DE102005009795A1 - Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen - Google Patents

Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen Download PDF

Info

Publication number
DE102005009795A1
DE102005009795A1 DE102005009795A DE102005009795A DE102005009795A1 DE 102005009795 A1 DE102005009795 A1 DE 102005009795A1 DE 102005009795 A DE102005009795 A DE 102005009795A DE 102005009795 A DE102005009795 A DE 102005009795A DE 102005009795 A1 DE102005009795 A1 DE 102005009795A1
Authority
DE
Germany
Prior art keywords
data
security
bus
security processor
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102005009795A
Other languages
English (en)
Inventor
Hans-Herbert Kirste
Michael Lehzen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wago Verwaltungs GmbH
Original Assignee
Wago Verwaltungs GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wago Verwaltungs GmbH filed Critical Wago Verwaltungs GmbH
Priority to DE102005009795A priority Critical patent/DE102005009795A1/de
Priority to US11/361,046 priority patent/US20060200257A1/en
Publication of DE102005009795A1 publication Critical patent/DE102005009795A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/22Pc multi processor system
    • G05B2219/2227Common memory as well as local memory
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25341Single chip programmable controller

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Mikroprozessorsystem für eine Maschinensteuerung in sicherheitskritischen Anwendungen, umfassend einen Hauptprozessor, einen Programm- und/oder Datenspeicher, eine Eingabe/Ausgabeeinheit und einen Bus zur Kopplung der vorgenannten Komponenten sowie mindestens einen Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an dem Bus angeschlossen ist. DOLLAR A Erfindungsgemäß ist vorgesehen, eine sichere Übertragungsstrecke zum Einladen von Programmen und Daten in den Sicherheitsprozessor zu bilden. Diese umfasst den allgemeinen Bus (70) sowie eine Mailbox (87) mit einer Statemachine, deren Eingang mit dem allgemeinen Bus (70) und deren Ausgang mit dem Sicherheitsprozessor (80) verbunden ist. Dadurch wird erreicht, dass Programmdaten in den Programmspeicher (84) des Sicherheitsvontrollers geschrieben werden können, ohne dass eine Gefahr von Manipulation besteht. Insbesondere kann der Hauptprozessor (60) nicht auf diese Daten zugreifen. Damit wird es ermöglicht, über den an sich nicht sicheren Bus die Programmdaten auf sichere Weise in den Sicherheitsprozessor (80) einzuladen. Der Bus (70) braucht damit nicht zum sicheren Bereich zu gehören. Die Zertifizierung der Mikroprozessorsteuerung vereinfacht sich dadurch.

