Die vorliegende Erfindung betrifft eine

Sicherheitssteuerungseinrichtung, umfassend mindestens ein

Eingabemodul mit einer Anzahl von Eingangsschnittstellen,

mindestens ein Ausgabemodul mit einer Anzahl von

Ausgangsschnittstellen sowie eine Recheneinheit, die an das mindestens eine Eingabemodul und an das mindestens eine

Ausgabemodul angeschlossen ist und einen programmierbaren Prozessor und einen Festspeicher aufweist, wobei in dem

Festspeicher ein Betriebsprogramm für den Prozessor mit

Programmcodemitteln in maschinenlesbarer Form zur Bereitstellung einer Funktionsbibliothek mit einer Anzahl n von Funktionen der Sicherheitssteuerungseinrichtung nicht-flüchtig gespeichert ist.

Darüber hinaus betrifft die vorliegende Erfindung ein Verfahren zur Änderung eines Funktionsumfangs einer

Sicherheitssteuerungseinrichtung.

Steuerungseinrichtungen sind aus dem Stand der Technik in

unterschiedlichen Ausführungsformen bekannt. Diese

Steuerungseinrichtungen unterscheiden sich insbesondere durch die darin implementierten Funktionsumfänge voneinander. Zu

unterscheiden ist hier insbesondere zwischen

speicherprogrammierbaren Steuerungseinrichtungen gemäß der europäischen Norm EN 61131 sowie

Sicherheitssteuerungseinrichtungen gemäß der internationalen Norm IEC 61508, die zusätzliche Sicherheitsfunktionen ausführen können und somit auch in sicherheitskritischen Bereichen zur Steuerung sicherheitskritischer Prozesse eingesetzt werden können. Eine herkömmliche speicherprogrammierbare Steuerungseinrichtung umfasst ein Eingangsmodul mit einer Anzahl von

Eingangsschnittstellen, eine Recheneinheit sowie ein Ausgangsmodul mit einer Anzahl von Ausgangsschnittstellen. An die

Eingangsschnittstellen können in bekannter Weise Sensoren

angeschlossen werden, die zum Beispiel Informationen über einen Betriebsstatus einer Maschine oder einer Maschinenanlage liefern können und diese als Eingangssignale der Steuerungseinrichtung zur Verfügung stellen können. Diese Eingangssignale werden mit Hilfe der Recheneinheit ausgewertet, wobei durch logische Verknüpfungen und gegebenenfalls weitere Signal- und Datenverarbeitungsschritte Ausgangssignale generiert werden, die über die

Ausgangsschnittstellen des Ausgabemoduls ausgegeben werden. An die Ausgangsschnittstellen des Ausgabemoduls sind Aktoren

angeschlossen, die die Ausgangssignale verarbeiten können und daraufhin bestimmte Aktionen ausführen können.

Eine Sicherheitssteuerungseinrichtung, die zum Beispiel aus der WO 98/44399 A1 bekannt ist und die zusätzliche Sicherheitsfunktionen zur Verfügung stellt, ist dazu in der Lage, stets einen sicheren Zustand des gesteuerten Prozesses, wie zum Beispiel einer Maschine oder einer Maschinenanlage, sicherzustellen. In diesem Zusammenhang werden sehr hohe Anforderungen an die eigene Fehlersicherheit der Sicherheitssteuerungseinrichtung gestellt. Dementsprechend ist es erforderlich, dass Sicherheitssteuerungseinrichtungen vor dem ersten Inverkehrbringen umfangreichen und aufwändigen Tests unterzogen werden, um eine entsprechende Zulassung durch die zuständigen Behörden zu erhalten.

Speicherprogrammierbare Steuerungseinrichtungen sowie

Sicherheitssteuerungseinrichtungen können in bekannter Weise mit Hilfe eines Anwenderprogramms konfiguriert werden und dadurch an die entsprechenden Betriebsanforderungen eines Anwenders

angepasst werden. In einem vom Anwenderprogramm getrennten Betriebsprogramm sind unterschiedliche Funktionen (Basisfunktionen) der Steuerungseinrichtung beziehungsweise der

Sicherheitssteuerungseinrichtung gespeichert. Durch diese

Funktionen wird der grundlegende Funktionsumfang der

speicherprogrammierbaren Steuerungsein rieh tun gen beziehungsweise der Sicherheitssteuerungseinrichtungen definiert.

Da die in dem Betriebsprogramm gespeicherten Funktionen häufig sicherheitskritisch sind, werden in der Regel technische Maßnahmen ergriffen, die eine Veränderung des Betriebsprogramms

beziehungsweise einen Austausch des Betriebsprogramms durch ein anderes Betriebsprogramm seitens des Anwenders wirksam

verhindern. Dementsprechend ist ein Zugriff auf das

Betriebsprogramm für den Anwender durch entsprechende

Sicherungsmaßnahmen gesperrt. Dieses ist insbesondere bei

Sicherheitssteuerungseinrichtungen sehr wichtig, da sich die

Zertifizierung durch die zuständigen Behörden nur auf eine

Kombination aus dem Betriebsprogramm mit der zugehörigen

Hardware der Sicherheitssteuerungseinrichtung bezieht. Durch das Aufspielen eines neuen Betriebsprogramms seitens des Anwenders kann die Fehlersicherheit der Sicherheitssteuerungseinrichtung vom Hersteller nicht mehr in zuverlässiger Weise sichergestellt werden.

