ES2938480T3 - Disposición de prueba segura - Google Patents
Disposición de prueba segura Download PDFInfo
- Publication number
- ES2938480T3 ES2938480T3 ES20792648T ES20792648T ES2938480T3 ES 2938480 T3 ES2938480 T3 ES 2938480T3 ES 20792648 T ES20792648 T ES 20792648T ES 20792648 T ES20792648 T ES 20792648T ES 2938480 T3 ES2938480 T3 ES 2938480T3
- Authority
- ES
- Spain
- Prior art keywords
- security
- signal
- data packet
- components
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 97
- 230000005540 biological transmission Effects 0.000 claims abstract description 32
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 9
- 238000011990 functional testing Methods 0.000 claims description 23
- 230000004913 activation Effects 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 10
- 230000003213 activating effect Effects 0.000 claims 1
- 238000011017 operating method Methods 0.000 claims 1
- 238000005259 measurement Methods 0.000 abstract description 9
- 238000012795 verification Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 208000013409 limited attention Diseases 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40019—Details regarding a bus master
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
- H04L12/423—Loop networks with centralised control, e.g. polling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
- H04L2012/421—Interconnected ring systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
- Control Of Combustion (AREA)
- Thermotherapy And Cooling Therapy Devices (AREA)
- Window Of Vehicle (AREA)
- Testing Or Calibration Of Command Recording Devices (AREA)
- Tests Of Electronic Circuits (AREA)
Abstract
Con el fin de proporcionar una disposición de prueba flexible para realizar mediciones en un objeto de prueba, de acuerdo con la invención, una pluralidad (n) de componentes de seguridad (11, 12, 13), cada uno de los cuales tiene un módulo de seguridad (M) que se puede establecer en activo o el modo inactivo y un estado listo (r) que se puede configurar en modo activo o inactivo se proporcionan en una disposición de prueba en forma de anillo, en la que cada uno de los componentes de seguridad (11, 12, 13) lleva a cabo una serie de pruebas de funcionamiento (T) cíclicamente, una de dichas pruebas de función (T) implica probar la recepción cíclica sin errores de un paquete de datos (DP). Uno de los componentes de seguridad (1, 11, 12, 13) se selecciona como maestro de bus (BM) que transmite cíclicamente una señal de verificación de bus (B) en un paquete de datos (DP1) al siguiente componente de seguridad (11, 12, 13) proporcionado en la dirección de transmisión, dicha señal de verificación de bus (B) es retransmitida por cada uno de los componentes de seguridad (11, 12, 13) en un paquete de datos (DP2, DP3), y cuando dicha señal de verificación de bus (B) se recibe en un paquete de datos (DP3). el maestro de bus (BM) identifica una disposición de prueba similar a un anillo cerrado. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Disposición de prueba segura
La presente invención se refiere a un procedimiento para operar un dispositivo de prueba que comprende una pluralidad de componentes de seguridad, en el que los componentes de seguridad tienen cada uno una entrada de señal para recibir paquetes de datos y una salida de señal para transmitir paquetes de datos, en donde un módulo de seguridad que se puede establecer en activo o inactivo y un estado de disponibilidad que se puede establecer en activo o inactivo se prevén cada uno en los componentes de seguridad, en donde el módulo de seguridad de un componente de seguridad se establece en inactivo cuando el componente de seguridad asociado tiene un estado de disponibilidad inactivo.
Un equipo de ensayo puede utilizarse para realizar mediciones en objetos de ensayo peligrosos, como transformadores de corriente. Dado que un objeto de ensayo peligroso puede almacenar una cantidad peligrosa de energía, deberán tomarse las precauciones de seguridad adecuadas al realizar las mediciones. Por esta razón, el aparato de ensayo puede ampliarse a una disposición de ensayo añadiendo más componentes. Por ejemplo, una zona de trabajo peligrosa puede estar provista de lámparas de advertencia e interruptores de parada de emergencia como componentes. Los interruptores de parada de emergencia pueden proporcionar un apagado rápido y seguro de los amplificadores de corriente y tensión de la unidad de prueba. Las luces de advertencia, por su parte, pueden indicar, por ejemplo, si el objeto de prueba o la zona de trabajo es segura (descargada) o insegura (con tensión). Como componente adicional, puede preverse una protección contra la conexión del dispositivo de prueba para evitar una conexión no autorizada. La activación de un fusible de conexión puede ser un aspecto de seguridad importante, especialmente cuando se trabaja en el cableado. Un dispositivo de prueba suele constar de varios componentes, como equipos de prueba, luces de advertencia, interruptores de parada de emergencia, fusibles de conexión, etc.
Una forma de configurar un dispositivo de prueba de este tipo es utilizar un circuito de seguridad con señales discretas. En este caso, los componentes del dispositivo de prueba están conectados entre sí a través de un bus de campo de seguridad, por lo que la comunicación entre los componentes tiene lugar a través de señales ejecutadas de forma segura. Por lo tanto, los buses de campo de seguridad son configurados y probados por el fabricante. El usuario no puede ni debe modificar el bus de campo de seguridad por motivos de seguridad. Por esta razón, no es posible que el usuario integre otros componentes en el dispositivo de prueba o transmita información adicional, por ejemplo, con fines de diagnóstico. Por lo tanto, además de un alto nivel de seguridad en lo que respecta a la comunicación entre los componentes, también es deseable que todos ellos tengan una larga vida útil. Como los componentes están permanentemente conectados entre sí, se requiere un gran esfuerzo para el cableado. Además, la detección y evitación de fallos en el cableado (rotura de cable, cortocircuito, diafonía, etc.) es muy compleja. Estos problemas son conocidos en el estado de la técnica. Por ejemplo, el documento DE 102017 130167 A1 describe un procedimiento para la detección de fallos en las conexiones de red, centrándose en una transmisión segura de datos de prueba a través de estas conexiones de red. Sin embargo, en el documento DE 102017 130167 A1, al igual que en el estado de la técnica en general, solo se presta una atención limitada a los propios participantes o componentes de la red y a su verificación individual.
Es por lo tanto una tarea de la actual invención para divulgar un arreglo flexible de la prueba para realizar medidas en un objeto de la prueba.
Según la invención, esta tarea se resuelve conectando las entradas y salidas de señal de los componentes de seguridad de tal manera que los componentes de seguridad formen una disposición de prueba en forma de anillo con una dirección de transmisión para los paquetes de datos, en donde cada uno de los componentes de seguridad realiza cíclicamente un número de pruebas funcionales y establece su estado de preparación en activo si el número de pruebas funcionales tiene éxito y en inactivo si al menos una de las pruebas funcionales falla, en donde una recepción cíclica libre de errores de un paquete de datos se prueba como una de las pruebas funcionales. Uno de los componentes de seguridad se selecciona como maestro de bus, que transmite cíclicamente una señal de comprobación de bus en un paquete de datos al siguiente componente de seguridad proporcionado en la dirección de transmisión, siendo la señal de comprobación de bus reenviada en un paquete de datos por cada uno de los componentes de seguridad, detectando el maestro de bus una disposición de prueba anular cerrada cuando se recibe la señal de comprobación de bus en un paquete de datos.
