Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung

Die Erfindung betrifft ein Verfahren zum Betreiben einer Sicherheitssteuerung auf einem Automatisierungsnetzwerk mit einem Master-Teilnehmer und einer Mehrzahl von Slave- Teilnehmer, denen unterschiedliche Sicherheitsanforderungs- stufen zugeordnet sind, und ein Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung.

Moderne Konzepte der Industrieautomation, d.h. der Steuerung und Überwachung von technischen Prozessen mit Hilfe von Soft- wäre, beruhen auf der Idee einer zentralen Steuerung mit verteilter Sensor-/Aktorebene . Die Teilnehmer kommunizieren dabei untereinander und mit übergeordneten Systemen über industrielle lokale Netzwerke, im Weiteren auch als Automati ^¬ sierungsnetzwerke bezeichnet. Die Steuerungsfunktion beruht auf zwei Grundideen, der geographischen Dezentralisierung und der hierarchischen Aufteilung der Steuerungsfunktionen. Die funktionelle Hierarchie teilt die Automatisierungsaufgabe da ^¬ bei im Wesentlichen in eine Steuerungsebene und eine Sensor- /Aktorebene ein. Die industriellen lokalen Netzwerke sind üb- licherweise als sogenannte Master-Slave-Kommunikationsnetze ausgelegt, bei denen der Master-Teilnehmer die Steuerungsebe ^¬ ne und die Slave-Teilnehmer die Sensor-/Aktorebene bildet.

Eine wesentliche Anforderung an ein Automatisierungsnetzwerk ist die Fehlersicherheit. Beim Steuern und Überwachen von technischen Prozessen muss sichergestellt sein, dass dann, wenn das Automatisierungsnetzwerk fehlerhaft arbeitet, daraus keine Gefahr für Mensch und Umwelt resultiert. Das Automati ^¬ sierungsnetzwerk arbeitet in der Regel nach dem sogenannten Fail-Safe-Prinzip, bei dem das Automatisierungsnetzwerk im Fehlerfall in einen sicheren Zustand übergeht. Um die Gefährdung durch ein Automatisierungsnetzwerk einstufen zu können, ist es Vorschrift, eine Gefahrenanalyse vorzu ^¬ nehmen. Gemäß der europäischen Norm EN 1050 hat die Risikobeurteilung als eine Folge von logischen Schritten zu erfolgen, welche die systematische Untersuchung von Gefährdung erlaubt, die vom Automatisierungsnetzwerk bzw. den einzelnen Teilnehmern ausgehen. Auf der Grundlage der Gefahrenanalyse werden dann die technischen und organisatorischen Anforderungen an das Automatisierungsnetzwerk zur Gewährleistung einer ausrei- chenden Sicherheit festgelegt.

Im Bereich der Maschinen- und Anlagensicherheit, insbesondere auch von programmierbaren elektronischen Steuerungssystemen, haben sich die Normen EN IS013849-1 und IEC/EN 62061 als in- ternationaler Standard zur Durchführung einer Gefährdungsanalyse etabliert. Die Normen beziehen alle sicherheitsrelevanten Teilnehmer unabhängig vom Teilnehmertyp mit ein und unterteilen die sicherheitstechnische Leistungsfähigkeit in Ka ^¬ tegorien. Ausgehend von der ermittelten Sicherheitskategorie wird dann die Steuerungsstruktur im Automatisierungsnetzwerk festgelegt, um die Anforderungen an die Sicherheitsfunktionen und ein gefordertes Systemverhalten im Fehlerfall zu errei ^¬ chen . Die Normen EN ISO 13849-1 und IEC/EN 62061 spezifizieren die zur Risikoreduzierung erforderliche sicherheitstechnische Leistungsfähigkeit von programmierbaren elektronischen Steuerungssystemen. Zur Unterteilung der sicherheitstechnischen Leistungsfähigkeit werden in den beiden Normen Sicherheitsan- forderungsstufen definiert. Hierzu werden alle Sicherheits ^¬ funktionen des Automatisierungsnetzwerks mit allen an ihrer Ausführung beteiligten Teilnehmern betrachtet.

Die Norm IEC/EN 62061 gibt vier Sicherheitsanforderungsstufe („Safety Integrity Level" - SIL) SIL 1 bis SIL4 vor, wobei die einzelnen Stufen durch die zulässige Restfehlerwahrscheinlichkeit für das Auftreten eines Fehlers definiert sind. Die geringsten Anforderungen nach der Norm stellt die Sicherheitsanforderungsstufe SIL1. Von Stufe zu Stufe steigen dann die Anforderungen bis zur Sicherheitsanforderungsstufe SIL4 an. Die Sicherheitsanforderungsstufe des Automatisie- rungsnetzwerks wird dabei auf der Grundlage von sicherheits ^¬ technischen Kenngrößen der an den Sicherheitsfunktionen beteiligten Teilnehmer bestimmt. Zum Bestimmen der Sicherheitsanforderungsstufe des Automatisierungsnetzwerkes ist ferner neben der Kenntnis der sicherheitstechnischen Kenngrößen al- 1er an der Sicherheitsfunktion beteiligten Teilnehmer eine genaue Information über die logische Verknüpfung der Teilnehmer im Automatisierungsnetzwerk erforderlich. Die Sicherheitsanforderungsstufe wird außerdem wesentlich von der im Automatisierungsnetzwerk eingesetzten Busarchitektur beein- flusst.

Da die Anforderungen an die Teilnehmer in einem Automatisierungsnetzwerk in Bezug auf die Sicherheitsfunktionen oft verschieden sind, werden Automatisierungsnetzwerk in der Regel mit Teilnehmern betrieben werden, die unterschiedliche SIL- Stufe besitzen. Die Sicherheitsanforderungsstufe des Gesamt ^¬ systems wird in einem solchen Fall aber durch den Teilnehmer mit der niedrigsten SIL-Stufe bestimmt. Grund hierfür ist, dass in einem Automatisierungsnetzwerk ein Datenverkehr zwi- sehen Teilnehmern mit unterschiedlicher SIL-Stufe zu erheblichen sicherheitstechnischen Problemen führt. Wenn nämlich ein Teilnehmer mit einer niedrigen SIL-Stufe Datenpakete an einen Teilnehmer mit einer hohen SIL-Stufe versendet, kann auch bei Auftreten eines einfachen Fehlers bei der Datenpaket- Erzeugung in dem sendenden Teilnehmer, der im Rahmen der niedrigen SIL-Stufe des sendenden Teilnehmers zulässig ist, eine gültiges Datenpaket für den empfangenden Teilnehmer mit hoher SIL-Stufe erzeugt werden. Der Fehler im übertragenen Datenpaket wird zwar dann im Empfänger aufgrund seiner hohen SIL-Stufe mit großer Wahrscheinlichkeit erkannt. Durch den möglichen Datenverkehr mit dem Teilnehmer, der die niedrige SIL-Stufe besitzt, kann jedoch dann die Erfüllung der im Emp- fänger geforderten hohen SIL-Stufe nicht mehr gewährleistet werden, da von dem Teilnehmer mit der niedrigen SIL-Stufe ein an sich gültiges Datenpaket gebildet werden kann. Ferner ist es bei der Erweiterung eines Automatisierungsnet ^¬ zes mit weiteren sicherheitsrelevanten Teilnehmer, insbesondere dann, wenn deren SIL-Stufe von der SIL-Stufe der anderen Teilnehmer abweichen, in der Regel erforderlich, das Gesamtsystem neu zu konfigurieren, um zu verhindern, dass die von den bereits im Automatisierungssystem vorhandenen Teilnehmern auszuführenden Sicherheitsfunktionen in Konflikt mit den Sicherheitsfunktionen der neu hinzugefügten Teilnehmer kommen. Dabei besteht insbesondere die Gefahr, dass bei der Adressen ^¬ vergabe neuen Teilnehmern die gleichen Adressen wie alten Teilnehmern zugewiesen werden, was zur Fehlleitungen von Datenpaketen, die dann nicht erfasst werden, führen kann. Die Adressenvergabe ist insbesondere dann aufwendig, wenn die den Teilnehmern zugeordneten Adressen in den Datenpaketen nur impliziert im Rahmen von Sicherheitscodes, die von einem Daten- Sicherungsmechanismus erzeugt werden, übertragen werden und oder von außen nicht ermittelbar sind.

Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zum Betreiben einer Sicherheitssteuerung und ein Automatisie- rungsnetzwerk bereitzustellen, bei den sich Teilnehmer mit beliebiger Sicherheitsanforderungsstufe ohne eine Beeinträch ^¬ tigung der Sicherheit über das Automatisierungsnetzwerk verbinden lassen. Diese Aufgabe wird mit einem Verfahren gemäß Anspruch 1 und einem Automatisierungsnetzwerk gemäß Anspruch 5 gelöst. Bevorzugte Weiterbildungen sind in den abhängigen Ansprüchen angegeben . Gemäß der Erfindung wird zum Betreiben einer Sicherheitssteuerung auf einem Automatisierungsnetzwerk mit einem die Sicherheitssteuerung ausführenden Master-Teilnehmer, wenigstens einem ersten Slave-Teilnehmer, dem eine erste Sicherheitsan- forderungsstufe zugeordnet ist, und einem wenigstens zweiten Slave-Teilnehmer, dem eine zweite Sicherheitsanforderungsstu- fe zugeordnet ist, wobei der Master-Teilnehmer, der erste Slave-Teilnehmer und der zweite Slave-Teilnehmer über eine Datenübertragungsstrecke miteinander verbunden sind und je ^¬ weils eine Sicherheitsschicht und eine Datenübertragungs ^¬ schicht aufweisen, im Sendebetrieb in der Sicherheitsschicht des jeweiligen Teilnehmers für einen zu sendenden Sicher- heitsdatenblock ein Sicherheitscode mithilfe eines Sicher ^¬ heitscode-Bestimmungsverfahrens bestimmt wird und in der Da ^¬ tenübertragungsschicht des jeweiligen Teilnehmers ein Daten ^¬ paket mit dem Sicherheitsdatenblock und dem Sicherheitscode für das Versenden auf der Datenübertragungsstrecke gebildet wird, und im Empfangsbetrieb in der Datenübertragungsschicht des jeweiligen Teilnehmers aus einem über die Datenübertra ^¬ gungsstrecke empfangenen Datenpaket ein Sicherheitsdatenblock und ein zugehöriger Sicherheitscode extrahiert wird und in der Sicherheitsschicht des jeweiligen Teilnehmers mit dem Si- cherheitscode-Bestimmungsverfahren der Sicherheitscode für den Sicherheitsdatenblock verifiziert wird. Dem ersten Slave- Teilnehmer ist dabei ein erstes Sicherheitscode- Bestimmungsverfahren und dem zweiten Slave-Teilnehmer ein zweites Sicherheitscode-Bestimmungsverfahren zugeordnet, wo- bei der Master-Teilnehmer und der ersten Slave-Teilnehmer für einen Austausch eines Sicherheitsdatenblocks das erste Si ^¬ cherheitscode-Bestimmungsverfahren und der Master-Teilnehmer und der zweite Slave-Teilnehmer für einen Austausch eines Sicherheitsdatenblocks das zweiten Sicherheitscode- Bestimmungsverfahren verwenden.

Erfindungsgemäß wird für die Kommunikation zwischen Teilnehmern im Automatisierungsnetzwerk mit gleicher Sicherheitsan- forderungsstufe je ein eigenes Sicherheitscode- Bestimmungsverfahren verwendet. Eine gegenseitige unerkannte Beeinflussung insbesondere von Teilnehmern mit unterschiedli ^¬ cher Sicherheitsanforderungsstufe wird so ausgeschlossen. Ei- ne Fehlleitung von Datenpaketen im Datenverkehr zwischen Teilnehmern mit unterschiedlicher Sicherheitsanforderungsstu- fe wird zuverlässig erkannt. Im Automatisierungsnetzwerk ist so auch ein Datenverkehr zwischen Teilnehmern mit beliebiger Sicherheitsanforderungsstufe ohne sicherheitstechnische Prob ^¬ leme möglich.

Gemäß einer bevorzugten Ausführungsform ist das erste und zweite Sicherheitscode-Bestimmungsverfahren ein zyklisches Redundanzprüfverfahren, wobei dem ersten Sicherheitscode- Bestimmungsverfahren ein erstes Sicherheitscode- Generatorpolynom und dem zweiten Sicherheitscode- Bestimmungsverfahren ein zweites Sicherheitscode- Generatorpolynom zugeordnet ist. Dabei unterscheidet sich der Hamming-Abstand des ersten Sicherheitscode-Generatorpolynoms vorzugsweise von dem Hamming-Abstand des zweiten Sicher ^¬ heitscode-Generatorpolynoms. Mit dieser Vorgehensweise be ^¬ steht die Möglichkeit, für beide Sicherheitscode- Bestimmungsverfahren den augenblicklichen Standard- Sicherheitsmechanismus zyklische Redundanzprüfung einzuset ^¬ zen, sodass auf zusätzliche zeitraubende Sicherheitsmaßnah ^¬ men, die darüber hinaus zusätzliche Hard- und Software nötig machen, verzichtet werden kann. Durch die Einstellung des Hamming-Abstands des ersten und zweiten Sicherheitscode- Generatorpolynoms kann für die für die jeweilige Sicherheits ^¬ anforderungsstufe geforderte Aufdeckwahrscheinlichkeit von Fehlern im Datenpaket gesorgt werden.

Gemäß einer bevorzugten Ausführungsform kann die Auslegung des Automatisierungsnetzwerkes für die Teilnehmer mit der ersten Sicherheitsanforderungsstufe vollkommen getrennt von der Auslegung des Automatisierungsnetzwerkes für die Teilneh ^¬ mer mit der zweiten Sicherheitsanforderungsstufe erfolgen. In beiden Netzwerkbereichen können dann gleiche Adressen verwendet werden, ohne dass es zu Fehlleitungen im Datenverkehr kommt, da jedem Netzwerkbereich ein unabhängiges Sicher- heitscodebestimmungsverfahren zugeordnet ist, das eine solche Fehlleitung verhindert.

Die Erfindung wird anhand der beigefügten Zeichnungen näher erläutert.

Figur 1 zeigt schematisch den Aufbau eines erfindungsgemä ^¬ ßen Automatisierungsnetzwerkes mit einem eine Sicherheits ^¬ steuerung ausführenden Master-Teilnehmer, einem ersten Slave- Teilnehmer, dem eine erste Sicherheitsanforderungsstufe zuge ^¬ ordnet ist, und einem zweiten Slave-Teilnehmer, dem eine zweite Sicherheitsanforderungsstufe zugeordnet ist.

Figur 2 zeigt eine mögliche Auslegung der Datenübertragung bei dem in Figur 1 gezeigten Automatisierungssystem.

Figur 3 zeigt die Restfehlerrate und den Hamming-Abstand für Generatorpolynome, die den Sicherheitsanforderungsstufen SIL 1 bis SIL3 eingesetzt werden.

In der Industrieautomation werden Netzwerke verwendet, bei denen die dezentral angeordneten Geräte einer Sensor-/ Aktorebene wie E/A-Module, Messwerterfasser, Ventile, Antriebe etc. über ein leistungsfähiges Bussystem mit einem Automati- sierungsrechner einer Steuerungsebene kommunizieren. Als Bussysteme werden in Automatisierungsnetzwerken vorzugsweise Feldbussysteme eingesetzt.

Automatisierungsnetzwerke sind in der Regel hierarchisch auf- gebaut und arbeiten nach dem Master-Slave-Prinzip. Die Master-Teilnehmer sind der Steuerungsebene zugeordnet und stel ^¬ len die aktiven Teilnehmer dar, die eine Zugriffsberechtigung auf die Kommunikationsverbindung im Automatisierungsnetzwerk haben und den Datenverkehr bestimmen. Die Slave-Teilnehmer sind Teil der Sensor-/ Aktorebene und bilden die passiven

Teilnehmer. Sie haben keine eigene Zugriffsberechtigung auf das Bussystem und dürfen empfangene Daten nur quittieren oder auf Anfrage eines Master-Teilnehmers Daten an diesen übermit ^¬ teln .

Eine zentrale Anforderung an Automatisierungssysteme ist die sichere und zuverlässige Datenübertragung. Um Gefahren für Mensch und Umwelt auszuräumen, muss sichergestellt sein, dass die Nutzdaten zwischen den Slave-Teilnehmern der Sensor-/ Aktorebene und den Master-Teilnehmern der Steuerungsebene fehlerfrei übertragen oder alternativ Fehler bei der Datenübertragung zuverlässig erkannt werden. In Automatisierungssyste ^¬ men sind deshalb Sicherungsmaßnahmen, sogenannte Safety- Maßnahmen, implementiert, die gewährleisten, dass Fehler bei der Datenübertragung mit hoher Wahrscheinlichkeit aufgedeckt werden, um so die Gefahr unerkannter Fehler zu minimieren. Die zu übertragenden Daten werden deshalb vom sendenden Teilnehmer mit einem Sicherheitscode versehen, der vom empfange ^¬ nen Teilnehmer dann verifiziert wird. Als Verfahren zum Bestimmen des Sicherheitscodes wird in der Regel das zyklische Redundanzprüfverfahren, auch CRC-Verfahren genannt, eingesetzt .

Bei dem CRC-Verfahren wird vor einer Datenübertragung im Sender für den zu übertragenden Datenblock mithilfe eines Generatorpolynoms eine PrüfZeichenfolge ermittelt, die dann an den Datenblock angehängt und zusammen mit diesen an den Empfänger übermittelt wird. Vom Empfänger wird mithilfe dessel ^¬ ben Generatorpolynoms, das vom Sender zum Berechnen der Prüfzeichenfolge für das übertragene Datenpaket eingesetzt wurde, die übertragene PrüfZeichenfolge verifiziert, um festzustel ^¬ len, ob die Datenübertragung unverfälscht stattgefunden hat.

Im Allgemeinen sind nicht alle Teilnehmer im Automatisie ^¬ rungsnetzwerk gleich sicherheitsrelevant. Auch ist die Anzahl der Sicherheitsfunktionen in einem Automatisierungsnetzwerk in der Regel geringer als die Anzahl der nicht sicherheitsre ^¬ levanten Steuerungsfunktionen. Um die Gefährdung für Mensch und Umwelt durch das Automatisierungsnetzwerk einzustufen, ist es Vorschrift, eine Gefahrenanalyse durchzuführen. Die zentrale Norm ist die IEC/EN 62061, die die zur Risikoreduzierung erforderliche sicher- heitstechnische Leistungsfähigkeit von programmierbaren elektronischen Steuerungssystemen spezifiziert. Zur Unterteilung der sicherheitstechnischen Leistungsfähigkeit sind in der Norm IEC/EN 62061 vier Sicherheitsanforderungsstufen (Sa- fety Integrity Level - SIL, SIL1 bis SIL4) definiert. Die einzelnen Sicherheitsanforderungsstufen legen dabei die zulässige Restfehlerwahrscheinlichkeit für das Auftreten eines Fehlers fest. Gemäß Sicherheitsanforderungsstufe SIL1 darf die mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFH _D ) kleiner als 10 ^"5 , muss aber größer als 10 ^"6 sein. Für die Sicherheitsanforderungsstufe SIL2 ist der Wer ^¬ tebereich kleiner als 10 ^"6 aber größer als 10 ^"7 , für die Sicherheitsanforderungsstufe SIL3 kleiner als 10 ^"7 , aber größer als 10 ^"8 und für die Sicherheitsanforderungsstufe SIL4 klei ^¬ ner als 10 ^"8 , aber größer als 10 ^~9 . Neben der Norm IEC/EN 62061 kommt auch oft die einfacher anzuwendende Norm EN ISO 13849, die die Performance-Level A bis E kennt, zum Einsatz.

Die für die einzelnen Teilnehmer geforderte Sicherheitsanforderung im Automatisierungsnetzwerk hängt von den dem jeweili- gen Teilnehmer zugeordneten Sicherheitsfunktionen ab. Automatisierungsnetzwerke werden deshalb oft mit Teilnehmern be ^¬ trieben, die aufgrund ihrer Sicherheitsfunktionen unterschiedliche Sicherheitsanforderungen aufweisen. Figur 1 zeigt schematisch die Grundstruktur eines Automatisierungsnetzwerks mit einem Master-Teilnehmer M, der die Steuerungsebene bildet und zwei Slave-Teilnehmer Sl und S2, die die Sensor-/ Aktorebene repräsentieren. Der Master- Teilnehmer M und die zwei Slave-Teilnehmer Sl, S2 sind über einen seriellen Bus miteinander verbunden, über den der Datenverkehr zwischen den Teilnehmern stattfindet. Der Datenverkehr im Automatisierungsnetzwerk wird dabei vom Master- Teilnehmer M in Form von Datenpaketen organisiert, die sich aus Steuerdaten und Nutzdaten zusammensetzen, wobei die Steuerdaten im Datenpaket eine Adresseninformation enthalten, das den Sender bzw. Empfänger identifiziert.

Bei dem in Figur 1 gezeigten Automatisierungsnetzwerk sind beide Slave-Teilnehmer Sl und S2 sicherheitsrelevant. Es kön ^¬ nen natürlich mehr als zwei sicherheitsrelevante Slave- Teilnehmer vorgesehen sein. Auch können im Automatisierungs- netzwerk neben sicherheitsrelevanten Teilnehmern nicht sicherheitsrelevante Teilnehmer eingebunden werden. Die Steuerungsebene im Automatisierungsnetzwerk kann auch auf mehrere Master-Teilnehmer aufteilt sein. Die Datenübertragung im Automatisierungsnetzwerk wird in der Regel einheitlich, vorzugsweise auf Grundlage des Ethernet- Protokolls ausgeführt, wobei alle sicherheitsrelevanten Teil ^¬ nehmer im Automatisierungssystem, das heißt der Master- Teilnehmer M und die beiden Slave-Teilnehmer Sl, S2 neben der Datenübertragungsschicht zum Verarbeiten der Standarddaten eine weitere übergeordnete Sicherheitsschicht zur Verarbei ^¬ tung der Sicherheitsdaten aufweisen. Die Sicherheitsschicht und die Datenübertragungsschicht sind in den sicherheitsrele ^¬ vanten Teilnehmern vollständig voneinander abgekapselt, um die Gefahr der Verfälschung bei der Verarbeitung von Sicherheitsdaten zu verhindern. Mit dieser Auslegung der sicherheitsrelevanten Teilnehmer kann der Hard- und Softwareaufwand reduziert werden, da sowohl Sicherheitsdaten als auch Standardnutzdaten mithilfe eines Standardprotokolls wie dem

Ethernet-Protokoll übertragen werden können.

Figur 2 zeigt eine Datenübertragung bei dem in Figur 1 gezeigten Automatisierungssystem. In der Sicherheitsschicht des Senders wird mithilfe eines Sicherheitscode- Bestimmungsverfahren Safety CRC ein Sicherheitscode FCS _Saf ety für einen zu sendenden Sicherheitsdatenblock ND _Safety erzeugt. Wenn als Sicherheitscode-Bestimmungsverfahren Safety CRC, wie in Figur 2 gezeigt, das zyklische Redundanzprüfungsverfahren eingesetzt wird, wird unter Verwendung eines Sicherheitsda ^¬ ten-Generatorpolynoms der Sicherheitscode als Sicherheitsda ^¬ tenblock-Prüfzeichenfolge ermittelt. Der Sicherheitscode FCS- safety wird dann an den Sicherheitsdatenblock ND _Sa fet _y angehängt und in Form eines Sicherheitsblocks an die Datenübertragungs ^¬ schicht übergeben.

In der Datenübertragungsschicht des Senders wird anschließend das Sicherheitsblock in einem Standarddatenblock ND _sta ndard eingebettet, wobei vorzugsweise mithilfe eines weiteren Si ^¬ cherheitscode-Bestimmungsverfahrens Standard CRC ein weiterer Sicherheitscode FCS _S tandard ermittelt wird. Wenn als Sicher ^¬ heitscode-Bestimmungsverfahren Standard CRC wiederum, wie in Figur 2 gezeigt, das zyklische Redundanzprüfungsverfahren eingesetzt wird, wird ein gegenüber dem zur Berechnung der Sicherheitsdatenblock-PrüfZeichenfolge eingesetzten Sicher ^¬ heitsdaten-Generatorpolynom verändertes Standarddaten- Generatorpolynom verwendet.

Die Datenübertragungsschicht versendet dann den Standardda- tenpaketblock Dstandard mit eingebettetem Sicherheitsdaten ^¬ block Dsafety und Sicherheitscode FCS _Sa fet _y und angehängter Standarddatenblock-PrüfZeichenfolge FCS _S tandard und überträgt diesen über den Bus Communication Channel zum Empfänger. Im Empfänger werden dann, wie in Figur 2 gezeigt, wiederum zwei zyklische Redundanzprüfungen durchgeführt. In der Datenübertragungsschicht des Empfängers wird die Standarddatenblock- PrüfZeichenfolge FCSstandard des übertragenen Datenpakets mit- hilfe der zyklischen Redundanzprüfung Standard CRC unter Verwendung des Standarddaten-Generatorpolynoms verifiziert. An ^¬ schließend wird dann in der Sicherheitsschicht des Empfängers eine weitere Verifizierung der Sicherheitsdatenblock- PrüfZeichenfolge FCSsafety des im übertragenen Datenpaket ein- gebetteten Sicherheitsdatenpakets mithilfe der zyklischen Re ^¬ dundanzprüfung Safety CRC unter Verwendung des Sicherheitsdaten-Generatorpolynoms vorgenommen. Falls beide Überprüfungen zu einem positiven Ergebnis führen, können die Sicherheitsda ^¬ ten verwendet werden. Andernfalls werden sie verworfen. Der Empfänger wartet dann auf ein weiteres Datenpaket, verwendet Ersatzdaten oder führt Sicherheitsmaßnahmen durch.

Das Sicherheitsdaten-Generatorpolynom erzeugt dabei vorzugsweise eine Sicherheitsdatenblock-PrüfZeichenfolge der Länge R. Als Sicherheitsdaten-Generatorpolynom wird dann vorzugsweise ein Generatorpolynom eingesetzt, dessen Hamming-Abstand sich einer fiktiven Berechnung einer PrüfZeichenfolge für den Standarddatenblock gegenüber dem Hamming-Abstand für die PrüfZeichenfolge für den um R längeren Sicherheitsdatenblock unterscheidet. Mit dieser Vorgehensweise wird gewährleistet, dass Verfälschungen in der Sicherheitsdatenblock-Zeichenfolge zuverlässig nachgewiesen werden können, auch dann, wenn wie bei dem in Figur 1 gezeigten Automatisierungssystem vorgesehen, die Sicherheitsschicht und die Datenübertragung im si ^¬ cherheitsrelevanten Teilnehmer voneinander getrennt sind. Wenn in einem Automatisierungsnetzwerk sicherheitsrelevante Teilnehmer unterschiedlichen Sicherheitsanforderungsstufen zugeordnet sind, kann es beim Datenverkehr zu erheblichen sicherheitstechnischen Problemen kommen. Im in Figur 1 gezeigten Automatisierungsnetzwerk erfüllt der Slave-Teilnehmer Sl die Sicherheitsanforderungsnorm SIL3, während der Slave- Teilnehmer S2 die Sicherheitsanforderungsnorm SIL2 erfüllt. Wenn der Slave-Teilnehmer S2 mit der niedrigen SIL-Stufe 2 Datenpakete erzeugt, kann bei dem Auftreten eines einfachen Fehlers in diesem Slave-Teilnehmer, der im Rahmen der niedri- gen SIL-Stufe 2 im Slave-Teilnehmer zuverlässig ist, ein gül ^¬ tiges Datenpaket für den Slave-Teilnehmer Sl mit der höheren SIL-Stufe 3 erzeugt werden. Der Slave-Teilnehmer Sl würde zwar den Fehler im übertragenen Datenpaket vom Slave- Teilnehmer S2 mit hoher Wahrscheinlichkeit feststellen. Die für den Slave-Teilnehmer Sl geforderte hohe SIL-Stufe 3 wird aufgrund der dann jedoch auftretenden hohen Fehlerrate nicht mehr eingehalten. Dieses Problem wird erfindungsgemäß dadurch vermieden, dass der Teilnehmer, dem eine erste Sicherheitsanforderungsstufe zugeordnet ist, für den Austausch von Datenpaketen ein erstes Sicherheitscode-Bestimmungsverfahren und der Teilnehmer, dem eine zweiten Sicherheitsanforderungsstufe zugeordnet ist, für den Austausch von Datenpaketen ein zweites Sicherheitscode- Bestimmungsverfahren verwendet. Im Falle dass als Sicherheitscode-Bestimmungsverfahren immer ein zyklisches Redun- danzprüfungsverfahren eingesetzt wird, werden unterschiedli ^¬ che Sicherheitscode-Generatorpolynome für die Teilnehmer mit den unterschiedlichen Sicherheitsanforderungen eingesetzt. Mit dieser Vorgehensweise können Fehlleitungen bei der Datenübertragung zuverlässig aufgedeckt werden, da der Datenver- kehr zwischen den Teilnehmergruppen mit den unterschiedlichen Sicherheitsanforderungen mithilfe der unterschiedlichen Sicherheitscodes eindeutig voneinander abgegrenzt werden kann.

Bei dem in Figur 1 gezeigten Automatisierungssystem wird so vorgegangen, dass der Master-Teilnehmer M und der Slave-

Teilnehmer Sl für den Datenaustausch ein erstes, für die Sicherheitsanforderungsstufe SIL3 geeignetes Generatorpolynom nutzen. Für den Datenaustausch mit dem zweiten Slave- Teilnehmer S2, dessen Sicherheitsanforderungsstufe SIL2 ist, nutzt der Master-Teilnehmer M und der Slave-Teilnehmer S2 dagegen ein anderes, für die Sicherheitsanforderungsstufe SIL2 geeignetes Generatorpolynom.

Figur 3 zeigt beispielhaft drei unterschiedliche Generatorpo- lynome die jeweils einer der Sicherheitsanforderungsstufen

SIL1, SIL2 und SIL3 zugeordnet sind. Als Generatorpolynom für die SIL-Stufe 3 wird 0xl2A23, als Generatorpolynom für die SIL-Stufe 2 wird 0xl7B0F und als Generatorpolynom für die SIL-Stufe 1 wird 0xl571F eingesetzt. Für die einzelnen Gene- ratorpolynome sind dabei jeweils der Hamming-Abstand sowie die Restfehlerwahrscheinlichkeit angegeben. Der Hamming- Abstand gibt dabei an, wie viele Zeichen in einem Datensatz mindestens verfälscht sein müssen, damit trotz der eingesetzten Safety-Maßnahme der zyklischen Redundanzprüfung eine unerkannte Verfälschung auftreten kann. Die Auswahl der Generatorpolynome erfolgt dabei so, der Hamming-Abstand des Genera ^¬ torpolynoms die gemäß der Sicherheitsanforderungsstufe gefor ^¬ derte Restfehlerwahrscheinlichkeit für das Auftreten eines Fehlers erfüllt. Dabei wird grundsätzlich so vorgegangen, dass, wenn den Sicherheitsanforderungsstufe unterschiedliche Restfehlerwahrscheinlichkeiten für das Auftreten eines Fehlers zugeordnet sind, der Hamming-Abstand der zugeordneten Generatorpolynome sich unterscheidet.

Die Zuordnung unterschiedlicher Sicherheitscode- Bestimmungsverfahren zu verschiedenen Teilnehmergruppen im Automatisierungsnetzwerk, die jeweils eine Sicherheitsanfor- derungsstufe repräsentieren, ermöglicht es auch, auf einfache Weise das Automatisierungsnetzwerk zu erweitern. Im Falle, dass eine neue Gruppe von Slave-Teilnehmer mit einer zugeord ^¬ neten Sicherheitsanforderungsstufe an das Automatisierungs ^¬ netzwerk angebunden werden soll, wird der hinzugefügten Gruppe ein eigenständiges Sicherheitscode-Bestimmungsverfahren zum Datenaustausch untereinander und mit den Master- Teilnehmern zugeordnet. Mit dieser Vorgehensweise ist es nicht mehr erforderlich, bei der Konfiguration der neuen Gruppe von Slave-Teilnehmer im Automatisierungsnetzwerk die übrigen Slave-Teilnehmer zu berücksichtigen, da die verschiedenen Gruppen von Teilnehmern, den jeweils eine Sicherheitsanforderungsstufe zugeordnet ist, mithilfe der getrennten Si ^¬ cherheitscode-Bestimmungsverfahren den Datenverkehr unabhängig voneinander ausführen. Nur der Master-Teilnehmer muss mit allen Teilnehmergruppen sprechen und für den Datenpaket- Austausch mit der jeweiligen Teilnehmergruppe das dafür vorgesehene Sicherheitscode-Bestimmungsverfahren durchführen können .

Durch das Zuordnen unterschiedlicher Sicherheitscode- Bestimmungsverfahren zu Teilnehmergruppen, die durch ihre Si- cherheitsanforderungsstufen voneinander abgegrenzt sind, besteht ferner die Möglichkeit, die Adressen an die Teilnehmer der jeweiligen Sicherheitsgruppen unabhängig voneinander zu vergeben. Durch das Ausführen jeweils eigenständiger Sicher- heitscode-Bestimmungsverfahren können dann die Teilnehmer in den verschiedenen Gruppen zum Beispiel auch gleiche Adressen aufweisen, da eine Datenpaket-Fehlleitung durch die separaten Sicherheitscode-Bestimmungsverfahren zuverlässig verhindert wird. Dies ist insbesondere dann vorteilhaft, wenn wie bei der in Figur 2 gezeigten Auslegung der Sicherheitsdatenblock gekapselt im Standarddatenblock übertragen wird und die Adresse im Sicherheitsdatenblock nicht mehr explizit vorliegt, sondern nur in die PrüfZeichenfolge einfließt. Bei der erfin ^¬ dungsgemäßen Adressenvergabe ist nur erforderlich, dass die Teilnehmer innerhalb einer Sicherheitsanforderungsstufe eine eindeutige Adresse besitzen.