Wenn der Funktionsumfang einer Steuerungseinrichtung,

insbesondere einer Sicherheitssteuerungseinrichtung, nachträglich verändert werden soll, muss der Austausch des Betriebsprogramms in der Regel vom Hersteller der Steuerungseinrichtung beziehungsweise Sicherheitssteuerungseinrichtung vorgenommen werden. Dabei muss der Anwender die Steuerungseinrichtung beziehungsweise

Sicherheitssteuerungseinrichtung sowie die daran angeschlossene Maschine beziehungsweise Maschinenanlage außer Betrieb setzen und die Steuerungseinrichtung beziehungsweise

Sicherheitssteuerungseinrichtung an den Hersteller senden oder den Austausch des Betriebsprogramms von einem zugelassenen

Servicetechniker vornehmen lassen. Dieses ist häufig mit längeren Stillstandzeiten der an die Steuerungseinrichtung beziehungsweise Sicherheitssteuerungseinrichtung angeschlossenen Maschine beziehungsweise Maschinenanlage verbunden, die sich negativ auf die Produktivität und Wirtschaftlichkeit auswirken. Zudem kann es sich herausstellen, dass die Steuerungseinrichtung beziehungsweise Sicherheitssteuerungseinrichtung von vornherein nicht für bestimmte, vom Anwender gewünschte Funktionsumfänge ausgelegt ist, so dass für die Nutzung des geänderten Betriebsprogramms eine neue

Hardware der Steuerungseinrichtung beziehungsweise

Sicherheitssteuerungseinrichtung beschafft werden muss.

Aus der deutschen Patentanmeldung DE 10240584 A1, die auf die Anmelderin zurückgeht, sind eine Sicherheitssteuerungseinrichtung sowie ein Verfahren zum Aufspielen eines neuen Betriebsprogramms auf eine solche bekannt. Dabei wird der bis dahin bestehende

Grundsatz durchbrochen, dass ein Aufspielen eines neuen

Betriebsprogramms einer Sicherheitssteuerungseinrichtung nicht vom Anwender selbst vorgenommen werden darf. Dieses Verfahren beinhaltet entsprechende Maßnahmen, mittels derer sichergestellt werden kann, dass die Sicherheitssteuerungseinrichtung auch nach dem Aufspielen eines neuen Betriebsprogramms weiterhin

fehlersicher arbeitet. Das Ersetzen eines Betriebsprogramms durch ein neues Betriebsprogramm kann unter Umständen zu Problemen führen, wenn zum Beispiel während des Update-Prozesses die

Stromversorgung der Steuerungseinrichtung unerwartet unterbrochen wird und das neue Betriebsprogramm nicht beziehungsweise nicht vollständig aufgespielt wurde. In einem solchen Fall ist die Steuerungseinrichtung in der Regel nicht mehr ohne weiteres funktionsfähig, so dass hier häufig die Unterstützung des Herstellers erforderlich ist, um die Funktionsfähigkeit der Steuerungseinrichtung wieder herzustellen.

Die Erfindung macht es sich daher zur Aufgabe, eine

Sicherheitssteuerungseinrichtung der eingangs genannten Art und ein Verfahren zur Änderung eines Funktionsumfangs einer

Sicherheitssteuerungseinrichtung zur Verfügung zu stellen, bei denen eine Änderung des Funktionsumfangs der

Sicherheitssteuerungseinrichtung auf alternativem Wege einfach und prozesssicher vorgenommen werden kann.

Die Lösung dieser Aufgabe liefern eine

Sicherheitssteuerungseinrichtung der eingangs genannten Art mit den Merkmalen des kennzeichnenden Teils des Anspruchs 1 sowie ein Verfahren mit den Merkmalen des Anspruchs 10. Die Unteransprüche betreffen vorteilhafte Weiterbildungen der Erfindung.

Eine erfindungsgemäße Sicherheitssteuerungseinrichtung zeichnet sich dadurch aus, dass die Sicherheitssteuerungseinrichtung ein nicht-flüchtiges, überschreibbares Speichermittel aufweist, das in die Recheneinheit integriert ist oder in einer Speichermittelschnittstelle der Recheneinheit austauschbar aufgenommen ist, wobei in dem Speichermittel eine Anzahl von Funktionsaktivierungscodes abrufbar gespeichert ist und jedem der Funktionsaktivierungscodes eine Funktion der Funktionsbibliothek derart zuordenbar ist, dass durch eine logische Verknüpfung der Funktionsaktivierungscodes mit den diesen zugeordneten Funktionen der Funktionsbibliothek nur diejenigen Funktionen der Funktionsbibliothek aktivierbar sind, deren Funktionsaktivierungscodes in dem Speichermittel gespeichert sind. Die erfindungsgemäße Sicherheitssteuerungseinrichtung ermöglicht eine einfache (auch nachträgliche) Funktionserweiterung beziehungsweise Funktionsänderung durch den Anwender, indem durch die logische Verknüpfung der in dem nicht-flüchtigen