El dispositivo de prueba en forma de anillo forma así un bus anular que comprende los componentes de seguridad. Las salidas de señal de los componentes de seguridad están conectadas cada una en un anillo con las entradas de señal de los otros componentes de seguridad, de modo que la disposición de prueba tiene exactamente una dirección de transmisión para la transmisión de paquetes de datos. Para comprobar si la disposición de prueba en forma de anillo está cerrada, uno de los componentes de seguridad se designa como maestro de bus. El maestro de bus envía cíclicamente una señal de comprobación de bus en un paquete de datos a través de los componentes de seguridad del dispositivo de prueba, por lo que cada uno de los componentes de seguridad envía la señal de comprobación de bus en un paquete de datos. Si la señal de comprobación del bus llega de vuelta al maestro del bus, este puede detectar una disposición de comprobación cerrada. La duración del ciclo para el envío de paquetes
de datos es preferentemente de 10 ms a 100 ms, por lo que las duraciones de ciclo más cortas mejoran el tiempo de reacción, especialmente en caso de que falle la prueba de funcionamiento.
Que el componente de seguridad correspondiente tenga realmente un estado de disponibilidad activo depende del tipo de componente de seguridad y de las pruebas de funcionamiento correspondientes.
La transmisión de los paquetes de datos entre los propios componentes de seguridad no tiene por qué ser segura, a diferencia de los buses de seguridad más modernos. En su lugar, los componentes de seguridad realizan una serie de pruebas de funcionamiento, en las que al menos una prueba de funcionamiento esencial tiene lugar en forma de prueba de recepción sin errores cíclicos de un paquete de datos. Además de esta prueba funcional, pueden realizarse otras pruebas funcionales. El estado de disponibilidad del componente de seguridad correspondiente solo se activa si todas las pruebas de funcionamiento se realizan correctamente. Si una o varias de las pruebas de funcionamiento fallan, el estado de preparación del componente de seguridad pasa a inactivo. Un enlace de comunicación de este tipo entre los componentes de seguridad se denomina "canal negro", lo que significa que la comunicación entre los componentes de seguridad no se considera funcionalmente segura.
Preferentemente, cuando se detecta una disposición de prueba en forma de anillo cerrado, el maestro de bus comprueba cíclicamente si su estado de disponibilidad está activo y, en caso de que lo esté, envía una señal de disponibilidad en un paquete de datos al siguiente componente de seguridad situado en la dirección de transmisión, por lo que cada uno de los componentes de seguridad comprueba si su estado de disponibilidad está activo al recibir la señal de disponibilidad y, en caso de que lo esté, envía una señal de disponibilidad en un paquete de datos al siguiente componente de seguridad situado en la dirección de transmisión.
Así, si el maestro de bus detecta una disposición de prueba en forma de anillo cerrado mediante la recepción de la señal de comprobación de bus y si su estado de disponibilidad está activo, el maestro de bus envía una señal de disponibilidad al siguiente componente de seguridad previsto en la dirección de transmisión, es decir, al componente de seguridad cuya entrada de señal está conectada a la salida de señal del maestro de bus. Este componente de seguridad recibe la señal de disponibilidad y comprueba su propio estado de disponibilidad. Si su estado de disponibilidad está activo, este componente de seguridad envía la señal de disponibilidad en un paquete de datos al siguiente componente de seguridad en la dirección de transmisión, etc. A diferencia de la señal de comprobación del bus, la señal de disponibilidad no se transmite necesariamente en los respectivos paquetes de datos al maestro del bus cuando la disposición de comprobación en forma de anillo está cerrada, sino sólo cuando todos los componentes de seguridad tienen realmente un estado preparado activo.
Con preferencia, al recibir la señal de disponibilidad, el maestro de bus detecta una disposición de prueba operativa y envía una señal de activación en un paquete de datos al siguiente componente de seguridad proporcionado en la dirección de transmisión, por lo que los componentes de seguridad activan cada uno su módulo de seguridad al recibir una señal de activación y reenvían la señal de activación en un paquete de datos.
Si todos los módulos de seguridad están activos, se activa la disposición de prueba y los componentes de seguridad pueden intercambiar información relevante para la seguridad. La información relevante para la seguridad representa la información necesaria para la ejecución de la medición en el dispositivo de prueba.
De este modo, el dispositivo de prueba solo proporciona un canal de comunicación funcionalmente seguro para enviar y recibir información relevante para la seguridad si todos los componentes de seguridad tienen un módulo de seguridad activado. Si este es el caso, también se puede proporcionar un resumen de todos los componentes de seguridad en la disposición de prueba como información relevante para la seguridad entre los componentes de seguridad.
Por ejemplo, los componentes de seguridad pueden incluir unidades de salida para emitir información relacionada con la seguridad, unidades de entrada para introducir información relacionada con la seguridad, unidades de alimentación para introducir/salir información relacionada con la seguridad, etc. Sin embargo, un componente de seguridad solo puede leer información relevante para la seguridad de paquetes de datos y/o escribirla en paquetes de datos si un módulo de seguridad de un componente de seguridad está activo.
Como unidades de entrada se pueden prever, por ejemplo, unidades de desbloqueo para liberar el dispositivo de prueba o interruptores de llave para asegurar el dispositivo de prueba contra personas no autorizadas. Del mismo modo, las unidades de bloqueo, como los interruptores de parada de emergencia, para desactivar componentes de seguridad individuales o todos, o sus funciones, pueden proporcionarse como unidades de entrada. Del mismo modo, se pueden prever interruptores de arranque para la liberación final de la medición por el dispositivo de prueba. Los componentes de seguridad pueden incluir unidades de potencia, como amplificadores de corriente, amplificadores de tensión, "cajas de conmutación" que desconectan tensiones/corrientes peligrosas, etc. En el caso de un módulo de seguridad inactivo, hay que asegurarse de que las unidades de alimentación estén desconectadas.
Como unidades de salida se pueden proporcionar, por ejemplo, luces de advertencia o unidades de visualización de valores medidos, con lo que, por ejemplo, se puede mostrar un color de advertencia (por ejemplo, rojo) en el caso de una unidad de potencia activa y un color de preparado (por ejemplo, verde) en el caso de una unidad de potencia sin corriente.
Un componente de seguridad puede comprender una o más unidades de salida, unidades de entrada, unidades de potencia o una combinación de ellas.
Por ejemplo, un componente de seguridad puede activar una parada de emergencia basándose en la información relacionada con la seguridad recibida en un paquete de datos. Esta parada de emergencia se envía de nuevo como información relacionada con la seguridad en un paquete de datos, por lo que otro componente de seguridad lee esta información relacionada con la seguridad y muestra una luz de advertencia. Otro componente de seguridad puede desactivar su unidad de potencia, por ejemplo. Un estado peligroso de una unidad de potencia de un componente de seguridad también puede enviarse como información relevante para la seguridad en forma de paquete de datos y, a su vez, leerse y emitirse. Por ejemplo, puede considerarse peligrosa la definición de "Peligro" de las normas IEC 61508, preferentemente en la edición 2.0 o la norma ISO 13849, preferentemente en la versión ISO 13849-1:2015, ISO 13849-2:2012.
Preferentemente, después de enviar una señal de disponibilidad y en caso de no recepción de una señal de disponibilidad, el maestro de bus envía una señal de emergencia en un paquete de datos al siguiente componente de seguridad proporcionado en la dirección de transmisión, por lo que cada uno de los componentes de seguridad desactiva su módulo de seguridad al recibir la señal de emergencia y reenvía la señal de emergencia en un paquete de datos. Si el maestro de bus no recibe de vuelta su señal de listo dentro del ciclo previsto, concluye que al menos un componente de seguridad tiene un estado de listo inactivo. Una transmisión posterior de una señal de emergencia puede garantizar que todos los módulos de seguridad de todos los componentes de seguridad también estén inactivos.
Preferentemente, después de enviar una señal de comprobación del bus y si no se recibe una señal de comprobación del bus, el maestro del bus envía una señal de emergencia en un paquete de datos al siguiente componente de seguridad previsto en la dirección de transmisión, por lo que cada uno de los componentes de seguridad desactiva su módulo de seguridad al recibir la señal de emergencia y reenvía la señal de emergencia en un paquete de datos. De este modo, se garantiza que todos los módulos de seguridad se desactiven realmente, especialmente en caso de rotura del anillo y de una configuración de los componentes de seguridad en la que siempre envíen un paquete de datos aunque no lo reciban.
Preferentemente, los componentes de seguridad realizan una prueba de seguridad y, si la prueba de seguridad falla, desactivan su estado de disponibilidad y envían una señal de emergencia en un paquete de datos al siguiente componente de seguridad proporcionado en la dirección de transmisión, por lo que los componentes de seguridad desactivan su módulo de seguridad al recibir la señal de emergencia y envían la señal de emergencia en un paquete de datos. Durante la prueba de seguridad, se comprueban las funciones de los componentes de seguridad que son críticas para la seguridad. Si falla la prueba de seguridad, se desactiva inmediatamente el estado de disponibilidad y, por lo tanto, también el módulo de seguridad, y se envía también inmediatamente un paquete de datos con una señal de emergencia para desactivar lo antes posible todos los demás módulos de seguridad de todos los demás componentes de seguridad.
Preferentemente, el maestro de bus se selecciona a través de una identificación de componente de los componentes de seguridad. Preferentemente, se selecciona como maestro de bus el componente de seguridad con la identificación de componente más baja.
Los componentes de seguridad pueden enviar una identificación de componente con la señal de verificación de bus en el paquete de datos, por lo que el maestro de bus identifica los componentes de seguridad por las identificaciones de componente recibidas con la señal de verificación de bus.
Preferentemente, el maestro de bus envía las identificaciones de los componentes a los respectivos componentes de seguridad en un paquete de datos, por lo que un componente de seguridad establece su estado de preparación en inactivo si no recibe su identificación del maestro de bus.
La señal de comprobación del bus, la señal de disponibilidad, la señal de activación, la señal de emergencia, etc. pueden ser enviadas por el maestro del bus en el mismo paquete de datos o en paquetes de datos individuales. Si la señal de comprobación del bus y la señal de disponibilidad se envían en un paquete de datos, entonces cuando el maestro del bus recibe la señal de disponibilidad en el paquete de datos, se puede determinar que la disposición de prueba en forma de anillo sigue cerrada. Solo si el paquete de datos contiene también una señal de disponibilidad cuando lo recibe el maestro de bus, éste puede determinar también que todos los componentes de seguridad tienen un estado preparado activo.
Si los módulos de seguridad están activos, la información relacionada con la seguridad también puede enviarse a través del mismo paquete de datos, como la señal de comprobación del bus, la señal de disponibilidad, la señal de activación, la señal de emergencia, etc.
La presente invención se explica con más detalle a continuación con referencia a las Figuras 1 a 6, que muestran formas de realización ventajosas de ejemplo, esquemáticas y no limitantes de la invención. De este modo, en ellas, Fig. 1 muestra un componente de seguridad,
Fig. 2 muestra un dispositivo de prueba compuesto por tres componentes de seguridad,
Fig. 3 muestra una transmisión de una señal de comprobación de bus,
Fig. 4a muestra una transmisión de una señal de disponibilidad, por la que un componente de seguridad tiene un estado de disponibilidad inactivo,
Fig. 4b muestra una transmisión de una señal de disponibilidad, en la que todos los componentes de seguridad tienen un estado de disponibilidad activo,
Fig. 5 muestra un envío de una señal de activación,
Fig. 6a muestra una rotura anular,
Fig. 6b muestra una transmisión de una señal de emergencia.
La Fig. 1 muestra un componente de seguridad 11, 12, 13. El componente de seguridad 11, 12, 13 tiene una entrada de señal Rx para recibir paquetes de datos DP1, DP2, DP3 y una salida de señal Tx para enviar paquetes de datos DP1, DP2, DP3. El componente de seguridad 11, 12, 13 también tiene un estado de disponibilidad r, que puede configurarse como activo o inactivo. El componente de seguridad 11, 12, 13 comprende un módulo de seguridad M, que puede configurarse como activo o inactivo, pero siempre se configura como inactivo en un estado de disponibilidad inactivo. Sin embargo, esto no significa que el módulo de seguridad M deba estar siempre activado en un estado de disponibilidad activo r.
El componente de seguridad 11, 12, 13 realiza cíclicamente al menos una prueba funcional T. Si todas las pruebas de funcionamiento T se realizan correctamente, el estado de disponibilidad r pasa a activo. Si solo falla una prueba de funcionamiento T, el estado de disponibilidad r pasa a inactivo, por lo que el módulo de seguridad M también pasa a inactivo o permanece inactivo si ya estaba inactivo.
En las figuras mostradas, un estado de disponibilidad activo r, así como un módulo de seguridad activo M, se muestra básicamente como "1" y un estado de disponibilidad inactivo r, así como un módulo de seguridad inactivo M, se muestra básicamente como "0". Una prueba funcional T fallida se muestra como una T tachada, si la prueba funcional T tiene éxito, se muestra como T.
