ES2318192T3 - Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo. - Google Patents

Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo. Download PDF

Info

Publication number
ES2318192T3
ES2318192T3 ES03794897T ES03794897T ES2318192T3 ES 2318192 T3 ES2318192 T3 ES 2318192T3 ES 03794897 T ES03794897 T ES 03794897T ES 03794897 T ES03794897 T ES 03794897T ES 2318192 T3 ES2318192 T3 ES 2318192T3
Authority
ES
Spain
Prior art keywords
program
information
exploitation
new
hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03794897T
Other languages
English (en)
Inventor
Johannes Klopfer
Klaus Wohnhaas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Application granted granted Critical
Publication of ES2318192T3 publication Critical patent/ES2318192T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Numerical Control (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Storage Device Security (AREA)

Abstract

El presente invento hace referencia a un dispositivo de seguridad para realizar un control a prueba de fallos de procesos críticos en cuanto a seguridad, especialmente el paro a prueba de fallos de una máquina (12) o de maquinaria, que cuenta con un módulo de entrada (18) que lee automáticamente las señales del proceso, un módulo de tratamiento de señales (20) a prueba de fallos para tratar automáticamente las señales del proceso y un módulo de salida (22) a prueba de fallos que, dependiendo del módulo de tratamiento de señales (20), genera señales de control; además, el módulo de tratamiento de señales (20) incorpora, al menos, un procesador (24) programable y una primera memoria de sólo lectura (26) en la que se ha almacenado permanentemente un programa de control actual (30) para el procesador (24), caracterizado por un dispositivo de descarga (32) para transferir un nuevo programa de explotación (34) que cuenta con un dispositivo de descarga para aplicar un nuevo programa de explotación y una segunda memoria de sólo lectura (26) en la cual se ha almacenado una primera información de hardware (44) -que resulta característica al menos para el módulo de tratamiento de señales (20)-, de tal forma que el nuevo programa de explotación (34) contiene una segunda información de hardware (48) que resulta característica, y de tal forma que el dispositivo de descarga (32) habilita o impide a prueba de fallos la transferencia del nuevo programa de explotación (34) dependiendo de la información de habilitación (40, 42, 44, 48) que contiene la primera y la segunda información del hardware y la autoriza o rechaza a prueba de fallos.