Speichermittel gespeicherten Funktionsaktivierungscodes mit den Funktionen der Funktionsbibliothek des Betriebsprogramms nur diejenigen Funktionen aktiviert und dadurch freigeschaltet werden, die der Anwender tatsächlich benötigt beziehungsweise für die er vom Hersteller der Sicherheitssteuerungseinrichtung entsprechende

Nutzungsrechte erworben hat. Die Sicherheitssteuerungseinrichtung ist somit skalierbar und kann auf einfache Weise prozesssicher um zusätzliche Funktionen erweitert werden, indem das in die

Recheneinheit integrierte beziehungsweise das in der

Speichermittelschnittstelle austauschbar untergebrachte

überschreibbare Speichermittel, das vorzugsweise eine SD-Karte oder ein USB-Speichermittel sein kann, mit entsprechenden

Funktionsaktivierungscodes beschrieben wird, die anschließend mit den diesen zugeordneten Funktionen der Funktionsbibliothek logisch verknüpft werden, so dass diese Funktionen freigeschaltet und aktiviert werden. Vorzugsweise kann durch die Nutzung von

Speichermitteln mit kryptografischen Speicherbereichen, in denen die Funktionsaktivierungscodes gespeichert sind, ein Kopier- und

Manipulationsschutz erhalten werden. Ein Aufspielen eines

geänderten Betriebsprogramms zur Änderung des Funktionsumfangs der Sicherheitssteuerungseinrichtung, das während des Upgrade- Prozesses zu unerwarteten Fehlern führen kann, kann somit in vorteilhafter Weise vermieden werden. Für den Hersteller der

Sicherheitssteuerungseinrichtung ergeben sich ebenfalls Vorteile. So ist es nicht erforderlich, für unterschiedliche Funktionsumfänge der Sicherheitssteuerungseinrichtung unterschiedliche

Betriebsprogramme zu erstellen, aufwändig zu testen und

gegebenenfalls zusammen mit der Hardware zertifizieren zu lassen. Anwenderseitig können einzelne der aktivierten und freigeschalteten Funktionen oder auch Funktionsgruppen mit einer Mehrzahl von Funktionen selektiv mit einem Anwenderprogramm ausgewählt, parametrisiert und in geeigneter Weise miteinander verknüpft werden. Zu diesem Zweck kann eine Programmierschnittstelle oder eine an die Sicherheitssteuerungseinrichtung an schließbare

Programmiervorrichtung vorgesehen sein.

In einer bevorzugten Ausführungsform kann vorgesehen sein, dass die Funktionsbibliothek eine erste Funktionsgruppe aufweist, die der Sicherheitssteuerungseinrichtung nach der Aktivierung durch die zugeordneten Funktionsaktivierungscodes in einer ersten

Basiskonfiguration Funktionsumfänge für eine

Signalverarbeitungsfreie Signaleingabe und Signalausgabe zur

Verfügung stellt. Diese erste Basiskonfiguration der

Sicherheitssteuerungseinrichtung, die der Anwender vorkonfiguriert vom Hersteller der Sicherheitssteuerungseinrichtung erwerben kann, bildet die„einfachste" Ausgestaltung der Steuerungsvorrichtung, die lediglich eine Signaleingabe und eine Signalausgabe ermöglicht.

In einer weiteren bevorzugten Ausführungsform besteht die

Möglichkeit, dass die Funktionsbibliothek eine zweite

Funktionsgruppe aufweist, die der Sicherheitssteuerungseinrichtung nach der Aktivierung durch die zugeordneten

Funktionsaktivierungscodes in einer zweiten Basiskonfiguration

Funktionsumfänge einer speicherprogrammierbaren

Steuerungseinrichtung zur Verfügung stellt. Diese zweite

Basiskonfiguration kann ebenfalls vom Hersteller der

Sicherheitssteuerungseinrichtung vorkonfiguriert sein. Ferner kann ein Anwender, der die Sicherheitssteuerungseinrichtung mit der ersten Basiskonfiguration bereits besitzt, durch einen Erwerb von Nutzungsrechten für die Funktionen der zweiten Funktionsgruppe und das Verknüpfen der Funktionsaktivierungscodes mit den diesen zugeordneten Funktionen der Funktionsbibliothek in der oben beschriebenen Weise seine Sicherheitssteuerungseinrichtung in eine höhere Geräteklasse überführen, in der Funktionsumfänge einer speicherprogrammierbaren Steuerungseinrichtung gemäß der Norm EN 61131 bereitgestellt werden. Ein kostspieliger Austausch der Hardware der Sicherheitssteuerungseinrichtung oder das Aufspielen eines komplett neuen Betriebsprogramms sind somit nicht

erforderlich.

In einer weiteren vorteilhaften Ausführungsform wird vorgeschlagen, dass die Funktionsbibliothek eine dritte Funktionsgruppe aufweist, die der Sicherheitssteuerungseinrichtung nach der Aktivierung durch die zugeordneten Funktionsaktivierungscodes in einer dritten

Basiskonfiguration Funktionsumfänge einer

Sicherheitssteuerungseinrichtung mit sicherheitstechnischen

Steuerregeln zur Verfügung stellt. Beispiel für freischaltbare

Sicherheitsfunktionen sind unter anderem sichere

Kommunikationsprotokolle sowie so genannte„Failsafe"-Funktionen. Diese dritte Basiskonfiguration kann ebenfalls vom Hersteller der Sicherheitssteuerungseinrichtung vorkonfiguriert sein. Ferner kann ein Anwender, der die Sicherheitssteuerungseinrichtung in der ersten oder zweiten Basiskonfiguration bereits besitzt, durch einen Erwerb von Nutzungsrechten für die Funktionen der dritten Funktionsgruppe und das Verknüpfen der Aktivierungscodes mit den diesen

zugeordneten Funktionen der Funktionsbibliothek in der oben beschriebenen Weise seine Sicherheitssteuerungseinrichtung in eine höhere Geräteklasse überführen, in der Funktionsumfänge einer Sicherheitssteuerungseinrichtung gemäß der Norm IEC 61508 mit entsprechenden sicherheitstechnischen Steuerregeln bereitgestellt werden. Ein kostspieliger Austausch der Hardware der

Sicherheitssteuerungseinrichtung oder das Aufspielen eines komplett neuen Betriebsprogramms sind somit ebenfalls nicht erforderlich. Die mit den zusätzlichen Sicherheitsfunktionen ausgestattete

Sicherheitssteuerungseinrichtung ist zum fehlersicheren Steuern sicherheitskritischer Prozesse, wie zum Beispiel einer fehlersicheren Abschaltung einer Maschine oder einer Maschinenanlage,

eingerichtet. Ferner können Funktionen aus der Funktionsbibliothek freigeschaltet und aktiviert werden, die zu einer Erhöhung der

Eigensicherheit der Sicherheitssteuerungseinrichtung beitragen.

In einer besonders bevorzugten Ausführungsform kann vorgesehen sein, dass die Funktionsumfänge der ersten und/oder zweiten und/oder dritten Basiskonfiguration durch Überschreiben des

Speichermittels und Speichern zumindest teilweise von den

Basiskonfigurationen verschiedener Funktionsaktivierungscodes veränderbar, insbesondere erweiterbar, sind. Die Idee besteht somit nicht nur darin, durch den Erwerb von Nutzungsrechten an einer ganzen Funktionsgruppe die Sicherheitssteuerungseinrichtung in eine andere Geräteklasse zu überführen, sondern auch innerhalb der drei verschiedenen Basiskonfigurationen Änderungen der

Funktionsumfänge der Sicherheitssteuerungseinrichtung vornehmen zu können. Das Freischalten erfolgt durch Verknüpfung der

Funktionsaktivierungscodes mit den Funktionen der

Funktionsbibliothek in der oben beschriebenen Weise.

Um insbesondere bei einem austauschbaren Speichermittel zu verhindern, dass die Funktionsaktivierungscodes unautorisiert kopiert werden oder dass das Speichermittel in einer anderen

Sicherheitssteuerungseinrichtung als derjenigen, für die die

Nutzungsrechte erworben wurden, verwendet wird, kann in einer bevorzugten Ausführungsform vorgesehen sein, dass in dem nichtflüchtigen, überschreibbaren Speichermittel zumindest ein

Hardwareidentifikationsdatensatz abrufbar gespeichert ist, der dazu eingerichtet ist, das Speichermittel und die mittels der

Funktionsaktivierungscodes freigeschalteten Funktionen eindeutig mit der Hardware der Sicherheitssteuerungseinrichtung zu verknüpfen. Die Sicherheitssteuerungseinrichtung kann nur zusammen mit dem autorisierten Speichermittel verwendet werden.

In einer weiteren vorteilhaften Ausführungsform besteht die

Möglichkeit, dass die Funktionsaktivierungscodes in einem

kryptografisch geschützten Speicherbereich des Speichermittels gespeichert sind. Dadurch kann bei einem austauschbaren

Speichermittel verhindert werden, dass die

Funktionsaktivierungscodes unautorisiert kopiert oder manipuliert werden. Bei einem fest in die Recheneinheit integrierten

Speichermittel kann durch diese Maßnahme eine Manipulation der Funktionsaktivierungscodes verhindert werden.

Vorzugsweise können die Funktionen der Funktionsbibliothek in einer Funktionstabelle innerhalb des Festspeichers abrufbar gespeichert sein. Dadurch kann die Verknüpfung der Funktionsaktivierungscodes mit den Funktionen der Funktionsbibliothek in besonders einfacher Weise erfolgen. Ferner kann sehr einfach erkannt werden, ob es zu einem oder mehreren Funktionsaktivierungscodes möglicherweise keine„passenden", diesen zuordenbaren Funktionen in der

Funktionsbibliothek gibt.