Description

  • Die Erfindung betrifft ein Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen, umfassend einen Hauptprozessor, einen Programm- und Datenspeicher, eine Eingabe/Ausgabeeinheit und einen Bus zur Kopplung der vorgenannten Komponenten, sowie mindestens einen Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an dem Bus angeschlossen ist.
  • Der Bereich der Automatisierungstechnik ist durch zwei Hauptentwicklungsrichtungen geprägt, die teilweise parallel und teilweise konträr zueinander verlaufen. Die eine Hauptentwicklungsrichtung ist die Verwendung von immer komplexer werdenden elektronischen Steuerungssystemen, insbesondere von Mikroprozessorsteuerungen. Die andere Hauptentwicklungsrichtung betrifft die Sicherheit der Steuerung selbst sowie die der von ihr kontrollierten Anlage. Hierbei kommen zusehends umfassendere und anspruchsvollere Sicherheitsanforderungen zur Anwendung. Insbesondere der Bereich der elektrischen, elektronischen und programmierbaren elektronischen Systeme (sog. E/E/PES) findet zusehends Beachtung unter Sicherheitsaspekten. Mikroprozessorbasierte Systeme bieten zwar den Vorteil einer hohen Funktionsvielfalt und damit grundsätzlich auch gute Ausgangsvoraussetzungen zur Implementierung eines wirksamen Sicherheitskonzepts. Andererseits kann zu ihrer Bewertung aber gerade wegen ihrer größeren Komplexität nicht oder nur sehr eingeschränkt auf bewährte Beurteilungsmaßstäbe zurückgegriffen werden, die für herkömmliche diskrete Elektrik oder Elektronik gewonnen worden sind. Damit auch Mikroprozessorsteuerungen in sicherheitsrelevanten Bereichen unter defi nierten Bedingungen einsetzbar und zertifizierbar sind, müssen sie besondere Anforderungen an Ausfallsicherheit und Fehlertoleranz erfüllen. Dies ist in entsprechenden Normen geregelt, wie bspw. IEC 61508 oder EN 954-1. In diesen Normen sind verschiedene Sicherheitsebenen (SIL oder Kategorie) definiert und Bedingungen zu deren Erreichen angeben. Diese Normen sind in der Regel technologieunabhängig und geben keine unmittelbaren Anweisungen in Bezug auf strukturelle Ausführungsmöglichkeiten zu ihrer Erfüllung.
  • Es ist daher ein Bestreben, Mikroprozessorsteuerungen so weiterzubilden, dass sie zur Erfüllung der in den Normen spezifizierten Sicherheitsauflagen befähigt sind. Aus offenkundiger Vorbenutzung ist es bekannt, zu diesem Zweck neben dem eigentlichen (Haupt-)Prozessor noch eigene Sicherheitsprozessoren vorzusehen. Diese Sicherheitsprozessoren bilden einen Sicherheitsbereich, und sind damit ein Herzstück der Sicherheitsfunktionalität. Bei der Sicherheitsbetrachtung kann aber nicht allein auf die Sicherheitsprozessoren abgestellt werden, sondern es ist vielmehr auch die zu ihrem Betrieb erforderliche Peripherie zu berücksichtigen. Dazu gehören insbesondere Speicher und Buseinrichtungen. Bei aus offenkundiger Vorbenutzung bekannten Mikroprozessorsystemen werden aus Kostengründen häufig Komponenten zur gemeinsamen Nutzung durch den Hauptprozessor und die Sicherheitsprozessoren vorgesehen, insbesondere ein gemeinsamer Bus zur Daten- bzw. Adressübertragung. Der gemeinsam genutzte Bus kann dem Sicherheitsbereich aber nicht mehr zugeordnet werden. Daraus ergeben sich Probleme bei der Zertifizierung. Um diese zur vermeiden, kann ein eigener Bus vorgesehen sein. Das ist aber aus Aufwandsgründen nachteilig. Es würden somit erhebliche zusätzliche Entwicklungs- und Herstellungskosten verursacht.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, eine Mikroprozessorsteuerung der eingangs genannten Art zu schaffen, bei der diese Nachteile vermieden sind oder zumindest nur in geringerem Umfang auftreten.
  • Die erfindungsgemäße Lösung liegt in den Merkmalen des unabhängigen Anspruchs. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
  • Erfindungsgemäß ist bei einem Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen umfassend einen unsicheren Bereich mit einem Hauptprozessor, einem Programm- und Datenspeicher, einer Eingabe/Ausgabeeinheit und einem Bus zur Kopplung vorgenannter Komponenten, sowie einen sicheren Bereich mit mindestens einem Sicherheitsprozessor mit eigenem Programm/Datenspeicher, der ebenfalls an den Bus angeschlossen ist, vorgesehen, dass ein gesicherter Übertragungskanal zum Laden von Programmen/Daten in den eigenen Programm/Datenspeicher des Sicherheitsprozessors ausgebildet ist, der eine Datenquelle, die an den Bus anschließbar ist und einen Prüfdatenbereich aufweist, sowie eine dem Sicherheitsprozessor zugeordnete Mailbox umfasst, deren Eingang an den Bus angeschlossen ist und deren Ausgang mit dem eigenen Speicher des Sicherheitsprozessors verbunden ist, wobei ferner eine Statemachine vorgesehen ist, welche zum Übertragen von Daten aus der Datenquelle in den Speicher des Signalprozessors und zur Verifikation anhand von Daten aus dem Prüfdatenbereich ausgebildet ist.
  • Die Erfindung fußt auf dem Gedanken, auf dem allgemein genutzten, nicht sicheren Bus eine gegen unbefugte Verfälschung gesicherten Übertragungskanal zu schaffen, und so eine sichere Kommunikation mit dem Sicherheitsprozessor zu ermöglichen. Die Erfindung ermöglicht damit eine gesicherte Kommunikation mit dem Sicherheitsprozessor, ohne dass dafür zusätzliche Hardware erforderlich ist. Gebildet ist dieser gesicherte Übertragungskanal über den an sich nicht sicheren Bus, an den einerseits im unsicheren Bereich die Datenquelle, welche zu schützende Daten für den eigenen Speicher des Sicherheitsprozessors enthält, und andererseits am Übergang zum sicheren Bereich die Mailbox angeschlossen sind. Diese Komponenten wirken wie folgt zusammen: Die zu übertragenden Daten liegen in der an sich nicht sicheren Da tenquelle. Sie werden, meist unter Regie des Hauptprozessors und seinen Peripherieelementen wie zum Beispiel DMA-Controller, über den Bus zur Mailbox geführt. Die Mailbox trennt den Hauptprozessor von dem Sicherheitsprozessor, sie leitet die über den Bus gesendeten Daten an den Sicherheitsprozessor weiter. Die so in die Mailbox transportierten Daten werden in den eigenen Speicher des Sicherheitsprozessors eingeschrieben. Der Hauptprozessor hat keinen Zugriff auf die Daten über die Mailbox hinweg. Die Mailbox bewirkt in dieser Hinsicht eine Isolierung des sicheren Bereichs von dem Rest. Dank dieser Isolierung durch die Mailbox sind die Daten vor einem unbefugten Zugriff von außen geschützt; insbesondere kann der Hauptprozessor nicht über die Mailbox hinweg auf den Programm- oder Datenspeicher des Sicherheitsprozessors durchgreifen. Eine Sicherheitsbetrachtung kann sich somit dank der Erfindung auf den sicheren Bereich mit dem Sicherheitsprozessor und seinem eigene Speicher konzentrieren. Es braucht nur verifiziert zu werden, dass die Daten unverfälscht in den eigenen Speicher gelangt sind. Das geschieht erfindungsgemäß mittels der Statemachine und den Daten aus dem Prüfbereich, beispielsweise durch eine Prüfsumme. Damit werden die in den eigenen Speicher geladenen Daten auf Korrektheit überprüft. Da für die Sicherheitsbetrachtung nur der sichere Bereiche jenseits der Mailbox untersucht werden muss, verringert sich der Aufwand für eine Sicherheitszertifizierung. Auch im Betrieb ergeben sich Vorteile. So brauchen Speichertests nur für den eigenen Speicher des Sicherheitsprozesssors durchgeführt zu werden, und nicht für den meist wesentlich größeren Hauptspeicher. Da solche Tests in der Regel zyklisch wiederholt werden, bringt die Beschränkung auf den in der Regel kleinen eigenen Speicher des Sicherheitsprozessors enorme Laufzeitvorteile für die jeweilige Applikation mit sich. Dank der Erfindung kann so eine sichere Kommunikation mit dem Sicherheitsprozessor mit nur geringem Zusatzaufwand erreicht werden.
  • Vorzugsweise ist der Bereich jenseits der Mailbox mit dem Sicherheitsprozessor und dem eigenen Speicher von den übrigen Komponenten physikalisch getrennt. Das kann beispielsweise durch eine Isolierung des entsprechenden Bereichs auf dem verwendeten Die vorgesehen sein. Damit kann eine Rückwirkungsfreiheit erreicht werden. Unter Rückwirkungsfreiheit wird hier verstanden, dass ein abnormaler Zustand in dem nicht-sicheren Bereich, zum Beispiel eine Übertemperatur des Hauptprozessors, nicht zu einer Beeinträchtigung, zum Beispiel einer Fehlfunktion, des Sicherheitsprozessors führen darf.
  • Die Erfindung ist nicht auf lediglich einen Sicherheitsprozessor beschränkt. In vielen Fällen ist es zweckmäßig, wenn zwei (oder mehr) Sicherheitsprozessoren vorgesehen sind. Mit einer steigenden Zahl von Sicherheitsprozessoren können höhere Sicherheitskategorien (Safety Integrity Levels SIL) erreicht werden. Mehrere Sicherheitsprozessoren ermöglichen eine gegenseitige Überwachung und erhöhen damit die Sicherheit vor einem unerkannten und damit sicherheitskritischen Fehler. Um die Sicherheitsprozessoren mit ihren jeweils zugeordneten Speichern mit den erforderlichen Programm- bzw. Nutzdaten zu versorgen, ist vorzugsweise für jeden Sicherheitsprozessor eine eigene Mailbox vorgesehen. Das ermöglicht eine unabhängige Kommunikation mit den Sicherheitsprozessoren. Dadurch kann eine vollständige Redundanz erreicht werden. Die Gefahr eines kritischen Ausfalls verringert sich dadurch. Es kann aber auch eine gemeinsame Mailbox vorgesehen sein. Um sicherzustellen, dass den Sicherheitsprozessoren jeweils der richtige Datensatz zugeordnet wird, sind vorzugsweise Identifikationsmerkmale für Datensatz und Sicherheitsprozessor vorgesehen. Es kann sich hierbei um ID-Nummern handeln. Mittels einer geeigneten Einrichtung, zum Beispiel der Statemachine, kann geprüft werden, ob der richtige Datensatz an den vorgesehenen Sicherheitsprozessor übertragen würde.
  • Außerdem kann eine zusätzliche Mailbox vorgesehen sein, die an ihrer einen Seite mit dem ersten Sicherheitsprozessor und mit ihrer anderen Seite mit dem zweiten Sicherheitsprozessor verbunden ist. Das ermöglicht eine sichere Kommunikation zwischen den Sicherheitsprozessoren. Dies ist insbesondere für die gegenseitige Überwachung der Sicherheitsprozessoren von Vorteil, wodurch sich die Sicherheit des gesamten Mikroprozessorsystems weiter erhöht.
  • Bei einer bevorzugten Ausbildungsform ist der erfindungsgemäße Übertragungskanal rücksignalfähig ausgebildet. Unter rücksignalfähig ist hierbei zu verstehen, dass in umgekehrter Weise Daten aus dem eigenen Speicher des Sicherheitsprozessors ausgelesen werden können. Damit ist die Übertragung von in den Sicherheitsprozessoren gewonnen Nutzdaten nach außen ebenfalls unter Einhaltung sicherer Bedingungen ermöglicht.
  • Bei einer bewährten Ausführungsform sind der Hauptprozessor und der oder die Sicherheitsprozessor(en) auf einem Die angeordnet. Das hat den Vorteil einer besonders kompakten Ausführung. Weiter hat dies den Vorteil, dass aufgrund der Kompaktheit und Abgeschlossenheit ein unautorisierter Zugriff auf Komponenten wirkungsvoll verhindert ist. Zweckmäßigerweise sind auch weitere Peripheriekomponenten auf dem selben Chip angeordnet, bis hin zu deren Anschluss für die externe Datenquelle. Besonders bevorzugt ist es, wenn der sichere Bereich von dem übrigen Bereich isoliert ist, beispielsweise mittels einer umlaufenden Vertiefung. Sie wird nur von Kommunikationsleitungen der Mailbox überquert. Damit erhöhen sich nicht nur die Vorteile in Bezug auf Kompaktheit, sondern auch in Bezug auf Manipulationssicherheit.
  • Nachfolgend seien einige verwendete Begriffe erläutert: Unter einer Statemachine wird eine Ablaufsteuerung verstanden, welche in geeigneter weise abhängig von äußeren Steuersignalen und Zuständen eine Steuerungsaufgabe übernimmt. Sie kann als eigene Komponente ausgeführt oder in den Sicherheitsprozessor integriert sein.
  • Unter einer Mailbox wird ein Speicherbereich verstanden, über den mit Hilfe von Steuerleitungen (Handshake), welche den gleichzeitigen Zugriff auf den Speicherbereich verhindern, der Zugriff auf einen definierten Speicherbereich von mindestens zwei Teilnehmern erfolgen kann.
  • Unter eigenem Speicher des Sicherheitsprozessors wird ein Speicherbereich verstanden, der physisch von dem Speicher des Hauptprozessors isoliert ist. Er kann in den Sicherheitsprozessor integriert sein.
    •
  • Die Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnung erläutert, in der ein vorteilhaftes Ausführungsbeispiel der Erfindung dargestellt ist.
  • In der einzigen Figur ist ein Ausführungsbeispiel eines Feldbuskopplers mit der erfindungsgemäßen Mikroprozessorsteuerung dargestellt.
  • Eine in ihrer Gesamtheit mit der Bezugsziffer 3 versehene Maschinensteuerung ist an einen Feldbus 1 und einen Subbus 2 angeschlossen. Bei dem Feldbus 1 kann es sich um ein an sich bekanntes Bussystem handeln, wie bspw. PROFIBUS, wie er unter anderem von der Firma Siemens AG vertrieben wird. Es versteht sich, dass auch andere Bussysteme zur Anwendung kommen können, die sich als Feldbus eignen. Bei dem Subbus 2 handelt es sich um ein Bussystem, das zur kleinräumigen Vernetzung von Komponenten etwa im Bereich einer Maschine ausgelegt ist. Bei dem dargestellten Ausführungsbeispiel wird als Subbus 2 ein spezifischer Kommunikationsbus verwendet. Derartige Kommunikationsbusse sind in der Regel proprietäre Busse einzelner Hersteller.
  • Die Maschinensteuerung 3 ist dazu ausgebildet, als Vermittler zwischen den beiden Bussystemen, dem Feldbus 1 und dem Subbus 2, zu fungieren. Dazu muss die Maschinensteuerung 3 befähigt sein, eine Protokollumwandlung vorzusehen. Sie weist dazu ein Mikroprozessorsystem auf, das in seiner Gesamtheit mit der Bezugsziffer 5 bezeichnet ist. Das gesamte Mikroprozessorsystem 5 ist als System-On-Chip (SOC) ausgeführt. Es vereinigt sämtliche erforderlichen Komponenten der Mikroprozessorsteuerung 3, mit Ausnah me eines externen Speichers 64. Nachfolgend wird der Aufbau des Mikroprozessorsystems 5 als SOC näher erläutert.
  • Das Mikroprozessorsystem umfasst in an sich bekannter Weise einen Hauptprozessor (μC) 60, mindestens einen als Schreib/Lesespeicher ausgeführten Arbeitsspeicher (RAM) 62, und gegebenenfalls weitere Peripherieelemente, die in ihrer Gesamtheit stellvertretend durch die Bezugsziffer 63 dargestellt sind. Der Hauptprozessor 60 ist vorzugsweise als ein Prozessor vom Typ ARM 946 ausgeführt. Er ist zur Ankopplung an den Feldbus 61 mit einem ASIC 4, der als Feldbusinterface fungiert, verbunden. Weiter ist der Hauptprozessor 60 verbunden mit einem Bus 70, an dem auch die bereits genannten Komponenten 61 bis 63 angeschlossen sind. An diesen allgemeinen Bus 70 ist außerdem ein externer Speicher 64 über einen Speichercontroller 74 angeschlossen. Weiter ist an den allgemeinen Bus 70 eine Umsetzeinheit 65 für den Subbus 2 angeschlossen, die als Subbus-Master (SBM) ausgeführt ist. Zum elektrischen Anschluss des Subbus 2 an das SBM-Modul 65 ist ein Interface-Modul (PHY) 66 vorgesehen. Zum Anschluss des SBM-Moduls 65 an den allgemeinen Bus 70 ist ferner ein Dual-Ported-RAM 67 (oder ein FIFO: first in/first out-Baustein) als Buffer vorgesehen.
  • Ferner sind auf dem als System-On-Chip ausgeführten Mikroprozessor 2 zwei Sicherheitsprozessoren MCC1 und MCC2 80, 80' ausgeführt. Sie weisen jeweils unter anderem einen Programmspeicher 84, 84' und einen Datenspeicher 82, 82' auf, die vorzugsweise als Schreib/Lesespeicher RAM ausgeführt sind. Die Sicherheitsprozessoren sind in an sich bekannter Weise sicherheitszertifizierbar ausgeführt. Ihr Aufbau und ihre Funktionsweise ist aus dem einschlägigen Stand der Technik bekannt und braucht daher nicht näher erläutert zu werden. Nachfolgend werden daher lediglich die in Bezug auf die Erfindung relevanten Einzelheiten näher erläutert. Da die Programmspeicher 84, 84' der beiden Sicherheitsprozessoren 80, 80' als Schreib/Lesespeicher ausgeführt sind, sind die Programmdaten flüchtig. Es ist daher erforderlich, die Programmdaten (und ggf. auch Nutzdaten) in den Pro grammspeicher 84, 84' (und bzw. in den Datenspeicher 82, 82') nach dem Einschalten einzubringen. Bei nicht flüchtiger Ausführung der Programmspeicher 84, 84', z.B. in Form von Flash-Speichern oder EPROM, kann sich die vergleichbare Aufgabe stellen, initial bei Betriebsbeginn oder bei einem Update das Programm in den Programmspeicher einzuladen. Damit die Sicherheitsprozessoren 80, 80' die Voraussetzungen für die Sicherheitszertifizierbarkeit weiter erfüllen, muss das Einladen der Daten in den Programmspeicher 84, 84' (und ggf. den Nutzdatenspeicher 82, 82' ebenfalls gesichert sein. Hier setzt die Erfindung an.
  • Die Erfindung sieht vor, die Daten für die Sicherheitsprozessoren über den allgemeinen Bus 70 zu übertragen. Um einen Betrieb der Sicherheitsprozessoren mit verfälschten Daten zu verhindern, wird nach der Übertragung die Integrität der Daten geprüft. Das Konzept fußt also auf dem Gedanken, auf eine vollständige Abschirmung des Übertragungswegs zu verzichten, sondern stattdessen die Integrität der Übertragung zu überwachen. Die Daten werden entlang einem Übertragungskanal in die Sicherheitsprozessoren übermittelt, der im Grundsatz unsicher ist; eine Sicherung erfolgt dadurch, dass die Daten nach der Übertragung geprüft werden. Diese Überprüfung erfolgt im sicheren Bereich. Verläuft die Prüfung positiv, kann der Betrieb fortgesetzt werden; verläuft sie negativ, muss die Übertragung der Daten wiederholt werden. Erfindungsgemäß geschieht die auf diese Weise gesicherte Übertragung der zu schützenden Daten in den eigenen Programm/Datenspeicher 82, 84 dadurch, dass die Daten über den Bus 70 und eine Mailbox 87 eingeladen werden. Es wird damit ein gegen unbemerkte Veränderung gesicherter Übertragungskanal geschaffen, die in der Figur mit einer punktstrichlierten Linie zur Verdeutlichung des Datenflusses zu dem ersten Sicherheitsprozessor 80 dargestellt ist. Er verbindet den Sicherheitsprozessor 80 mit einem Speicher 68, der als externe Datenquelle für die in den Sicherheitsprozessor 80 einzuladenden Programmdaten dient. Der Speicher 68 ist im dargestellten Ausführungsbeispiel als EPROM ausgeführt. Es sind auch andere Ausführungsformen denkbar, insbesondere auch solche, bei denen der Speicher 68 ei nen Schreib/Lesebereich enthält, in dem Nutzdaten zum Einladen in den Sicherheitsprozessor 80 bereitgehalten werden.
  • Aufbau und Funktionsweise der gesicherten Übertragung über den Übertragungskanal 88 sind wie folgt: Mittels eines Speichercontrollers 78 werden die aus dem EPROM 68 stammenden Programmdaten an den allgemeinen Bus 70 angelegt. Über diesen werden sie an eine Mailbox 87 übertragen. Deren Eingang ist mit dem allgemeinen Bus 70 und deren Ausgang ist mit dem Sicherheitsprozessor 80 verbunden. Entsprechendes gilt für eine zweite Mailbox 87' für den zweiten Sicherheitsprozessor 80'. Die Mailbox 87, 87' ist dafür ausgebildet, mittels einer Statemachine 86, welche durch Software oder eine diskrete Logik realisiert sein kann, eine Protokollumsetzung zu erreichen. Dadurch werden die über den allgemeinen Bus 70 transportierten Programmdaten in ein Format gebracht, das zur Einspeicherung in den Programmspeicher 84 des Sicherheitscontrollers 80 geeignet ist. Mit diesem Format werden die Programmdaten eingespeichert. Die Statemachine 86 verifiziert anhand der Prüfdaten, dass die Daten in unveränderter Form in den Programmspeicher 84 gelangt sind. Dazu beinhalten die übertragenen Programmdaten geeignete Prüfsummendaten, die einem Prüfdatenbereich 69 der Datenquelle entstammen. Ergibt sich bei der Verifikation, dass die Programmdaten verändert wurden, so werden die übertragenen Programmdaten verworfen und die Statemachine 86 veranlasst eine erneute Übertragung. Entsprechend wird verfahren, wenn ggf. Nutzdaten in den Nutzdatenspeicher 82 eingeschrieben werden, oder aus diesem nach draußen herausgelesen werden. Die Mailbox 87 mit der Statemachine, der allgemeine Bus sowie der Speichercontroller 78 sind dazu vorzugsweise rückkanalfähig ausgebildet. Die Statemachine der Mailbox 87 ist so ausgebildet, dass ein unmittelbarer Zugriff des Hauptprozessors 60 oder einer anderen Komponente an dem allgemeinen Bus auf den Sicherheitsprozessor 80 und insbesondere dessen Programmspeicher 84 nicht möglich ist. Damit wird erreicht, dass – sowie die Daten einmal korrekt in den Programmspeicher 84 gelangt sind – sie dort sicher vor Manipulationen durch Komponenten des nicht sicheren Bereichs sind. Erfindungsgemäß ist damit erreicht, dass sicherheitssensitive Daten in den Sicherheitsprozessor 80 über den allgemeinen Bus 70 einladbar sind, ohne dass eine Sicherheitsbetrachtung für den nicht-sicheren Bereich erforderlich ist; nur der sichere Bereich braucht der Sicherheitsbetrachtung zu unterliegen.
  • Die vorstehende Beschreibung gilt sinngemäß für den zweiten Sicherheitsprozessor 80' mit seinem Programmspeicher 84', seinem Nutzdatenspeicher 82' und seiner Mailbox 87' und 81'.
  • In entsprechender Weise kann eine Kommunikation der beiden Sicherheitscontroller 80, 80' über eine Verbindungsmailbox 89 vorgesehen sein. Zur Verbindung des Sicherheitscontroller 80, 80' mit dem SBM-Modul 65 ist in entsprechender Weise eine weitere Mailbox 81, 81' vorgesehen. Dabei ist die Mailbox 81 zum Übertragen von Sendedaten von dem Sicherheitsprozessor 80 an das SBM-Modul 65 ausgebildet. Die andere Mailbox 81' ist zum Übertragen von Empfangsdaten von dem SBM-Modul an den zweiten Sicherheitsprozessor 80' ausgebildet. Diese zusätzlichen Mailboxen wirken wir folgt zusammen: Zum Senden stellt der erste Sicherheitsprozessor 80 den einen Teil eines sicher zu übertragenden Datums über die Mailbox 81 dem SBM-Modul 65 zur Verfügung. Der zweite Teil des Datums stammt vom zweiten Sicherheitsprozessor 80'. Zum Senden wird der zweite Teil zunächst über die Verbindungsmailbox 89 an den ersten Sicherheitsprozessor 80 übermittelt, und sodann von diesem über die Mailbox 81 an das SBM-Modul 65 angelegt. Damit ist das zu übertragende Datum komplett.

Claims (10)

  1. Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen, umfassend einen unsicheren Bereich mit einem Hauptprozessor (60), einem Programm- und Datenspeicher (62, 64), einer Eingabe/Ausgabeeinheit (63, 74) und einem Bus (70) zur Koppelung vorgenannter Komponenten, sowie einen sicheren Bereich mit mindestens einem Sicherheitsprozessor (80) mit eigenem Programm/Datenspeicher (84, 82), der ebenfalls an den Bus (70) angeschlossen ist, dadurch gekennzeichnet, dass ein gesicherter Übertragungskanal zum Einspeichern von Programmen und Daten in den eigenen Programm/Datenspeicher (84, 82) des Sicherheitsprozessors (80) ausgebildet ist, der eine Datenquelle (68), die an den allgemeinen Bus (70) anschließbar ist und einen Prüfdatenbereich aufweist, sowie eine dem Sicherheitsprozessor (80) zugeordnete Mailbox (87) umfasst, deren Eingang an den Bus (70) angeschlossen ist und deren Ausgang mit dem eigenen Speicher des Sicherheitsprozessors (80) verbunden ist, wobei ferner eine Statemachine (86) vorgesehen ist, welche zum Steuern einer Datenübertragung aus der Datenquelle (68) in den Speicher des Signalprozessors (80) und zur Verifikation anhand von Daten aus dem Prüfdatenbereich ausgebildet ist.
  2. Mikroprozessorsystem nach Anspruch 1, dadurch gekennzeichnet, dass ein zweiter Sicherheitsprozessor (80') vorgesehen ist.
  3. Sicherheitsprozessor nach Anspruch 2, dadurch gekennzeichnet, dass die Sicherheitsprozessoren (80, 80') parallel an die Mailbox (87) angeschlossen sind.
  4. Mikroprozessorsystem nach Anspruch 2, dadurch gekennzeichnet, dass eine eigene Mailbox (87') für den eigenen Anschluss des zusätzlichen Sicherheitsprozessors (80') vorgesehen ist.
  5. Mikroprozessorsystem nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass eine zusätzliche Mailbox (89) vorgesehen ist, deren Eingang mit einem Sicherheitsprozessor (80) und deren Ausgang mit einem anderen Sicherheitsprozessor (80') verbunden ist.
  6. Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Statemachine (86) zum Prüfen einer Übereinstimmung von Identifikationsmerkmalen des Prüfdatenbereichs und des Sicherheitsprozessors (80) ausbildet ist.
  7. Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der sichere Übertragungskanal (88) rücksignalfähig ausgebildet ist.
  8. Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der Hauptprozessor (60) und die Sicherheitsprozessoren (80, 80') auf einem Die angeordnet sind.
  9. Mikroprozessorsystem nach Anspruch 8, dadurch gekennzeichnet, dass auch der Datenspeicher (62), die Eingabe/Ausgabeeinheit (63, 74), der Bus (70), die Mailbox (87, 87', 89) auf einem Die angeordnet sind.
  10. Mikroprozessorsystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der sichere Bereich physikalisch von dem unsicheren Bereich isoliert ist, insbesondere über eine Vertiefung auf dem Die.
DE102005009795A 2005-03-03 2005-03-03 Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen Ceased DE102005009795A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102005009795A DE102005009795A1 (de) 2005-03-03 2005-03-03 Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
US11/361,046 US20060200257A1 (en) 2005-03-03 2006-02-24 Microprocessor system for a machine controller in safety-certifiable applications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005009795A DE102005009795A1 (de) 2005-03-03 2005-03-03 Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen

Publications (1)

Publication Number Publication Date
DE102005009795A1 true DE102005009795A1 (de) 2006-09-14

Family

ID=36914541

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005009795A Ceased DE102005009795A1 (de) 2005-03-03 2005-03-03 Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen

Country Status (2)

Country Link
US (1) US20060200257A1 (de)
DE (1) DE102005009795A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1973017A2 (de) 2007-03-22 2008-09-24 Abb Ag Sicherheitsgerichtete speicherprogrammierte Steuerung
DE102009054157B3 (de) * 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
WO2014001370A2 (de) 2012-06-26 2014-01-03 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und verfahren für eine sicherheitskritische anwendung
WO2018206183A1 (de) 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002094352A2 (en) 2001-05-18 2002-11-28 Deka Products Limited Partnership Infusion set for a fluid pump
US8034026B2 (en) 2001-05-18 2011-10-11 Deka Products Limited Partnership Infusion pump assembly
US7424641B2 (en) * 2005-04-06 2008-09-09 Delphi Technologies, Inc. Control system and method for validating operation of the control system
US11027058B2 (en) 2006-02-09 2021-06-08 Deka Products Limited Partnership Infusion pump assembly
US11364335B2 (en) 2006-02-09 2022-06-21 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
ATE504325T1 (de) 2006-02-09 2011-04-15 Deka Products Lp Systeme zur abgabe von flüssigkeiten in patch- grösse
US11497846B2 (en) 2006-02-09 2022-11-15 Deka Products Limited Partnership Patch-sized fluid delivery systems and methods
US11478623B2 (en) 2006-02-09 2022-10-25 Deka Products Limited Partnership Infusion pump assembly
US7899559B2 (en) * 2007-02-27 2011-03-01 Rockwell Automation Technologies, Inc. Language-based organization of controller engine instances
US7853336B2 (en) * 2007-02-27 2010-12-14 Rockwell Automation Technologies, Inc. Dynamic versioning utilizing multiple controller engine instances to limit complications
US20080208374A1 (en) * 2007-02-27 2008-08-28 Rockwell Automation Technologies, Inc. Testing utilizing controller engine instances
US8856522B2 (en) 2007-02-27 2014-10-07 Rockwell Automation Technologies Security, safety, and redundancy employing controller engine instances
US7870223B2 (en) * 2007-02-27 2011-01-11 Rockwell Automation Technologies, Inc. Services associated with an industrial environment employing controller engine instances
US7987004B2 (en) * 2007-02-27 2011-07-26 Rockwell Automation Technologies, Inc. Scalability related to controller engine instances
CN110251769B (zh) 2007-12-31 2022-04-01 德卡产品有限公司 输注泵组件
US8881774B2 (en) 2007-12-31 2014-11-11 Deka Research & Development Corp. Apparatus, system and method for fluid delivery
US8900188B2 (en) 2007-12-31 2014-12-02 Deka Products Limited Partnership Split ring resonator antenna adapted for use in wirelessly controlled medical device
US10080704B2 (en) 2007-12-31 2018-09-25 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
EP2244765B1 (de) 2007-12-31 2019-08-14 DEKA Products Limited Partnership Infusionspumpenanordnung
US9456955B2 (en) 2007-12-31 2016-10-04 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
US10188787B2 (en) 2007-12-31 2019-01-29 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
WO2010031059A2 (en) 2008-09-15 2010-03-18 Deka Products Limited Partnership Systems and methods for fluid delivery
US8262616B2 (en) 2008-10-10 2012-09-11 Deka Products Limited Partnership Infusion pump assembly
US8267892B2 (en) * 2008-10-10 2012-09-18 Deka Products Limited Partnership Multi-language / multi-processor infusion pump assembly
US8223028B2 (en) 2008-10-10 2012-07-17 Deka Products Limited Partnership Occlusion detection system and method
US8066672B2 (en) 2008-10-10 2011-11-29 Deka Products Limited Partnership Infusion pump assembly with a backup power supply
US8016789B2 (en) 2008-10-10 2011-09-13 Deka Products Limited Partnership Pump assembly with a removable cover assembly
US8708376B2 (en) 2008-10-10 2014-04-29 Deka Products Limited Partnership Medium connector
US9180245B2 (en) 2008-10-10 2015-11-10 Deka Products Limited Partnership System and method for administering an infusible fluid
CN102460322A (zh) 2009-05-20 2012-05-16 Skf公司 用于关键任务的检验过的一类数据处理部件
JP5961111B2 (ja) 2009-07-15 2016-08-02 デカ・プロダクツ・リミテッド・パートナーシップ 注入ポンプアセンブリのための装置、システム、および方法
EP2525848B1 (de) 2010-01-22 2016-08-03 DEKA Products Limited Partnership System für steuerung eines drahtes aus einer formgedächtnislegierung
DK2418552T3 (en) * 2010-07-28 2017-02-27 Thales Sa CIRCUIT DEVICE FOR POWER ELECTRONICS CONTROL
US11524151B2 (en) 2012-03-07 2022-12-13 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
CN103324599A (zh) * 2013-06-04 2013-09-25 北京创毅讯联科技股份有限公司 处理器间通信方法与***级芯片
CA2914977C (en) 2013-07-03 2021-11-02 Deka Products Limited Partnership Apparatus, system and method for fluid delivery
CN105785861B (zh) * 2016-03-09 2019-02-15 盐城工学院 对浸提塔实验过程进行监控的***
CA3098372A1 (en) 2018-04-24 2019-10-31 Deka Products Limited Partnership Apparatus and system for fluid delivery
WO2020118721A1 (zh) * 2018-12-14 2020-06-18 华为技术有限公司 一种多处理器***及处理器间通信方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2195038A (en) * 1986-07-05 1988-03-23 Narayanaswamy D Jayaram A multi-microprocessor system with confederate processors
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
US6021421A (en) * 1996-03-04 2000-02-01 Oren Semiconductor Ltd., Israeli Company Enhanced DSP apparatus
US6191543B1 (en) * 1999-03-18 2001-02-20 Industrial Technology Research Institute Integrated circuit for multiple-axis position control
DE19939567A1 (de) * 1999-08-20 2001-03-08 Pilz Gmbh & Co Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US20030011400A1 (en) * 2001-02-16 2003-01-16 Agere Systems Guardian Corp. On chip method and apparatus for transmission of multiple bits using quantized voltage levels
EP1040394B1 (de) * 1997-12-19 2003-06-04 Honeywell Inc. Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung
EP1331539A2 (de) * 2002-01-16 2003-07-30 Texas Instruments France Sicherer Modus für Prozessoren, die Speicherverwaltung und Unterbrechungen unterstützen
WO2003067457A1 (en) * 2002-02-07 2003-08-14 Abb Ab An adaptive control device
DE69811344T2 (de) * 1997-02-25 2003-10-30 Thales Avionics Sa Kostengünstige modulare architektur zur steuerung eines auf einem hohen sicherheitsniveau betriebenen flugzeugs

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7122884B2 (en) * 2002-04-16 2006-10-17 Fairchild Semiconductor Corporation Robust leaded molded packages and methods for forming the same

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2195038A (en) * 1986-07-05 1988-03-23 Narayanaswamy D Jayaram A multi-microprocessor system with confederate processors
US6021421A (en) * 1996-03-04 2000-02-01 Oren Semiconductor Ltd., Israeli Company Enhanced DSP apparatus
DE69811344T2 (de) * 1997-02-25 2003-10-30 Thales Avionics Sa Kostengünstige modulare architektur zur steuerung eines auf einem hohen sicherheitsniveau betriebenen flugzeugs
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP1040394B1 (de) * 1997-12-19 2003-06-04 Honeywell Inc. Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung
US6191543B1 (en) * 1999-03-18 2001-02-20 Industrial Technology Research Institute Integrated circuit for multiple-axis position control
DE19939567A1 (de) * 1999-08-20 2001-03-08 Pilz Gmbh & Co Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US20030011400A1 (en) * 2001-02-16 2003-01-16 Agere Systems Guardian Corp. On chip method and apparatus for transmission of multiple bits using quantized voltage levels
EP1331539A2 (de) * 2002-01-16 2003-07-30 Texas Instruments France Sicherer Modus für Prozessoren, die Speicherverwaltung und Unterbrechungen unterstützen
WO2003067457A1 (en) * 2002-02-07 2003-08-14 Abb Ab An adaptive control device

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1973017A2 (de) 2007-03-22 2008-09-24 Abb Ag Sicherheitsgerichtete speicherprogrammierte Steuerung
DE102007014478A1 (de) 2007-03-22 2008-09-25 Abb Ag Sicherheitsgerichtete speicherprogrammierte Steuerung
DE102009054157B3 (de) * 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
WO2011060871A1 (de) 2009-11-23 2011-05-26 Abb Ag Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen
DE102009054157C5 (de) * 2009-11-23 2014-10-23 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
US9244454B2 (en) 2009-11-23 2016-01-26 Abb Ag Control system for controlling safety-critical and non-safety-critical processes
WO2014001370A2 (de) 2012-06-26 2014-01-03 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und verfahren für eine sicherheitskritische anwendung
US10394212B2 (en) 2012-06-26 2019-08-27 Inter Control Hermann Kohler Elektrik Gmbh & Co. Kg Apparatus and method for a security-critical application
WO2018206183A1 (de) 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
US11487265B2 (en) 2017-05-09 2022-11-01 Abb Ag Systems and methods for simultaneous control of safety-critical and non-safety-critical processes in automation systems using master-minion functionality

Also Published As

Publication number Publication date
US20060200257A1 (en) 2006-09-07

Similar Documents

Publication Publication Date Title
DE102005009795A1 (de) Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
EP1701270B1 (de) Kopplung von sicheren Feldbussystemen
EP1631014B1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP2359201B1 (de) Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager
DE102017120447A1 (de) Halbleitervorrichtung, Verfahren zum Betreiben der Halbleitervorrichtung und ein System, das diese beinhaltet
DE19928517A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
WO2005101145A1 (de) Sicherheitssteuerung
EP3662601A1 (de) Konzept zum unidirektionalen übertragen von daten
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
DE102012000188A1 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
EP1985070B1 (de) Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse
DE102020111707A1 (de) Einzelchip-mehrfach-die-architektur mit sicherheitskonformer kreuzüberwachungsfähigkeit
DE102018219878B3 (de) Steuereinheit für eine medizinische Bildgebungsanlage mit einem Prozessor und einem Logikgatter; Bildgebungsanlage sowie Verfahren zum Steuern einer medizinischen Bildgebungsanlage
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
EP3987742A1 (de) Filter, anordnung und betriebsverfahren für eine anordnung
EP1853979A1 (de) Maschinensteuerung mit sicherheitsfunktion
DE10303654A1 (de) Integrierte Halbleiterschaltung mit eingebauter Selbsttestfunktion und zugehöriges System
DE102011005239A1 (de) Sicherheitssystem sowie Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem
DE10252109B4 (de) Verfahren zur Parametrierung
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
EP3957033B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
EP2118708A1 (de) Leitsystem einer technischen anlage

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection