信道(1,2)的功能。
11.如前一权利要求所述的方法,其中,需要来自监控器部件的使能信号,以使能对公共的中间寄存器的访问,从而存储要被写入的部分。
12.如前一权利要求所述的方法,其中,标准RAM、标准DPM或不利于回读的存储器/协议组件,特别是串行寄存器扩展芯片,被用作为中间寄存器(30)。
13.如前述权利要求中的一个所述的方法,其中,公共的安全协议被从中间寄存器(30)单信道地传送到另一个特定于应用构造的连接装置(35)。
14.如前述权利要求中的一个所述的方法,其被用于安全关键过程的单信道总线连接。
15.一种用于将安全关键过程从具有至少两个冗余处理信道的安全环境连接到不安全环境或具有更少处理信道的安全环境的设备,所述设备包括至少两个冗余计算机(11,21),用于特别是特定于协议地通过使用相同的规律来将相同的输入数据项处理为各自的安全协议(14,24),以及电路结构,用于将每个计算机(11,21)连接到公共的中间寄存器(30),使得对于中间寄存器(30)中的每个寄存器位置,只为相应一个计算机提供写入访问权,并且为了存储要被写入的部分而对公共的中间寄存器的访问被锁定,直到要被写入的部分被至少一个其他计算机检验。
16.如前一权利要求所要求的设备,其中,计算机通过特定的、也可改变的主和/或从功能性而被分配以各自的写入授权或检验职责。
17.如权利要求15和16中任意一个所述的设备,其中,所述电路结构包括公共的地址总线(102)和公共的数据总线(103)。
18.如前述权利要求15到17中的一个所述的设备,其中,计算机(11,21)经由通信接口(101)彼此连接。
19.如前述权利要求15到18中的一个所述的设备,其中,所述电路结构需要执行检验的计算机的使能信号(26),以使能用于访问寄存器的写入信号。
20.如前一权利要求所述的设备,其中,所述电路结构需要执行写入的计算机的使能信号(16),以使能用于访问寄存器的写入信号。
21.如前述权利要求15到20中的一个所述的设备,其中,所述电路结构包括被连接到计算机(11,21)和中间寄存器的监视器部件,用于监控计算机(11,21)的功能。
22.如前一权利要求所述的设备,其中,只在响应于监视器部件的使能信号的情况下使能对公共的中间寄存器的访问,以存储要被写入的部分。
23.如前述权利要求15到22中的一个所述的设备,其中,计算机(11,21)的每一个都包括集成的协议芯片,或在输出侧被连接到协议芯片(13,23),或包括提供协议芯片功能的软件。
24.如前述权利要求15到23中的一个所述的设备,其中,所述设备被构造为总线用户单元,并且计算机在输入侧至少被连接到用于连接过程数据输入单元的输入信道,或所述设备被构造为总线控制单元。
25.如前述权利要求15到24中的一个所述的设备,其中所述电路结构以简单的逻辑被构造或被构造为FPGA。
26.如前一权利要求所述的设备,其中,中间寄存器(30)是标准RAM、标准DPM或不利于回读的存储器,特别是串行寄存器扩展芯片。
27.如前述权利要求15到26中的一个所述的设备,其中,中间寄存器(30)具有用于直接单信道地总线连接或用于单信道地连接到特定于应用地构造的总线连接装置(35)的接口。
28.如前述权利要求15到27中的一个所述的设备,其适合于安全关键过程的单信道总线连接。
全文摘要
本发明涉及一种方法和一种适合于执行该方法的设备,用于从具有至少两个冗余处理信道的安全环境到不安全的环境或安全但是具有较少处理信道的环境的安全关键过程的连接。为此,提供了一种方法,其处理与安全关键过程相关的、特别是特定协议基础上的数据记录,以根据相同规律使用至少两个冗余处理信道(1,2)来形成各自的安全协议(14,24),并且考虑至少两个冗余安全连接协议(14,24)来形成公共的安全协议,即通过使用每个处理信道(1,2)访问公共的(中间)寄存器(30),在这种情况下,写入授权对于每个寄存器位置只分配一次,并且当使用具有写入授权的处理信道(1)来至少写入公共的基于安全的协议的部分(14’)时,至少一个另外的处理信道(2)首先被用于检验(25)这些部分(14’)是否彼此相同,并且出于存储这些元素的目的,只有当它们彼此相同时,访问公共中间寄存器才被使能。
文档编号G08C25/00GK101078922SQ20071012883
公开日2007年11月28日 申请日期2007年1月19日 优先权日2006年1月19日
发明者维克托尔·奥斯特尔, 海因茨-卡斯坦·兰德维尔, 乔基姆·施米特 申请人:菲尼克斯电气公司