In einer besonders vorteilhaften Weiterbildung besteht die

Möglichkeit, dass die Sicherheitssteuerungseinrichtung um ein oder mehrere Eingabemodule und/oder um ein oder mehrere

Ausgabemodule erweiterbar ist, wobei zusätzliche Funktionen des Eingabemoduls/der Eingabemodule und/oder des Ausgabemoduls/der Ausgabemodule in der Funktionsbibliothek des Betriebsprogramms enthalten sind. Dadurch wird in vorteilhafter Weise auch eine

Hardware-Skalierung der Sicherheitssteuerungseinrichtung

geschaffen. Da die Funktionen der zusätzlichen Eingabemodule und/oder Ausgabemodule bereits in die Funktionsbibliothek des Betriebsprogramms integriert sind und in der hier beschriebenen Weise aktiviert und dadurch freigeschaltet werden können, ist es in vorteilhafter Weise nicht erforderlich, bei einer Hardwareerweiterung ein ganz neues Betriebsprogramm in der

Sicherheitssteuerungseinrichtung zu installieren.

Ein erfindungsgemäßes Verfahren zur Änderung eines

Funktionsumfangs einer Sicherheitssteuerungseinrichtung,

insbesondere einer Sicherheitssteuerungseinrichtung nach einem der Ansprüche 1 bis 9, umfasst die Schritte

- Bereitstellen der Sicherheitssteuerungseinrichtung mit einem

Betriebsprogramm,

- Bereitstellen eines überschreibbaren, nicht-flüchtigen

Speichermittels, in dem Funktionsaktivierungscodes abrufbar gespeichert sind,

- Verknüpfen der gespeicherten Funktionsaktivierungscodes mit diesen zugeordneten Funktionen einer Funktionsbibliothek des

Betriebsprogramms in der Sicherheitssteuerungseinrichtung.

Das erfindungsgemäße Verfahren ermöglicht auf einfache Weise eine Anpassung beziehungsweise Erweiterung des Funktionsumfangs einer vorhandenen Sicherheitssteuerungseinrichtung, ohne dass dabei das Betriebsprogramm durch ein geändertes Betriebsprogramm ersetzt werden muss. Dieses wirkt sich vorteilhaft auf die Prozesssicherheit bei der Anpassung beziehungsweise Erweiterung des

Funktionsumfangs der Sicherheitssteuerungseinrichtung aus.

In einer vorteilhaften Ausgestaltung wird vorgeschlagen, dass nach dem Verknüpfen der gespeicherten Funktionsaktivierungscodes mit den Funktionen der Funktionsbibliothek zumindest ein

Hardwareidentifikationsdatensatz in dem nicht-flüchtigen

Speichermittel abrufbar gespeichert wird. Dadurch können

insbesondere ein unautorisiertes Kopieren der

Funktionsaktivierungscodes beziehungsweise eine unautorisierte Nutzung der freigeschalteten Funktionsumfänge in einer anderen Sicherheitssteuerungseinrichtung verhindert werden.

In einer besonders vorteilhaften Ausführungsform besteht die

Möglichkeit, dass die Funktionsaktivierungscodes in einem

kryptografisch geschützten Speicherbereich des Speichermittels gespeichert werden. Auf diese Weise kann das Kopieren und

Manipulieren der Funktionsaktivierungscodes wirksam verhindert werden. Bei einem austauschbaren Speichermittel, wie zum Beispiel einer SD-Karte oder einem USB-Speichermittel, besteht so in vorteilhafter Weise die Möglichkeit, die einmal erworbenen

Funktionsaktivierungscodes später mit anderen dafür vorgesehenen Sicherheitssteuerungseinrichtungen zu nutzen. Dieses ist zum

Beispiel bei einem Defekt der Sicherheitssteuerungseinrichtung vorteilhaft, da eine weitere funktionsfähige

Sicherheitssteuerungseinrichtung sehr einfach durch Einsetzen des Speichermittels in eine dafür vorgesehene Speichermittelaufnahme betriebsbereit gemacht werden kann.

Weitere Merkmale und Vorteile der vorliegenden Erfindung werden deutlich anhand der nachfolgenden Beschreibung eines bevorzugten Ausführungsbeispiels unter Bezugnahme auf die beiliegende Fig. 1, die eine schematisch stark vereinfachte Darstellung einer

Sicherheitssteuerungseinrichtung 1 zeigt.

Die Sicherheitssteuerungseinrichtung 1 umfasst in diesem

Ausführungsbeispiel mindestens ein Eingabemodul 2, mindestens ein Ausgabemodul 3 sowie eine Recheneinheit 4, die an das

Eingabemodul 2 und an das Ausgabemodul 3 angeschlossen ist. Das Eingabemodul 2 weist eine Anzahl von Eingangsschnittstellen 20, 21, 22 auf, die selektiv aktivierbar oder deaktivierbar sind. Dadurch können einzelne oder alle Eingangsschnittstellen 20, 21, 22

anwendungsspezifisch aktiviert werden, so dass diese

Eingangssignale empfangen können. An jede der

Eingangsschnittstellen 20, 21, 22 kann ein Sensor 50, 51, 52

angeschlossen werden. Jeder dieser Sensoren 50, 51, 52 kann den Eingangsschnittstellen 20, 21, 22 Eingangssignale zur Verfügung stellen, die zum Beispiel Informationen über einen Betriebsstatus einer Maschine oder einer Maschinenanlage liefern können. Beispiele für derartige Sensoren 50, 51, 52 sind unter anderem Taster,

Schalter, Annäherungssensoren, Temperatursensoren, Lagesensoren, Drehzahlzensoren, Drucksensoren und Lichtschranken.

Die Sicherheitssteuerungseinrichtung 1 ist grundsätzlich dafür ausgelegt, dass die über die Eingangsschnittstellen 20, 21, 22 erhaltenen Eingangssignale von der Recheneinheit 4, deren Aufbau und Funktionsweise weiter unten näher beschrieben werden,

verarbeitet werden können. Das Ausgabemodul 3 weist eine Anzahl von Ausgangsschnittstellen 30, 31, 32 auf, die ebenfalls selektiv aktiviert beziehungsweise deaktiviert werden können. Dadurch können einzelne oder alle Ausgangsschnittstellen 30, 31, 32 anwendungsspezifisch aktiviert werden, so dass über diese Ausgangssignale übertragen werden können. An jede der

Ausgangsschnittstellen 30, 31, 32 kann jeweils ein Aktor 60, 61, 62 angeschlossen werden. Diese Aktoren 60, 61, 62 können in

Abhängigkeit von den über die Ausgangsschnittstellen 30, 31, 32 bereitgestellten Ausgangssignalen bestimmte Aktionen ausführen. Beispiele für derartige Aktoren 60, 61, 62 sind unter anderem

Schütze, Relais, elektronische Schalter sowie optische und/oder akustische Signalvorrichtungen. Die Recheneinheit 4 ist dazu

geeignet, die über die Eingangsschnittstellen 20, 21, 22 empfangenen Eingangssignale nach bestimmten Regeln, insbesondere durch logische Verknüpfungen, und gegebenenfalls weiteren

Signalverarbeitungs- und/oder Datenverarbeitungsschritten

auszuwerten und an den Ausgangsschnittstellen 30, 31, 32

entsprechende Ausgangssignale bereitzustellen, die an die Aktoren 60, 61, 62 weitergeleitet werden, um diese anzusteuern.

Die Recheneinheit 4 umfasst einen programmierbaren Prozessor 40, einen Festspeicher 41 sowie einen Arbeitsspeicher 42. Innerhalb des Festspeichers 41 ist ein Betriebsprogramm 5 zum Betreiben des Prozessors 40 nicht-flüchtig gespeichert. Dieses Betriebsprogramm 5, das häufig auch als Firmware bezeichnet wird, weist

Programmcodemittel in maschinenlesbarer Form auf und stellt der Sicherheitssteuerungseinrichtung 1 eine Funktionsbibliothek F mit einer Anzahl n verfügbarer Funktionen Fi bis F _n zur Verfügung. Diese Funktionen Fi bis F _n bilden Basisfunktionen, für deren Ausführung die Sicherheitssteuerungseinrichtung 1 hardware- und softwareseitig grundsätzlich ausgelegt ist. In dem Arbeitsspeicher 42 können zum Beispiel ein Anwenderprogramm sowie Zwischengrößen, die zum Beispiel bei der Verarbeitung der Eingangssignale anfallen können, temporär gespeichert werden. Die grundlegende Idee der vorliegenden Erfindung besteht nun darin, die Sicherheitssteuerungseinrichtung 1 anwendungsspezifisch nur mit solchen Funktionen Fi aus der Funktionsbibliothek F auszustatten, die der Anwender der Sicherheitssteuerungseinrichtung 1 tatsächlich benötigt beziehungsweise für die er vom Hersteller der

Sicherheitssteuerungseinrichtung 1 entsprechende Nutzungsrechte erworben hat, die es ihm gestatten, diese Funktionen Fi zu nutzen. Beispielsweise kann die Sicherheitssteuerungseinrichtung 1 in einer ersten Basiskonfiguration, die vom Hersteller vorkonfiguriert sein kann, nur die insbesondere in einer ersten Funktionsgruppe FG1 zusammengefassten Funktionen Fi einer Eingabe- und

Ausgabevorrichtung aufweisen, bei der über die

Eingangsschnittstellen 20, 21, 22 des Eingangsmoduls 2

Eingangssignale empfangen werden und diese - ohne dass eine Signalverarbeitung mittels der Recheneinheit 4 erfolgt - als

Ausgangssignale an den Ausgangsschnittstellen 30, 31, 32 des

Ausgangsmoduls 3 ausgegeben werden.

In einer zweiten Basiskonfiguration, die vom Hersteller der

Sicherheitssteuerungseinrichtung 1 ebenfalls vorkonfiguriert sein kann, kann die Sicherheitssteuerungseinrichtung 1 typische

Funktionen Fi einer speicherprogrammierbaren Steuerungseinrichtung aufweisen, die herstellerseitig beispielsweise in einer zweiten

Funktionsgruppe FG2 zusammengefasst sein können. Nach einer Bereitstellung entsprechender Funktionsaktivierungscodes FACi in maschinenlesbarer Form und deren logischer Verknüpfung mit den Funktionen Fi zum Zwecke der Aktivierung dieser Funktionen Fi kann die Sicherheitssteuerungseinrichtung 1 über die freigeschalteten Eingangsschnittstellen 20, 21, 22 des Eingangsmoduls 2

Eingangssignale von den Sensoren 50, 51, 52 erfassen. Die

Recheneinheit 4 verarbeitet diese Eingangssignale nach bestimmten Regeln und generiert Ausgangssignale, die über die Ausgangsschnittstellen 30, 31, 32 des Ausgangsmoduls 3 ausgegeben werden und den Aktoren 60, 61, 62 zur Verfügung gestellt werden, die in Abhängigkeit von den Ausgangssignalen bestimmte Aktionen ausführen können.

In einer dritten Basiskonfiguration, die vom Hersteller der

Sicherheitssteuerungseinrichtung 1 ebenfalls vorkonfiguriert sein kann und deren Funktionen Fi zu einer dritten Funktionsgruppe FG3 zusammengefasst sein können, kann die

Sicherheitssteuerungseinrichtung 1 typische Funktionen zum

fehlersicheren Steuern sicherheitskritischer Prozesse, insbesondere zum fehlersicheren Abschalten einer Maschine oder einer

Maschinenanlagen, aufweisen. Dabei werden zum Beispiel bestimmte Funktionen bereitgestellt, die bewirken, dass der mittels der

Sicherheitssteuerungseinrichtung 1 gesteuerte Prozess im Fehlerfall in einen sicheren Zustand überführt werden kann.

Die Änderung beziehungsweise Erweiterung des Funktionsumfangs der Sicherheitssteuerungseinrichtung 1 erfolgt anders als im Stand der Technik nicht durch das Aufspielen eines neuen

Betriebsprogramms 5, das in dem Festspeicher 41 der Recheneinheit 4 abrufbar gespeichert ist. Vorliegend werden

Funktionsaktivierungscodes FACi in maschinenlesbarer Form

bereitgestellt, die mit den einzelnen Funktionen Fi der

Funktionsbibliothek F logisch verknüpft werden können, um dadurch deren Freischaltung und Aktivierung zu bewirken. Dabei ist einer Funktion Fi der Funktionsbibliothek F ein definierter

Funktionsaktivierungscode FACi zuordenbar. Durch die logische Verknüpfung der einzelnen Funktionsaktivierungscodes FACi mit den diesen zugeordneten Funktionen Fi der Funktionsbibliothek F ist es möglich, gezielt einzelne Funktionen Fi aus der Funktionsbibliothek F des Betriebsprogramms 5 freizuschalten, um dadurch den Funktionsumfang der Sicherheitssteuerungseinrichtung 1 zu

definieren.

Die Recheneinheit 4 weist in diesem Ausführungsbeispiel eine

Speichermittelschnittstelle 43 auf, in der ein überschreibbares, nichtflüchtiges Speichermittel 6 aufgenommen werden kann. Dieses

Speichermittel 6 kann vorzugsweise eine SD-Karte oder ein USB- Speichermittel sein. In diesem Zusammenhang ist es bevorzugt, dass die Funktionsaktivierungscodes FACi in einem kryptografisch

geschützten Speicherbereich des Speichermittels 6 gespeichert sind. Auf diese Weise kann bei einem austauschbaren Speichermittel 6 verhindert werden, dass die Funktionsaktivierungscodes FACi unautorisiert kopiert oder auch manipuliert werden. Ferner wird dadurch in vorteilhafter Weise auch die Möglichkeit geschaffen, die einmal erworbenen Funktionsaktivierungscodes FACi später mit anderen dafür vorgesehenen Sicherheitssteuerungseinrichtungen 1 zu nutzen.

In einer alternativen Ausführungsform besteht auch die Möglichkeit, dass das überschreibbare, nicht-flüchtige Speichermittel 6 fest in die Recheneinheit 4 integriert ist. Dieses fest integrierte Speichermittel kann ebenfalls einen kryptografisch geschützten Speicherbereich aufweisen, in dem die Funktionsaktivierungscodes FACi abrufbar gespeichert sind.

In dem Speichermittel 6 ist eine Anzahl von

Funktionsaktivierungscodes FACi abrufbar gespeichert. Dabei ist jedem der Funktionsaktivierungscodes FACi, die vom Anwender in einem Lizensierungsprozess erworben wurden, eine der Funktionen Fi der Funktionsbibliothek F derart zugeordnet, dass durch die logische Verknüpfung der Funktionsaktivierungscodes FACi mit den Funktionen Fi der Funktionsbibliothek F nur diejenigen Funktionen Fi aktivierbar sind, deren Funktionsaktivierungscodes FACi in dem Speichermittel 6 gespeichert sind. Die Gesamtheit der Funktionen Fi bis F _n der

Funktionsbibliothek F, für deren Ausführung die

Sicherheitssteuerungseinrichtung 1 hardware- und softwareseitig grundsätzlich ausgelegt ist, kann zum Beispiel in Form einer

Funktionstabelle in dem Festspeicher 5 hinterlegt sein. Beim

Einsetzen des überschreibbaren, nicht-flüchtigen Speichermittels 6 in die dafür vorgesehene Speichermittelschnittstelle 43 können die darin gespeicherten Funktionsaktivierungscodes FACi von dem Prozessor 40 ausgelesen werden. Ferner können die zugehörigen Funktionen Fi, die mittels der bereitgestellten Funktionsaktivierungscodes FACi aktivierbar sind, aus der Funktionstabelle der Funktionsbibliothek F ausgelesen werden. Dabei werden die Funktionsaktivierungscodes FACi mit den zugehörigen Funktionen Fi logisch verknüpft und dadurch aktiviert und für die Nutzung freigeschaltet. Bei diesem

Autorisierungsprozess kann zum Beispiel zumindest ein

Hardwareidentifikationsdatensatz ID erzeugt werden, der

anschließend in dem nicht-flüchtigen, überschreibbaren

Speichermittel 6 abrufbar gespeichert wird. Auf diese Weise werden das Speichermittel 6 und die mittels der Funktionsaktivierungscodes FACi freigeschalteten Funktionen Fi eindeutig mit der Hardware der Sicherheitssteuerungseinrichtung 1 verknüpft. Dadurch kann zum Beispiel eine unautorisierte Nutzung der Funktionsaktivierungscodes FACi verhindert werden, indem diese eindeutig mit der Hardware der Sicherheitssteuerungseinrichtung 1 verknüpft werden. Die Nutzung der Sicherheitssteuerungseinrichtung 1 ist nur mittels des in dieser Weise autorisierten Speichermittels 6 möglich. Die eindeutige

Zuordnung der Hardware der Sicherheitssteuerungseinrichtung 1 zu dem Speichermittel 6 mit den darin hinterlegten

Funktionsaktivierungscodes FACi ist nicht zwingend erforderlich.

Wenn die Funktionsaktivierungscodes FACi in einem kryptografisch geschützten Speicherbereich des Speichermittels 6 gespeichert sind, kann das Kopieren und/oder Manipulieren der

Funktionsaktivierungscodes FACi wirksam verhindert werden. Bei einem austauschbaren Speichermittel 6, wie zum Beispiel einer SD- Karte oder einem USB-Speichermittel, besteht so in vorteilhafter Weise die Möglichkeit, die einmal erworbenen

Funktionsaktivierungscodes FACi zu einem späteren Zeitpunkt mit anderen dafür vorgesehenen Sicherheitssteuerungseinrichtungen 1 zu nutzen.

Es ist zum Beispiel möglich, aus einer

Sicherheitssteuerungseinrichtung 1 in der ersten Basiskonfiguration durch Freischalten der Funktionen der zweiten Funktionsgruppe FG2 eine Sicherheitssteuerungseinrichtung 1 in der zweiten

Basiskonfiguration zu erhalten, ohne dass die Hardware der

Sicherheitssteuerungseinrichtung 1 ausgetauscht werden muss und ohne dass ein neues Betriebsprogramm 5 aufgespielt werden muss. Es ist ferner möglich, aus einer Sicherheitssteuerungseinrichtung 1 in der ersten oder zweiten Basiskonfiguration durch Freischalten der Funktionen der dritten Funktionsgruppe FG3 eine

Sicherheitssteuerungseinrichtung 1 in der dritten Basiskonfiguration zu erhalten, ohne dass auch hierbei die Hardware der

Sicherheitssteuerungseinrichtung 1 ausgetauscht werden muss und ohne dass ein neues Betriebsprogramm 5 aufgespielt werden muss.

Selbstverständlich können auch innerhalb der drei

Basiskonfigurationen der Sicherheitssteuerungseinrichtung 1 durch die Bereitstellung von Funktionsaktivierungscodes FACi ebenfalls bestimmte Funktionen Fi aus der Funktionsbibliothek F gezielt freigeschaltet und aktiviert werden, um den Funktionsumfang der Sicherheitssteuerungseinrichtung 1 anzupassen, insbesondere zu erweitern, ohne dabei ein neues Betriebsprogramm 5 aufspielen zu müssen. Darüber hinaus besteht auch die Möglichkeit, dass die

Sicherheitssteuerungseinrichtung 1 um ein oder mehrere

Eingabemodule 2 und/oder um ein oder mehrere Ausgabemodule 3 erweiterbar ist, wobei zusätzliche Funktionen Fi des

Eingabemoduls/der Eingabemodule und/oder des Ausgabemoduls/der Ausgabemodule in der Funktionsbibliothek F des Betriebsprogramms 5 bereits enthalten sind. Dadurch wird in vorteilhafter Weise auch die Möglichkeit einer Hardware-Skalierung der

Sicherheitssteuerungseinrichtung 1 geschaffen. Da die Funktionen der zusätzlichen Eingabemodule 2 und/oder Ausgabemodule 3 bereits in die Funktionsbibliothek F des Betriebsprogramms 5 integriert sind und in der hier beschriebenen Weise aktiviert und dadurch freigeschaltet werden können, ist es in vorteilhafter Weise nicht erforderlich, bei einer Hardwareerweiterung ein ganz neues Betriebsprogramm 5 in der Sicherheitssteuerungseinrichtung 1 zu installieren, damit die

zusätzlichen Funktionen genutzt werden können.