[0001] Die vorliegende Erfindung betrifft ein Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses, ein entsprechendes Verfahren sowie eine Überwa- chungseinrichtung zur Sicherung der Ausführung einer aus Anwenderprogrammen realisierten Sicherheitsfunktion auf einer Plattform und eine fehlersichere Peripheriebau- gruppe zur Kopplung einer Plattform, welche zur Realisierung einer Sicherheitsfunktion Anwenderprogramme ausführt, an einen sicherheitskritischen Prozess.

[0002] Automatisierungssysteme zur Überwachung eines sicherheitskritischen Prozesses

werden dazu verwendet, ein Risiko, welches von technischen Anlagen für Menschen und Umwelt ausgeht, zu reduzieren. Hierzu werden Sicherheitsfunktionen implementiert, die bei Gefahr die technische Anlage oder den sicherheitskritischen Prozess in einem siche- ren Zustand überführen. Unter dem Begriff der Sicherheitsfunktion versteht man nach DIN EN ISO 13849-1 und DIN EN ISO 12100 eine sicherheitsgerichtete Steuerungsfunktion einer Maschine, die ein von der Maschine ausgehendes Risiko auf ein akzeptables Maß reduziert. Eine Sicherheitsfunktion ist beispielsweise die Abschaltung einer Maschine nach Drücken eines Not-Austasters.

[0003] Ursprünglich wurden Sicherheitsfunktionen zunächst durch einzelne sichere Baugruppen beispielsweise in Form von Sicherheitsschaltgeräten mit Relaistechnik realisiert, die unabhängig von einer Steuerung der zu überwachenden Anlage agierten. In der Weiter- entwicklung wurden Sicherheitsschaltgeräte anschließend logisch miteinander verknüpft, um auch komplexere Sicherheitsfunktionen zu realisieren.

[0004] Für noch komplexere Aufgabe werden heutzutage Sicherheitssteuerungen eingesetzt.

Sicherheitssteuerungen entstanden vor allem aus dem Wunsch heraus, Sicherheit ähnlich wie bei einer speicherprogrammierbaren Steuerung (SPS-Steuerung) per Programmie- rung verschalten zu können. In ihrer eigentlichen Funktion unterscheiden sich Sicher- heitssteuerungen daher nur unwesentlich von SPS-Steuerungen. Im Kern entspricht eine Sicherheitssteuerung zwei einzelne SPS-Steuerungen, die ein Anwenderprogramm parallel abarbeiten, dasselbe Prozessbild der Ein-/Ausgänge nutzen und sich ständig abgleichen. [0005] Intern unterscheidet sich der Aufbau einer Sicherheitssteuerung jedoch erheblich von einer SPS-Steuerung, um die sicherheitstechnischen Besonderheiten zu implementieren. Eine Sicherheitsteuerung unterscheidet sich von einer SPS-Steuerung daher regelmäßig durch zwei getrennte Kanäle, einen diversitären Aufbau mit unterschiedlicher Hardware, ständigen Tests der Ein- und Ausgänge, ständigen Vergleich der Anwenderdaten, einer Spannungs- und Zeitüberwachung sowie einer sicheren Abschaltung im Fehler-/ Gefahrenfall. Zudem müssen die an den Sicherheitsfunktionen beteiligten Komponenten - insbesondere die CPUs (Central Processing Unit) - fehlersicher sein. Zur Realisierung normgerechter Sicherheit, insbesondere um ein Safety Integrity Level (SIL 3) nach IEC 61508 zu erreichen, wurden daher ursprünglich CPUs redundante verwendet, d.h. min- destens zwei CPUs, die sich gegenseitig überwachen.

[0006] Aus EP 1 043 641 A2 ist ein fehlersicheres Automatisierungssystem bekannt, welches auf einer Standard-CPU aufbaut. Die Fehlerbeherrschungsmaßnahmen sind dabei weitestge- hend in das Anwenderprogramm integriert und umfassen: Sicherheitsprotokolle, zeitliche Programmlaufkontrolle, logische Programmlauf- und Datenflusskontrolle, Datensicherung durch Informationsredundanz, diversitäre Verarbeitung sowie Selbsttests innerhalb der Prozessfehlertoleranzzeit. Befehle, die nicht diversitär realisiert werden können, werden innerhalb der Prozessfehlertoleranzzeit getestet. Außerdem werden zur Erkennung von Mehrfachfehlern innerhalb der Mehrfehlereintrittszeit Hintergrundtests durch das Betriebs- system der CPU durchgeführt.

[0007] Nachteilig bei dem Sicherheitskonzept gemäß EP 1 043 641 A2 ist, dass die genannten

Fehlerbeherrschungsmaßnahmen prozessorabhängig sind und daher für SIL 3 nach IEC 61508 ein Nachweis über die Fehlersicherheit des Prozessors erbracht werden muss. Für komplexe Prozessoren ist ein Diagnosedeckungsgrad (DC: Diagnostic Coverage) von mindestens 99% auf Basis einer Failure-Mode-Effect-Analysis (FMEA) des Prozessors jedoch nicht mehr praktikabel durchführbar. Bei dem in EP 1 043 641 A2 verwendeten Prozessor handelt es sich hingegen um einen speziellen ASIC von geringer Komplexität, der den bereitgestellten Code direkt abarbeitet. Der Nachweis der Fehlersicherheit kann hier noch mit vertretbarem Aufwand geführt werden. Bei der Verwendung von anderen Standard-CPUs kann der entsprechende Code jedoch nicht direkt ausgeführt werden, so dass der Compiler zur Umsetzung des entsprechenden Codes auf dem Maschinencode ebenfalls analysiert werden muss. Ferner sind zur Erkennung von Mehrfachfehlern

hardwarenahe Hintergrundtests erforderlich, die bei Standard-CPUs nicht oder nicht mit ausreichender Wirksamkeit implementiert sind und folglich bei der Verwendung einer Standard-CPU extra implementiert werden müssen.

[0008] Einen prozessor-unabhängigen Ansatz verfolgt das sogenannte Software Coded

Processing (SCP). Ein um SCP erweitertes System ist in der Lage, während der Laufzeit transiente, permanente und systematische Ausführungsfehler zu offenbaren. Zusätzlich kann eine Interferenz zwischen verschiedenen Programmen (funktionale Programme, Middleware, Betriebssystem) erkannt und angezeigt werden. Die bekannteste Variante von SCP ist die sogenannte AN-Codierung, d.h. eine arithmetische Codierung, bei der jeder Wert eines Programms mit einer Konstanten A, insbesondere einer Primzahl, multipliziert wird. Alle Werte und Zustände in dem System, die nicht ein Vielfaches von A sind, werden anschließend als invalide Zustände betrachtet.

[0009] Form, P.: "Vital coded microprocessor principles and application for various transit

Systems" in Perrin, J. P.: Control, Computers, Communications in Transportation. Selec- ted Papers from the IFAC/IFIP/IFORS Symposium, Pergamon, Oxford, UK, 1990, p. 79- 84 beschreibt einen ersten Ansatz für ein fehlersicheres System basierend auf Coded Processing. Das beschriebene System umfasst eine fehlersichere Eingangsbaugruppe, die die Eingangssignale codiert sowie eine Standard-CPU (coded monoprocessor), die aus den codierten Eingangssignalen durch codierte Operationen codiert Zustands- und Ausgangssignale berechnet und eine Signatur über diese erstellt. Ein fehlersicherer Dynamic Controller überprüft die von der der Standard-CPU berechneten Signaturen und schaltet im Fehlerfall eine sichere Ausgangsbaugruppe ab. Das Verfahren kombiniert somit arithmetische Codierung (Multiplikation mit Primzahl A) und ein Signaturverfahren (statische Signatur, dynamische Signatur) und ermöglicht insgesamt eine rechnerische Bestimmung eines Diagnosedeckungsgrades ohne eine aufwendige FMEA der CPU durchführen zu müssen.

[0010] Süßkraut, Martin und Kaienburg, Jörg: "Safety critical smart Systems with software-coded

Processing" offenbart weiterführend eine praktische Implementierung eines fehlersicheren Systems basierend auf SCP. Die Implementierung basiert auf zwei verschiedenen (diver- sitären) Ausführungen (nativ und codiert) der gleichen Sicherheitsfunktion und unterstützt aufgrund seiner speziellen Konstruktion Industriestandards wie die IEC 61508. Die native Ausführung entspricht der Ausführung des ursprünglichen Quellcodes der Sicherheits- funktion (natives Programm) und verarbeitet die nativen Eingabewerte und Zustände. Hierbei werden somit nur die nativen Zustände verarbeitet und das Ergebnis der nativen Ausführung sind die nativen Ausgaben. Bei der codierten Ausführung wird eine codierte Form der ursprünglichen Sicherheitsfunktion ausgeführt (codiertes Programm). Dieses setzt voraus, dass der ursprüngliche Quellcode der Sicherheitsfunktion vorab transfor- miert und codiert wurde. Das codierte Programm arbeitet dann mit codierten Eingangs- werten, codierten Zuständen und erzeugt eine codierte Ausgabe. Das native und das codierte Programm arbeiten beide mit den gleichen Ausgangswerten, wobei die codierten Eingabewerte die codierte Variante der nativen Eingabewerte ist. Gleiches gilt für die Zustands- und Ausgangswerte. Das native und das codierte Programm werden von einem sogenannten Diversity-Framework ausgeführt und verwaltet. Das Diversity-Framework wird aus dem Quellcode der ursprünglichen Sicherheitsfunktion generiert, indem der Quellcode mit entsprechenden Annotationen angereichert wird. Das Diversity-Framework koordiniert die parallele Ausführung der beiden Programme (nativ und codiert) und überprüft die fehlerfreie Ausführung anhand von Prüfsummen, die es über die nativen und codierten Ausgangswerte bildet. Ferner kann das Diversity-Framework den Kontrollfluss der Sicherheitsfunktion überwachen, indem das Diversity-Framework den Datenfluss der Kontrollflussprüfung so integriert, dass jede Kontrollflussfehler die Ausgangsprüfsumme verändert.

[0011] Nachteilig bei den vorgenannten auf SCP-basierenden Verfahren ist jedoch, dass die codierten Operationen sehr viel Laufzeit kosten und die Codegenerierung aufwendig und komplex ist, insbesondere wenn zusätzlich noch Signaturverfahren eingesetzt werden. So benötigt beispielsweise das codierte Programm bei SPC mehr Bits für die Speicherung und Verarbeitung von Werten als die native Variante. Wenn beispielsweise das native Programm 32-Bit Datentypen verwendet, muss das codierte Programm mindestens Datentypen verwenden, die das A-fache eines größtmöglichen Werts eines 32-Bit Daten- typen speichern können. Implementiert wird daher das codierte Programm in der Regel mit 64-Bit Datentypen, wenn das native Programm 32-Bit Datentypen verwendet. Ebenso sind alle nativen Operationen durch entsprechende codierte Operationen zu ersetzen, deren Ausführung mehr Laufzeit als die nativen Operationen kostet und eine entspre- chend komplexe Tool-Chain zu dessen Erstellung erfordert.

[0012] Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung ein sicheres

Automatisierungssystem anzugeben, das die vorstehenden Nachteile vermeidet, auf Standardkomponenten aufbaut und gleichzeitig die Implementierung einer normgerechte Sicherheitsfunktion einer hohen Sicherheitskategorie ermöglicht.

[0013] Gemäß einem Aspekt der vorliegenden Erfindung wird diese Aufgabe durch ein

Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses gelöst, umfassend eine Plattform zum Ausführen von Anwenderprogrammen, die eine Sicher- heitsfunktion realisieren, eine fehlersichere Peripheriebaugruppe, über welche der sicher- heitskritische Prozess mit den Anwenderprogrammen koppelbar ist, sowie eine Überwa- chungseinrichtung, die dazu eingerichtet ist, die Ausführung der Sicherheitsfunktion auf der Plattform zu sichern, wobei die Überwachungseinrichtung über eine erste Kommuni- kationsschnittstelle mit der Plattform koppelbar ist und die fehlersichere Peripheriebau- gruppe über eine zweite Kommunikationsschnittstelle mit der Plattform koppelbar ist, und wobei die Überwachungseinrichtung dazu eingerichtet ist, mindestens einen fehlersiche- ren Dienst unabhängig von der Plattform auszuführen, über den die Überwachungsein- richtung mit der fehlersichere Peripheriebaugruppe zusammenwirkt, und wobei die fehlersichere Peripheriebaugruppe dazu eingerichtet ist, in Abhängigkeit von der realisier- ten Sicherheitsfunktion und dem fehlersicheren Dienst einen sicheren Zustand zu signali- sieren.

[0014] Ebenso wird diese Aufgabe durch ein entsprechendes Verfahren gelöst.

[0015] Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird diese Aufgabe zudem durch eine Überwachungseinrichtung zur Sicherung der Ausführung einer aus Anwender- programmen realisierten Sicherheitsfunktion auf einer Plattform gelöst, wobei die Über- wachungseinrichtung über eine erste Kommunikationsschnittstelle mit der Plattform koppelbar ist, und wobei die Überwachungseinrichtung eingerichtet ist, mindestens einen fehlersicheren Dienst unabhängig von der Plattform auszuführen, über den die Überwa- chungseinrichtung mit der fehlersichere Peripheriebaugruppe zusammenwirkt, so dass die fehlersichere Peripheriebaugruppe in Abhängigkeit von der realisierten Sicherheitsfunkti- on und dem fehlersicheren Dienst einen sicheren Zustand signalisiert.

[0016] Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird diese Aufgabe ferner durch eine fehlersichere Peripheriebaugruppe zur Kopplung eines sicherheitskritischen Prozesses an eine Plattform, welche zur Realisierung einer Sicherheitsfunktion Anwen- derprogramme ausführt, gelöst, wobei die fehlersichere Peripheriebaugruppe dazu eingerichtet ist, mit einem fehlersicheren Dienst, der auf einer mit der Plattform koppelba- ren Überwachungseinrichtung unabhängig von der Plattform implementiert ist, zusam- menzuwirken, wobei die fehlersichere Peripheriebaugruppe dazu eingerichtet ist, in Abhängigkeit von der realisierten Sicherheitsfunktion und dem fehlersicheren Dienst einen sicheren Zustand zu signalisieren.

[0017] Es ist somit eine Idee der vorliegenden Erfindung die Implementierung einer vorwiegend in Software realisierten Sicherheitsfunktion auf einer beliebigen, insbesondere nichtsiche- ren, Plattform durch Plattform-externe Komponenten abzusichern, wobei das Ziel darin besteht, die für die Sicherheit maßgeblichen externen Komponenten so einfach wie möglich zu gestalten. Mit anderen Worten ist es eine Idee, die komplexe Ausgestaltung eine Sicherheitsfunktion überwiegend in Software auf einer günstigen Plattform zu reali- sieren, und die benötigte Eigenfehlersicherheit in einfach zu implementierende, und damit auch mit geringerem Aufwand zertifizierbare Komponenten auszulagern.

[0018] Die bevorzugt als dedizierte Hardware implementierten externen Komponenten wirken dabei so zusammen, dass bei fehlerhafter Ausführung der Anwenderprogramme auf der Plattform, bei fehlerhaften Verhalten der Plattform selbst oder bei Fehlern in der Kommu- nikation mit dieser ein sicherer Zustand des Prozess eingenommen wird. Hierzu sichert eine Überwachungseinrichtung die Ausführung der Anwenderprogramme, vorzugsweise indem die Überwachungseinrichtung mit einer sicheren Laufzeitumgebung auf der Platt- form Zusammenarbeiten. Im Fehlerfall kann die Überwachungseinrichtung über einen separaten und von der Plattform unabhängig ausgeführten Dienst nach dem Prinzip eines „WatchDog“ die Ausführung der Sicherheitsfunktion unabhängig von der Plattform über die fehlersichere Peripheriebaugruppe veranlassen, insbesondere den Prozess stillset- zen.

[0019] Die Plattform kann eine Software-, Hardware- oder virtuelle Plattform sein, die als Basis für die Entwicklung und Ausführung darauf aufsetzender Anwenderprogramme dient. Insbesondere kann die Plattform eine nichtsichere Plattform sein, beispielsweise ein einkanaliges System wie ein handelsüblicher PC. Alternativ kann die Plattform auch in Form von Cloud-Computing bereitgestellt werden, insbesondere als Infrastructure as a Service (laaS) oder Plattform as a Service (PaaS). Die Plattform kann in einer bevorzug- ten Ausgestaltung bereits eine sichere Laufzeitumgebung umfassen. Nichtsicher bedeutet in diesem Zusammenhang, dass die nichtsichere Plattform für sich nicht den einschlägi- gen sicherheitstechnischen Anforderungen genügt, um alleinstehend eine Sicherheits- funktion mit dem geforderten Maß an Eigenfehlersicherheit auszuführen.

[0020] Der fehlersichere Dienst kann einfache datentechnische Funktionen oder Operationen implementieren, die zuverlässig und fehlersicher in Hard- oder Software realisierbar sind. Ferner lassen sich diese mit geringem Aufwand gemäß den einschlägigen Sicherheits- normen zertifizieren und dies auch für hohe Sicherheitskategorien. Die Überwachungsein- richtung ist in ihrem Umfang daher auf das Notwendigste zur exklusiven Ausführung des mindestens einen fehlersichern Dienstes beschränkt.

[0021] Über eine, insbesondere ebenfalls nichtsichere, d.h. einkanalige Kommunikationsschnitt- steile ist die Überwachungseinrichtung mit der fehlersicheren Peripheriebaugruppe verbunden, um zyklischen von dem fehlersichern Dienst erzeugte Daten nach einem definierten Schema mit dieser auszutauschen. Anhand des Datenaustausches, der über die Plattform erfolgt, kann ein ordnungsgemäßer Betrieb der Überwachungseinrichtung und damit verbunden eine Überwachung der Plattform oder einer darauf aufsetzenden sicheren Laufzeitumgebung gewährleistet werden, wobei auch ein Fehlverhalten der Überwachungseinrichtung zum Auslösen der Sicherheitsfunktion führt. Neben dem fehlersicheren Dienst kann die Überwachungseinrichtung weitere Einrichtungen aufwei- sen, welche mit der Plattform und insbesondere mit einer auf der Plattform unabhängig von den Anwenderprogrammen agierenden sicheren Laufzeitumgebung zusammenwir- ken. [0022] Der Vorteil der vorliegenden Erfindung liegt somit darin, dass eine beliebig komplexe Sicherheitsfunktion auf Standardhardware oder Standardbaugruppen realisiert werden kann, wobei die abschließende Sicherheit durch eine einfache, separate Komponente ergänzt wird. Die Erfindung beruht daher auf dem Prinzip, die einzelnen Komponenten des an der Sicherheitsfunktion beteiligten Automatisierungssystems nur so sicher wie nötig zu machen, wobei eine hohe Sicherheitsstufe durch das Zusammenwirken der einzelnen Teile erreicht wird. Auf diese Weise können bspw. rechenintensive Aufgaben auf schneller und kostengünstiger Hardware realisiert werden und die notwendigen Sicherheitsmerkmal werden durch eine dedizierte Hardware ergänzt. Dabei ist die dedi- zierte Hardware für sich genommen nicht in der Lage, die komplexe Sicherheitsfunktion alleine auszuführen, sondern gerade ausreichend rechenstark, um über die Ausführung von einfachen Diensten die Ausführung der Sicherheitsfunktion abzusichern.

[0023] Die Überwachungseinrichtung kann dementsprechend weniger komplex als die

Sicherheitsfunktion-ausführende Plattform ausgebildet sein, wodurch sich insbesondere eine sicherheitstechnische Abnahme durch die zuständigen Behörden vereinfachen lässt. Besonders vorteilhaft ist die sicherheitstechnische Absicherung unabhängig von der zu implementierenden Sicherheitsfunktion. Dadurch kann eine sicherheitstechnische Ab- nahme im Wesentlichen unabhängig von der im Einzelfall realisierten Sicherheitsfunktion erfolgen.

[0024] Das Auslösen der Sicherheitsfunktion selbst kann von der Überwachungseinrichtung initiiert werden, während die Ausführung einer fehlersicheren Peripheriebaugruppe überlassen wird, die bei einem auf Standardkomponenten aufbauenden Automatisie- rungssystem ohnehin vorhanden ist. Ein Focus der Erfindung liegt somit darauf, einzelne Aspekte einer sicheren Steuerung auf verschiedene Komponenten zu verteilen, wobei jede Komponente einen eigenen Schwerpunkt setzt und für diesen optimiert ist. Auf diese Weise lässt sich eine komplexe Sicherheitsfunktion in einer hohen Sicherheitskategorie kostengünstig und flexibel realisieren.

[0025] In einer bevorzugten Ausgestaltung ist die Überwachungseinrichtung dazu eingerichtet, einen Zufallswert von der Plattform zu empfangen, insbesondere einen Zufallswert, der von der fehlersicheren Peripheriebaugruppe generiert wurde. Über den Zufallswerte kann auf einfache Weise festgestellte werden, ob eine Gegenstelle ordnungsgemäß arbeitet.

Ein Zufallsgenerator kann zudem einfach realisiert und sicherheitstechnisch überprüft werden. Die Ausgestaltung trägt somit vorteilhaft zu einer vereinfachten Ausgestaltung des fehlersichern Dienstes bei.

[0026] In einer weiteren Ausgestaltung umfasst der fehlersichere Dienst eine Zähler-Einheit, die eingerichtet ist, einen fortlaufenden Zählerwert zu generieren, und eine Kodier-Einheit, die eingerichtet ist, einen Schlüsselwert zu generieren. Eine fehlersichere Zähler-Einheit und eine fehlersichere Kodier-Einheit können zusammen einen fehlersicheren Dienst anbie- ten, über den eine ausreichende Sicherung der ausführenden Plattform erfolgen kann. Gleichzeitig sind eine fehlersichere Zähler-Einheit und eine fehlersichere Kodier-Einheit einfach als fehlersichere Komponenten zu realisieren und regelmäßig als fertige, fehlersi- chere Module verfügbar. Die Überwachungseinrichtung kann so besonders kostengünstig realisiert werden. Vorzugsweise sind die Zähler-Einheit und die Kodier-Einheit fehlersicher implementiert, d.h. es ist konstruktionsbedingt sichergestellt, dass ein Fehler in einer dieser Einheiten erkannt wird. Beispielsweise können der Zähler und der Kodierer mehr- kanalig redundant ausgebildet sein und auf einer ebenso mehrkanalig redundanten Hardware implementiert werden. Da sowohl Zähler als auch Kodierer einfache Einheiten sind, kann deren Eigenfehlersicherheit zuverlässig gewährleistet und mit geringem

Aufwand nachgewiesen werden. Damit trägt diese Ausgestaltung dazu bei, die Sicherheit des Automatisierungssystems besonders kostengünstig zu realisieren.

[0027] In einer weiteren Ausgestaltung kann die Kodier-Einheit den Schlüsselwert aus einem

Zufallswert und dem fortlaufenden Zählerwert generieren. Der Zufallswert wird von oder über die Plattform bereitgestellt, d.h. von außen der Überwachungseinrichtung zugeführt. Die Überwachungseinrichtung prüft, ob sich die vorzugsweise zyklisch empfangenen Zufallswerte über die Zeit ändern. Gleichzeitig kann durch die Kodierung mit dem fortlau- fenden Zählerwert auf einfache Weise sichergestellt werden, dass alle Zahlen durchlaufen werden. Die Überwachungseinrichtung muss so nicht separat prüfen, ob der Zufallszah- lengenerator, welcher den Zufallswert bereitstellt, auch wirklich alle Werte durchläuft, was aufgrund der bestimmungsgemäßen, schwachen Performance der Überwachungseinrich- tung nur schwere möglich wäre. Die Ausgestaltung trägt somit weiter zu einer kosten- günstigen Realisierung der Überwachungseinrichtung bei. [0028] In einer weiteren Ausgestaltung ist die erste Kommunikationsschnittstelle ferner dazu eingerichtet, den fortlaufenden Zählerwert und den Schlüsselwert an die Plattform weiter- zuleiten, und die fehlersichere Peripheriebaugruppe ist dazu eingerichtet, in Abhängigkeit von der realisierten Sicherheitsfunktion, dem Schlüsselwert und dem fortlaufenden Zählerwert den sicheren Zustand zu signalisieren. In dieser Ausgestaltung lässt sich ein Datenaustausch, anhand dessen eine Absicherung der auf der Plattform ausgeführten Sicherheitsfunktion gewährleistet werden kann, einfach realisieren.

[0029] In einer weiteren Ausgestaltung ist die Überwachungseinrichtung eine vom Anwender von der Plattform lösbare, eigenständige Hardwarekomponente, insbesondere ein Hardware- Dongle. Die Überwachungseinrichtung ist in dieser Ausgestaltung somit auch hard- wareseitig unabhängig von der Plattform realisiert und bspw. als einfacher USB-Dongle mit dieser verbindbar. Die eigenständige Hardware und die Kapselung der auf der Platt- form ausgeführten Sicherheitsfunktion von dieser Hardware ermöglicht eine unabhängige Zertifizierung der Überwachungseinrichtung, die besonders einfach und kostengünstig durchgeführt werden kann. Die Ausgestaltung trägt somit zu einer besonders günstigen Realisierung der Überwachungseinrichtung bei.

[0030] In einer alternativen Ausgestaltung ist die Überwachungseinrichtung in die fehlersichere

Peripheriebaugruppe integriert. Integriert heißt in diesem Zusammenhang, dass die einzelnen Funktionsgruppen der Überwachungseinrichtung auf der Hardware der fehlersi- cheren Peripheriebaugruppe implementiert sind. Insbesondere können hierbei Kompo- nenten kostengünstig gemeinsam von der Überwachungseinrichtung und der fehlersiche- ren Peripheriebaugruppe genutzt werden, bspw. indem die fehlersichere Peripheriebau- gruppe und die Überwachungseinrichtung auf eine gemeinsame sichere Hardware zurückgreifen. Die Ausgestaltung trägt somit zu einer einfachen Realisierung des Automa- tisierungssystems bei, da neben der Plattform nur eine separate Komponente, auf wel- cher die Überwachungseinrichtung und die fehlersichere Peripheriebaugruppe integriert sind, benötigt wird.

[0031] In einer weiteren Ausgestaltung ist die erste und/oder zweite Kommunikationsschnittstelle eine nichtsichere Kommunikationsschnittstelle. Die Kommunikationsschnittstellen stellen in dieser Ausgestaltung für sich genommen keine sicheren Einheiten dar, die eine sicher- heitsgerichtete Kommunikation gewährleisten könnten, sondern sind beispielsweise

handelsübliche USB-Schnittstellen. Die Sicherheit wird in diesem Fall unabhängig von der Kommunikation gewährleistet, insbesondere durch das Zusammenwirken der Überwa- chungseinrichtung mit der fehlersicheren Peripheriebaugruppe. Diese Ausgestaltung hat den Vorteil, dass eine kostengünstige Standardkommunikationsschnittstelle verwendet werden kann, wodurch die Kosten des Gesamtsystems vorteilhaft weiter reduziert werden können.

[0032] In einer weiteren Ausgestaltung ist die Überwachungseinrichtung dazu ausgebildet ist, zu einem definierten Zeitpunkt einen falschen Wert, der nicht dem Schlüsselwert entspricht, als Schlüsselwert zu senden. Durch absichtliches Senden von falschen Werten und Rücklesen der Ausgänge der fehlersicheren Peripheriebaugruppe kann das sichere Zusammenwirken der Überwachungseinrichtung mit der fehlersicheren Peripheriebau- gruppe auf einfache Weise getestet werden.

[0033] In einer hierzu bevorzugten Ausgestaltung ist die Überwachungseinrichtung dazu

eingerichtet, zum Erzeugen des falschen Wertes ein Bit des Schlüsselwerts zu invertie- ren, vorzugsweise rollierend. Die Überwachungseinrichtung prüft somit zyklisch, ob falsche Zahlenwerte als Schlüsselwert zu einem erwarteten Ausfall führen, wobei vor- zugsweise rollierend ein Bit des korrekten Schlüsselwerts invertiert wird. Bei einer 8-Bit- Zahl kann auf diese Weise nach spätestens acht Prüfzyklen ein Stuck-Fehler erkannt werden. Die Ausgestaltung trägt somit vorteilhaft zur Verbesserung der Sicherheit bei.

[0034] In einer weiteren Ausgestaltung umfasst die fehlersichere Peripheriebaugruppe eine

Dekodier-Einheit zum Erzeugen eines Zwischenwertes aus dem fortlaufenden Zählerwert und einem Zufallswert sowie eine Vergleicher-Einheit zum Vergleichen des Zwischenwer- tes mit dem Schlüsselwert. Die fehlersichere Peripheriebaugruppe kann somit komple- mentäre Einrichtungen zur Überwachungseinrichtung aufweisen, um mit dieser zusam- menzuwirken. Insbesondere sind die Dekodier-Einheit und die Vergleicher-Einheit fehler- sicher implementiert. Diese Ausgestaltung trägt dazu bei, dass die Überwachungseinrich- tung entsprechend einfach ausgebildet sein kann, da die fehlersichere Peripheriebau- gruppe an die Überwachungseinrichtung angepasst ist. Durch die Aufteilung wird insge- samt ein kostengünstiges Automatisierungssystem für eine hohe Sicherheitskategorie möglich.

[0035] In einer weiteren Ausgestaltung umfasst die fehlersichere Peripheriebaugruppe einen ersten und einen zweiten Ausgangsschaltkreis, die aktivierbar und de-aktivierbar sind und auf die die Vergleicher-Einheit wechselweise wirkt, so dass der erste oder zweite Aus- gangsschaltkreis wechselweise aktiviert ist, und wobei die fehlersichere Peripheriebau- gruppe einen sicheren Zustand signalisiert, wenn der erste oder zweite Ausgangsschalt- kreis aktiviert ist. Die fehlersichere Peripheriebaugruppe weist zwei Ausgangskreise auf, die wie Schalter aktivierbar und de-aktivierbar sind. Vorzugsweise sind die Ausgangskrei- se so eingerichtet, dass sie sich nach einer definierten Zeitspanne nach der Aktivierung selbst deaktivieren. Die Ausgangsschaltkreise können hierzu bspw. je eine monostabile Kippstufe (auch Monoflop genannt) aufweisen, auf die die Vergleicher-Einheit wechsel- weise einwirkt, so dass mindestens eine monostabile Kippstufe getriggert ist. Die fehlersi- chere Peripheriebaugruppe signalisiert dabei einen sicheren Zustand, wenn mindestens eine der zwei monostabilen Kippstufen getriggert ist. Durch die Verwendung von zwei Ausgangsschaltkreisen, die auf einfache Weise aktivier- und de-aktivierbar sind, bspw. durch monostabile Kippstufen, kann die fehlersichere Peripheriebaugruppe vorteilhaft vereinfacht werden, da insbesondere auf die ansonsten übliche mehrkanalig redundante Auswerteeinheit mit zwei redundant arbeitenden Prozessoren verzichtet werden kann. Da Monoflops oder andere schalterähnliche Komponenten um ein Vielfaches günstiger sind als Prozessoren, trägt die Ausgestaltung zu einer kostengünstigen Implementierung der fehlersicheren Baugruppe bei.

[0036] In einer weiteren Ausgestaltung ist die fehlersichere Peripheriebaugruppe dazu

eingerichtet, wenn ein falscher Wert als Schlüsselwert übermittelt wird, über einen der zwei Ausgangsschaltkreise ein Time-out-Signal zu erzeugen und über den anderen Ausgangsschaltkreis gleichzeitig den sicheren Zustand zu signalisieren. Indem die Ausgangsschaltkreise so angesteuert werden, dass einer hält, während der andere getestet wird, kann die ordnungsgemäße Funktion der Überwachungseinrichtung und der fehlersicheren Peripheriebaugruppe überprüft werden, ohne dass der Prozess tatsächlich in den sicheren Zustand überführt werden muss. Ein solcher Test schränkt die Verfügbar- keit des Automatisierungssystems daher vorteilhaft nicht ein. [0037] In einer weiteren Ausgestaltung weist die fehlersichere Peripheriebaugruppe einen

sicheren Zufallszahlengenerator auf, um einen Zufallswert (S) zu erzeugen, bzw. die fehlersichere Peripheriebaugruppe ist dazu eingerichtet, einen Zufallswert (S) zu empfan- gen. Der Zufallswert, welcher der Überwachungseinrichtung von außen zugefügt wird, kann somit insbesondere von der fehlersichere Peripheriebaugruppe generiert werden, so dass der Zufallszahlengenerator für dessen Implementierung auf die sicheren Einrichtun- gen der fehlersicheren Peripheriebaugruppe zurückgreifen kann. Die Implementierung eines sicheren Zufallszahlengenerators kann so besonders einfach realisiert werden.

[0038] In einer weiteren Ausgestaltung ist die fehlersichere Peripheriebaugruppe eine

eigenständige Hardwarekomponente. Auf diese Weise kann die fehlersichere Peripherie- baugruppe unabhängig von der Plattform implementiert und fehlersicher ausgestaltet sein. Die fehlersichere Peripheriebaugruppe ist so flexibel für verschiedene Plattformen ein- setzbar, wobei die Eigenfehlersicherheit der Peripheriebaugruppe unabhängig gewährleis- tet werden kann. Die Ausgestaltung trägt somit weiter zu einer flexiblen Ausgestaltung des Automatisierungssystems bei.

[0039] In einer weiteren Ausgestaltung ist die Überwachungseinrichtung und/oder die

fehlersichere Peripheriebaugruppe mehrkanalig redundant ausgebildet. Eine mehrkanalig redundante Auslegung ist ein in der Sicherheitstechnik bekanntes Vorgehen, um ein fehlersicheres System zu implementieren. Da erfindungsgemäß die Überwachungsein- richtung und die fehlersichere Peripheriebaugruppe möglichst einfach ausgebildet sind, lässt sich eine mehrkanalig redundante Ausgestaltung zudem besonders kostengünstig realisieren.

[0040] In einer weiteren Ausgestaltung weist die fehlersichere Peripheriebaugruppe einen

fehlersicheren Taktgeber auf. Für die Implementierung verschiedener Sicherheitsfunktio- nen wird regelmäßig ein sicherer Takt benötigt, um die Fehlersicherheit verschiedener Komponenten zu gewährleisten. Indem der sichere Takt von der fehlersicheren Periphe- riebaugruppe bereitgestellt wird, muss hierfür keine zusätzliche sichere Komponente eingerichtet werden. Die Ausgestaltung trägt somit ebenfalls zu einer flexiblen Gestaltung des Automatisierungssystems bei. [0041] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu

erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

[0042] Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:

Fig. 1 eine schematische Darstellung eines Automatisierungssystems gemäß einer ersten Ausführungsform der vorliegenden Erfindung,

Fig. 2 eine schematische Darstellung eines Sicherheitsmodells eines Automatisie- rungssystems nach einer weiteren Ausführungsform der vorliegenden Erfin- dung,

Fig. 3 eine schematische Darstellung eines Architekturmodells eines Automatisie- rungssystems,

Fig. 4 ein Zustandsdiagramm einer Fehlerroutine eines Automatisierungssystems gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung,

Fig. 5 eine schematische Darstellung eines Automatisierungssystems gemäß einer zweiten Ausführungsform der vorliegenden Erfindung,

Fig. 6 zwei Ausführungsvarianten gemäß der zweiten Ausführungsform der vorlie- genden Erfindung, und

Fig. 7 ein Schaltungsdiagramm eines bevorzugten Ausführungsbeispiels des erfin- dungsgemäßen Automatisierungssystems gemäß der zweiten Ausführungs- form. [0043] In der Fig. 1 ist eine erste Ausführungsform des neue Automatisierungssystems in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet. Das Automatisierungssystem 10 umfasst hier Hard- und Softwarekomponenten, die zusammen ein sicheres Automatisierungssys- tem bilden. Sicher bedeutet in diesem Zusammenhang, dass ein Safety Integrity Level 3 nach IEC 61508 von dem erfindungsgemäßen Automatisierungssystem für eine imple- mentierte Sicherheitsfunktion erreicht werden kann.

[0044] Das Automatisierungssystem umfasst eine Plattform 12, die als Datenverarbeitungsein- richtung und Recheneinheit dient. Bei der Plattform 12 kann es sich um dedizierte Hard- ware 14, reale oder virtuelle Rechensysteme 16 oder aber über sich in einer Cloud befindliche Infrastruktur 18 handeln. Ebenso kann die Plattform 12 sich aus einer Kombi- nation der vorgenannten Einrichtungen zusammensetzen.

[0045] Die Plattform 12 kann eine nichtsichere Plattform sein oder sich zumindest teilweise aus nichtsicheren Komponenten zusammensetzen. Nichtsicher bedeutet hier, dass die Komponenten der Plattform 12 im Sinne der einschlägigen Sicherheitsnorm nicht die ausreichende Eigenfehlersicherheit aufweisen bzw. nachweisen können, um alleinste- hend ein sicheres System realisieren zu können. Die Plattform 12 kann sich somit bei- spielsweise aus handelsüblicher PC-Hardware zusammensetzen und insbesondere Standardprozessoren umfassen. Ebenso kann in einem anderen Ausführungsbeispiel die Plattform bzw. Komponenten der Plattform auch in Form von Cloud-Computing bereitge- stellt werden.

[0046] Die Plattform 12 kann sich aus Hard- und Software-Komponenten zusammensetzen.

Beispielsweise kann die Plattform 12 ein nichtsicheres Gerät, wie beispielsweise ein PC oder ein RaspberryPi sein, auf dem ein nicht sicheres Echtzeitbetriebssystem (RTOS), bspw. ein Linux-Derivat, läuft.

[0047] Das Automatisierungssystem 10 umfasst ferner wenigstens eine fehlersichere

Peripheriebaugruppe 20 zur fehlersicheren Eingabe vom Prozess und fehlersicheren Ausgabe an dem Prozess. Die fehlersichere Peripheriebaugruppe 20 ermöglicht die Verbindung des Automatisierungssystems mit dem Prozess. Die Fehlersicherheit der Peripheriebaugruppe 20 sowie eine sicherheitsgerichtete Kommunikation zwischen der Peripheriebaugruppe 20 und dem Automatisierungssystem 10 wird dabei durch aus der Sicherheitstechnik bekannte Prinzipien erreicht und ist nicht Gegenstand dieser Offenba- rung.

[0048] Die Plattform 12 und die fehlersichere Peripheriebaugruppe 20 bilden zusammen den

Unterbau und die Schnittstellen des sicheren Automatisierungssystems 10, während eine auf der Plattform aufsitzende sichere Laufzeitumgebung 22 sowie Anwenderprogramme 24, 26 die eigentliche Sicherheitsfunktion 28 realisieren.

[0049] Die sichere Laufzeitumgebung 22 ist eine Softwareschicht, die zwischen der Plattform 12 und den Anwenderprogrammen 24, 26 angeordnet ist und den Anwenderprogrammen 24, 26 von der Plattform 12 unabhängige sichere Ressourcen 30 bereitstellt. Die sichere Laufzeitumgebung 22 lädt die Anwenderprogramme 24, 26, führt diese auf der Plattform aus und koordiniert deren gegenseitigen Verknüpfungen. Die sichere Laufzeitumgebung 22 stellt somit selbst eine kleine Plattform dar, mit deren Hilfe die Anwenderprogramme 24, 26 ausgeführt werden.

[0050] Vorzugsweise sind die Anwenderprogramme 24, 26 für die Plattform 12 spezifisch

ausgebildet, d.h. in einer Programmiersprache geschrieben, die in nativen Maschinen- code der Plattform 12 zur Ausführung umgesetzt werden kann. Die sichere Laufzeitumge- bung 22 ist somit kein "Betriebssystem" für die Ausführung der Anwenderprogramme 24, 26, sondern kapselt lediglich sichere Ressourcen 30 für die Anwenderprogramme 24, 26, so dass diese von den Anwenderprogrammen 24, 26 eingebunden werden können, ohne dass die Anwenderprogramme 24, 26 eine sichere Ausführung der sicheren Ressourcen 30 gewährleisten müssen. Die sichere Laufzeitumgebung 22 kann wiederum in plattform- spezifische Komponenten und plattform-unabhängige Komponenten unterteilt sein, wobei insbesondere die sicheren Ressourcen 30 durch plattform-unabhängige Komponenten realisiert werden, so dass die sicher Laufzeitumgebung 22 einfach auf verschiedene Plattformen portiert werden kann. [0051] Die Sicherheitsfunktion 28 kann eine beliebige Sicherheitsfunktion, wie beispielsweise Notaus-, Zweihand- oder dezentrale E/A sein. Die Sicherheitsfunktion 28 ist somit eine durch das Automatisierungssystem realisierte sicherheitsgerichtete Steuerfunktion. Die sicherheitsgerichtete Steuerfunktion wird erfindungsgemäß durch zwei Anwenderpro- gramme 24, 26 realisiert, die parallel ausgeführt werden. Zusätzlich zur redundanten Ausführung sind die Anwenderprogramme diversitär zueinander, d.h. ein und dasselbe Ergebnis wird durch die Anwenderprogramme 24, 26 auf unterschiedliche Weise erreicht.

[0052] Eine Berechnung gilt als vollständig diversitär, wenn die gegenseitige Rückwirkungsfrei- heit der Teile eines Prozessors, die für die Berechnung herangezogen werden, bzw. die gegenseitige Rückwirkungsfreiheit der verschiedenartigen Verwendungen derselben Teile eines Prozessors verifiziert sind. Zu einem solchen Nachweis sind üblicherweise Hard- ware-Tests notwendig, die bei einer codierten Verarbeitung im Sinne von SCP entfallen können und auch bei dem erfindungsgemäßen Automatisierungssystem entfallen dürfen, wenn diese Hardwaretests durch zusätzliche Tests und die sicheren Ressourcen 30 der sicheren Laufzeitumgebung kompensiert und von extern überprüfbar gemacht werden können.

[0053] In einem bevorzugten Ausführungsbeispiel wird die Diversität zwischen dem ersten und dem zweiten Anwenderprogramm 24, 26 dadurch erreicht, dass das zweite Anwender- programm 26 mit diversen Daten zum ersten Anwenderprogramm 24 arbeitet und daraus resultierend unterschiedliche Befehle für gleiche Rechenschritte verwendet. Die Verwen- dung von inversen Daten stellt keine vollständige Diversität bereit, jedoch eine ausrei- chende Diversität, um im Zusammenspiel mit der sicheren Laufzeitumgebung 22 und den von der Laufzeitumgebung 22 bereitgestellten Tests 31 , eine ausreichende Fehlersicher- heit zu ermöglichen.

[0054] Eine Programmversion, die mit inversen Daten arbeitet (im Folgenden als inverses

Anwenderprogramm bezeichnet) kann leicht automatisiert nach einem festen Schema aus der nativen Programmversion erzeugt werden. Das inverse Anwenderprogramm kann somit mit vergleichbarem Aufwand ausgeführt werden, wie das native Anwenderpro- gramm. Ebenso kann im Gegensatz zu einem codierten Anwenderprogramm im Sinne von SCP das inverse Anwenderprogramm mit den gleichen Datentypen arbeiten und auf den gleichen Befehlssatz zurückgreifen, da Berechnungen mit inversen Daten auf der gleichen Arithmetik basieren. Ein inverses Anwenderprogramm ist daher weniger komplex als ein codiertes Anwenderprogramm, welches auf arithmetischer Codierung, beispiels- weise AN-Codierung, beruht. Zudem kann auch eine Tool-Chain zur Erstellung der inversen Programmversion aus der nativen Programmversion vereinfacht werden. Durch die vereinfachte Tool-Chain ist eine schnelle Portierung auf andere System oder die Verwendung einer anderen Programmiersprache möglich. Insgesamt wird hierdurch die Flexibilität des gesamten Ansatzes erhöht.

[0055] Die Erfindung basiert daher u.a. auf der Annahme, dass durch eine codierte Verarbeitung gemäß SCP zwar Ausführungsfehler in einem Anwenderprogramm eindeutiger und zuverlässiger offenbart werden können als bei der hier vorgeschlagenen diversitären Verarbeitung, der Aufwand hierfür jedoch nicht gerechtfertigt ist, da stets die Anwendung in ein Sicherheitsmodell integriert werden muss, um eine hohe Sicherheitseinstufung zu erreichen.

[0056] Es ist somit eine Idee, anstelle der Eigenfehlersicherheit einzelner Komponenten, wie bspw. die Eigenfehlersicherheit des Anwenderprogramms durch SCP zu erhöhen, eine Gesamtbetrachtung durchzuführen und die einzelnen Komponenten des Automatisie- rungssystems nur so sicher wie nötig zu machen, so dass insgesamt ein sicheres Auto- matisierungssystem entsteht, welches die Sicherheitsfunktion gemäß der höchstmögli- chen Sicherheitsstufe der einschlägigen Norm ausführen kann. Ein Fokus der vorliegen- den Erfindung liegt daher darauf, die einzelnen Komponenten des Automatisierungssys- tems, d.h. insbesondere die Anwenderprogramme 24, 26, die sichere Laufzeitumgebung 22 und die Plattform 12, so einfach und flexibel wie möglich zu gestalten, so dass auf allen Ebenen des Automatisierungssystems ein ausgewogener Kompromiss zwischen Sicherheit, Komplexität und Portierbarkeit erreicht wird.

[0057] Fig. 2 zeigt in einer schematischen Darstellung ein Sicherheitsmodell eines

Automatisierungssystems gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung. [0058] Die sichere Laufzeitumgebung 22 setzt hier auf einem nichtsicheren Gerät 32 mit einem nichtsicheren Echtzeitbetriebssystem 34 auf. Zusammen bilden das nichtsichere Gerät 32 und das nichtsichere Echtzeitbetriebssystem die Plattform 12. Die sichere Laufzeitumge- bung 22 ist eine Softwareschicht, die einerseits in einem Ressourcenlayer 36 sichere und von der Plattform 12 unabhängige Ressourcen 30 für die Anwenderprogramme 24, 26 bereitstellt und andererseits eine lokale Sicherheitsinstanz 38 bildet, um die Anwender- programme 24, 26 sowie die von diesem implementierte Sicherheitsfunktion zu überwa- chen. Die Anwenderprogramme 24, 26 sind dabei über eine sichere Peripheriebaugruppe 20 mit dem zu überwachenden Prozess verbunden.

[0059] Die sichere Laufzeitumgebung 22 kann wiederum von einem sicheren Gerät überwacht werden. Das sichere Gerät (im Folgenden auch als Safety-Pacemaker (SPM) 40 bezeich- net) kann ein einfacher Hardware-Dongle, bspw. in Form eines handelsüblichen USB- Sticks, sein mit einem oder mehreren einfachen Mikrocontrollern, wie beispielsweise einen PIC und/oder AVR. Es versteht sich, dass ein Hardware-Dongle hier nicht auf eine USB-Schnittstelle beschränkt ist, sondern der SPM 40 auch über Ethernet, RS232 oder eine andere Kommunikationsschnittstelle verbunden werden kann.

[0060] Der SPM 40 realisiert eine zweite, vorzugsweise externe Sicherheitsinstanz 41. Die

zweite Sicherheitsinstanz 41 testet die sichere Laufzeitumgebung 22, insbesondere die erste lokale Sicherheitsinstanz 38, durch gezielte Fehlereinstreuung. Die Fehlereinstreu- ung erfolgt über Dienste und Manipulatoren der sicheren Laufzeitumgebung 22, die von der externe Sicherheitsinstanz 41 aktiviert werden. Auf diese Weise können Datenverglei- cher, ein Systemtakt sowie Timertests der sicheren Laufzeitumgebung 22 überprüft und Fehler bei der Ausführung der Anwenderprogramme 24, 26 offenbart werden, ohne dass entsprechende Tests bei der Entwicklung der Anwenderprogramme 24, 26 berücksichtigt und/oder implementiert werden müssen. Das erste Anwenderprogramm 24 kann somit einkanalig geschrieben werden, ohne dass der Anwendungsprogrammierer die Absiche- rung des Anwenderprogramms berücksichtigen muss. Ein zweites Anwenderprogramm 26, welches diversitär zu dem ersten Anwenderprogramm ist, kann automatisch durch eine Tool-Chain erzeugt werden. Der Anwendungsentwickler kann sich somit ausschließ- lich um die Implementierung der eigentlichen Sicherheitsfunktion kümmern. [0061] In einem bevorzugten Ausführungsbeispiel kann der SPM 40 zusätzlich einen

Sicherheitstakt 42 bereitstellen, insbesondere um an der sicheren Peripheriebaugruppe 20 einen zweiten Abschaltweg zu realisieren.

[0062] Fig. 3 zeigt ein Architekturmodell, in das ein Ausführungsbeispiel des Automatisierungs- systems 10 eingebettet ist.

[0063] Das Architekturmodell umfasst im Wesentlichen drei Komponenten. Dies sind das

Automatisierungssystem 10, eine externe Sicherheitseinheit, wie beispielsweise der zuvor genannte SPM 40 sowie eine Kommunikationsschnittstelle 44 zwischen diesen beiden Komponenten.

[0064] Alle drei Komponenten können eine hardware-neutrale 46 und eine hardware-spezifische

Schicht 48 aufweisen. Bei dem Automatisierungssystem 10 entkoppelt die sichere Lauf- zeitumgebung 22 mit einer hardware-spezifischen Komponente, einer sogenannten System Abstraction Layer (SAL), die hardware-spezifische Schicht 48 von der hardware- neutralen Schicht 46. Die SAL 50 abstrahiert die sichere Laufzeitumgebung 22 von einem Betriebssystem 52 und der zugehörigen Hardware 54. Spezialhardware 56, welche durch Betriebssystemtreiber 58 angesprochen wird, kann durch eigenständige SAL-Treiber 60 abstrahiert werden.

[0065] Auf der hardware-neutralen Schicht 46 implementiert das Automatisierungssystem 10 eine Ressourcenlayer 36. Der Ressourcenlayer 36 stellt die sichern Ressourcen zur Verfügung und ist, wie hier dargestellt, vorzugsweise doppelt und diversitär vorhanden. Der Ressourcenlayer 36 kann Timer bereitstellen sowie die Prozessdaten für jeden Kanal. Zudem kann der Ressourcenlayer 36 sicherheitsgerichtete Funktionalitäten bereitstellen, wie beispielsweise eine sichere CRC-Berechnung.

[0066] Auf dem Ressourcenlayer 36 sitzt, vorzugsweise für jedes Anwenderprogramm 24, 26 separat, ein Anwendungsmanager 62a, 62b auf. Dieser prüft beim Anlaufen der beiden Anwenderprogramme 24, 26 deren Konsistenz und überprüft deren CRC. Der Anwen- dungsmanager 62a, 62b ist ferner vorzugweise zuständig für den zyklischen Aufruf der Anwenderprogramme, deren Ablaufüberwachung und für die Bereitstellung einer API. Die API kann Funktionen für das Setzen der Ausgänge, für das Lesen der Eingänge und für das Starten und Lesen der Applikationstimer enthalten. Der Anwendungsmanager 62a, 62b ist, wie hier dargestellt, ebenfalls vorzugsweise doppelt und diversitär ausgebildet.

[0067] Die sichere Laufzeitumgebung 22 des Automatisierungssystems 10 implementiert ferner eine lokale Sicherheitsinstanz 38. Die lokale Sicherheitsinstanz 38 nimmt die notwendigen Sicherheitsaufgaben wahr. Dies umfasst RAM- und ROM-Tests, die Zyklus- und Ablauf- Überwachung und die Timertests. Ferner übernimmt die lokale Sicherheitsinstanz 38 die Konsistenzprüfung der Prozessdaten der Anwenderprogramme 24, 26. Die lokale Sicher- heitsinstanz 38 läuft hierfür vorzugsweise nur einmal auf dem System und ist extern über den SPM 40 überprüfbar.

[0068] Der SPM 40 ist ein fehlersicheres Gerät mit einer sicheren Hardware, die beispielsweise aus zwei redundanten Prozessoren 64a, 64b gebildet wird, die in an sich bekannter Weise eine sichere Ausführung einer Anwendung ermöglichen. Da der SPM keine Anwender- programme zur Steuerung im Sinne der Anwenderprogramme des Automatisierungssys- tems 10 ausführt, kann die Hardware besonders einfach ausgebildet sein. Insbesondere können spezielle sichere CPUs für die Prozessoren 64a, 64b verwendet werden, bei denen ein Nachweis über die Fehlersicherheit praktikabel erbracht werden kann, bei- spielsweise durch FMEA.

[0069] Auf dem SPM 40 wird eine zweite Sicherheitsinstanz 41 ausgeführt. Diese ist

vorzugsweise hardware-neutral implementiert und durch eine Abstraktionsschicht 66 von der Hardware entkoppelt. Die zweite Sicherheitsinstanz 41 kann mit der ersten Sicher- heitsinstanz 38 des Automatisierungssystems 10 über die Kommunikationsschnittstelle 44 kommunizieren.

[0070] Die Kommunikationsschnittstelle 44 kann eine einkanalige Kommunikationsschnittstelle ohne besondere sicherheitstechnische Vorkehrungen sein. Die Sicherheit der Kommuni- kation kann durch das Zusammenspiel der lokalen Sicherheitsinstanz 38 des Automatisie- rungssystems 10 und der zweiten Sicherheitsinstanz 41 des externen Sicherheitsgeräts gewährleistet werden.

[0071] In einem bevorzugten Ausführungsbeispiel kommunizieren die sichere Laufzeitumgebung

22 und der SPM 40 in einem festen Zyklus mit Time-Out-Überwachung miteinander. Nach Aufforderung durch den SPM 40 werden an bestimmten Codestellen Daten (z.B. Timer- werte, Ablaufkontrolle, etc.) bewusst verfälscht. Hierfür weist die sichere Laufzeitumge- bung 22 Manipulatoren auf, die durch den SPM 40 aktiviert werden können, beispielswei- se indem der SPM 40 eine entsprechende ID der Manipulatoren an die sichere Laufzeit- umgebung 22 sendet. Der SPM 40 erwartet im Anschluss eine passende Fehlermeldung von der sicheren Laufzeitumgebung 22. Mit anderen Worten der SPM 40 hat eine gewisse Erwartungshaltung gegenüber der sicheren Laufzeitumgebung 22, nachdem eine Manipu- lator-ID übermittelt worden ist.

[0072] Die sichere Laufzeitumgebung 22 darf aufgrund der Manipulatoren keinen für den

Anwender erkennbaren Fehler aufweisen oder aufgrund der bewussten Verfälschung die Ausgänge abschalten. Deshalb muss der Fehler von der sicheren Laufzeitumgebung 22 abgefangen werden. Das Konzept ermöglicht es, das Systemverhalten an der realen Stelle im Programm zu testen.

[0073] Fig. 4 zeigt in einem Zustandsdiagramm die möglichen Zustände, die SPM 40 und das

Automatisierungssystem 10 während einer Überprüfung einnehmen können.

[0074] Im Normalzustand A wartet die sichere Laufzeitumgebung 22 auf einen Fehler, um

entsprechend auf diesen reagieren zu können. Erhält die sichere Laufzeitumgebung 22 in diesem Zustand eine Manipulator-ID, vorzugsweise einschließlich einer definierten Bitmaske, vom SPM 40 wird der entsprechende Manipulator aktiviert. Die sichere Lauf- zeitumgebung 22 geht dann in den Zustand B über, in dem sie gegen den entsprechen- den Fehler desensibilisiert ist. Anschließend folgt die Manipulation der zu verarbeitenden Daten, um einen Fehler zu simulieren. Vorzugsweise werden hierzu die Daten mit der empfangenen Bitmaske exklusiv verodert, so dass die fehlerhafte Bitstelle vom SPM 40 rolliert werden kann. [0075] Die sichere Laufzeitumgebung 22 muss auf die Manipulation hin die passende

Fehlermeldung erzeugen, auf die der SPM 40 wartet. Tritt die Erwartung nicht ein, kann die sichere Laufzeitumgebung 22 und/oder der SPM 40 ein sicheres Abschalten, bei- spielsweise durch einen zweiten Abschaltweg auslösen. Der zweite Abschaltweg kann in einem bevorzugten Ausführungsbeispiel durch das Zusammenwirken des SPM 40 und der sicheren Peripheriebaugruppe 20 realisiert werden. Es versteht sich jedoch, dass auch andere Abschaltwege denkbar sind.

[0076] Ist der Test erfolgreich abgeschlossen, geht die sichere Laufzeitumgebung 22 wieder in den Normalzustand A über. Sollte während der Desensibilisierung der Fehler real auftre- ten, wird dieser zwar durch die Desensibilisierung abgefangen, allerdings wäre der Test nicht erfolgreich, so dass eine nicht-abgefangene Fehlermeldung an dem SPM 40 über- mittelt wird.

[0077] Mit den externen Tests durch die SPM 40 können alle in der lokalen Sicherheitsinstanz einkanalig ausgeführten Tests separat überprüft werden. Beispielsweise können durch die externen Tests folgende einkanalige Test überprüft werden: Eingangsdatenvergleiche, Ausgangsdatenvergleiche, RAM-Test, ROM-Test, Timertest, Zyklusüberwachung, Ablauf- Überwachung der sicheren Laufzeitumgebung 22 sowie Ablaufüberwachung der Anwen- derprogramme 24, 26.

[0078] Fig. 5 zeigt eine schematische Darstellung eines Automatisierungssystems gemäß einer zweiten Ausführungsform der vorliegenden Erfindung.

[0079] Das Automatisierungssystem gemäß der zweiten Ausführungsform ist hier in seiner

Gesamtheit mit der Bezugsziffer 100 bezeichnet. Teil mit gleicher Bezugsziffer bezeich- nen gleiche Teil wie in der ersten Ausführungsform und werden im Folgenden nicht erneut erläutert.

[0080] Das Automatisierungssystem 100 setzt sich hier aus drei einzelnen Komponenten

zusammen. [0081] Die erste Komponente ist ein Automatisierungssystem 10, welches auf einer nichtsicheren Plattform 12 aufbaut. Insbesondere ist das Automatisierungssystem dazu eingerichtet, eine Sicherheitsfunktion 28 mit Hilfe von zwei Anwenderprogrammen 24, 26 zu realisie- ren. Die erste Komponente kann somit ein Automatisierungssystem umfassen, wie es in Bezug auf die erste Ausführungsform beschrieben worden ist. Es versteht sich jedoch, dass die erste Komponente nicht auf diese Ausgestaltung beschränkt ist, sondern jedes Automatisierungssystem als erste Komponente geeignet ist.

[0082] Die zweite und dritte Komponente bilden die Überwachungseinrichtung 70 und die

fehlersichere Peripheriebaugruppe 20. Bei der Überwachungseinrichtung 70 kann es sich insbesondere um den zuvor beschriebenen SPM handeln, der vorstehend mit der Be- zugsziffer 40 bezeichnet wurde.

[0083] Die Überwachungseinrichtung 70 und die fehlersichere Peripheriebaugruppe sind über eine erste Kommunikationsschnittstelle 72 und eine zweite Kommunikationsschnittstelle 74 mit dem Automatisierungssystem 10 gekoppelt. Neben einer Kommunikation mit dem Automatisierungssystem ermöglichen die erste Kommunikationsschnittstelle 72 und die zweite Kommunikationsschnittstelle 74 ebenso eine Kommunikation zwischen der Über- wachungseinrichtung 70 und der fehlersicheren Peripheriebaugruppe 20. Mit anderen Worten kann die Überwachungseinrichtung 70 über die Plattform 12 mit der fehlersiche- ren Peripheriebaugruppe 20 kommunizieren. Die erste und die zweite Kommunikations- Schnittstelle 72, 74 sind hier insbesondere einkanalige Kommunikationsschnittstellen, wie beispielsweise eine handelsübliche USB-Schnittstelle. Es versteht sich, dass auch andere Kommunikationsschnittstellen, wie bspw. Ethernet, RS232 etc., gleichermaßen in Betracht kommen können.

[0084] Die Überwachungseinrichtung 70 ist vorzugsweise, wie hier dargestellt, eine

eigenständige Hardwarekomponente, die dazu eingerichtet ist, fehlersichere Dienste 76 bereitzustellen. Die fehlersicheren Dienste 76 können in Software oder in Hardware implementiert sein, wobei die Eigenfehlersicherheit durch entsprechende Maßnahmen gewährleistet wird, beispielsweise indem die Dienste mehrkanalig redundant ausgebildet sind oder aber auf einer mehrkanalig redundanten Hardware in an sich bekannter Weise ausgeführt werden, so dass ein fehlersicherer Betrieb der Dienste 76 gewährleistet und getestet werden kann. Es versteht sich, dass die fehlersichere Ausgestaltung nicht auf die hier dargestellte Form beschränkt ist, sondern auch andere dem Fachmann bekannte Maßnahmen zur Erlangung der Eigenfehlersicherheit denkbar sind.

[0085] Die fehlersicheren Dienste 76 sind vorzugsweise einfache Dienste, wie beispielsweise hier eine Zähler-Einheit 78 und eine Kodier-Einheit 80. Die fehlersicheren Dienste 76 können somit auf einer Hardware implementiert werden, die einfach und wenig komplex ist. Die Hardware der Überwachungseinrichtung 70 kann beispielsweise ein oder mehrere einfache Mikrocontroller, ASICs oder ähnliche Recheneinheiten umfassen, oder aber aus diskreten elektrischen Bauteilen zusammengesetzt sein. Insbesondere ist bei der Ver- wendung eines Mikrocontrollers dessen Befehlsumfang möglichst eingeschränkt, so dass eine Zertifizierung hinsichtlich der Eigenfehlersicherheit kostengünstig möglich ist. In einer bevorzugten Ausgestaltung beschränkt sich die Hardwareausstattung der Überwa- chungseinrichtung 70 darauf, die Zähler-Einheit 78 und Kodier-Einheit 80 ausführen zu können.

[0086] Die fehlersicheren Dienste 76 wirken mit der fehlersicheren Peripheriebaugruppe 20

zusammen, so dass unabhängig von der Implementierung der Sicherheitsfunktion 28 ein sicheres Abschalten auch im Fehlerfall der nichtsicheren Plattform 12 gewährleistet werden kann.

[0087] In einem bevorzugten Ausführungsbeispiel weist die Überwachungseinrichtung 70 hierzu selbst keine weiteren sicherheitsbezogenen Einrichtungen auf, d.h. insbesondere keine eigenen sicheren Ausgänge, die einen zusätzlichen Abschaltpfad für den sicherheitskriti- schen Prozess direkt bewirken können. Die Kopplung mit dem sicherheitskritischen Prozess erfolgt vorzugsweise ausschließlich über die fehlersichere Peripheriebaugruppe 20.

[0088] In einem besonders bevorzugten Ausführungsbeispiel weist die Überwachungseinrichtung

70 zusätzlich eine Testeinrichtung 82 in Form einer Sicherheitsinstanz auf, welche mit einer auf der Plattform 12 implementierten sicheren Laufzeitumgebung 22 zusammen- wirkt, um zusätzliche Testeinrichtungen für die Anwenderprogramme 24, 26 bereitzustel- len. Vorzugsweise ist die sichere Laufzeitumgebung 22, wie zuvor im Zusammenhang mit der ersten Ausführungsform beschrieben, Anwenderprogramm-unspezifisch implementiert und für verschiedene Automatisierungssysteme 10 identisch. So kann mit einer einheitli chen Testeinrichtung 82 die Sicherheit verschiedener Sicherheitsfunktionen 28 auf verschiedenen Plattformen 12 unabhängig getestet werden, wobei die Überwachungsein- richtung 70 selbst als ultima ration zusammen mit der fehlersicheren Peripheriebaugruppe den Prozess in einen sicheren Zustand überführen kann. Die Überwachungseinrichtung 70 kann so an verschiedenen Automatisierungssystemen ohne zusätzliche Anpassungen verwendet werden. Ebenso lässt sich die Überwachungseinrichtung 70 ohne größeren Aufwand bei einem Defekt durch eine andere ersetzen.

[0089] Erfindungswesentlich ist gemäß der zweiten Ausführungsform somit die Aufteilung der sicheren Steuerung auf verschiedene, insbesondere Hardware-eigenständige Komponen- ten. Der Schwerpunkt der ersten Komponente ist dabei, möglichst viel Rechenkapazität für die Implementierung der Sicherheitsfunktion 28 bereitzustellen und eine einfache Entwicklung der zugehörigen Anwenderprogramme 24, 26 zu ermöglichen. Der Schwer- punkt der zweiten und dritten Komponente hingegen liegt darauf, die Hardware bei diesen so einfach wie möglich auszugestalten, so dass die Fehlersicherheit der zur Verfügung gestellten Dienste 76 zuverlässig und kostengünstig gewährleistet werden kann.

[0090] Fig. 6 zeigt zwei Ausführungsvarianten eines Automatisierungssystems gemäß der

zweiten Ausführungsform der vorliegenden Erfindung.

[0091] In der ersten Variante (im Bild oben) sind die drei Komponenten des Automatisierungs- systems 100 als eigenständige Hardwarekomponenten ausgebildet. Sowohl die Überwa- chungseinrichtung 70 als auch die fehlersichere Peripheriebaugruppe 20 sind je als eine Hardwarekomponente eingerichtet. Eine erste Kommunikationsschnittstelle 72 verbindet die Überwachungseinrichtung 70 mit dem Automatisierungssystem 10 und eine zweite Kommunikationsschnittstelle 74 verbindet die fehlersichere Peripheriebaugruppe 20 mit dem Automatisierungssystem 10. Eine Kommunikation zwischen der Überwachungsein- richtung 70 und der fehlersicheren Peripheriebaugruppe 20 findet somit vorzugsweise ausschließlich über das Automatisierungssystem 10 statt. [0092] Die Ausgestaltung mit separaten Komponenten hat den Vorteil, dass diese getrennt gefertigt und vertrieben werden können. So kann eine Überwachungseinrichtung 70 beispielsweise für eine Vielzahl von unterschiedlichen Peripheriebaugruppen 20 ver- wendbar sein. Das Automatisierungssystem 100 kann so an die jeweilige Anforderung angepasst werden, wobei nur die Peripheriebaugruppe 20 auszutauschen ist.

[0093] Bei der zweiten Variante (im Bild unten) sind die Überwachungseinrichtung 70 und die fehlersichere Baugruppe 20 als eine gemeinsame Hardwarekomponente realisiert. Eine erste logische Kommunikationsschnittstelle 72 und eine zweite logische Kommunikations- Schnittstelle 74 werden hier durch eine einzelne physikalische Verbindung zum Automati- sierungssystem 10 implementiert. Trotz der gemeinsamen Integration auf einer Hardware erfolgt eine Kommunikation zwischen der Überwachungseinrichtung 70 und der fehlersi- cheren Peripheriebaugruppe 20 über die erste und die zweite Kommunikationsschnittstel- le 72, 74, d.h. auch hier erfolgt die Kommunikation untereinander über das Automatisie- rungssystem 10. Mit anderen Worten sind die Überwachungseinrichtung 70 und die fehlersichere Peripheriebaugruppe 20 trotz der Integration zwei eigenständige logische Einheiten.

[0094] Vorteilhaft kann bei dieser Ausgestaltung für die Überwachungseinrichtung 70 und die fehlersichere Baugruppe 20 auf eine gemeinsame sichere Hardwarebasis zurückgegriffen werden. Beispielsweise können Funktionen der fehlersicheren Peripheriebaugruppe als auch der Überwachungseinrichtung 70 über gemeinsame Prozessoren realisiert werden, die mehrkanalig redundant arbeiten. Ebenso reicht in dieser Ausgestaltung eine physikali sche Kommunikationsschnittstelle aus, um die erste und die zweite Kommunikations- Schnittstelle zu realisieren. Auf diese Weise lässt sich besonders günstig ein sicheres Automatisierungssystem 100 im Sinne der vorliegenden Erfindung realisieren.

[0095] Fig. 7 zeigt ein Schaltungsdiagramm eines bevorzugten Ausführungsbeispiels des

erfindungsgemäßen Automatisierungssystems gemäß der zweiten Ausführungsform.

[0096] Das Automatisierungssystem 100 umfasst hier eine Überwachungseinrichtung 70 ein

Automatisierungssystem 10 sowie eine fehlersichere Peripheriebaugruppe 20 je als eigenständige Hardwarekomponente. Die Kommunikation zwischen den einzelnen

Komponenten erfolgt in diesem Ausführungsbeispiel über eine USB-Schnittstelle. Das heißt, die erste Kommunikationsschnittstelle 72 und die zweite Kommunikationsschnitt- steile 74 sind jeweils USB-Verbindungen.

[0097] Die Überwachungseinrichtung 70 weist ferner zur Realisierung des fehlersichern Dienstes

76 eine Zähler-Einheit 78 und eine Kodier-Einheit 80 auf. Die Zähler-Einheit 78 kann kontinuierlich einen internen Zähler inkrementiert und der Kodier-Einheit 80 einen Zähler- wert C bereitstellen. Ferner kann der Zählerwert C über die Kommunikationsschnittstelle 72, 74 an die fehlersichere Peripheriebaugruppe 20 übertragen werden.

[0098] Die Kodier-Einheit 80 empfängt einen Zufallswert R von dem Automatisierungssystem 10.

Der Zufallswert R wird hier von einem Zufallszahlengenerator 86 innerhalb der fehlersi- cheren Peripheriebaugruppe 20 erzeugt. Aus dem Zufallswert R und dem Zählerwert C generiert die Kodier-Einheit 80 einen Schlüsselwert S und überträgt diesen über das Automatisierungssystem 10 an die fehlersichere Peripheriebaugruppe 20.

[0099] Die Überwachungseinrichtung 70 prüft, ob der Zufallswert, der vorzugsweise zyklisch vom

Automatisierungssystem 10 übertragen wird, sich über die Zeit ändert. Da der Schlüssel- wert S sowohl auf dem Zufallswert R als auch dem fortlaufenden Zähler C beruht, kann sichergestellt werden, dass alle Zahlen mindestens einmal durchlaufen werden. Dies ermöglicht, dass die Überwachungseinrichtung 70 nicht sicherstellen muss, ob ein Zu- fallsgenerator, welcher den Zufallswert erzeugt, auch tatsächlich alle Werte durchläuft. Eine solche Auswertung wäre rechenintensiv und damit in einer bevorzugten Ausgestal- tung der Überwachungseinrichtung 70 mit nur geringer Rechenkapazität schwierig durchführbar.

[00100] Die fehlersichere Peripheriebaugruppe 20 weist zu den in der Überwachungseinrichtung

70 vorgesehenen Einheiten komplementäre Einheiten auf. Diese können als dedizierte Einheiten ausgebildet sein oder aber in Form von Softwaremodulen realisiert sein. [00101] Die fehlersichere Peripheriebaugruppe 20 umfasst hier als komplementäre Einheiten eine Dekodier-Einheit 88 und eine Vergleicher-Einheit 90. Die Dekodier-Einheit 88 empfängt den fortlaufenden Zählerwert C sowie eine Kopie des Zufallswerts R und erzeugt daraus einen Vergleichswert S'. Sind der empfangene Schlüsselwert S und der generierte Vergleichswert S' identisch, signalisiert die fehlersichere Peripheriebaugruppe 20 einen sicheren Zustand. In einer bevorzugten Ausgestaltung ist hierbei die Dekodierung nur der Dekodier-Einheit 88 der fehlersicheren Peripheriebaugruppe 20 bekannt und die Kodie- rung nur der Kodier-Einheit 78 der Überwachungseinrichtung.

[00102] Das Signalisieren des sicheren Zustands erfolgt in dem hier dargestellten bevorzugten

Ausführungsbeispiel mit Hilfe eines ersten Ausgangsschaltkreises 91 mit einer ersten monostabilen Kippstufe 92 und eines zweiten Ausgangsschaltkreises 93 mit einer zweiten monostabilen Kippstufe 94. Der Vergleicher 90 wirkt abwechselnd über einen Umschalter 96 auf die beiden Ausgangsschaltkreise 91 , 93, d.h. hier auf die Monoflops 92, 94. Die fehlersichere Peripheriebaugruppe 20 zeigt einen sicheren Zustand dann an, wenn mindestens eins der beiden Monoflops 92, 94 getriggert ist. Im normalen Betrieb, wenn der Vergleicher 90 kontinuierlich ein Signal liefert, d.h. ein Vergleich zwischen dem Schlüsselwert S und dem generierten Zwischenwert S' kontinuierlich erfolgreich ist, sind in der Regel beide Monoflops 92, 94 getriggert, d.h. die Zykluszeit in der neue Schlüssel gesendet werden ist entsprechend auf die Haltedauer der Monoflops 92, 94 abgestimmt.

[00103] Für einen Test, ob die fehlersichere Peripheriebaugruppe 20 den sicheren Zustands

zutreffend signalisiert, erzeugt die Überwachungseinrichtung 70 einen falschen Schlüs- selwert, indem ein Bit des korrekten Schlüsselwerts S invertiert wird. Dies hat zur Folge, dass der Vergleicher 90 eine Ungleichheit zwischen dem Schlüsselwert S und dem generierten Zwischenwert S' feststellt und das Signal zum Umschalter 96 unterbricht.

[00104] Infolgedessen fällt zunächst einer der beiden Monoflops ab und liefert am Ausgang kein

Signal mehr. Dies kann durch die logische Verknüpfungsschaltung 98 im Anschluss an die Monoflops erfasst werden, woraufhin ein Time-out-Signal 102 erzeugt wird. Das Time- out-Signal 102 kann von der Überwachungseinrichtung 70 zurückgelesen werden, so dass diese feststellen kann, ob ein falscher Zahlenwert als Schlüsselwert S zu einem erwarteten Abfall eines der beiden Monoflops führt. [00105] Da während des Tests zunächst nur ein Monoflop abfällt, signalisiert die fehlersichere Peripheriebaugruppe weiterhin einen sicheren Zustand, sofern zeitnah durch einen korrekten Schlüsselwert S das abgefallene Monoflop nachgetriggert wird. Erfolgt keine rechtzeitige Nachtriggerung, fällt auch das zweite Monoflop ab und die fehlersichere Peripheriebaugruppe 20 signalisiert einen nichtsicheren Zustand. Im vorliegenden Ausfüh- rungsbeispiel würde das Signalisieren eines nichtsicheren Zustands dazu führen, dass die sicheren Ausgänge 104 abgeschaltet werden. Es versteht sich, dass die Ausgestaltung mit Monoflops 92, 94 nur eine mögliche Ausgestaltung der Ausgangsschaltkreise 91 , 93 darstellt. Die beiden Zweige können auch anders gestaltet sein und müssen lediglich aktivierbar und de-aktivierbar sein. Vorzugweise sind die Ausgangsschaltkreise eingerich- tet, sich selbst nach einer definierten Zeitspanne ab der Aktivierung zu deaktivieren.

Alternativ ist aber auch eine Deaktivierung von extern denkbar.

[00106] Neben den Einrichtungen, die das hier dargestellte Watchdog-Prinzip realisieren, kann die fehlersichere Peripheriebaugruppe 20 über zusätzliche Testeinrichtungen verfügen, die mit der Watchdog-Absicherung kombiniert werden können. Beispielsweise können neben einem ersten Eingangsregister zwei weitere Eingangsregister 108, 110 vorgesehen sein, welche einen vorherigen und einen nachfolgenden Wert umfassen, anhand derer Adress- verfälschungen erkennbar sind. Ferner kann die fehlersichere Peripheriebaugruppe 20 einen sicheren Taktgeber 1 12 aufweisen, der einen sicheren Takt bereitstellt, der für verschiedene sicherheitsgerichteten Anwendungen einsetzbar ist. Eine solche Anwen- dung kann beispielsweise eine Spannungsüberwachungseinrichtung 114 sein, welche eine sichere Spannungsversorgung überwacht und ggf. auf die sicheren Ausgänge 104 der fehlersicheren Peripheriebaugruppe 20 einwirken kann. Denkbar ist auch die Imple- mentierung einer Wiederanlaufsperre 1 16, die in einem Fehlerfall verhindert, dass der sicherheitskritische Prozess von sich aus neu startet.

[00107] Es versteht sich, dass die hier dargestellte Implementierung nur ein Beispiel ist, wie ein

Automatisierungssystem 100 im erfindungsgemäßen Sinne aufgebaut sein kann. Es versteht sich, dass andere Ausgestaltungen ebenfalls von dem erfindungsgemäßen Gegenstand erfasst sein können. Grundsätzlich ist der Schutzbereich der vorliegenden Anmeldung durch die Ansprüche gegeben und nicht durch die in der Beschreibung oder den Figuren gezeigten Merkmale beschränkt.