Description

Dispositivo de seguridad para realizar un control a prueba de fallos de procesos críticos en cuanto a seguridad y método para implementar un nuevo programa de explotación en dicho dispositivo.
El presente invento hace referencia a un dispositivo de seguridad para realizar un control a prueba de fallos de procesos críticos en cuanto a seguridad, especialmente la parada a prueba de fallos de una máquina o de maquinaria que cuenta con un módulo de entrada que lee automáticamente las señales del proceso, un módulo de tratamiento de señales a prueba de fallos para tratar automáticamente las señales del proceso y un módulo de salida a prueba de fallos que, dependiendo del módulo de tratamiento de señales, genera señales de control; además, el módulo de tratamiento de señales incorpora, al menos, un procesador programable y una primera memoria de sólo lectura en la que se almacena permanentemente un programa de control actual para el procesador.
Además, el invento hace referencia a un método para implementar un nuevo programa de explotación en un dispositivo de seguridad de este tipo, así como al correspondiente programa de explotación.
Un dispositivo de seguridad de este tipo puede encontrarse, por ejemplo, en la patente WO-98/44399.
En el sentido del presente invento, un dispositivo de seguridad es un instrumento -o una combinación de instrumentos interconectados- que recibe señales de proceso desde sensores y que, a partir de ellas y mediante operaciones lógicas -incluyendo etapas de tratamiento de datos o señales, eventualmente-, genera señales de salida. Las señales de salida se introducen en actuadores, que ejercen las acciones o reacciones deseadas en el entorno. Un ámbito de aplicación preferente de los dispositivos de seguridad es, en cuanto a seguridad de las máquinas se refiere, el control de los pulsadores de parada de emergencia, mandos a dos manos, puertas de protección, protecciones fotoeléctricas, detectores de parada y análogos. Dichos sensores se emplean para asegurar una máquina que, en funcionamiento, puede suponer un riesgo para los trabajadores que la están utilizando. Al abrir la puerta de protección o al accionar el pulsador de parada de emergencia se genera una señal de proceso que se introduce en el dispositivo de seguridad como señal de entrada. El dispositivo de seguridad reacciona a dicha señal de entrada y desconecta, de modo seguro (a prueba de fallos) y con ayuda del actuador, la parte de la máquina que pudiera suponer un peligro.
Al contrario de lo que sucede con los dispositivos de control "normales", resulta característico de los dispositivos de seguridad que deben garantizar continuamente un estado seguro del proceso controlado, por ejemplo de la máquina que implica algún peligro. Esto debe ser así incluso aunque se produzca un fallo en el dispositivo de seguridad o en alguno de los aparatos conectados al mismo. Por esta razón, se fijan exigencias extraordinariamente elevadas en cuanto a la seguridad ante los propios fallos del dispositivo, lo que provoca un considerable aumento de los costes durante el desarrollo y la fabricación de dichos dispositivos. Por regla general, los dispositivos de seguridad necesitan recibir una autorización especial por parte de las autoridades pertinentes antes de su utilización, tarea realizada por las asociaciones profesionales o la TÜV (la ITV alemana). El dispositivo de seguridad debe cumplir con las normas de seguridad definidas, por ejemplo, en la norma europea EN 954-1. El presente invento considera todas estas características. Por tanto, el término "dispositivo de seguridad" se refiere exclusivamente a un instrumento -o a una combinación de instrumentos interconectados- que estén acreditados, como mínimo según la categoría 3 de la norma europea mencionada, para controlar máquinas, maquinaria y similares.
Un dispositivo de seguridad programable ofrece al usuario la posibilidad de ajustar las operaciones lógicas de las señales de entrada a sus necesidades individuales mediante un software denominado software de usuario. Así pues, el dispositivo de seguridad programable permite sustituir el cableado de los sensores individuales -anteriormente muy habitual- por los elementos de conexión lógicos.
Para poder desempeñar dicha función, el dispositivo de seguridad programable cuenta con un programa de explotación -independiente del programa de usuario- que determina el ámbito de funcionamiento principal del dispositivo. En especial, el programa de explotación incluye códigos fuente mediante los cuales los componentes de hardware del dispositivo de seguridad responden directamente y, con ello, pueden ser "resucitados".
Además, en el programa de explotación también se han implementado reglas de control de seguridad que el usuario puede llamar con su programa de usuario como módulos funcionales preparados y que puede parametrizar con señales de entrada y salida actuales. Por ejemplo, en el programa de explotación existen módulos funcionales preparados para valorar a prueba de fallos un pulsador de parada de emergencia de dos canales o una puerta de protección de dos canales. En el programa de usuario, el usuario sólo puede determinar el modo en que los módulos preparados -se incluyen aquí el pulsador de parada de emergencia y la puerta de protección- se unen entre sí mediante operaciones lógicas.
El usuario no tiene acceso al programa de explotación por razones de seguridad, es decir, no puede intercambiarlo o modificarlo. En la terminología del sector a menudo se denomina el programa de explotación como firmware.
En la patente WO-98/44399 mencionada al comienzo del documento, se describe un método para programar un dispositivo de seguridad en el que las reglas de control de seguridad se implementan en el dispositivo en forma de módulos funcionales. El usuario puede seleccionar, parametrizar e interconectar mediante operaciones lógicas los módulos funcionales con su programa de usuario. Para ello, se emplea un aparato de programación con el que se transfieren los comandos para seleccionar, parametrizar e interconectar mediante operaciones lógicas. Como ya se mencionó anteriormente, el usuario no tiene la posibilidad de acceder a las reglas de control de seguridad, es decir, no puede sustituirlas ni modificarlas.
Dicha prohibición del acceso al programa de explotación se corresponde con la práctica habitual en dispositivos de seguridad, ya que dicho programa de explotación -junto con el hardware del dispositivo- está sujeto a autorización por parte de las autoridades pertinentes. Si el usuario pudiera acceder al hardware y al programa de explotación, el fabricante del dispositivo de seguridad no podría garantizar con convencimiento que su aparato es a prueba de fallos.
No obstante, dicha práctica habitual tiene una consecuencia negativa: sólo el fabricante del dispositivo de seguridad puede modificar funciones del programa de explotación. Cuando se desee realizar una modificación de este tipo o cualquier otro acceso al programa de explotación, el usuario debe o bien enviar el dispositivo de seguridad al fabricante, o bien solicitar al mismo personal de servicio experto y autorizado. Esto se traduce en un esfuerzo caro y engorroso y que, además, puede afectar negativamente a los tiempos de parada de la maquinaria donde esté instalado el dispositivo.
En otros ámbitos fuera de la técnica de seguridad, por ejemplo en ordenadores personales corrientes, es práctica común que el usuario pueda realizar actualizaciones de software bajo su propia responsabilidad; para ello, no tiene más que adquirir un software nuevo del fabricante y lo implementa en su ordenador, en su caso siguiendo unas guía de instrucciones. Esto es asimismo válido en los denominados sistemas operativos, que representan un programa de explotación en el sentido otorgado en el presente invento. No obstante, existe el convencimiento general de que un procedimiento similar es impensable para aplicaciones de técnica de seguridad, ya que se le arrebataría al fabricante su control exclusivo sobre la combinación de hardware y programa de explotación. En lugar de eso, sería posible configurar combinaciones de hardware y programa de explotación no controladas, lo que supone un riesgo para la seguridad.
A partir de la patente EP-1.193.576-A2 se conoce un control de procesos con unidades de campo triplemente redundantes, el cual permite descargar un programa actualizado en cada una de dichas unidades sin que el proceso controlado se vea influido de manera permanente. Sin embargo, obviamente no se trata de un dispositivo de seguridad como el mencionado al comienzo del documento.
El objeto del presente invento es proporcionar un dispositivo de seguridad como el mencionado al comienzo del presente documento que permite una adaptación a los deseos del usuario más flexible y económica.
Dicho objeto se alcanza mediante un dispositivo de seguridad (del tipo mencionado al comienzo del documento) que cuenta con un dispositivo de descarga para aplicar un nuevo programa de explotación y una segunda memoria de sólo lectura en la cual se ha almacenado una primera información de hardware -que resulta característica al menos para el módulo de tratamiento de señales-, de tal forma que el nuevo programa de explotación contiene una segunda información de hardware que resulta característica, y de tal forma que el dispositivo de descarga habilita o impide a prueba de fallos la transferencia del nuevo programa de explotación dependiendo de la información de habilitación que contiene la primera y la segunda información del hardware.
El objeto también se cumple mediante un método para implementar un nuevo programa de explotación en un dispositivo de seguridad del tipo mencionado al principio del documento, que consta de los pasos que se describirán a continuación.
Preparar el dispositivo de seguridad con una primera memoria sólo de lectura en la que se ha almacenado un programa de explotación actual.
Preparar una primera información de hardware -característica para el dispositivo de seguridad- en una segunda memoria sólo de lectura del dispositivo de seguridad.
Preparar un nuevo programa de explotación.
Preparar una segunda información de hardware en el nuevo programa de explotación, de tal modo que la segunda información de hardware, bajo unos requisitos mínimos de hardware, sea característica para el nuevo programa de explotación.
Transferir el nuevo programa de explotación a la primera memoria de sólo lectura dependiendo de la información de habilitación que contiene la primera y la segunda información de hardware.
Con el dispositivo de seguridad descrito y el correspondiente método es posible, por vez primera, que un usuario de un nuevo programa de explotación, es decir, de un firmware nuevo, implemente o transfiera sobre un dispositivo de seguridad disponible. El presente invento se libera así del hasta ahora inquebrantable axioma de que únicamente el fabricante -que es responsable frente a las autoridades competentes- podía llevar a cabo acciones que afectaran a las reglas de control de seguridad.
El distanciamiento de la práctica empleada hasta ahora se basa en el sorprendente conocimiento de que el control ejercido por el fabricante sobre el dispositivo de seguridad -con ayuda de una información de habilitación especial o adicional- puede mantenerse ininterrumpidamente. La elección y la definición de la información adicional queda en manos del fabricante. El hecho de que la implementación de un nuevo programa de explotación se pueda interrumpir a prueba de fallos -y, por tanto, "automática" o "mecánicamente"- dependiendo de la información de habilitación, permite al fabricante del dispositivo de seguridad limitar la cantidad de posibles combinaciones de hardware y programa de explotación del usuario. Basta con configurar el dispositivo de descarga de tal modo que la transferencia del nuevo programa de explotación sólo acontezca cuando, a través de la información de habilitación requerida, el dispositivo reconozca que la transferencia sobre la plataforma de hardware ha sido autorizada por el fabricante. La comprobación de la información de habilitación que, por ejemplo, contiene una lista de plataformas de hardware permitidas, puede realizarse a prueba de fallos mediante medidas informáticas o eléctricas -conocidas y corrientes en el ámbito de la seguridad en máquinas-, en particular mediante comprobación de doble canal -y, preferentemente, comprobación diversificada- de la información de habilitación y/o el bloqueo de doble canal -preferentemente, bloqueo diversificado- de la transferencia.
En otras palabras, el dispositivo de seguridad impide que el dispositivo de habilitación almacene el nuevo programa de explotación en función de la comparación establecida entre la primera y la segunda información de hardware. De este modo, el fabricante del dispositivo de seguridad puede controlar que el nuevo programa de explotación sólo se ponga en funcionamiento en una plataforma de hardware que cumpla con una serie de requisitos mínimos impuestos y probados por él. Así, el fabricante del dispositivo de seguridad puede restringir la variedad de combinaciones posibles de plataformas de hardware y programas de explotación.
El nuevo dispositivo de seguridad es mucho más flexible en su asistencia logística gracias a que el usuario tiene la posibilidad de actualizar el software del programa de explotación. Los costes de producción y servicio del fabricante se reducen. Por otro lado, los tiempos de parada de una maquinaria también pueden acortarse modificando el dispositivo de seguridad a nivel del programa de explotación, ya que no debe esperarse a que acuda un técnico del fabricante.
Además, el usuario posee un abanico más amplio de aplicaciones para un mismo dispositivo de seguridad, ya que éste puede reequiparse sin más que implementar un nuevo programa de explotación con más funciones. Y, por encima de todo, debe señalarse que las ventajas mencionadas no acarrean pérdidas en la seguridad, ya que el usuario, tal y como sucedía anteriormente, sigue sin tener acceso a las reglas de control de seguridad internas.
Por lo tanto, el objeto mencionado se cumple completamente.
En una configuración del invento, la información de habilitación se ha integrado -al menos parcialmente- en el nuevo programa de explotación de modo que pueda ser leída automáticamente.
Dicha configuración es una posibilidad especialmente sencilla -a la par que cómoda para el usuario- de evaluar la información de habilitación a prueba de fallos y, por tanto, de ejecutar o cancelar la transferencia del nuevo programa de explotación. Además, las manipulaciones con una función de habilitación -al menos parcialmente integrada- se pueden impedir incluso de manera más eficiente. Todo esto conduce a un mayor nivel de seguridad.
En otra configuración, la información de habilitación contiene una primera y una segunda información de versión secuencial, de tal modo que la primera información de versión secuencial se asigna al programa de explotación actual y la segunda información de versión secuencial se asigna al nuevo programa de explotación.
Una información de versión secuencial, es decir, una información de versión dispuesta según un orden inequívoco, constituye una posibilidad especialmente sencilla para realizar un bloqueo o una activación a prueba de fallos. Básicamente, los dispositivos de seguridad del fabricante se suministran con un programa de explotación implementado. La combinación de plataforma de hardware y programa de explotación actual sigue estando sujeta al control total del fabricante. Éste, con ayuda de una información de versión secuencial, puede garantizar fácilmente que el usuario sólo podrá implementar un programa de explotación más nuevo, es decir, con una información de versión secuencial superior. De este modo, el usuario nunca podrá dotar al dispositivo de seguridad suministrado de un programa de explotación más "antiguo". Así, la mayoría de las combinaciones no verificadas -y, por tanto, no autorizadas- de plataforma de hardware y programa de explotación quedan eficazmente excluidas de un modo sencillo.
Para el fabricante es suficiente que pueda demostrar, ante las autoridades correspondientes, que la nueva versión del programa de explotación con una información de versión superior puede funcionar a prueba de fallos en las plataformas de hardware empleadas hasta el momento. El coste que esto implica es relativamente pequeño, ya que las nuevas versiones de los programas de explotación se basan en las versiones anteriores y, por tanto, sólo incluyen un número limitado de modificaciones.
La posibilidad teórica de que el usuario implemente un programa de explotación antiguo y no verificado sobre un dispositivo de seguridad antiguo, queda excluida gracias a la comprobación a prueba de fallos de la información de versión secuencial.
En otra configuración del invento, el dispositivo de descarga incluye un comparador -para comparar la primera y la segunda información de versión- y un dispositivo de habilitación, de modo que éste impide o no la implementación del nuevo programa de explotación en función del resultado de la comparación: cuando la segunda información de versión secuencial es inferior a la primera, la implementación se impide.
Esta configuración es una posibilidad especialmente ventajosa para valorar automática o mecánicamente las informaciones de versiones secuenciales, con el fin ulterior de autorizar o bloquear la transferencia. Debe entenderse que el comparador o el dispositivo de habilitación pueden ser indistintamente módulos de hardware o de software -es decir, estar incluidos en el propio programa de explotación-.
En otra configuración, el dispositivo de habilitación sólo autoriza la implementación del nuevo programa de explotación cuando la segunda información de versión secuencial es superior a la primera.
En otras palabras: el almacenamiento del nuevo programa de explotación también se impide cuando la segunda información de versión secundaria secuencial coincide con la primera.
En esta configuración, la novedad respecto a los enfoques ya analizados es que se impide implementar de nuevo un programa de explotación idéntico al existente. Esto puede resultar útil en el siguiente ejemplo: el usuario, que ha detectado ciertos errores en el funcionamiento de ciertas funciones, determina que implementando de nuevo el programa de explotación podrá solventarlos. Sin embargo, este tipo de "autoayuda" suele resultar engañosa. Por tanto, desde el punto de vista de la seguridad, resulta ventajoso que el usuario sólo pueda implementar por sí mismo un programa de explotación con una información de versión superior en su dispositivo de seguridad.
En otra configuración, las informaciones de versión primera y segunda se protegen a prueba de fallos en el correspondiente programa de explotación.
La protección a prueba de fallos de la información de versión se consigue mediante un almacenamiento redundante y/o una formación de firma -ya conocida-, por ejemplo en forma de una suma de verificación CRC (cyclic redundancy check). En esta configuración es aún más fiable implementar un nuevo programa de explotación, ya que es imposible implementarlo por error, incluso aunque tenga lugar un fallo o la información de versión esté manipulada. El control del fabricante del dispositivo de seguridad se ha vuelto a reforzar.
En otra configuración, el nuevo programa de explotación incluye un código fuente que implementa reglas de control de seguridad en el dispositivo de seguridad cuando el nuevo programa de explotación se introduce en el dispositivo de seguridad.
Esta medida permite modificar el conjunto de funciones del dispositivo de seguridad de manera especialmente favorable sin que el fabricante pierda el control sobre la seguridad. Mediante esta configuración, las ventajas del invento resaltan especialmente. El usuario tiene la posibilidad de modificar las reglas de control de seguridad mediante la implementación del programa de explotación. No obstante, el usuario está obligado a intercambiar el "paquete completo" -controlado por el fabricante- de todas las reglas de control de seguridad implementadas. El usuario, por tanto, no puede modificar ni manipular por sí mismo las reglas de control, lo que supondría un riesgo para la seguridad.
En otra configuración, la primera y la segunda información de hardware contienen informaciones de versión secuenciales.
Una información de versión secuencial, como ya se ha comentado, es una clasificación unívoca y ordenada. La licitud de las configuraciones de plataforma de hardware y programa de explotación creadas por el usuario se controla así de un modo especialmente seguro y sencillo.
En otra configuración, la primera y la segunda información de hardware incluyen una información tipo.
De este modo puede comprobarse de forma más sencilla y fiable si una determinada combinación de plataforma de hardware y programa de explotación está autorizada. Una información tipo permite diferenciar entre sí series y plataformas de hardware de tal modo que se impide la implementación de un programa de explotación de tipo desconocido independientemente de la información de versión. En combinación con una información de versión secuencial se obtiene la posibilidad de realizar una comprobación doble, lo cual supone un aumento en la seguridad.
Debe entenderse que las características mentadas y las que se mencionarán de ahora en adelante pueden aplicarse no sólo en la combinación concreta descrita, sino también en otras combinaciones o por separado, sin abandonar el marco del presente invento.
En los dibujos se representan ejemplos de realización, que se describirán con más detalle de ahora en adelante. Los dibujos muestran lo siguiente:
En la figura 1 se muestra una representación esquemática de un dispositivo de seguridad según el invento;
En la figura 2 se muestra un diagrama de flujo para ilustrar el método según el invento.
En la figura 1 se designa la totalidad del dispositivo de seguridad según el invento con la cifra 10.
La función del dispositivo de seguridad 10 -configurado según una forma de realización preferente del invento- es realizar una parada segura de una maquinaria, especialmente de una maquinaria situada en un entorno de producción. En este ejemplo, la maquinaria son tres accionamientos eléctricos 12 que pueden ser apagados por el dispositivo de seguridad 10 conjunta o individualmente. En este ejemplo de aplicación, el dispositivo de seguridad 10 evalúa como señales de entrada dos pulsadores de parada de emergencia 14 y la puerta de protección 16. Se conoce el modo en que los pulsadores de parada de emergencia 14 y la puerta de protección 16 están situados en la maquinaria, para poder así garantizar que quedan protegidos y son seguros durante la explotación de ésta.
El dispositivo de seguridad 10 de la presente forma de realización es, como aparato propietario, el único responsable de la protección de la maquinaria, es decir, de la parada de los accionamientos 12 cuando exista una señal de entrada procedente de los pulsadores de parada de emergencia 14 o de la puerta de protección 16. El control del funcionamiento de la máquina, por ejemplo la aceleración y frenado de los accionamientos 12 durante los ciclos de trabajo, no es cometido del dispositivo de seguridad 10. Para ello se prevé un control de funcionamiento ya conocido que, por razones de claridad, no se representa en la figura. No obstante, también existe la posibilidad de que en otras formas de realización el dispositivo de seguridad 10 también se encargue de controlar el funcionamiento de la maquinaria. Debe entenderse que, en este caso, el dispositivo de seguridad 10 presenta una mayor complejidad por lo que, además de las señales de entrada y salida mencionadas, recibe y transmite otras señales de control habituales en las máquinas.
También debe tenerse en cuenta que, además de los emisores de la señal de entrada mostrados -es decir, los pulsadores de parada de emergencia 14 y la puerta de protección 16-, pueden estar conectados a la entrada del dispositivo de seguridad 10 cualesquiera otros generadores de señal, como mandos de dos manos, detectores de parada, armarios eléctricos o conmutadores de posición. La valoración a prueba de fallos de dichos generadores de señal tiene lugar en el dispositivo de seguridad 10 de un modo conocido con ayuda del programa de explotación y del programa de usuario.
De igual modo, a la salida del dispositivo de seguridad 10 pueden estar conectadas otras partes receptoras accionadas eléctricamente, las cuales pueden desconectarse a prueba de fallos en función de las señales de entrada que reciba el dispositivo de seguridad 10.
Por último, debe señalarse que el usuario puede programar el dispositivo de seguridad 10 de un modo conocido empleando el software de usuario. Por ejemplo, puede consultarse la patente WO 98/44399 mencionada al comienzo del documento. Las ventajas del invento, no obstante, también se dan en aquellos dispositivos de seguridad que el usuario no puede programar por sí mismo mediante un software de usuario, siempre y cuando se disponga de un programa de explotación en el sentido conferido durante todo el documento. Los dispositivos de seguridad de este tipo son comercializados por la empresa solicitante del presente invento bajo la familia de productos PNOZelog^{TM}; todavía no es posible que el usuario cambie el programa de explotación de un aparato de esta familia.
Para recibir las variables del proceso de los generadores de señal -en este caso los pulsadores de parada de emergencia 14 y la puerta protectora 16-, el dispositivo de seguridad 10 posee un módulo de entrada 18. Debido a la seguridad a prueba de fallos exigida, dicho módulo de entrada 18 está diseñado con doble canal redundante, lo que se representa en la figura 1 con la línea discontinua.
No obstante, en ciertos casos particulares puede bastar configurar el módulo de entrada 18 -o al menos ciertas partes- con un solo canal. Además, para mantener la claridad del dibujo se ha representado el módulo de entrada como un bloque de funciones propio en el diagrama de bloques de la figura 1. No obstante, puede realizarse parcialmente mediante software e incorporarse al programa de explotación.
La cifra 20 designa un módulo de tratamiento de la señal del dispositivo de seguridad 10. Dicho módulo une -de un modo conocido- las señales de proceso recogidas por el módulo de entrada 18, generando a partir de ellas señales de control que son emitidas a través del módulo de salida 22. A menudo, el módulo de salida 22 incluye relés, contactores o conmutadores electrónicos con los que se interrumpe a prueba de fallos la alimentación eléctrica de los accionamientos 12 y de la maquinaria en general. La seguridad a prueba de fallos se simboliza de nuevo mediante una línea diagonal que remite a un diseño redundante del módulo de salida 20. El flujo de la señal desde el módulo de entrada 18 hasta el módulo de salida 22 -pasando a través del módulo de tratamiento de la señal 20- se refleja en la figura 1 con las correspondientes flechas de bloque.
El módulo de tratamiento de señales 20 incluye, al menos, un procesador programable 24, una memoria de sólo lectura 26 y una memoria principal 28. En la memoria de sólo lectura 26 se almacena -de modo conocido y permanente- el programa de explotación 30 para el procesador 24. En este caso se trata de una suma de comandos de programación -legibles por ordenador- que permiten desarrollar la funcionalidad principal del dispositivo de seguridad 10. En particular, el programa de explotación 30 incluye en este ejemplo de realización aquellos comandos de programación que permiten al procesador 24 leer y emitir señales. Los comandos permiten que el hardware del dispositivo de seguridad 10 "resucite".
Además, el programa de explotación 30 incluye un conjunto de reglas de control de seguridad preparadas con las que, por ejemplo, puede llevarse a cabo la valoración a prueba de fallos de un pulsador de parada de emergencia de doble canal. Asimismo, se dispone de algoritmos de valoración a prueba de fallos para cualquier otro generador de señales autorizado y para todos los actuadores autorizados situados a la salida del dispositivo de seguridad 10.
\newpage
En el caso de que el dispositivo de seguridad 10 sea un aparato propietario, el programa de explotación 30 incluirá además la asignación de las reglas de control de la seguridad a las claves de entrada y salida. Así, el usuario no tiene ninguna influencia -y si la tiene, muy reducida- sobre el abanico de funciones y su alcance. Como ya se ha comentado, también existe la alternativa de diseñar el dispositivo de seguridad de tal forma que el usuario, con ayuda de un programa de usuario diseñado por él, pueda seleccionar y parametrizar reglas de control de seguridad.
La memoria principal 28 sirve para almacenar temporalmente las variables intermedias y, en su caso, para registrar el programa de usuario, el cual se incorpora al programa de explotación 30.
El módulo de tratamiento de señales 20 del dispositivo de seguridad 10 está diseñado a prueba de fallos continuamente, lo que puede conseguirse, por ejemplo, mediante un diseño redundante con pruebas y controles mutuos. El procesador 24, la memoria de sólo lectura 26 y la memoria principal 28 se han representado dobles por este motivo.
En el diagrama de bloques se señala con la cifra 32 un dispositivo de descarga para implementar un nuevo programa de explotación 34. "Implementar" significa que el nuevo programa de explotación 34 se almacena en la memoria de sólo lectura 26 de tal modo que completa el abanico de funciones del dispositivo de seguridad 10 ofrecido por el programa de explotación 30, o bien lo sustituye. La implementación del nuevo programa de explotación 34 puede incluso tener como consecuencia la sustitución completa del programa de explotación 30 disponible. De ese modo, se tiene la posibilidad -entre otras- de sustituir las reglas de control de seguridad preparadas por otras modificadas.
El dispositivo de descarga 32 según el invento incluye un comparador 36 y un dispositivo de habilitación 38. Además, se prevé una información de versión secuencial tanto en el programa de explotación disponible 30 como en el nuevo programa 34 -señaladas en el diagrama de bloques con las cifras 40 y 42, respectivamente-. El comparador 36 lee la información de versión 40 del programa de explotación disponible 30 y la información de versión 42 del programa de explotación nuevo 34, comparándolas.
En función del resultado de dicha comparación, el dispositivo de habilitación 38 impide o permite la implementación del nuevo programa de explotación 34. Concretamente, el dispositivo de habilitación 38 sólo permite implementar el nuevo programa de explotación 34 cuando la información de versión del nuevo programa de explotación 34 es superior a la información de versión del programa de explotación disponible 30. En otras palabras, el dispositivo de seguridad 10 sólo permite implementar un nuevo programa de explotación 34 cuando éste es efectivamente más nuevo que el ya disponible 30, lo que se determina por comparación.
Debe entenderse que la representación de la figura 1 -con el comparador 36 y el dispositivo de habilitación 38 en primera línea- se ha escogido por motivos ilustrativos. En la práctica, la comparación de las informaciones de versión y la autorización o denegación de la implementación tiene lugar con ayuda de herramientas informáticas, es decir, mediante comandos de programación, los cuales se almacenan en la memoria de sólo lectura 26 -como parte del programa de explotación disponible 30- y son tratados por el procesador 24. En lo que se refiere al hardware, el dispositivo de descarga 32 cuenta además con una interfaz ya conocida -por ejemplo una interfaz RS232- mediante la cual pueda leerse el nuevo programa de explotación 34 en caso de que se reciba la autorización necesaria.
Según una forma de realización preferente del invento, las informaciones de versión 40 y 42 de los programas de explotación 30 y 34 están incluidas de manera múltiplemente redundantes en dichos programas y/o protegidas por medidas de seguridad a prueba de fallos, como una suma de verificación CRC o una creación de firma. El nuevo programa de explotación 34 sólo podrá ser habilitado por el dispositivo 38 si la comparación a prueba de fallos entre las dos informaciones de versión 40, 42 proporciona como resultado inequívoco que la información de versión del nuevo programa de explotación 34 es superior a la información de versión del programa de explotación 30.
Según una forma de realización preferente, en el dispositivo de seguridad 10 se almacena asimismo una información de hardware 44 que resulta característica (al menos para el módulo de tratamiento de señales 20). En otras palabras, la información de hardware 44 indica el grado de desarrollo de la plataforma de hardware del dispositivo de seguridad 10. Según una forma de realización preferente, la información de hardware también incluye una información tipo 46, mediante la cual pueden identificarse distintas plataformas de hardware con mayor precisión. Además, en el nuevo programa de explotación 34 se prevé una segunda información de hardware 48 que sirve para identificar los requisitos mínimos de hardware exigidos. Preferentemente, las informaciones de hardware 44, 48 son informaciones de versión secuenciales que permiten obtener una clasificación inequívoca de las plataformas de hardware (o de los requisitos mínimos exigibles) en un orden según el desarrollo.
En las formas de realización preferentes, durante la comprobación no sólo se tiene en cuenta si se autoriza o no la implementación del nuevo programa de explotación 34, sino también las informaciones de hardware 44, 46 y 48. En concreto, la implementación del nuevo programa de explotación 34 sólo se autoriza cuando los requisitos mínimos codificados en el programa de explotación 34 existen sin ningún género de dudas en la plataforma de hardware del dispositivo de seguridad 10 debido a las informaciones de hardware 44, 46 almacenadas.
Según otra forma de realización preferente, en el dispositivo de seguridad 10 se almacena permanentemente otra información de versión 50 que define la versión mínima autorizada para un nuevo programa de explotación 34. Así, la autorización para implementar un nuevo programa de explotación 34 sólo depende de si la información de versión 42 es superior a la información de versión mínima 50. Este nuevo criterio de comparación tiene como consecuencia que la implementación del nuevo programa de explotación 34 dependa de otro control. No obstante, dicho control puede suprimirse si el fabricante del dispositivo de seguridad 10 garantiza que éste se suministra continuamente con un programa de explotación 30 en el que está contenida una información de versión 40.
El requisito mínimo para el nuevo programa de explotación 34 puede entonces definirse así: el nuevo programa de explotación 34 sólo podrá implementarse si posee una información de versión superior a la del programa existente.
En la figura 2 se representa esquemáticamente -mediante un diagrama de flujo- el modo en que puede tener lugar la implementación del programa de explotación 34. Es fácil deducir que una opción óptima es que el método se diseñe como un código fuente adecuado para el procesador 24.
En el paso 60 se activa, en primer lugar, un modo de descarga. Para impedir un servicio defectuoso y una activación involuntaria esto puede realizarse, preferentemente, de modo que se accione un interruptor de llave (no representado) -añadido únicamente para esto- en el dispositivo de seguridad 10. No obstante, también es posible activar el modo de descarga mediante un ordenador, por ejemplo introduciendo una contraseña.
Según el paso 62 tiene lugar la lectura de la información de versión actual 40 del programa de explotación 30. Finalmente, en el paso 64 se lee la información de versión 42 el nuevo programa de explotación 34. El paso 66 indica que se realiza una comparación entre ambas informaciones de versión 40, 42. Si la información de versión 40 del programa de explotación disponible 30 es superior o mayor a la información de versión 42 del nuevo programa de explotación 34, tiene lugar, según el paso 68, una interrupción del método y, preferentemente, finaliza el modo de descarga. Así, se impide la implementación del nuevo programa de explotación 34.
Si la comparación de ambas informaciones de versión 40, 43 indica que el nuevo programa de explotación 34 puede completar o sustituir al antiguo 30, el paso 70 indica que la información de hardware 44, 46 del dispositivo de seguridad 10 se lee. En el paso 72, finalmente, se lee la información de hardware 48, la cual define si el nuevo programa de explotación 34 puede arrancarse y está autorizado.
Según el paso 74 tiene lugar una forma de realización (representada) en la que tiene lugar una comparación de los tipos, es decir, se comprueba si el programa de explotación 34 está permitido para trabajar con el dispositivo de seguridad 10. Si éste no es el caso, el paso 76 indica que el modo de descarga se interrumpe indefectiblemente.
Si la comparación entre tipos es positiva, en el paso 78 se vuelve a comprobar un nuevo criterio, que consiste en verificar si la información de hardware 44 del dispositivo de seguridad 10 es mayor o al menos igual a la información de hardware 48 contenida en el programa de explotación 34. Si la comparación establece que el dispositivo de seguridad 10 no cumple con los requisitos mínimos de hardware, entonces se interrumpe el modo de descarga según el paso 80.
Sin embargo, si la comprobación de los requisitos da un resultado positivo según las informaciones de hardware, entonces el programa de explotación 34 se implementa según el paso 82. En otras palabras, el programa de explotación 34 se almacena en la memoria sólo de lectura 26. Tras finalizar la descarga, el nuevo programa de explotación sustituye o completa el anterior 30 durante el uso seguro del dispositivo de seguridad 10.
La transferencia del programa de explotación 34 al dispositivo de seguridad 10 puede suceder de diversos modos. Como se mencionó más arriba, el programa de explotación 34 puede transferirse al dispositivo de seguridad 10 gracias a la interfaz en serie si recibe la autorización. También es posible realizar la transferencia mediante un bus de campo o un medio de almacenamiento intercambiable. De hecho, la transferencia del nuevo programa de explotación 34 puede realizarse también por Internet.
Para aumentar aún más la seguridad resulta recomendable que el programa de explotación 34 y, especialmente, las informaciones de versión 42 y 48 estén protegidas frente a manipulaciones y falsificaciones mediante un algoritmo de clave. En ese caso, el dispositivo de seguridad 10 cuenta con un programa de clave (no representado).
En las formas de realización preferentes descritas hasta ahora las informaciones de versión incluyen, por ejemplo, combinaciones de números y/o letras que permiten establecer una clasificación inequívoca en un orden determinado. No obstante, también es posible preparar las informaciones de versión de manera que estén "no finalizadas", es decir, en forma de un algoritmo que proporcione un resultado unívoco y, así, permita determinar la información de versión secuencial. En este caso, la información de versión secuencial lo es en el sentido dado a lo largo del documento.

Claims (16)

1. El presente invento hace referencia a un dispositivo de seguridad para realizar un control a prueba de fallos de procesos críticos en cuanto a seguridad, especialmente el paro a prueba de fallos de una máquina (12) o de maquinaria, que cuenta con un módulo de entrada (18) que lee automáticamente las señales del proceso, un módulo de tratamiento de señales (20) a prueba de fallos para tratar automáticamente las señales del proceso y un módulo de salida (22) a prueba de fallos que, dependiendo del módulo de tratamiento de señales (20), genera señales de control; además, el módulo de tratamiento de señales (20) incorpora, al menos, un procesador (24) programable y una primera memoria de sólo lectura (26) en la que se ha almacenado permanentemente un programa de control actual (30) para el procesador (24), caracterizado por un dispositivo de descarga (32) para transferir un nuevo programa de explotación (34) que cuenta con un dispositivo de descarga para aplicar un nuevo programa de explotación y una segunda memoria de sólo lectura (26) en la cual se ha almacenado una primera información de hardware (44) -que resulta característica al menos para el módulo de tratamiento de señales (20)-, de tal forma que el nuevo programa de explotación (34) contiene una segunda información de hardware (48) que resulta característica, y de tal forma que el dispositivo de descarga (32) habilita o impide a prueba de fallos la transferencia del nuevo programa de explotación (34) dependiendo de la información de habilitación (40, 42, 44, 48) que contiene la primera y la segunda información del hardware y la autoriza o rechaza a prueba de fallos.
2. Dispositivo de seguridad según la reivindicación 1, caracterizado por el hecho de que la información de habilitación (40, 42, 44, 48) está integrada, al menos en parte, en el nuevo programa de explotación (34) de forma que pueda leerse mecánicamente.
3. Dispositivo de seguridad según la reivindicación 1 ó 2, caracterizado por el hecho de que la información de habilitación (40, 42, 44, 48) contiene una primera (40) y una segunda (42) información de versión secuencial, de modo que la primera información de versión secuencial (40) está asignada al programa de explotación actual (30) y la segunda (42) al nuevo programa de explotación (34).
4. Dispositivo de seguridad según la reivindicación 3, caracterizado por el hecho de que el dispositivo de descarga (32) incluye un comparador (36) -para comparar la primera y la segunda información de versión (40, 42)- y un dispositivo de habilitación (38), de modo que éste impide o no la implementación del nuevo programa de explotación (34) en función del resultado de la comparación: cuando la segunda información de versión secuencial (42) es inferior a la primera (40), la implementación se impide.
5. Dispositivo de seguridad según la reivindicación 4, caracterizado por el hecho de que el dispositivo de habilitación (38) sólo autoriza la implementación del nuevo programa de explotación (34) cuando la segunda información de versión (42) secuencial es superior a la primera (40).
6. Dispositivo de seguridad según una de las reivindicaciones de la 3 a la 5, caracterizado por el hecho de que las informaciones de versión primera y segunda (40, 42, 44, 48) se protegen a prueba de fallos en el correspondiente programa de explotación (30, 34).
7. Dispositivo de seguridad según una de las reivindicaciones de la 1 a la 6, caracterizado por el hecho de que el nuevo programa de explotación (42) incluye un código fuente que implementa reglas de control de seguridad en el dispositivo de seguridad (10) cuando el nuevo programa de explotación (42) se introduce en el dispositivo de seguridad (10).
8. Dispositivo de seguridad según una de las reivindicaciones de la 1 a la 7, caracterizado por el hecho de que la primera y la segunda información de hardware (44, 48) contienen informaciones de versión secuenciales.
9. Dispositivo de seguridad según una de las reivindicaciones de la 1 a la 8, caracterizado por el hecho de que la primera y la segunda información de hardware (44, 48) contienen información tipo de hardware (46).
10. Método para implementar un nuevo programa de explotación en un dispositivo de seguridad según una de las reivindicaciones de la 1 a la 9, que consta de los siguientes pasos: preparar el dispositivo de seguridad (10) con una primera memoria sólo de lectura (26) en la que se ha almacenado un programa de explotación actual (30); preparar una primera información de hardware (44) -característica para el dispositivo de seguridad (10)- en una segunda memoria sólo de lectura del dispositivo de seguridad (10); preparar un nuevo programa de explotación (34); preparar una segunda información de hardware (48) en el nuevo programa de explotación (34), de tal modo que la segunda información de hardware (48), bajo unos requisitos mínimos de hardware- sea característica para el nuevo programa de explotación (34); transferir el nuevo programa de explotación (34) a la primera memoria de sólo lectura (26) dependiendo de la información de habilitación (40, 42, 44, 48) que contiene la primera y la segunda información de hardware.
11. Método según la reivindicación 10, caracterizado por el hecho de que la información de habilitación (40, 42, 44, 48) contiene una primera (40) y una segunda (42) información de versión secuencial, de tal modo que la primera información de versión secuencial (40) se asigna al programa de explotación actual y la segunda información de versión secuencial (42) se asigna al nuevo programa de explotación (34).
12. Método según la reivindicación 11, caracterizado por el hecho de que la transferencia se impide cuando la segunda información de versión secuencial (42) es inferior a la primera (40).
13. Programa de explotación (34) para implementar en un dispositivo de seguridad (10) según el método descrito en una de las reivindicaciones de la 10 a la 12, caracterizado por el hecho de que la información de habilitación integrada (42, 48), la cual contiene al menos la segunda información de hardware (48) -característica de la configuración de hardware mínimamente exigible para el dispositivo de seguridad (10), en donde la segunda información de hardware (48) está prevista para poder autorizar o denegar la implementación del programa de explotación en el dispositivo de seguridad (10), dependiendo de la comparación que se establezca con la primera información de hardware (44) almacenada en el dispositivo de seguridad (10).
14. Programa de explotación según la reivindicación 13, caracterizado por un código fuente que implementa reglas de control de seguridad en el dispositivo de seguridad (10) cuando el programa de explotación (34) se desarrolla en un módulo de tratamiento de señales (20) del dispositivo de seguridad (10).
15. Programa de explotación según la reivindicación 13 ó 14, caracterizado por el hecho de que la información de habilitación (42, 48) se ha almacenado a prueba de fallos en el programa de explotación (34).
16. Portador de datos en el que se codifique un programa de explotación (34) según una reivindicación de la 13 a la 15.
ES03794897T 2002-08-28 2003-08-20 Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo. Expired - Lifetime ES2318192T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10240584 2002-08-28
DE10240584A DE10240584A1 (de) 2002-08-28 2002-08-28 Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche

Publications (1)

Publication Number Publication Date
ES2318192T3 true ES2318192T3 (es) 2009-05-01

Family

ID=31502318

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03794897T Expired - Lifetime ES2318192T3 (es) 2002-08-28 2003-08-20 Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo.

Country Status (9)

Country Link
US (2) US7286886B2 (es)
EP (1) EP1532494B1 (es)
JP (1) JP4773093B2 (es)
CN (1) CN1678963B (es)
AT (1) ATE422070T1 (es)
AU (1) AU2003264072A1 (es)
DE (2) DE10240584A1 (es)
ES (1) ES2318192T3 (es)
WO (1) WO2004025382A1 (es)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
SE0203819D0 (sv) * 2002-12-19 2002-12-19 Abb As Method to increase the safety integrity level of a control system
DE102004018642A1 (de) 2004-04-16 2005-12-01 Sick Ag Prozesssteuerung
US7460918B2 (en) * 2004-06-10 2008-12-02 Moteurs Leroy-Somer Devices and methods for updating the programming of a system for controlling an electric rotary machine
DE102005014233A1 (de) * 2005-03-30 2006-04-06 Daimlerchrysler Ag Verfahren zum Betreiben einer automatisierten Produktionsanlage sowie Bedienvorrichtung
DE102005026477A1 (de) 2005-06-09 2006-12-14 Zf Friedrichshafen Ag Signalverarbeitungssystem mit schneller Signalverarbeitung
JP4442524B2 (ja) * 2005-07-12 2010-03-31 株式会社ジェイテクト 安全plc
JP4619231B2 (ja) * 2005-07-29 2011-01-26 株式会社ジェイテクト 安全plc
US7912666B1 (en) 2005-11-28 2011-03-22 Western Digital Technologies, Inc. Disk drive grouping in a multi-cell disk drive test system
US7596722B1 (en) * 2006-02-14 2009-09-29 Western Digital Technologies, Inc. Asynchronous automatic software module updates in a multi-cell disk drive test system
EP1847891A1 (de) * 2006-04-21 2007-10-24 Siemens Aktiengesellschaft Sichere Parametrierung einer Sicherheitsschaltungsvorrichtung
DE102006059107A1 (de) * 2006-12-08 2008-06-12 Siemens Ag Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspannungs-Leistungsschaltern
EP1973014B1 (de) * 2007-03-19 2011-09-28 Siemens Aktiengesellschaft Einrichtung und Verfahren zur automatischen Erkennung und Unterscheidung von an eine zweikanalige Sicherheitskombination angeschlossenen ein- oder zweikanaligen elektronischen Sensoren
DE102007029423B4 (de) * 2007-06-26 2009-09-03 Sick Ag Steuerungssystem
DE102008019195A1 (de) * 2008-04-17 2009-10-29 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
JP4875672B2 (ja) * 2008-07-24 2012-02-15 三菱重工業株式会社 工作機械
DE102009019089A1 (de) * 2009-04-20 2010-11-04 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung
KR20110058448A (ko) * 2009-11-26 2011-06-01 삼성전자주식회사 다운로드 수신제한 시스템에서 수신기의 보안모듈 부트로더 다운로드 방법 및 장치
KR101431301B1 (ko) * 2010-01-20 2014-08-20 엘에스산전 주식회사 안전 증설 베이스 및 그의 제어방법
KR20110092007A (ko) * 2010-02-08 2011-08-17 주식회사 만도 차량의 소프트웨어 다운로드 시스템 및 방법
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
TWI528285B (zh) * 2011-12-20 2016-04-01 緯創資通股份有限公司 製造系統及韌體燒錄方法
JP5834935B2 (ja) * 2012-01-17 2015-12-24 トヨタ自動車株式会社 安全制御装置及び安全制御方法
US9910659B2 (en) 2012-11-07 2018-03-06 Qualcomm Incorporated Methods for providing anti-rollback protection of a firmware version in a device which has no internal non-volatile memory
DE102013215077A1 (de) * 2013-08-01 2015-02-05 Siemens Aktiengesellschaft Feldgerät zur Prozessinstrumentierung
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
US20150197975A1 (en) * 2014-01-14 2015-07-16 Vkr Holding A/S Heat energy management in buildings
EP2903209B1 (de) * 2014-01-30 2018-11-14 Siemens Aktiengesellschaft Verfahren zur Aktualisierung von Nachrichtenfilterregeln einer Netzzugangskontrolleinheit eines industriellen Kommunikationsnetzes, Adressverwaltungseinheit und Konvertereinheit
DE102015112040A1 (de) 2015-07-23 2017-01-26 Phoenix Contact Gmbh & Co. Kg Verfahren und System zur Firmware-Aktualisierung einer Steuereinrichtung zur Prozesssteuerung
DE102015011910A1 (de) * 2015-09-11 2017-03-16 Kuka Roboter Gmbh Verfahren und System zum Steuern einer Roboteranordnung
DE102015120347A1 (de) 2015-11-24 2017-05-24 Pilz Gmbh & Co. Kg Sicherheitssteuerungseinrichtung und Verfahren zur Änderung eines Funktionsumfangs einer Sicherheitssteuerungseinrichtung
DE102015120314A1 (de) * 2015-11-24 2017-05-24 Pilz Gmbh & Co. Kg Verfahren zum Programmieren einer Sicherheitssteuerung
US11535266B2 (en) 2017-07-13 2022-12-27 Danfoss Power Solutions Ii Technology A/S Electromechanical controller for vehicles having a main processing module and a safety processing module
DE102017215508A1 (de) * 2017-09-05 2019-03-07 Robert Bosch Gmbh Automatisierungssystem mit mindestens einem Feldgerät und mindestens einer Steuereinheit
DE102018120344B4 (de) * 2018-08-21 2024-11-21 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
DE102018120347A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
BE1027055B1 (de) 2019-02-18 2020-09-14 Phoenix Contact Gmbh & Co System und Verfahren zur Übertragung eines Betriebssoftware-Updates auf ein sicherheitsgerichtetes Gerät
US11682423B2 (en) 2020-10-01 2023-06-20 International Business Machines Corporation Servo pattern for skew based tape dimensional stability compensation
DE102022106975A1 (de) 2022-03-24 2023-09-28 Phoenix Contact Gmbh & Co. Kg Verwaltungs- und Aktualisierungssystem für an ein OT-Netzwerk angeschlossene Automatisierungsgeräte einer Automatisierungsanlage
LU501705B1 (de) 2022-03-24 2023-09-25 Phoenix Contact Gmbh & Co Verwaltungs- und Aktualisierungssystem für an ein OT-Netzwerk angeschlossene Automatisierungsgeräte einer Automatisierungsanlage
WO2026006324A1 (en) * 2024-06-27 2026-01-02 Hexagon Purus North America Holdings Inc. Refueling station control system

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4724521A (en) * 1986-01-14 1988-02-09 Veri-Fone, Inc. Method for operating a local terminal to execute a downloaded application program
DE69024638T2 (de) 1990-05-21 1996-05-15 Hewlett Packard Gmbh Aktivierungsschaltung
US5428769A (en) * 1992-03-31 1995-06-27 The Dow Chemical Company Process control interface system having triply redundant remote field units
DE69316009T2 (de) * 1992-06-12 1998-04-23 Dow Benelux Sicheres frontendverbindungssystem und verfahren fur prozesssteuerungsrechner
US6430738B1 (en) * 1993-07-01 2002-08-06 International Business Machines Corporation Method and system for reversible installation of software applications in a data processing system utilizing an automated archival process
AU4594096A (en) * 1994-12-02 1996-06-19 Xcellenet, Inc. Methods and systems for preventing unnecessary file transfers between a server and a remote node
DE19504404C1 (de) * 1995-02-10 1996-06-20 Pilz Gmbh & Co Systemarchitektur
FR2744817B1 (fr) * 1996-02-08 1998-04-03 Ela Medical Sa Dispositif medical implantable actif et son programmateur externe a mise a jour automatique du logiciel
US5848064A (en) * 1996-08-07 1998-12-08 Telxon Corporation Wireless software upgrades with version control
US5949997A (en) * 1997-01-03 1999-09-07 Ncr Corporation Method and apparatus for programming a microprocessor using an address decode circuit
US6853292B1 (en) * 1997-03-27 2005-02-08 Elan Schaltelemente Gmbh & Co Kg Security control system, method for the operation thereof
DE19718284C2 (de) * 1997-05-01 2001-09-27 Kuka Roboter Gmbh Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
US5966301A (en) * 1997-06-13 1999-10-12 Allen-Bradley Company, Llc Redundant processor controller providing upgrade recovery
JP3641137B2 (ja) * 1998-06-15 2005-04-20 株式会社東芝 分散制御システム
DE19836079A1 (de) * 1998-07-30 2000-02-10 Siemens Ag Anordnung und Verfahren zur sicheren Prozeßsteuerung
EP1043640A2 (de) 1999-04-09 2000-10-11 Siemens Aktiengesellschaft Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
DE19921845A1 (de) * 1999-05-11 2000-11-23 Bosch Gmbh Robert Diagnosetestvorrichtung für Kraftfahrzeuge mit programmierbaren Steuergeräten
IL129947A (en) * 1999-05-13 2003-06-24 Tadiran Telecom Business Syste Method and apparatus for downloading software into an embedded system
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US6351360B1 (en) * 1999-09-20 2002-02-26 National Semiconductor Corporation Apparatus for selective shutdown of devices of an integrated circuit in response to thermal fault detection
DE19953837A1 (de) * 1999-11-09 2001-05-23 Fresenius Medical Care De Gmbh Software-Update für ein medizinisches Gerät
US6757362B1 (en) * 2000-03-06 2004-06-29 Avaya Technology Corp. Personal virtual assistant
AU2001249475A1 (en) * 2000-03-27 2001-10-08 Vertical*I Inc. Business technology exchange and collaboration system
US6629227B1 (en) * 2000-05-04 2003-09-30 Scientific-Atlanta, Inc. System and method for a communication terminal to manage memory and maintain a current application version for multiple applications
US7130701B1 (en) * 2000-05-24 2006-10-31 Schneider Automation Inc. System for remote configuration monitoring of an industrial control system
US7051243B2 (en) * 2002-04-30 2006-05-23 Sun Microsystems, Inc. Rules-based configuration problem detection
WO2002025438A1 (en) * 2000-09-22 2002-03-28 Patchlink.Com Corporation Non-invasive automatic offsite patch fingerprinting and updating system and method
JP2002207606A (ja) * 2000-10-16 2002-07-26 Ricoh Co Ltd 画像処理装置、そのプログラム実装方法およびその方法を記憶した記憶媒体
JP2002209180A (ja) * 2001-01-12 2002-07-26 Seiko Epson Corp 通信端末装置、通信端末制御方法、通信端末制御プログラムを記録した媒体、データ配信装置、データ配信方法およびデータ配信制御プログラムを記録した媒体
JPWO2002057904A1 (ja) * 2001-01-19 2004-05-27 富士通株式会社 ダウンロード機能を有する制御装置
DE10108962A1 (de) * 2001-02-20 2002-09-12 Pilz Gmbh & Co Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung
JP2002278906A (ja) * 2001-03-21 2002-09-27 Nec Corp アップデート管理システム、アップデート・クライアント装置、アップデート・サーバ装置及びプログラム
US8458689B2 (en) * 2001-03-30 2013-06-04 Roderick A. Barman Method and apparatus for reprogramming engine controllers
US7073059B2 (en) * 2001-06-08 2006-07-04 Hewlett-Packard Development Company, L.P. Secure machine platform that interfaces to operating systems and customized control programs
US20030058471A1 (en) * 2001-09-21 2003-03-27 Hiromi Okubo Method and apparatus for image processing capable of automatically adding/upgrading image processing functions, and a computer readable data medium containing computer instructions for performing the method
US7171061B2 (en) * 2002-07-12 2007-01-30 Xerox Corporation Systems and methods for triage of passages of text output from an OCR system
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
US7337311B2 (en) * 2003-11-18 2008-02-26 Giga-Byte Technology Co., Ltd. Method for controlling upgrade of firmware
JP4847469B2 (ja) * 2004-12-24 2011-12-28 ピルツ ゲーエムベーハー アンド コー.カーゲー 複数個のステーションを有するコントロールシステムにおけるデータ送信方法、及び該コントロールシステム

Also Published As

Publication number Publication date
JP2005537584A (ja) 2005-12-08
ATE422070T1 (de) 2009-02-15
WO2004025382A1 (de) 2004-03-25
AU2003264072A1 (en) 2004-04-30
JP4773093B2 (ja) 2011-09-14
DE50311145D1 (de) 2009-03-19
US20080010638A1 (en) 2008-01-10
US7286886B2 (en) 2007-10-23
CN1678963B (zh) 2010-05-12
DE10240584A1 (de) 2004-03-11
EP1532494A1 (de) 2005-05-25
HK1078143A1 (zh) 2006-03-03
CN1678963A (zh) 2005-10-05
US8307356B2 (en) 2012-11-06
EP1532494B1 (de) 2009-01-28
US20050203645A1 (en) 2005-09-15

Similar Documents

Publication Publication Date Title
ES2318192T3 (es) Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo.
CN111095213B (zh) 嵌入式程序的安全引导方法、装置、设备及存储介质
ES2701702T3 (es) Procedimiento y entorno de ejecución para la ejecución asegurada de instrucciones de programa
CN102460397B (zh) 用于创建安全控制装置的应用程序的方法和装置
JP5911922B2 (ja) 安全関連制御ユニットおよび自動化設備の制御方法
EP1296214B1 (de) Verfahren zur Aktivierung einer in einem Gehäuse angeordneten Steuereinheit, die gegen ein Ausspähen von Daten geschützt ist
US8489888B2 (en) Processor apparatus having a security function
US20020099950A1 (en) Method of maintaining integrity of an instruction or data set
US8867746B2 (en) Method for protecting a control device against manipulation
BR112013020142B1 (pt) cartão inteligente, e, método para autenticação de segurança offline com código pin de um único uso de um cartão inteligente
JP2001306400A (ja) 半導体記憶装置、その制御装置、および電子機器
CN104661945A (zh) 用于使电梯设备的安全系统复位的方法
CN104508578A (zh) 用于安全关键的应用的设备和方法
WO2019129416A1 (en) Interface for a hardware security module
JP7080982B2 (ja) 医療システムにおける医療装置の動作を制御する方法および医療システム
KR20100108206A (ko) 전기적으로 퓨즈된 암호화 키의 보안을 위한 방법
ES2414435T3 (es) Ejecución controlada de un programa por un soporte portátil de datos
ES2781853T3 (es) Instalación de quemador con un dispositivo de seguridad
ES2764983T3 (es) Procedimiento para el ajuste de un modo de funcionamiento de un sistema de seguridad
JP6824447B2 (ja) 信号制御装置および異常検出方法
Hayek et al. Safety chips in light of the standard IEC 61508: Survey and analysis
US11022948B2 (en) Safety control device and method for changing a range of functions of a safety control device
KR20200070450A (ko) 차량 제어기의 보안 강화 방법 및 장치
TWI641967B (zh) 半導體裝置及其組態方法
CN103365247B (zh) 锁码系统及方法