La Fig. 2 muestra la estructura de un dispositivo de prueba que consta de una pluralidad de componentes de seguridad 11, 12, 13, tal como se describe con referencia a la Fig. 1. Los componentes de seguridad 11, 12, 13 se conectan entre sí como una disposición de prueba en forma de anillo en forma de bus anular mediante la conexión de una entrada de señal Rx de cada componente de seguridad 11, 12, 13 a una salida de señal Tx de otro componente de seguridad 11, 12, 13. En la Fig. 2, por ejemplo, la salida de señal Tx del primer componente de seguridad 11 está conectada a la entrada de señal Rx del segundo componente de seguridad 12, la salida de señal Tx del segundo componente de seguridad 12 está conectada a la entrada de señal Rx del tercer componente de seguridad 13 y la salida de señal Tx del tercer componente de seguridad 13 está conectada a la entrada de señal Rx del primer componente de seguridad 11.
Por supuesto, sólo se ha seleccionado una pluralidad de tres componentes de seguridad 11, 12, 13 como ejemplo en las figuras mostradas; la disposición de prueba puede comprender cualquier número de componentes de seguridad 11, 12, 13.
Los componentes de seguridad 11, 12, 13 realizan como pruebas funcionales T al menos una prueba de una recepción cíclica sin errores de un paquete de datos DP. Esto puede hacerse, por ejemplo, mediante una comprobación de suma de comprobación, una comprobación de secuencia, un tiempo de espera, etc. Esta comprobación de la ausencia de errores en los paquetes de datos recibidos DP establece un denominado canal negro entre los componentes de seguridad 11, 12, 13.
Si todas las pruebas de funcionamiento T de un componente de seguridad 11, 12, 13 tienen éxito en un ciclo actual, el estado listo r de este componente de seguridad 11,12,13 se pone en activo, si no lo está ya. Si el módulo de seguridad M y el estado de disponibilidad r ya estaban configurados como activos, el módulo de seguridad M permanece activado, a menos que otra medida de seguridad desactive el módulo de seguridad M. En la Fig. 2, en los componentes de seguridad 11, 12, 13 solo se prevé la prueba de función esencial T(DP1), T(DP2), T(DP3) de una recepción cíclica sin errores de un paquete de datos DP. Si esta prueba funcional T(DP1), T(DP2), T(DP3) falla, el respectivo estado de preparación r se establece en inactivo, si la prueba funcional T(DP1), T(DP2), T(DP3) tiene éxito - lo que aquí resulta en que "todas" las pruebas funcionales T por componente de seguridad 11, 12, 13 tienen éxito porque esta es la única prueba funcional T proporcionada - el respectivo estado de preparación r se establece en activo.
Además, según la invención, uno de los componentes de seguridad 11, 12, 13 se selecciona como BM maestro de bus, pudiendo realizarse la selección del BM maestro de bus sobre la base de una identificación de componente, por ejemplo, un número de identificación UID, de los componentes de seguridad 11, 12, 13. Por ejemplo, se puede seleccionar el componente de seguridad 11, 12, 13 con el número de identificación UID más bajo. En la Fig. 3, el primer componente de seguridad 11 con el UID1 se selecciona como maestro de bus BM a modo de ejemplo. Según la invención, el maestro de bus BM comprueba si los componentes de seguridad 11, 12, 13 forman realmente una disposición de prueba en forma de anillo, es decir, un bus en forma de anillo. Para ello, el maestro de bus BM envía una señal de comprobación de bus B en un paquete de datos DP1 al siguiente componente de seguridad previsto en la dirección de transmisión, en este caso el segundo componente de seguridad 12. Si existe una conexión entre los componentes de seguridad 11, 12, 13, la señal de comprobación de bus B es recibida por todos los componentes de seguridad 11, 12, 13 en el bus anular a través de la entrada de señal Rx en un paquete de datos DP1, DP2, DP3 y reenviada a través de la salida de señal Tx.
Dado que cada componente de seguridad 11, 12, 13 espera un paquete de datos periódico DP1, DP2, DP3 (con una señal de comprobación de bus B), la recepción cíclica libre de errores de este paquete de datos DP puede comprobarse como una prueba de funcionamiento (esencial) T. Si el paquete de datos DP se recibe correctamente, el paquete de datos DP3 se transmite a través de la salida de señal Tx al componente de seguridad 11, 12, 13. Si el paquete de datos DP1, DP2, DP3 no se recibe como se esperaba o si falla la comprobación de errores y, por tanto, la prueba de funcionamiento (esencial) T, el componente de seguridad 11, 12, 13 correspondiente desactiva su estado de disponibilidad r.
Opcionalmente, en este caso el componente de seguridad 11, 12, 13 también puede enviar una señal de emergencia N en un paquete de datos DP1, DP2, DP3, que es reenviado por todos los componentes de seguridad 11, 12, 13 en un paquete de datos DP1, DP2, DP3 respectivamente, y por el cual todos los componentes de seguridad 11, 12, 13 que reciben la señal de emergencia desactivan su módulo de seguridad M, que representa otro mecanismo de seguridad.
En la Fig. 3, el primer componente de seguridad 11 como maestro de bus BM envía la señal de comprobación de bus B a través de su salida de señal Tx en un paquete de datos DP1 a la entrada de señal Rx del segundo componente de seguridad 12. El segundo componente de seguridad 12 envía la señal de comprobación de bus B en un paquete de datos DP2 a través de su salida de señal Tx a la entrada de señal Rx del tercer componente de seguridad 13 y el tercer componente de seguridad 13 envía la señal de comprobación de bus B además en un paquete de datos DP3 a través de su salida de señal Tx a la entrada de señal Rx del primer componente de seguridad 11, que representa el maestro de bus BM. Naturalmente, el maestro de bus BM solo recibe la señal de comprobación de bus B cuando el bus anular está cerrado. Así, el maestro de bus BM puede asegurarse de que el bus de anillo está cerrado recibiendo la señal de comprobación de bus B.
Los componentes de seguridad 11, 12, 13 están ventajosamente diseñados de tal manera que cada uno transmite su número de identificación UID1, UID2, UID3 con la señal de comprobación de bus B en el paquete de datos, como también se muestra en la Fig. 3. En consecuencia, el maestro de bus BM puede configurarse para identificar los componentes de seguridad 11, 12, 13 sobre la base de las identificaciones UID1, UID2, UID3 recibidas con la señal de verificación de bus B. Como se muestra en la Fig. 3, el segundo componente de seguridad 12 recibe la señal de verificación de bus B con el paquete de datos DP1 del maestro de bus BM, añade su número de identificación UID1 y transmite el paquete de datos DP2 con la señal de verificación de bus B al tercer componente de seguridad 13. Éste, a su vez, añade su número de identificación UID3 y transmite la señal de comprobación de bus B en un paquete de datos DP3 al primer componente de seguridad 11, que representa al maestro de bus BM. En el paquete de datos DP con la señal de comprobación de bus B, el maestro de bus BM no sólo recibe la información de que el bus anular está cerrado, sino también los números de identificación UID2, UID3 de los otros componentes de seguridad 12, 13; el maestro de bus BM ya conoce su propio número de identificación UID1. De este modo, el maestro de bus BM conoce los componentes de seguridad 11, 12, 13 del dispositivo de prueba a través de sus números de identificación UID1, UID2, UID3.
En el curso posterior, los componentes de seguridad 11, 12, 13 siguen realizando permanentemente pruebas de funcionamiento cíclicas T, pero al menos la prueba de funcionamiento esencial T (prueba de una recepción cíclica y sin errores de paquetes de datos DP1, DP2, DP3). Las pruebas de función T no se muestran en las Fig. 3 a 5 por razones de claridad.
Asimismo, el maestro de bus BM continúa realizando una prueba para una disposición de prueba de bucle cerrado enviando una señal de comprobación de bus B.
El maestro de bus BM podría ahora también enviar los respectivos números de identificación UID2, UID3 de vuelta a los respectivos componentes de seguridad 12, 13 (no mostrados). De este modo, cada componente de seguridad 11, 12, 13 puede comprobar por sí mismo si el bus anular está realmente cerrado. Preferentemente, los componentes de seguridad 12, 13 pueden configurarse de tal manera que pongan su estado de disponibilidad r en inactivo si no reciben su número de identificación UID2, UID3 de vuelta del maestro de bus BM, ya que esto indica un fallo en el bus de anillo.
Si el maestro de bus BM recibe la señal de comprobación de bus B a través de su entrada de señal Rx (que detecta un bus de anillo cerrado) y si el estado de disponibilidad r del maestro de bus BM está activo, el maestro de bus BM transmite una señal de disponibilidad R en el paquete de datos DP a través de su salida de señal Tx al componente de seguridad adicional 12 provisto en la dirección de transmisión (aquí la segunda), como se muestra en la Fig. 4a, b. Al recibir un paquete de datos DP1, DP2, DP3, cada componente de seguridad 11, 12, 13 comprueba con una señal de disponibilidad R si su estado de disponibilidad r está activo. Si el estado de disponibilidad r está inactivo, el componente de seguridad respectivo 11, 12, 13 no envía una señal de disponibilidad R en el paquete de datos DP1, DP2, DP3. Sin embargo, si un componente de seguridad 11, 12, 13 recibe una señal de disponibilidad R en el paquete de datos DP y su estado de disponibilidad r está activo, el componente de seguridad 11, 12, 13 también transmite una señal de disponibilidad R a la entrada de señal Rx del componente de seguridad 11, 12, 13 asociado a través de su salida de señal Tx en un paquete de datos.
En la Fig. 4a se supone que el tercer componente de seguridad 13 tiene un estado de disponibilidad inactivo r. Así, la señal de disponibilidad R se encamina en un paquete de datos DP1 desde el maestro de bus BM al segundo componente de seguridad 12. Dado que el segundo componente de seguridad 12 tiene un estado de disponibilidad activo r, transmite la señal de disponibilidad R en un paquete de datos DP2 al tercer componente de seguridad 13. Sin embargo, el tercer componente de seguridad 13 tiene un estado de disponibilidad inactivo r y, por tanto, no transmite la señal de disponibilidad R en el paquete de datos DP3 al primer componente de seguridad 11 (aquí como maestro de bus BM). De este modo, el maestro de bus BM llega a la conclusión de que no todos los componentes de seguridad tienen un estado de disponibilidad activo r=1.
Si el maestro de bus BM no recibe la señal de disponibilidad R, transmite ventajosamente una señal de emergencia N en un paquete de datos DP1 (no mostrado), que es reenviado por los componentes de seguridad 11, 12, 13. Los componentes de seguridad 11, 12, 13 desactivan su módulo de seguridad M al recibir la señal de emergencia N, si no está ya desactivado. Esto proporciona una precaución de seguridad adicional y garantiza que todos los módulos de seguridad M estén inactivos.
En la Fig. 4b, en cambio, se supone que todos los componentes de seguridad 11, 12, 13 tienen un estado de disponibilidad activo r. De este modo, la señal de disponibilidad R se encamina primero en el paquete de datos DP1 al segundo componente de seguridad 12, que, debido a su estado de disponibilidad activo r, encamina la señal de disponibilidad R en el paquete de datos DP3 al tercer componente de seguridad 13. Debido a su estado de disponibilidad activo r, el tercer componente de seguridad 13 dirige la señal de disponibilidad R en el paquete de datos DP3 al primer componente de seguridad 11, que representa al maestro de bus BM. De este modo, el maestro de bus BM determina que todos los componentes de seguridad 11, 12, 13 tienen un estado de disponibilidad activo r y detecta así una disposición de prueba operativa. Cabe señalar que tanto en el caso de un estado listo activo r (fig.
4b) como en el caso de un estado listo inactivo r (fig. 4a) del tercer componente de seguridad 13, el maestro de bus BM recibe la señal de comprobación de bus B en el paquete de datos DP3. Esto significa que en ambos casos existe una disposición de prueba en forma de anillo cerrado. Si no fuera así, el maestro de bus BM no recibiría ningún paquete de datos DP3 y, por tanto, ninguna señal de comprobación de bus B (y, por supuesto, ninguna señal de disponibilidad R, etc.).
La Fig. 5 muestra el caso en el que el maestro de bus BM ya ha determinado una disposición de prueba operativa mediante la recepción de la señal de disponibilidad R. Por lo tanto, el maestro de bus BM envía una señal de activación A a todos los demás componentes de seguridad 1213, es decir, primero en un paquete de datos DP1 al siguiente componente de seguridad conectado en la dirección de transmisión (aquí el segundo componente de seguridad 12), que a su vez reenvía la señal de activación A en un paquete de datos2 al siguiente componente de seguridad conectado en la dirección de transmisión (aquí el tercer componente de seguridad 13), etc. Los otros componentes de seguridad 12, 13 conmutan cada uno su módulo de seguridad M a activo al recibir la señal de activación A en el paquete de datos DP, con lo que la disposición de prueba en forma de anillo está activa.
Solo cuando el módulo de seguridad M está activo en cada caso, los componentes de seguridad 11, 12, 13 pueden enviar y recibir información relevante para la seguridad M1, M2, M3.
En la Fig. 5 se supone que todos los componentes de seguridad 11, 12, 13 ya han recibido una señal de activación A - siguen recibiéndola cíclicamente.
El primer componente de seguridad 11 comprende una unidad de entrada, por ejemplo un interruptor, y puede añadir información relevante para la seguridad M1 al paquete de datos DP1 basándose en un módulo de seguridad M activado. Por ejemplo, el primer componente de seguridad 11 puede instruir una orden de inicio de medición como información relevante para la seguridad M1.
El segundo componente de seguridad 12 comprende una unidad de potencia. Dado que su módulo de seguridad M está activado, el segundo componente de seguridad 12 puede leer información relevante para la seguridad M1 del paquete de datos DP1, así como añadir información relevante para la seguridad M2 al paquete de datos DP2. Por ejemplo, el segundo componente de seguridad 12 puede activar su unidad de potencia a partir de la información
relevante para la seguridad M1 procedente del primer componente de seguridad 11 en forma de orden de inicio de medición y añadir además información relevante para la seguridad M2 en forma de valores medidos al paquete de datos DP2.
El tercer componente de seguridad 13 comprende una unidad de salida que ahora puede emitir información relevante para la seguridad M1, M2 contenida en el paquete de datos DP2, por ejemplo información relevante para la seguridad M1 procedente del primer componente de seguridad 11 relativa a la unidad de entrada, por ejemplo una orden de inicio de medición, o información relevante para la seguridad M2 procedente del segundo componente de seguridad 12 relativa a la unidad de potencia, por ejemplo un valor medido. Cuando se activa el módulo de seguridad M, los componentes de seguridad 11, 12, 13 pueden, por lo tanto, añadir cada uno información relevante para la seguridad M1, M2, M3 a un paquete de datos DP1, DP2, DP3 y/o leerla de un paquete de datos DP1, DP2, DP3 - dependiendo del diseño del componente de seguridad 11, 12, 13. La unidad de entrada, la unidad de potencia y la unidad de salida sólo se muestran en las Figs. 5 y 6a, ya que sólo aquí se activan los módulos de seguridad M de los componentes de seguridad 11, 12, 13.
En la Fig. 5, al igual que en la Fig. 4, los paquetes de datos DP1, DP2, DP3 contienen la señal de comprobación de bus B y la señal de disponibilidad R, con lo que el maestro de bus BM sigue supervisando una disposición de comprobación en forma de anillo cerrado, así como un estado de disponibilidad activo r de todos los componentes de seguridad 11, 12, 13.
Los componentes de seguridad 11, 12, 13 también pueden llevar a cabo una prueba de seguridad S (no mostrada) y, si la prueba de seguridad falla, desactivar su módulo de seguridad M y enviar una señal de emergencia N en un paquete de datos DP1, DP2, DP3 a los otros componentes de seguridad 11, 12, 13 dispuestos en la disposición de prueba, los cuales, al recibir la señal de emergencia N, no sólo la reenvían en un paquete de datos DP1, DP2, DP3, sino que también desactivan su módulo de seguridad M. De este modo, una prueba de seguridad S fallida provoca inmediatamente el envío de un paquete de datos DP1, DP2, DP3 con una señal de emergencia N para desactivar los módulos de seguridad M de todos los componentes de seguridad 11, 12, 13. El maestro de bus BM también puede enviar una señal de emergencia N si no recibe la señal de activación A enviada a la entrada de señal Rx en un paquete de datos DP3.
A diferencia de una prueba de seguridad S, el fallo de una prueba funcional T (que no es crítica para la seguridad) solo conduce a un estado de disponibilidad inactivo r de dicho componente de seguridad 11, 12, 13. Este estado de disponibilidad inactivo r sólo lo detecta el maestro de bus BM cuando envía una señal de disponibilidad R y no la recibe. En este caso, los demás componentes de seguridad 11, 12, 13 cuyas pruebas de funcionamiento T fallen pueden permanecer en el estado de disponibilidad activa r.
La fig. 6a, b muestra una rotura de anillo, es decir, una interrupción de la línea de comunicación, entre el segundo componente de seguridad 12 y el tercer componente de seguridad 13. Supongamos que la rotura del anillo en la Fig. 6a se produce después de que el BM maestro de bus haya recibido el paquete de datos DP3, lo que significa que el BM maestro de bus aún no tiene ninguna indicación de la rotura del anillo cuando se envía el paquete de datos DP1. El paquete de datos DP1 con la señal de comprobación de bus B (y aquí también una señal de disponibilidad R, una señal de activación A e información relevante para la seguridad M1, M2, M3) llega así al segundo componente de seguridad 12, que en ese momento tampoco detecta todavía una rotura de anillo y envía por tanto un paquete de datos DP2, que sin embargo no llega al tercer componente de seguridad 13.
El tercer componente de seguridad 13 está configurado de tal manera que no envía un paquete de datos DP3 si no recibe un paquete de datos DP2. De este modo, la prueba de funcionamiento cíclica T del BM maestro de bus falla y el BM maestro de bus desactivaría su estado listo r. Por lo tanto, el maestro de bus BM pone su estado de disponibilidad r en inactivo y envía un paquete de datos DP con una señal de emergencia N para desactivar los módulos de seguridad M de todos los componentes de seguridad 11, 12, 13. La señal de emergencia N llega al segundo componente de seguridad 12 en el paquete de datos DP1, por lo que el módulo de seguridad M del segundo componente de seguridad 12 se desactiva.
Si el tercer componente de seguridad 13 estuviera configurado de tal manera que también enviara un paquete de datos DP3 si no recibe un paquete de datos DP2 (no mostrado), la prueba de funcionamiento esencial T del maestro de bus BM tendría éxito, con lo que el maestro de bus BM dejaría activo su estado de disponibilidad r. En este caso, es ventajoso que el maestro de bus BM esté configurado de tal manera que envíe una señal de emergencia N si no recibe una señal de verificación de bus B. Sin embargo, el maestro de bus BM seguiría sin recibir una señal de comprobación de bus B debido a la rotura del anillo y, por tanto, enviaría una señal de emergencia N en el paquete de datos DP1 si está configurado de esta forma. De este modo, el maestro de bus BM no recibe ninguna señal de comprobación de bus B en caso de rotura del anillo y, por tanto, detecta una disposición de comprobación en forma de anillo que ya no está cerrada (Fig. 6b).
Sin embargo, el segundo componente de seguridad 12 no puede transmitir la señal de emergencia N en el paquete de datos DP2 al tercer componente de seguridad 13 debido a la rotura del anillo. Sin embargo, el tercer componente de seguridad 13 realiza cíclicamente al menos una prueba de función esencial T(DP) y espera al menos un paquete
de datos DP2 para su verificación. Por lo tanto, esta prueba de funcionamiento T falla, por lo que el tercer módulo de seguridad 13 cambia su estado operativo r a inactivo, por lo que el módulo de seguridad M también cambia a inactivo.
Así, en la disposición de prueba ilustrada, los componentes de seguridad primero y tercero 11, 12, 13 permanecen con el módulo de seguridad M inactivo. El segundo componente de seguridad 12 puede tener un estado de disponibilidad activo r, siempre que no fallen las pruebas funcionales T asociadas. Sin embargo, esto solo es posible si el primer componente de seguridad 11 está configurado de tal manera que envíe un paquete de datos DP aunque no reciba un paquete de datos DP (por ejemplo, con una señal de comprobación de bus B), ya que de lo contrario fallaría la prueba de función esencial T del segundo componente de seguridad 12.
La disposición de prueba puede ahora, por ejemplo, completarse de manera sencilla con otros componentes de seguridad entre el segundo componente de seguridad 12 y el tercer componente de seguridad 13. Alternativamente, se puede realizar una disposición diferente de los componentes de seguridad 11, 12, 13 o simplemente se puede cerrar la rotura del anillo.
Solo cuando se ha reparado la rotura del anillo se determina un maestro de bus BM como se ha descrito anteriormente, se envía un paquete de datos DP1, DP2, DP3 con una señal de comprobación de bus B para detectar una disposición de prueba en forma de anillo cerrada, se envía un paquete de datos DP1, DP2, DP3 con una señal de disponibilidad R y, siempre que todos los componentes de seguridad 11, 12, 13 tengan un estado de disponibilidad activo r, se envía una señal de activación A para activar los módulos de seguridad M de los componentes de seguridad 11, 12, 13 de la disposición de prueba. A continuación, los componentes de seguridad 11, 12, 13 pueden volver a intercambiar información relevante para la seguridad M1, M2, M3.
Claims (9)
1. Procedimiento de funcionamiento de un dispositivo de prueba que comprende una pluralidad (n) de componentes de seguridad (11, 12, 13), en donde cada uno de los componentes de seguridad (11, 12, 13) presentan una entrada de señal (Rx) para recibir paquetes de datos (DP1, DP2, DP3) y una salida de señal (Tx) para el envío de paquetes de datos (DP1, DP2, DP3), en donde se prevé un módulo de seguridad (M) que puede ajustarse a activo o inactivo y un estado de disponibilidad (r) que puede ajustarse a activo o inactivo en cada uno de los componentes de seguridad (11, 12, 13), en donde el módulo de seguridad (M) de un componente de seguridad (11, 12, 13) se pone en inactivo cuando el componente de seguridad asociado (11, 12, 13) tiene un estado de disponibilidad inactivo (r), caracterizado porque las entradas de señal (Rx) y las salidas de señal (Tx) de los componentes de seguridad (11, 12, 13) están conectadas de tal manera que los componentes de seguridad (11, 12, 13) forman una disposición de prueba anular con una dirección de transmisión para los paquetes de datos (DP1, DP2, DP3), porque cada uno de los componentes de seguridad (11, 12, 13) realiza cíclicamente un número de pruebas funcionales (T), y establece su estado de disponibilidad (r) en activo si el número de pruebas funcionales (T) tiene éxito y en inactivo si al menos una de las pruebas funcionales (T) falla, comprobándose como una de las pruebas funcionales (T) una recepción cíclica sin errores de un paquete de datos (DP), y porque uno de los componentes de seguridad (1, 11, 12, 13) se selecciona como maestro de bus (BM), que transmite cíclicamente una señal de comprobación de bus (B) en un paquete de datos (DP1) al siguiente componente de seguridad (11, 12, 13) previsto en la dirección de transmisión, siendo la señal de comprobación de bus (B) reenviada en cada caso por los componentes de seguridad (11, 12, 13) en un paquete de datos (DP2, DP3), y porque el maestro de bus (BM) detecta una disposición de prueba anular cerrada cuando se recibe la señal de comprobación de bus (B) en un paquete de datos (DP3).
2. Procedimiento de acuerdo con la reivindicación 1, caracterizado porque el maestro de bus (BM), al detectar una disposición de prueba anular cerrada, comprueba cíclicamente si su estado de disponibilidad (r) está activo y, en caso de un estado de disponibilidad (r) activo, transmite una señal de disponibilidad (R) en un paquete de datos (DP1) al siguiente componente de seguridad (11, 12, 13) situado en la dirección de transmisión, y porque los componentes de seguridad (11, 12, 13) comprueban cada uno al recibir la señal de disponibilidad (R) si su estado de disponibilidad (r) está activo y, en caso de un estado de disponibilidad (r) activo, transmiten una señal de disponibilidad (R) en un paquete de datos (DP2, DP3) al siguiente componente de seguridad (11, 12, 13) previsto en la dirección de transmisión.
3. Procedimiento de acuerdo con la reivindicación 2, caracterizado porque el maestro de bus (BM), al recibir la señal de disponibilidad (R), detecta una disposición de prueba operativa y envía una señal de activación (A) en un paquete de datos (DP1) al siguiente componente de seguridad (11, 12, 13) previsto en la dirección de transmisión, activando los componentes de seguridad (11, 12, 13) cada uno su módulo de seguridad (M) al recibir una señal de activación (A) y reenviando la señal de activación (A) en un paquete de datos (DP2, DP3).
4. Procedimiento de acuerdo con la reivindicación 3, caracterizado porque el maestro de bus (BM), tras enviar una señal de disponibilidad (R) y en caso de no recepción de una señal de disponibilidad (R), envía una señal de emergencia (N) en un paquete de datos (DP1) al siguiente componente de seguridad (11, 12, 13) previsto en la dirección de transmisión, en donde los componentes de seguridad (11, 12, 13) desactivan su módulo de seguridad (M) en cada caso al recibir la señal de emergencia (N) y reenvían la señal de emergencia (N) en un paquete de datos (DP2, DP3).
5. Procedimiento de acuerdo con una de las reivindicaciones 1 a 3, caracterizado porque el maestro de bus (BM), tras enviar una señal de comprobación de bus (B) y en caso de no recepción de una señal de comprobación de bus (B) , envía una señal de emergencia (N) en un paquete de datos (DP1) al siguiente componente de seguridad (11), 12, 13) previsto en la dirección de transmisión, en donde los componentes de seguridad (11, 12, 13) desactivan su módulo de seguridad (M) en cada caso al recibir la señal de emergencia (N) y reenvían la señal de emergencia (N) en un paquete de datos (DP2, DP3).
6. Procedimiento de acuerdo con una de las reivindicaciones 1 a 5, caracterizado porque los componentes de seguridad (11, 12, 13) realizan una prueba de seguridad (S) y, si la prueba de seguridad (S) falla, el componente de seguridad respectivo (11, 12, 13) desactiva su estado de disponibilidad (r) y envía una señal de emergencia (N) en un paquete de datos (DP1), DP2, DP3) al siguiente componente de seguridad (11, 12, 13) previsto en la dirección de transmisión, desactivando los componentes de seguridad (11, 12, 13) su módulo de seguridad (M) al recibir la señal de emergencia (N) y enviando la señal de emergencia (N) en un paquete de datos (DP1, DP2, DP3).
7. Procedimiento de acuerdo con una de las reivindicaciones 1 a 6, caracterizado porque la selección del maestro de bus (BM) se hace a través de una identificación de componente (UID1, UID2, UID3) de los componentes de seguridad (11, 12, 13), preferentemente se selecciona como maestro de bus (BM) el componente de seguridad (11, 12, 13) con la identificación de componente (UID1, UID2, UID3) más baja.
8. Procedimiento de acuerdo con una de las reivindicaciones 1 a 7, caracterizado porque los componentes de seguridad (11, 12, 13) envían una identificación de componente (UID1, UID2, UID3) con la señal de verificación de bus (B) en el paquete de datos (DP1, DP2, DP3), y porque el maestro de bus (BM) identifica los componentes de
seguridad (11, 12, 13) por las identificaciones de componente (UID1, UID2, UID3) recibidas con la señal de verificación de bus (B).
9. Procedimiento de acuerdo con la reivindicación 8, caracterizado porque el maestro de bus (BM) devuelve las identificaciones de los componentes (UID1, UID2, UID3) a los respectivos componentes de seguridad (11, 12, 13) en un paquete de datos (DP1) y un componente de seguridad (11, 12, 13) pone su estado de disponibilidad (r) en inactivo si no recibe su identificación (UID1, UID2, UID3) del maestro de bus (BM).
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT508982019 | 2019-10-18 | ||
| PCT/EP2020/079201 WO2021074373A1 (de) | 2019-10-18 | 2020-10-16 | Sichere prüfanordnung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2938480T3 true ES2938480T3 (es) | 2023-04-11 |
Family
ID=72895979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES20792648T Active ES2938480T3 (es) | 2019-10-18 | 2020-10-16 | Disposición de prueba segura |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US20230026165A1 (es) |
| EP (1) | EP4046339B1 (es) |
| KR (1) | KR20220084148A (es) |
| CN (1) | CN114556117A (es) |
| AU (1) | AU2020365435B2 (es) |
| BR (1) | BR112022006717A2 (es) |
| CA (1) | CA3155055C (es) |
| ES (1) | ES2938480T3 (es) |
| MX (1) | MX2022004547A (es) |
| PL (1) | PL4046339T3 (es) |
| WO (1) | WO2021074373A1 (es) |
| ZA (1) | ZA202205432B (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AT526557A1 (de) | 2022-09-21 | 2024-04-15 | Omicron Eletronics Gmbh | Inbetriebnahme einer Prüfanordnung |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9172647B2 (en) * | 2013-04-25 | 2015-10-27 | Ixia | Distributed network test system |
| AT516348B1 (de) * | 2014-10-07 | 2019-11-15 | Omicron Electronics Gmbh | Prüfanordnung und Verfahren zur Prüfung einer Schaltanlage |
| AT517779B1 (de) * | 2015-10-01 | 2021-10-15 | B & R Ind Automation Gmbh | Verfahren zum Querverkehr zwischen zwei Slaves eines ringförmigen Datennetzwerks |
| WO2018109190A1 (de) * | 2016-12-16 | 2018-06-21 | Hirschmann Automation And Control Gmbh | Verfahren zur optimierung der ausfallerkennung von redundanz-protokollen mit testdatenpaketen |
| DE102017209309A1 (de) * | 2017-06-01 | 2018-12-06 | Robert Bosch Gmbh | Verfahren zum Übertragen von zeitkritischen und nicht zeitkritischen Daten in einem Kommunikationszyklus |
-
2020
- 2020-10-16 US US17/769,539 patent/US20230026165A1/en active Pending
- 2020-10-16 AU AU2020365435A patent/AU2020365435B2/en active Active
- 2020-10-16 PL PL20792648.6T patent/PL4046339T3/pl unknown
- 2020-10-16 EP EP20792648.6A patent/EP4046339B1/de active Active
- 2020-10-16 CN CN202080072832.8A patent/CN114556117A/zh active Pending
- 2020-10-16 KR KR1020227016644A patent/KR20220084148A/ko unknown
- 2020-10-16 BR BR112022006717A patent/BR112022006717A2/pt unknown
- 2020-10-16 MX MX2022004547A patent/MX2022004547A/es unknown
- 2020-10-16 ES ES20792648T patent/ES2938480T3/es active Active
- 2020-10-16 WO PCT/EP2020/079201 patent/WO2021074373A1/de active Search and Examination
- 2020-10-16 CA CA3155055A patent/CA3155055C/en active Active
-
2022
- 2022-05-17 ZA ZA2022/05432A patent/ZA202205432B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| MX2022004547A (es) | 2022-05-10 |
| US20230026165A1 (en) | 2023-01-26 |
| PL4046339T3 (pl) | 2023-03-20 |
| AU2020365435B2 (en) | 2023-03-02 |
| CN114556117A (zh) | 2022-05-27 |
| AU2020365435A1 (en) | 2022-05-19 |
| KR20220084148A (ko) | 2022-06-21 |
| ZA202205432B (en) | 2023-10-25 |
| CA3155055A1 (en) | 2021-04-22 |
| WO2021074373A1 (de) | 2021-04-22 |
| BR112022006717A2 (pt) | 2022-07-12 |
| EP4046339A1 (de) | 2022-08-24 |
| EP4046339B1 (de) | 2023-01-11 |
| CA3155055C (en) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2400369T3 (es) | Dispositivo de entrada de una unidad de seguridad | |
| RU2656684C2 (ru) | Система шин и способ эксплуатации такой системы шин | |
| ES2908606T3 (es) | Tecnología de comunicación en serie para ascensores relacionados con la seguridad | |
| ES2423842T3 (es) | Método, dispositivo y sistema para detectar un fallo de enlace | |
| ES2938480T3 (es) | Disposición de prueba segura | |
| JP3524847B2 (ja) | 複数の、車両内ネットワーク加入者間のデータ通信用リング状光ネットワーク回線の検査方法及び装置 | |
| ES2754178T3 (es) | Recurso de reserva para un canal de ordenador defectuoso de un vehículo ferroviario | |
| CN109314024A (zh) | 用于车辆的配电器和保险*** | |
| ES2634945T3 (es) | Sistema y método de funcionamiento de emergencia de un sistema de alarma | |
| ES2847399T3 (es) | Interruptor de seguridad | |
| CN113541672A (zh) | 风险降级装置和风险降级方法 | |
| JP2013001364A (ja) | 踏切警報機機能確認装置 | |
| US10109440B2 (en) | Safety switch | |
| RU2792415C1 (ru) | Безопасная тестовая система | |
| WO2018050389A1 (en) | Method of operation of a monitoring device | |
| JP2023100952A (ja) | 情報端末、インターホン玄関子機およびインターホンシステム | |
| KR20180137567A (ko) | 전력 전자 제품들 및 바이패스 회로에 대한 고장 점검 시스템을 갖는 고장 전류 제한기 | |
| JP2009298499A (ja) | エレベーターの通信用中継器 | |
| CA3020094C (en) | Multichannel ground fault tester | |
| ES2883568T3 (es) | Módulo de entrada para controlador lógico programable | |
| ES2739153T3 (es) | Procedimiento para monitorizar un componente de red así como disposición con un componente de red y un dispositivo de monitorización | |
| JP2020010334A (ja) | 回路装置 | |
| JP7285475B2 (ja) | 情報端末、インターホン玄関子機およびインターホンシステム | |
| US20170261367A1 (en) | Two-channel communication systems | |
| JP2015231211A (ja) | 操作システム、及び非常停止スイッチ |