DE102005009795A1 - Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen - Google Patents
Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen Download PDFInfo
- Publication number
- DE102005009795A1 DE102005009795A1 DE102005009795A DE102005009795A DE102005009795A1 DE 102005009795 A1 DE102005009795 A1 DE 102005009795A1 DE 102005009795 A DE102005009795 A DE 102005009795A DE 102005009795 A DE102005009795 A DE 102005009795A DE 102005009795 A1 DE102005009795 A1 DE 102005009795A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- security
- bus
- security processor
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/22—Pc multi processor system
- G05B2219/2227—Common memory as well as local memory
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25341—Single chip programmable controller
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft ein Mikroprozessorsystem für eine Maschinensteuerung in sicherheitskritischen Anwendungen, umfassend einen Hauptprozessor, einen Programm- und/oder Datenspeicher, eine Eingabe/Ausgabeeinheit und einen Bus zur Kopplung der vorgenannten Komponenten sowie mindestens einen Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an dem Bus angeschlossen ist. DOLLAR A Erfindungsgemäß ist vorgesehen, eine sichere Übertragungsstrecke zum Einladen von Programmen und Daten in den Sicherheitsprozessor zu bilden. Diese umfasst den allgemeinen Bus (70) sowie eine Mailbox (87) mit einer Statemachine, deren Eingang mit dem allgemeinen Bus (70) und deren Ausgang mit dem Sicherheitsprozessor (80) verbunden ist. Dadurch wird erreicht, dass Programmdaten in den Programmspeicher (84) des Sicherheitsvontrollers geschrieben werden können, ohne dass eine Gefahr von Manipulation besteht. Insbesondere kann der Hauptprozessor (60) nicht auf diese Daten zugreifen. Damit wird es ermöglicht, über den an sich nicht sicheren Bus die Programmdaten auf sichere Weise in den Sicherheitsprozessor (80) einzuladen. Der Bus (70) braucht damit nicht zum sicheren Bereich zu gehören. Die Zertifizierung der Mikroprozessorsteuerung vereinfacht sich dadurch.
Description
- Die Erfindung betrifft ein Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen, umfassend einen Hauptprozessor, einen Programm- und Datenspeicher, eine Eingabe/Ausgabeeinheit und einen Bus zur Kopplung der vorgenannten Komponenten, sowie mindestens einen Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an dem Bus angeschlossen ist.
- Der Bereich der Automatisierungstechnik ist durch zwei Hauptentwicklungsrichtungen geprägt, die teilweise parallel und teilweise konträr zueinander verlaufen. Die eine Hauptentwicklungsrichtung ist die Verwendung von immer komplexer werdenden elektronischen Steuerungssystemen, insbesondere von Mikroprozessorsteuerungen. Die andere Hauptentwicklungsrichtung betrifft die Sicherheit der Steuerung selbst sowie die der von ihr kontrollierten Anlage. Hierbei kommen zusehends umfassendere und anspruchsvollere Sicherheitsanforderungen zur Anwendung. Insbesondere der Bereich der elektrischen, elektronischen und programmierbaren elektronischen Systeme (sog. E/E/PES) findet zusehends Beachtung unter Sicherheitsaspekten. Mikroprozessorbasierte Systeme bieten zwar den Vorteil einer hohen Funktionsvielfalt und damit grundsätzlich auch gute Ausgangsvoraussetzungen zur Implementierung eines wirksamen Sicherheitskonzepts. Andererseits kann zu ihrer Bewertung aber gerade wegen ihrer größeren Komplexität nicht oder nur sehr eingeschränkt auf bewährte Beurteilungsmaßstäbe zurückgegriffen werden, die für herkömmliche diskrete Elektrik oder Elektronik gewonnen worden sind. Damit auch Mikroprozessorsteuerungen in sicherheitsrelevanten Bereichen unter defi nierten Bedingungen einsetzbar und zertifizierbar sind, müssen sie besondere Anforderungen an Ausfallsicherheit und Fehlertoleranz erfüllen. Dies ist in entsprechenden Normen geregelt, wie bspw. IEC 61508 oder EN 954-1. In diesen Normen sind verschiedene Sicherheitsebenen (SIL oder Kategorie) definiert und Bedingungen zu deren Erreichen angeben. Diese Normen sind in der Regel technologieunabhängig und geben keine unmittelbaren Anweisungen in Bezug auf strukturelle Ausführungsmöglichkeiten zu ihrer Erfüllung.
- Es ist daher ein Bestreben, Mikroprozessorsteuerungen so weiterzubilden, dass sie zur Erfüllung der in den Normen spezifizierten Sicherheitsauflagen befähigt sind. Aus offenkundiger Vorbenutzung ist es bekannt, zu diesem Zweck neben dem eigentlichen (Haupt-)Prozessor noch eigene Sicherheitsprozessoren vorzusehen. Diese Sicherheitsprozessoren bilden einen Sicherheitsbereich, und sind damit ein Herzstück der Sicherheitsfunktionalität. Bei der Sicherheitsbetrachtung kann aber nicht allein auf die Sicherheitsprozessoren abgestellt werden, sondern es ist vielmehr auch die zu ihrem Betrieb erforderliche Peripherie zu berücksichtigen. Dazu gehören insbesondere Speicher und Buseinrichtungen. Bei aus offenkundiger Vorbenutzung bekannten Mikroprozessorsystemen werden aus Kostengründen häufig Komponenten zur gemeinsamen Nutzung durch den Hauptprozessor und die Sicherheitsprozessoren vorgesehen, insbesondere ein gemeinsamer Bus zur Daten- bzw. Adressübertragung. Der gemeinsam genutzte Bus kann dem Sicherheitsbereich aber nicht mehr zugeordnet werden. Daraus ergeben sich Probleme bei der Zertifizierung. Um diese zur vermeiden, kann ein eigener Bus vorgesehen sein. Das ist aber aus Aufwandsgründen nachteilig. Es würden somit erhebliche zusätzliche Entwicklungs- und Herstellungskosten verursacht.
- Der Erfindung liegt die Aufgabe zugrunde, eine Mikroprozessorsteuerung der eingangs genannten Art zu schaffen, bei der diese Nachteile vermieden sind oder zumindest nur in geringerem Umfang auftreten.
- Die erfindungsgemäße Lösung liegt in den Merkmalen des unabhängigen Anspruchs. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
- Erfindungsgemäß ist bei einem Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen umfassend einen unsicheren Bereich mit einem Hauptprozessor, einem Programm- und Datenspeicher, einer Eingabe/Ausgabeeinheit und einem Bus zur Kopplung vorgenannter Komponenten, sowie einen sicheren Bereich mit mindestens einem Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an den Bus angeschlossen ist, vorgesehen, dass ein gesicherter Übertragungskanal zum Laden von Programmen/Daten in den eigenen Programm/Datenspeicher des Sicherheitsprozessors ausgebildet ist, der eine Datenquelle, die an den Bus anschließbar ist und einen Prüfdatenbereich aufweist, sowie eine dem Sicherheitsprozessor zugeordnete Mailbox umfasst, deren Eingang an den Bus angeschlossen ist und deren Ausgang mit dem eigenen Speicher des Sicherheitsprozessors verbunden ist, wobei ferner eine Statemachine vorgesehen ist, welche zum Übertragen von Daten aus der Datenquelle in den Speicher des Signalprozessors und zur Verifikation anhand von Daten aus dem Prüfdatenbereich ausgebildet ist.
- Die Erfindung fußt auf dem Gedanken, auf dem allgemein genutzten, nicht sicheren Bus eine gegen unbefugte Verfälschung gesicherten Übertragungskanal zu schaffen, und so eine sichere Kommunikation mit dem Sicherheitsprozessor zu ermöglichen. Die Erfindung ermöglicht damit eine gesicherte Kommunikation mit dem Sicherheitsprozessor, ohne dass dafür zusätzliche Hardware erforderlich ist. Gebildet ist dieser gesicherte Übertragungskanal über den an sich nicht sicheren Bus, an den einerseits im unsicheren Bereich die Datenquelle, welche zu schützende Daten für den eigenen Speicher des Sicherheitsprozessors enthält, und andererseits am Übergang zum sicheren Bereich die Mailbox angeschlossen sind. Diese Komponenten wirken wie folgt zusammen: Die zu übertragenden Daten liegen in der an sich nicht sicheren Da tenquelle. Sie werden, meist unter Regie des Hauptprozessors und seinen Peripherieelementen wie zum Beispiel DMA-Controller, über den Bus zur Mailbox geführt. Die Mailbox trennt den Hauptprozessor von dem Sicherheitsprozessor, sie leitet die über den Bus gesendeten Daten an den Sicherheitsprozessor weiter. Die so in die Mailbox transportierten Daten werden in den eigenen Speicher des Sicherheitsprozessors eingeschrieben. Der Hauptprozessor hat keinen Zugriff auf die Daten über die Mailbox hinweg. Die Mailbox bewirkt in dieser Hinsicht eine Isolierung des sicheren Bereichs von dem Rest. Dank dieser Isolierung durch die Mailbox sind die Daten vor einem unbefugten Zugriff von außen geschützt; insbesondere kann der Hauptprozessor nicht über die Mailbox hinweg auf den Programm- oder Datenspeicher des Sicherheitsprozessors durchgreifen. Eine Sicherheitsbetrachtung kann sich somit dank der Erfindung auf den sicheren Bereich mit dem Sicherheitsprozessor und seinem eigene Speicher konzentrieren. Es braucht nur verifiziert zu werden, dass die Daten unverfälscht in den eigenen Speicher gelangt sind. Das geschieht erfindungsgemäß mittels der Statemachine und den Daten aus dem Prüfbereich, beispielsweise durch eine Prüfsumme. Damit werden die in den eigenen Speicher geladenen Daten auf Korrektheit überprüft. Da für die Sicherheitsbetrachtung nur der sichere Bereiche jenseits der Mailbox untersucht werden muss, verringert sich der Aufwand für eine Sicherheitszertifizierung. Auch im Betrieb ergeben sich Vorteile. So brauchen Speichertests nur für den eigenen Speicher des Sicherheitsprozesssors durchgeführt zu werden, und nicht für den meist wesentlich größeren Hauptspeicher. Da solche Tests in der Regel zyklisch wiederholt werden, bringt die Beschränkung auf den in der Regel kleinen eigenen Speicher des Sicherheitsprozessors enorme Laufzeitvorteile für die jeweilige Applikation mit sich. Dank der Erfindung kann so eine sichere Kommunikation mit dem Sicherheitsprozessor mit nur geringem Zusatzaufwand erreicht werden.
- Vorzugsweise ist der Bereich jenseits der Mailbox mit dem Sicherheitsprozessor und dem eigenen Speicher von den übrigen Komponenten physikalisch getrennt. Das kann beispielsweise durch eine Isolierung des entsprechenden Bereichs auf dem verwendeten Die vorgesehen sein. Damit kann eine Rückwirkungsfreiheit erreicht werden. Unter Rückwirkungsfreiheit wird hier verstanden, dass ein abnormaler Zustand in dem nicht-sicheren Bereich, zum Beispiel eine Übertemperatur des Hauptprozessors, nicht zu einer Beeinträchtigung, zum Beispiel einer Fehlfunktion, des Sicherheitsprozessors führen darf.
- Die Erfindung ist nicht auf lediglich einen Sicherheitsprozessor beschränkt. In vielen Fällen ist es zweckmäßig, wenn zwei (oder mehr) Sicherheitsprozessoren vorgesehen sind. Mit einer steigenden Zahl von Sicherheitsprozessoren können höhere Sicherheitskategorien (Safety Integrity Levels SIL) erreicht werden. Mehrere Sicherheitsprozessoren ermöglichen eine gegenseitige Überwachung und erhöhen damit die Sicherheit vor einem unerkannten und damit sicherheitskritischen Fehler. Um die Sicherheitsprozessoren mit ihren jeweils zugeordneten Speichern mit den erforderlichen Programm- bzw. Nutzdaten zu versorgen, ist vorzugsweise für jeden Sicherheitsprozessor eine eigene Mailbox vorgesehen. Das ermöglicht eine unabhängige Kommunikation mit den Sicherheitsprozessoren. Dadurch kann eine vollständige Redundanz erreicht werden. Die Gefahr eines kritischen Ausfalls verringert sich dadurch. Es kann aber auch eine gemeinsame Mailbox vorgesehen sein. Um sicherzustellen, dass den Sicherheitsprozessoren jeweils der richtige Datensatz zugeordnet wird, sind vorzugsweise Identifikationsmerkmale für Datensatz und Sicherheitsprozessor vorgesehen. Es kann sich hierbei um ID-Nummern handeln. Mittels einer geeigneten Einrichtung, zum Beispiel der Statemachine, kann geprüft werden, ob der richtige Datensatz an den vorgesehenen Sicherheitsprozessor übertragen würde.
- Außerdem kann eine zusätzliche Mailbox vorgesehen sein, die an ihrer einen Seite mit dem ersten Sicherheitsprozessor und mit ihrer anderen Seite mit dem zweiten Sicherheitsprozessor verbunden ist. Das ermöglicht eine sichere Kommunikation zwischen den Sicherheitsprozessoren. Dies ist insbesondere für die gegenseitige Überwachung der Sicherheitsprozessoren von Vorteil, wodurch sich die Sicherheit des gesamten Mikroprozessorsystems weiter erhöht.
- Bei einer bevorzugten Ausbildungsform ist der erfindungsgemäße Übertragungskanal rücksignalfähig ausgebildet. Unter rücksignalfähig ist hierbei zu verstehen, dass in umgekehrter Weise Daten aus dem eigenen Speicher des Sicherheitsprozessors ausgelesen werden können. Damit ist die Übertragung von in den Sicherheitsprozessoren gewonnen Nutzdaten nach außen ebenfalls unter Einhaltung sicherer Bedingungen ermöglicht.
- Bei einer bewährten Ausführungsform sind der Hauptprozessor und der oder die Sicherheitsprozessor(en) auf einem Die angeordnet. Das hat den Vorteil einer besonders kompakten Ausführung. Weiter hat dies den Vorteil, dass aufgrund der Kompaktheit und Abgeschlossenheit ein unautorisierter Zugriff auf Komponenten wirkungsvoll verhindert ist. Zweckmäßigerweise sind auch weitere Peripheriekomponenten auf dem selben Chip angeordnet, bis hin zu deren Anschluss für die externe Datenquelle. Besonders bevorzugt ist es, wenn der sichere Bereich von dem übrigen Bereich isoliert ist, beispielsweise mittels einer umlaufenden Vertiefung. Sie wird nur von Kommunikationsleitungen der Mailbox überquert. Damit erhöhen sich nicht nur die Vorteile in Bezug auf Kompaktheit, sondern auch in Bezug auf Manipulationssicherheit.
- Nachfolgend seien einige verwendete Begriffe erläutert: Unter einer Statemachine wird eine Ablaufsteuerung verstanden, welche in geeigneter weise abhängig von äußeren Steuersignalen und Zuständen eine Steuerungsaufgabe übernimmt. Sie kann als eigene Komponente ausgeführt oder in den Sicherheitsprozessor integriert sein.
- Unter einer Mailbox wird ein Speicherbereich verstanden, über den mit Hilfe von Steuerleitungen (Handshake), welche den gleichzeitigen Zugriff auf den Speicherbereich verhindern, der Zugriff auf einen definierten Speicherbereich von mindestens zwei Teilnehmern erfolgen kann.
- Unter eigenem Speicher des Sicherheitsprozessors wird ein Speicherbereich verstanden, der physisch von dem Speicher des Hauptprozessors isoliert ist. Er kann in den Sicherheitsprozessor integriert sein.
- Die Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnung erläutert, in der ein vorteilhaftes Ausführungsbeispiel der Erfindung dargestellt ist.
- In der einzigen Figur ist ein Ausführungsbeispiel eines Feldbuskopplers mit der erfindungsgemäßen Mikroprozessorsteuerung dargestellt.
- Eine in ihrer Gesamtheit mit der Bezugsziffer
3 versehene Maschinensteuerung ist an einen Feldbus1 und einen Subbus2 angeschlossen. Bei dem Feldbus1 kann es sich um ein an sich bekanntes Bussystem handeln, wie bspw. PROFIBUS, wie er unter anderem von der Firma Siemens AG vertrieben wird. Es versteht sich, dass auch andere Bussysteme zur Anwendung kommen können, die sich als Feldbus eignen. Bei dem Subbus2 handelt es sich um ein Bussystem, das zur kleinräumigen Vernetzung von Komponenten etwa im Bereich einer Maschine ausgelegt ist. Bei dem dargestellten Ausführungsbeispiel wird als Subbus2 ein spezifischer Kommunikationsbus verwendet. Derartige Kommunikationsbusse sind in der Regel proprietäre Busse einzelner Hersteller. - Die Maschinensteuerung
3 ist dazu ausgebildet, als Vermittler zwischen den beiden Bussystemen, dem Feldbus1 und dem Subbus2 , zu fungieren. Dazu muss die Maschinensteuerung3 befähigt sein, eine Protokollumwandlung vorzusehen. Sie weist dazu ein Mikroprozessorsystem auf, das in seiner Gesamtheit mit der Bezugsziffer5 bezeichnet ist. Das gesamte Mikroprozessorsystem5 ist als System-On-Chip (SOC) ausgeführt. Es vereinigt sämtliche erforderlichen Komponenten der Mikroprozessorsteuerung3 , mit Ausnah me eines externen Speichers64 . Nachfolgend wird der Aufbau des Mikroprozessorsystems5 als SOC näher erläutert. - Das Mikroprozessorsystem umfasst in an sich bekannter Weise einen Hauptprozessor (μC)
60 , mindestens einen als Schreib/Lesespeicher ausgeführten Arbeitsspeicher (RAM)62 , und gegebenenfalls weitere Peripherieelemente, die in ihrer Gesamtheit stellvertretend durch die Bezugsziffer63 dargestellt sind. Der Hauptprozessor60 ist vorzugsweise als ein Prozessor vom Typ ARM 946 ausgeführt. Er ist zur Ankopplung an den Feldbus61 mit einem ASIC4 , der als Feldbusinterface fungiert, verbunden. Weiter ist der Hauptprozessor60 verbunden mit einem Bus70 , an dem auch die bereits genannten Komponenten61 bis63 angeschlossen sind. An diesen allgemeinen Bus70 ist außerdem ein externer Speicher64 über einen Speichercontroller74 angeschlossen. Weiter ist an den allgemeinen Bus70 eine Umsetzeinheit65 für den Subbus2 angeschlossen, die als Subbus-Master (SBM) ausgeführt ist. Zum elektrischen Anschluss des Subbus2 an das SBM-Modul65 ist ein Interface-Modul (PHY)66 vorgesehen. Zum Anschluss des SBM-Moduls65 an den allgemeinen Bus70 ist ferner ein Dual-Ported-RAM67 (oder ein FIFO: first in/first out-Baustein) als Buffer vorgesehen. - Ferner sind auf dem als System-On-Chip ausgeführten Mikroprozessor
2 zwei Sicherheitsprozessoren MCC1 und MCC280 ,80' ausgeführt. Sie weisen jeweils unter anderem einen Programmspeicher84 ,84' und einen Datenspeicher82 ,82' auf, die vorzugsweise als Schreib/Lesespeicher RAM ausgeführt sind. Die Sicherheitsprozessoren sind in an sich bekannter Weise sicherheitszertifizierbar ausgeführt. Ihr Aufbau und ihre Funktionsweise ist aus dem einschlägigen Stand der Technik bekannt und braucht daher nicht näher erläutert zu werden. Nachfolgend werden daher lediglich die in Bezug auf die Erfindung relevanten Einzelheiten näher erläutert. Da die Programmspeicher84 ,84' der beiden Sicherheitsprozessoren80 ,80' als Schreib/Lesespeicher ausgeführt sind, sind die Programmdaten flüchtig. Es ist daher erforderlich, die Programmdaten (und ggf. auch Nutzdaten) in den Pro grammspeicher84 ,84' (und bzw. in den Datenspeicher82 ,82' ) nach dem Einschalten einzubringen. Bei nicht flüchtiger Ausführung der Programmspeicher84 ,84' , z.B. in Form von Flash-Speichern oder EPROM, kann sich die vergleichbare Aufgabe stellen, initial bei Betriebsbeginn oder bei einem Update das Programm in den Programmspeicher einzuladen. Damit die Sicherheitsprozessoren80 ,80' die Voraussetzungen für die Sicherheitszertifizierbarkeit weiter erfüllen, muss das Einladen der Daten in den Programmspeicher84 ,84' (und ggf. den Nutzdatenspeicher82 ,82' ebenfalls gesichert sein. Hier setzt die Erfindung an. - Die Erfindung sieht vor, die Daten für die Sicherheitsprozessoren über den allgemeinen Bus
70 zu übertragen. Um einen Betrieb der Sicherheitsprozessoren mit verfälschten Daten zu verhindern, wird nach der Übertragung die Integrität der Daten geprüft. Das Konzept fußt also auf dem Gedanken, auf eine vollständige Abschirmung des Übertragungswegs zu verzichten, sondern stattdessen die Integrität der Übertragung zu überwachen. Die Daten werden entlang einem Übertragungskanal in die Sicherheitsprozessoren übermittelt, der im Grundsatz unsicher ist; eine Sicherung erfolgt dadurch, dass die Daten nach der Übertragung geprüft werden. Diese Überprüfung erfolgt im sicheren Bereich. Verläuft die Prüfung positiv, kann der Betrieb fortgesetzt werden; verläuft sie negativ, muss die Übertragung der Daten wiederholt werden. Erfindungsgemäß geschieht die auf diese Weise gesicherte Übertragung der zu schützenden Daten in den eigenen Programm/Datenspeicher82 ,84 dadurch, dass die Daten über den Bus70 und eine Mailbox87 eingeladen werden. Es wird damit ein gegen unbemerkte Veränderung gesicherter Übertragungskanal geschaffen, die in der Figur mit einer punktstrichlierten Linie zur Verdeutlichung des Datenflusses zu dem ersten Sicherheitsprozessor80 dargestellt ist. Er verbindet den Sicherheitsprozessor80 mit einem Speicher68 , der als externe Datenquelle für die in den Sicherheitsprozessor80 einzuladenden Programmdaten dient. Der Speicher68 ist im dargestellten Ausführungsbeispiel als EPROM ausgeführt. Es sind auch andere Ausführungsformen denkbar, insbesondere auch solche, bei denen der Speicher68 ei nen Schreib/Lesebereich enthält, in dem Nutzdaten zum Einladen in den Sicherheitsprozessor80 bereitgehalten werden. - Aufbau und Funktionsweise der gesicherten Übertragung über den Übertragungskanal
88 sind wie folgt: Mittels eines Speichercontrollers78 werden die aus dem EPROM68 stammenden Programmdaten an den allgemeinen Bus70 angelegt. Über diesen werden sie an eine Mailbox87 übertragen. Deren Eingang ist mit dem allgemeinen Bus70 und deren Ausgang ist mit dem Sicherheitsprozessor80 verbunden. Entsprechendes gilt für eine zweite Mailbox87' für den zweiten Sicherheitsprozessor80' . Die Mailbox87 ,87' ist dafür ausgebildet, mittels einer Statemachine86 , welche durch Software oder eine diskrete Logik realisiert sein kann, eine Protokollumsetzung zu erreichen. Dadurch werden die über den allgemeinen Bus70 transportierten Programmdaten in ein Format gebracht, das zur Einspeicherung in den Programmspeicher84 des Sicherheitscontrollers80 geeignet ist. Mit diesem Format werden die Programmdaten eingespeichert. Die Statemachine86 verifiziert anhand der Prüfdaten, dass die Daten in unveränderter Form in den Programmspeicher84 gelangt sind. Dazu beinhalten die übertragenen Programmdaten geeignete Prüfsummendaten, die einem Prüfdatenbereich69 der Datenquelle entstammen. Ergibt sich bei der Verifikation, dass die Programmdaten verändert wurden, so werden die übertragenen Programmdaten verworfen und die Statemachine86 veranlasst eine erneute Übertragung. Entsprechend wird verfahren, wenn ggf. Nutzdaten in den Nutzdatenspeicher82 eingeschrieben werden, oder aus diesem nach draußen herausgelesen werden. Die Mailbox87 mit der Statemachine, der allgemeine Bus sowie der Speichercontroller78 sind dazu vorzugsweise rückkanalfähig ausgebildet. Die Statemachine der Mailbox87 ist so ausgebildet, dass ein unmittelbarer Zugriff des Hauptprozessors60 oder einer anderen Komponente an dem allgemeinen Bus auf den Sicherheitsprozessor80 und insbesondere dessen Programmspeicher84 nicht möglich ist. Damit wird erreicht, dass – sowie die Daten einmal korrekt in den Programmspeicher84 gelangt sind – sie dort sicher vor Manipulationen durch Komponenten des nicht sicheren Bereichs sind. Erfindungsgemäß ist damit erreicht, dass sicherheitssensitive Daten in den Sicherheitsprozessor80 über den allgemeinen Bus70 einladbar sind, ohne dass eine Sicherheitsbetrachtung für den nicht-sicheren Bereich erforderlich ist; nur der sichere Bereich braucht der Sicherheitsbetrachtung zu unterliegen. - Die vorstehende Beschreibung gilt sinngemäß für den zweiten Sicherheitsprozessor
80' mit seinem Programmspeicher84' , seinem Nutzdatenspeicher82' und seiner Mailbox87' und81' . - In entsprechender Weise kann eine Kommunikation der beiden Sicherheitscontroller
80 ,80' über eine Verbindungsmailbox89 vorgesehen sein. Zur Verbindung des Sicherheitscontroller80 ,80' mit dem SBM-Modul65 ist in entsprechender Weise eine weitere Mailbox81 ,81' vorgesehen. Dabei ist die Mailbox81 zum Übertragen von Sendedaten von dem Sicherheitsprozessor80 an das SBM-Modul65 ausgebildet. Die andere Mailbox81' ist zum Übertragen von Empfangsdaten von dem SBM-Modul an den zweiten Sicherheitsprozessor80' ausgebildet. Diese zusätzlichen Mailboxen wirken wir folgt zusammen: Zum Senden stellt der erste Sicherheitsprozessor80 den einen Teil eines sicher zu übertragenden Datums über die Mailbox81 dem SBM-Modul65 zur Verfügung. Der zweite Teil des Datums stammt vom zweiten Sicherheitsprozessor80' . Zum Senden wird der zweite Teil zunächst über die Verbindungsmailbox89 an den ersten Sicherheitsprozessor80 übermittelt, und sodann von diesem über die Mailbox81 an das SBM-Modul65 angelegt. Damit ist das zu übertragende Datum komplett.
Claims (10)
- Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen, umfassend einen unsicheren Bereich mit einem Hauptprozessor (
60 ), einem Programm- und Datenspeicher (62 ,64 ), einer Eingabe/Ausgabeeinheit (63 ,74 ) und einem Bus (70 ) zur Koppelung vorgenannter Komponenten, sowie einen sicheren Bereich mit mindestens einem Sicherheitsprozessor (80 ) mit eigenem Programm/Datenspeicher (84 ,82 ), der ebenfalls an den Bus (70 ) angeschlossen ist, dadurch gekennzeichnet, dass ein gesicherter Übertragungskanal zum Einspeichern von Programmen und Daten in den eigenen Programm/Datenspeicher (84 ,82 ) des Sicherheitsprozessors (80 ) ausgebildet ist, der eine Datenquelle (68 ), die an den allgemeinen Bus (70 ) anschließbar ist und einen Prüfdatenbereich aufweist, sowie eine dem Sicherheitsprozessor (80 ) zugeordnete Mailbox (87 ) umfasst, deren Eingang an den Bus (70 ) angeschlossen ist und deren Ausgang mit dem eigenen Speicher des Sicherheitsprozessors (80 ) verbunden ist, wobei ferner eine Statemachine (86 ) vorgesehen ist, welche zum Steuern einer Datenübertragung aus der Datenquelle (68 ) in den Speicher des Signalprozessors (80 ) und zur Verifikation anhand von Daten aus dem Prüfdatenbereich ausgebildet ist. - Mikroprozessorsystem nach Anspruch 1, dadurch gekennzeichnet, dass ein zweiter Sicherheitsprozessor (
80' ) vorgesehen ist. - Sicherheitsprozessor nach Anspruch 2, dadurch gekennzeichnet, dass die Sicherheitsprozessoren (
80 ,80' ) parallel an die Mailbox (87 ) angeschlossen sind. - Mikroprozessorsystem nach Anspruch 2, dadurch gekennzeichnet, dass eine eigene Mailbox (
87' ) für den eigenen Anschluss des zusätzlichen Sicherheitsprozessors (80' ) vorgesehen ist. - Mikroprozessorsystem nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass eine zusätzliche Mailbox (
89 ) vorgesehen ist, deren Eingang mit einem Sicherheitsprozessor (80 ) und deren Ausgang mit einem anderen Sicherheitsprozessor (80' ) verbunden ist. - Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Statemachine (
86 ) zum Prüfen einer Übereinstimmung von Identifikationsmerkmalen des Prüfdatenbereichs und des Sicherheitsprozessors (80 ) ausbildet ist. - Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der sichere Übertragungskanal (
88 ) rücksignalfähig ausgebildet ist. - Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der Hauptprozessor (
60 ) und die Sicherheitsprozessoren (80 ,80' ) auf einem Die angeordnet sind. - Mikroprozessorsystem nach Anspruch 8, dadurch gekennzeichnet, dass auch der Datenspeicher (
62 ), die Eingabe/Ausgabeeinheit (63 ,74 ), der Bus (70 ), die Mailbox (87 ,87' ,89 ) auf einem Die angeordnet sind. - Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der sichere Bereich physikalisch von dem unsicheren Bereich isoliert ist, insbesondere über eine Vertiefung auf dem Die.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005009795A DE102005009795A1 (de) | 2005-03-03 | 2005-03-03 | Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen |
US11/361,046 US20060200257A1 (en) | 2005-03-03 | 2006-02-24 | Microprocessor system for a machine controller in safety-certifiable applications |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005009795A DE102005009795A1 (de) | 2005-03-03 | 2005-03-03 | Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102005009795A1 true DE102005009795A1 (de) | 2006-09-14 |
Family
ID=36914541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102005009795A Ceased DE102005009795A1 (de) | 2005-03-03 | 2005-03-03 | Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen |
Country Status (2)
Country | Link |
---|---|
US (1) | US20060200257A1 (de) |
DE (1) | DE102005009795A1 (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1973017A2 (de) | 2007-03-22 | 2008-09-24 | Abb Ag | Sicherheitsgerichtete speicherprogrammierte Steuerung |
DE102009054157B3 (de) * | 2009-11-23 | 2011-04-28 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
WO2014001370A2 (de) | 2012-06-26 | 2014-01-03 | Inter Control Hermann Köhler Elektrik GmbH & Co. KG | Vorrichtung und verfahren für eine sicherheitskritische anwendung |
WO2018206183A1 (de) | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002094352A2 (en) | 2001-05-18 | 2002-11-28 | Deka Products Limited Partnership | Infusion set for a fluid pump |
US8034026B2 (en) | 2001-05-18 | 2011-10-11 | Deka Products Limited Partnership | Infusion pump assembly |
US7424641B2 (en) * | 2005-04-06 | 2008-09-09 | Delphi Technologies, Inc. | Control system and method for validating operation of the control system |
US11027058B2 (en) | 2006-02-09 | 2021-06-08 | Deka Products Limited Partnership | Infusion pump assembly |
US11364335B2 (en) | 2006-02-09 | 2022-06-21 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
ATE504325T1 (de) | 2006-02-09 | 2011-04-15 | Deka Products Lp | Systeme zur abgabe von flüssigkeiten in patch- grösse |
US11497846B2 (en) | 2006-02-09 | 2022-11-15 | Deka Products Limited Partnership | Patch-sized fluid delivery systems and methods |
US11478623B2 (en) | 2006-02-09 | 2022-10-25 | Deka Products Limited Partnership | Infusion pump assembly |
US7899559B2 (en) * | 2007-02-27 | 2011-03-01 | Rockwell Automation Technologies, Inc. | Language-based organization of controller engine instances |
US7853336B2 (en) * | 2007-02-27 | 2010-12-14 | Rockwell Automation Technologies, Inc. | Dynamic versioning utilizing multiple controller engine instances to limit complications |
US20080208374A1 (en) * | 2007-02-27 | 2008-08-28 | Rockwell Automation Technologies, Inc. | Testing utilizing controller engine instances |
US8856522B2 (en) | 2007-02-27 | 2014-10-07 | Rockwell Automation Technologies | Security, safety, and redundancy employing controller engine instances |
US7870223B2 (en) * | 2007-02-27 | 2011-01-11 | Rockwell Automation Technologies, Inc. | Services associated with an industrial environment employing controller engine instances |
US7987004B2 (en) * | 2007-02-27 | 2011-07-26 | Rockwell Automation Technologies, Inc. | Scalability related to controller engine instances |
CN110251769B (zh) | 2007-12-31 | 2022-04-01 | 德卡产品有限公司 | 输注泵组件 |
US8881774B2 (en) | 2007-12-31 | 2014-11-11 | Deka Research & Development Corp. | Apparatus, system and method for fluid delivery |
US8900188B2 (en) | 2007-12-31 | 2014-12-02 | Deka Products Limited Partnership | Split ring resonator antenna adapted for use in wirelessly controlled medical device |
US10080704B2 (en) | 2007-12-31 | 2018-09-25 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
EP2244765B1 (de) | 2007-12-31 | 2019-08-14 | DEKA Products Limited Partnership | Infusionspumpenanordnung |
US9456955B2 (en) | 2007-12-31 | 2016-10-04 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
US10188787B2 (en) | 2007-12-31 | 2019-01-29 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
WO2010031059A2 (en) | 2008-09-15 | 2010-03-18 | Deka Products Limited Partnership | Systems and methods for fluid delivery |
US8262616B2 (en) | 2008-10-10 | 2012-09-11 | Deka Products Limited Partnership | Infusion pump assembly |
US8267892B2 (en) * | 2008-10-10 | 2012-09-18 | Deka Products Limited Partnership | Multi-language / multi-processor infusion pump assembly |
US8223028B2 (en) | 2008-10-10 | 2012-07-17 | Deka Products Limited Partnership | Occlusion detection system and method |
US8066672B2 (en) | 2008-10-10 | 2011-11-29 | Deka Products Limited Partnership | Infusion pump assembly with a backup power supply |
US8016789B2 (en) | 2008-10-10 | 2011-09-13 | Deka Products Limited Partnership | Pump assembly with a removable cover assembly |
US8708376B2 (en) | 2008-10-10 | 2014-04-29 | Deka Products Limited Partnership | Medium connector |
US9180245B2 (en) | 2008-10-10 | 2015-11-10 | Deka Products Limited Partnership | System and method for administering an infusible fluid |
CN102460322A (zh) | 2009-05-20 | 2012-05-16 | Skf公司 | 用于关键任务的检验过的一类数据处理部件 |
JP5961111B2 (ja) | 2009-07-15 | 2016-08-02 | デカ・プロダクツ・リミテッド・パートナーシップ | 注入ポンプアセンブリのための装置、システム、および方法 |
EP2525848B1 (de) | 2010-01-22 | 2016-08-03 | DEKA Products Limited Partnership | System für steuerung eines drahtes aus einer formgedächtnislegierung |
DK2418552T3 (en) * | 2010-07-28 | 2017-02-27 | Thales Sa | CIRCUIT DEVICE FOR POWER ELECTRONICS CONTROL |
US11524151B2 (en) | 2012-03-07 | 2022-12-13 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
CN103324599A (zh) * | 2013-06-04 | 2013-09-25 | 北京创毅讯联科技股份有限公司 | 处理器间通信方法与***级芯片 |
CA2914977C (en) | 2013-07-03 | 2021-11-02 | Deka Products Limited Partnership | Apparatus, system and method for fluid delivery |
CN105785861B (zh) * | 2016-03-09 | 2019-02-15 | 盐城工学院 | 对浸提塔实验过程进行监控的*** |
CA3098372A1 (en) | 2018-04-24 | 2019-10-31 | Deka Products Limited Partnership | Apparatus and system for fluid delivery |
WO2020118721A1 (zh) * | 2018-12-14 | 2020-06-18 | 华为技术有限公司 | 一种多处理器***及处理器间通信方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2195038A (en) * | 1986-07-05 | 1988-03-23 | Narayanaswamy D Jayaram | A multi-microprocessor system with confederate processors |
DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
US6021421A (en) * | 1996-03-04 | 2000-02-01 | Oren Semiconductor Ltd., Israeli Company | Enhanced DSP apparatus |
US6191543B1 (en) * | 1999-03-18 | 2001-02-20 | Industrial Technology Research Institute | Integrated circuit for multiple-axis position control |
DE19939567A1 (de) * | 1999-08-20 | 2001-03-08 | Pilz Gmbh & Co | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
US20030011400A1 (en) * | 2001-02-16 | 2003-01-16 | Agere Systems Guardian Corp. | On chip method and apparatus for transmission of multiple bits using quantized voltage levels |
EP1040394B1 (de) * | 1997-12-19 | 2003-06-04 | Honeywell Inc. | Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung |
EP1331539A2 (de) * | 2002-01-16 | 2003-07-30 | Texas Instruments France | Sicherer Modus für Prozessoren, die Speicherverwaltung und Unterbrechungen unterstützen |
WO2003067457A1 (en) * | 2002-02-07 | 2003-08-14 | Abb Ab | An adaptive control device |
DE69811344T2 (de) * | 1997-02-25 | 2003-10-30 | Thales Avionics Sa | Kostengünstige modulare architektur zur steuerung eines auf einem hohen sicherheitsniveau betriebenen flugzeugs |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7122884B2 (en) * | 2002-04-16 | 2006-10-17 | Fairchild Semiconductor Corporation | Robust leaded molded packages and methods for forming the same |
-
2005
- 2005-03-03 DE DE102005009795A patent/DE102005009795A1/de not_active Ceased
-
2006
- 2006-02-24 US US11/361,046 patent/US20060200257A1/en not_active Abandoned
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2195038A (en) * | 1986-07-05 | 1988-03-23 | Narayanaswamy D Jayaram | A multi-microprocessor system with confederate processors |
US6021421A (en) * | 1996-03-04 | 2000-02-01 | Oren Semiconductor Ltd., Israeli Company | Enhanced DSP apparatus |
DE69811344T2 (de) * | 1997-02-25 | 2003-10-30 | Thales Avionics Sa | Kostengünstige modulare architektur zur steuerung eines auf einem hohen sicherheitsniveau betriebenen flugzeugs |
DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
EP1040394B1 (de) * | 1997-12-19 | 2003-06-04 | Honeywell Inc. | Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung |
US6191543B1 (en) * | 1999-03-18 | 2001-02-20 | Industrial Technology Research Institute | Integrated circuit for multiple-axis position control |
DE19939567A1 (de) * | 1999-08-20 | 2001-03-08 | Pilz Gmbh & Co | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
US20030011400A1 (en) * | 2001-02-16 | 2003-01-16 | Agere Systems Guardian Corp. | On chip method and apparatus for transmission of multiple bits using quantized voltage levels |
EP1331539A2 (de) * | 2002-01-16 | 2003-07-30 | Texas Instruments France | Sicherer Modus für Prozessoren, die Speicherverwaltung und Unterbrechungen unterstützen |
WO2003067457A1 (en) * | 2002-02-07 | 2003-08-14 | Abb Ab | An adaptive control device |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1973017A2 (de) | 2007-03-22 | 2008-09-24 | Abb Ag | Sicherheitsgerichtete speicherprogrammierte Steuerung |
DE102007014478A1 (de) | 2007-03-22 | 2008-09-25 | Abb Ag | Sicherheitsgerichtete speicherprogrammierte Steuerung |
DE102009054157B3 (de) * | 2009-11-23 | 2011-04-28 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
WO2011060871A1 (de) | 2009-11-23 | 2011-05-26 | Abb Ag | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen |
DE102009054157C5 (de) * | 2009-11-23 | 2014-10-23 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
US9244454B2 (en) | 2009-11-23 | 2016-01-26 | Abb Ag | Control system for controlling safety-critical and non-safety-critical processes |
WO2014001370A2 (de) | 2012-06-26 | 2014-01-03 | Inter Control Hermann Köhler Elektrik GmbH & Co. KG | Vorrichtung und verfahren für eine sicherheitskritische anwendung |
US10394212B2 (en) | 2012-06-26 | 2019-08-27 | Inter Control Hermann Kohler Elektrik Gmbh & Co. Kg | Apparatus and method for a security-critical application |
WO2018206183A1 (de) | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität |
US11487265B2 (en) | 2017-05-09 | 2022-11-01 | Abb Ag | Systems and methods for simultaneous control of safety-critical and non-safety-critical processes in automation systems using master-minion functionality |
Also Published As
Publication number | Publication date |
---|---|
US20060200257A1 (en) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102005009795A1 (de) | Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen | |
EP1701270B1 (de) | Kopplung von sicheren Feldbussystemen | |
EP1631014B1 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse | |
EP2359201B1 (de) | Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager | |
DE102017120447A1 (de) | Halbleitervorrichtung, Verfahren zum Betreiben der Halbleitervorrichtung und ein System, das diese beinhaltet | |
DE19928517A1 (de) | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen | |
WO2005101145A1 (de) | Sicherheitssteuerung | |
EP3662601A1 (de) | Konzept zum unidirektionalen übertragen von daten | |
DE10301504B3 (de) | Einsignalübertragung sicherer Prozessinformation | |
DE102017109886A1 (de) | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität | |
DE102012000188A1 (de) | Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung | |
EP1246033A1 (de) | Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen | |
EP1985070B1 (de) | Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse | |
DE102020111707A1 (de) | Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit | |
DE102018219878B3 (de) | Steuereinheit für eine medizinische Bildgebungsanlage mit einem Prozessor und einem Logikgatter; Bildgebungsanlage sowie Verfahren zum Steuern einer medizinischen Bildgebungsanlage | |
DE10053023C1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
DE102017201621A1 (de) | Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung | |
EP3987742A1 (de) | Filter, anordnung und betriebsverfahren für eine anordnung | |
EP1853979A1 (de) | Maschinensteuerung mit sicherheitsfunktion | |
DE10303654A1 (de) | Integrierte Halbleiterschaltung mit eingebauter Selbsttestfunktion und zugehöriges System | |
DE102011005239A1 (de) | Sicherheitssystem sowie Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem | |
DE10252109B4 (de) | Verfahren zur Parametrierung | |
EP2849986B1 (de) | Verfahren und anordnung zum steuern einer technischen anlage | |
EP3957033B1 (de) | Rechenanlage und verfahren zum betreiben einer rechenanlage | |
EP2118708A1 (de) | Leitsystem einer technischen anlage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |