Nothing Special   »   [go: up one dir, main page]

DE202006016012U1 - System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application - Google Patents

System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application Download PDF

Info

Publication number
DE202006016012U1
DE202006016012U1 DE200620016012 DE202006016012U DE202006016012U1 DE 202006016012 U1 DE202006016012 U1 DE 202006016012U1 DE 200620016012 DE200620016012 DE 200620016012 DE 202006016012 U DE202006016012 U DE 202006016012U DE 202006016012 U1 DE202006016012 U1 DE 202006016012U1
Authority
DE
Germany
Prior art keywords
application
crc
checksum
firmware
system architecture
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE200620016012
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sick AG
Original Assignee
Sick AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sick AG filed Critical Sick AG
Priority to DE200620016012 priority Critical patent/DE202006016012U1/en
Publication of DE202006016012U1 publication Critical patent/DE202006016012U1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

The architecture has a processor and a memory unit (21) that is provided for storage of a secure firmware and is attached to the processor, where another memory unit (26) stores an application and is attached to the processor. The unit (26) is connected with the unit (21) by a connection. Safe input and output are connected with the unit (21), where the safe output is secured by a checksum during modification or execution of the application.

Description

Die Erfindung betrifft eine Systemarchitektur für eine Firmware.The The invention relates to a system architecture for a firmware.

Häufig werden mehrere Geräte über einen gemeinsamen Datenbus (Feldbus, Profibus) mit einer Steuereinheit, z.B. einem Rechner verbunden. Diese als Feldgeräte bezeichneten Geräte können insbesondere Messgeräte und/oder Stellgeräte (Sensoren, Aktoren) sein, die zusammen mit der Steuereinheit zur Prozessautomatisierung, z.B. als Prozessleitsystem eingesetzt werden. Die Feldgeräte können dabei Prozessparameter erfassen und/oder steuern. Insbesondere werden solche Feldgeräte in einem Systemverbund für Sicherheitseinrichtungen verwendet, wobei die Feldgeräte Bestandteile von Lichtschranken, Lichtgittern, Laserscannern, Näherungssensoren und dergleichen sind.Become frequent multiple devices over a common Data bus (field bus, Profibus) with a control unit, e.g. one Computer connected. These devices, referred to as field devices, can in particular Measuring device and / or actuators (Sensors, actuators), which together with the control unit for Process automation, e.g. be used as a process control system. The field devices can do this Capture and / or control process parameters. In particular, be such field devices in a system group for Safety devices used, the field devices components of light barriers, light grids, laser scanners, proximity sensors and the like.

Damit in einem solchen Systemverbund unterschiedliche Feldgeräte eingesetzt werden können, ist in den Feldgeräten eine Firmware gespeichert, um die unterschiedlichen Feldgeräte durch die Steuereinheit bedienen zu können. Die Firmware enthält beispielsweise eine Identifizierung des jeweiligen Feldgerätes und die zum Betrieb des Feldgerätes erforderlichen Informationen, z.B. in Form einer sogenannten Gerätebeschreibung (Device description). Die Firmware wird in der Regel vom Hersteller des Feldgerätes erstellt und in gewissen zeitlichen Abständen aktualisiert, um neue oder geänderte Funktionalitäten des Feldgerätes zu berücksichtigen oder Programmierfehler zu berichtigen.In order to used in such a system composite different field devices can be in the field devices a firmware stored to the different field devices through to operate the control unit. The firmware contains for example an identification of the respective field device and the operation of the field device required information, e.g. in the form of a so-called device description (Device description). The firmware is usually from the manufacturer of the field device created and updated at certain intervals to new ones or changed functionalities of the field device to take into account or to correct programming errors.

Die Firmware weist in der Regel eine derartige Systemarchitektur auf, dass sie aus einem Teil, welcher für eine sicherheitstechnische Auswertung zuständig ist und welcher im Folgenden als sichere Firmware bezeichnet wird und aus einem applikationsspezifischen Teil, welcher im Folgenden als Applikation bezeichnet wird, besteht.The Firmware typically has such a system architecture that they are made of a part which is for a safety-related Evaluation in charge and which is referred to below as secure firmware and from an application-specific part, which in the following is called application exists.

Beispielsweise bilden bei einem Lichtgitter sowohl die applikationsspezifische als auch die sicherheitsgerichtete Auswertung eine gemeinsame Einheit, nämlich die Firmware. Dabei bilden beispielsweise die Auswertung der Optikkette der unterschiedlichen Lichtsender und Lichtempfänger im Hinblick auf ein Eindringen eines Gegenstands oder einer Person in den Überwachungsbereich, die Auswertung sicherer Eingänge, die Selbsttests des Systems, welche den gängigen Sicherheitsanforderungen genügen müssen oder die Ansteuerung der sicheren Ausgänge die sichere Firmware. Zu der Applikation zählen beispielsweise unterschiedliche anwendungsspezifische Algorithmen, wie beispielsweise die Auswertung einzelner Strahlen des Lichtgitters für das sogenannte Blanking, welches es ermöglicht, ausgewählte Bereiche des Überwachungsbereichs auszublenden, wenn eine permanente Unterbrechung einzelner Lichtstrahlen des Lichtgitters zum Beispiel durch eine feststehende mechanische Halterung oder durch ein sich im Überwachungsbereich bewegendes Teil während des normalen Arbeitsvorgangs gefordert wird.For example In the case of a light grid, both the application-specific form as well as the safety-oriented evaluation a common unit, namely the firmware. In this case, for example, the evaluation of the optical chain the different light emitter and light receiver in terms of penetration of an object or a person in the surveillance area, the evaluation safe inputs, the self-tests of the system, which meet the common safety requirements suffice have to or the control of the safe outputs the safe firmware. To counting the application for example, different application-specific algorithms, such as the evaluation of individual rays of the light grid for the so-called Blanking, which allows selected areas hide the monitoring area, if a permanent interruption of individual light rays of the light grid for example, by a fixed mechanical holder or by a moving in the surveillance area Part while of the normal operation is required.

Wird die Firmware aktualisiert, weil beispielsweise lediglich eine Änderung in der Applikation vorgenommen werden muss, besteht ein Problem darin, dass auch die sichere Firmware geändert wird und möglicherweise die nach den üblichen Sicherheitsstandards geprüfte und gegebenenfalls zertifizierte sichere Firmware nicht mehr den entsprechenden Sicherheitsanforderungen entspricht. Daher wird nach einer Aktualisierung der Firmware eine neue Sicherheitsüberprüfung notwendig, was zeit- und kostenintensiv ist.Becomes Updated the firmware because, for example, just a change in the application, there is a problem in that also the safe firmware is changed and possibly the usual Safety standards tested and possibly certified secure firmware no longer corresponding safety requirements. Therefore, after a Updating the firmware a new security check necessary which is time consuming and expensive.

Der DE 195 04 404 C1 ist eine Systemarchitektur zu entnehmen, die es gestattet, auf einem Prozessor sicherheitsüberprüfte und nicht sicherheitsüberprüfte Programme laufen zu lassen, ohne dass die Gefahr besteht, dass das nicht über prüfte Programm den Lauf des geprüften Programms in unterwünschter Weise beeinflussen oder stören kann. Dazu laufen in ein und demselben Prozessor zwei verschiedene Programmkomplexe ab, wobei einer der beiden Programmkomplexe hinsichtlich der möglichen Fehler überprüft ist und der andere der beiden Programmkomplexe nicht überprüft ist. Um eine Störung des überprüften Programmkomplexes durch den nicht überprüften Programmkomplex auszuschließen, sind die Peripheriemittel, die mit dem überprüften Programmkomplex zusammenarbeiten, mit Inhibiteingängen versehen und der geprüfte Programmkomplex sperrt über die Inhibiteingänge die für ihn reservierten Peripheriemittel, ehe der die Regie an den nicht überprüften Programmkomplex abgibt. Dadurch kann sichergestellt werden, dass der zweite Programmkomplex an die Peripheriemittel keine Befehle auszugeben vermag, von denen der erste Programmkomplex keine Kenntnis hat. Diese Inhibiteingänge zählen als Hardware und sind in der Herstellung aufwendig.Of the DE 195 04 404 C1 A system architecture is to be found which allows to run on a processor safety-tested and non-safety-tested programs, without the risk that the program that has not been tested can undesirably influence or disturb the course of the tested program. For this purpose, two different program complexes run in one and the same processor, wherein one of the two program complexes is checked for possible errors and the other of the two program complexes has not been checked. In order to prevent a malfunction of the program complex being checked by the program complex that has not been checked, the peripheral means which cooperate with the checked program complex are provided with inhibit inputs and the program complex checked locks the peripheral means reserved for it via the inhibit input before it is directed to the program complex that has not been checked emits. This ensures that the second program complex can not issue commands to the peripheral devices, of which the first program complex has no knowledge. These inhibit inputs count as hardware and are expensive to manufacture.

Die Aufgabe der Erfindung besteht daher darin, eine Systemarchitektur für eine Firmware bereitzustellen, bei welcher die Aktualisierung der Firmware einfach, schnell und kostengünstig möglich ist.The The object of the invention is therefore a system architecture for one Provide firmware that updates the firmware easy, fast and inexpensive possible is.

Die Aufgabe der Erfindung wird gelöst durch eine Systemarchitektur für eine Firmware mit den Merkmalen des Schutzanspruchs 1.The The object of the invention is achieved through a system architecture for a firmware with the features of the protection claim 1.

Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.advantageous Embodiments and developments of the invention are specified in the subclaims.

Die erfindungsgemäße Systemarchitektur weist einen ersten Prozessor auf, welchem ein erstes Speichermittel zur Speicherung einer ersten sicheren Firmware und ein zweites Speichermittel zur Speicherung einer ersten Applikation zugeordnet sind. Die Systemarchitektur weist wenigstens einen sicheren Eingang und wenigstens einen sicheren Ausgang auf, welche mit dem ersten Speichermittel verbunden sind. Eingänge und Ausgänge werden dann als sicher bezeichnet, wenn sie den einschlägigen Sicherheitsanforderungen entsprechen. Das zweite Speichermittel ist mit dem ersten Speichermittel über eine Verbindung verbunden, ansonsten besteht jedoch eine definierte Trennung zwischen der ersten sicheren Firmware und der ersten Applikation. Dabei besteht insbesondere keine direkte Verbindung zwischen den Ein- oder Ausgängen und dem zweiten Speichermittel, auf welchem die Applikation gespeichert ist, so dass sämtliche Ein- und Ausgaben von Informationen an die Applikation über das erste Speichermittel und somit über die erste sichere Firmware laufen. Erfindungsgemäß ist während einer Änderung oder Ausführung der ersten Applikation der wenigstens eine sichere Ausgang der ersten sicheren Firmware durch eine erste Prüfsumme gesichert.The system architecture according to the invention has a first processor, which are assigned a first storage means for storing a first secure firmware and a second storage means for storing a first application. The system architecture has at least one secure input and at least one secure output connected to the first memory means. Inputs and outputs are considered safe if they meet the relevant safety requirements. The second storage means is connected to the first storage means via a connection, but otherwise there is a defined separation between the first secure firmware and the first application. In particular, there is no direct connection between the inputs or outputs and the second memory means on which the application is stored, so that all inputs and outputs of information to the application via the first memory means and thus run on the first secure firmware. According to the invention, the at least one safe output of the first secure firmware is backed up by a first check sum during a change or execution of the first application.

Sicherung durch eine Prüfsumme bedeutet dabei, dass in einem CRC-Verfahren (Cyclic Redundancy Check) aus bestimmten Daten eine Prüfsumme erzeugt wird, welche zusätzlich zu Daten übertragen wird und anhand welcher überprüft werden kann, ob bei der Übertragung eine Verfälschung der Daten stattgefunden hat oder nicht. Dazu werden vorliegend die Daten, die an dem einen Ausgang oder an den Ausgängen der Systemarchitektur anliegen, als serieller Bitstrom betrachtet und werden in einem CRC-Generator durch ein Generator-Polynom dividiert. Der sich bei der Division ergebende Rest stellt die Prüfsumme dar und wird für eine Übertragung an die Daten angehängt oder gemeinsam mit den entsprechenden Daten definiert abgelegt, wodurch die Sicherung der Daten erfolgt. Bestehen die Daten nur aus einem einzigen Bit, so wird das Bit beispielsweise durch Hinzufügen von Hilfsdaten zu einem 16- oder 32-Bit breiten Datensatz ergänzt. Die Sicherung des wenigstens einen Ausgangs durch eine Prüfsumme stellt somit bei einer Aktualisierung der Applikation sicher, dass eine Änderung der an den Ausgängen anliegenden Werte der sicheren Firmware erkannt wird. Eine Änderung der sicheren Firmware würde sich auch in einer Änderung der Prüfsumme niederschlagen, welche nach Aktualisierung oder sonstiger Änderung der Applikation erneut bestimmt wird. Dadurch wird sichergestellt, dass keine neue Sicherheitsüberprüfung oder gar Zertifizierung der sicheren Firmware nötig wird, wenn lediglich die Applikation aktualisiert wird. Eine Zertifizierung der Applikation ist jedoch in der Regel nicht erforderlich.fuse by a checksum means that in a CRC procedure (Cyclic Redundancy Check) from certain data a checksum is generated, which in addition transferred to data will be reviewed and based on which can, whether in the transfer a falsification the data has taken place or not. These are the present Data at the one output or at the outputs of the system architecture be considered as a serial bitstream and be in a CRC generator divided by a generator polynomial. Who is in the division Resulting residue represents the checksum and is for a transmission attached to the data or stored together with the corresponding data, whereby the backup of the data takes place. Do the data only exist a single bit, for example, the bit is added by adding Auxiliary data is added to a 16-bit or 32-bit wide data set. The Backup of at least one output by a checksum thus, when updating the application, make sure that a change the at the exits applied values of the safe firmware is detected. A change the secure firmware would also in a change knock down the checksum, which again after updating or otherwise changing the application is determined. This will ensure that no new security check or even certification of the secure firmware is necessary, if only the Application is updated. A certification of the application however, is usually not required.

Um die Sicherheit weiter zu erhöhen, wird vorzugsweise durch die erste Prüfsumme zusätzlich der wenigstens eine sichere Eingang gesichert, um auch sicherzustellen, dass die an den Eingängen der sicheren Firmware anliegenden Daten bei einer Änderung der Applikation keine Änderung erfahren.Around to further increase safety, is preferably the at least one by the first checksum Secure entrance secured to also ensure that the the entrances the data attached to the secure firmware in case of a change the application no change Experienced.

Eine Sicherung der ersten Applikation durch eine zweite Prüfsumme oder der sicheren Firmware durch eine dritte Prüfsumme, vorzugsweise eine Sicherung beider Komponenten durch eine zweite und eine dritte Prüfsumme, erleichtert den Nachweis, dass die erste sichere Firmware durch eine Änderung in der ersten Applikation nicht geändert wurde.A Save the first application with a second checksum or the secure firmware by a third checksum, preferably a fuse both components by a second and a third checksum, facilitates proof that the first secure firmware through a change in the first application has not changed has been.

Die Verbindung zwischen dem ersten Speichermittel und dem zweiten Speichermittel ist vorzugsweise durch eine vierte Prüfsumme gesichert, um auch eine Verfälschung der zwischen dem ersten und dem zweiten Speichermittel übertragenen Daten ausschließen zu können.The Connection between the first storage means and the second storage means is preferably secured by a fourth checksum, to include a adulteration the one transmitted between the first and second storage means Exclude data to be able to.

Bei einer besonders vorteilhaften Ausgestaltung der Erfindung ist ein zweiter Prozessor vorhanden mit einem dem zweiten Prozessor zugeordneten dritten Speichermittel zur Speicherung einer der ersten sicheren Firmware entsprechenden zweiten sicheren Firmware, die eine Verbindung mit dem wenigstens einen sicheren Ausgang aufweist, welcher durch eine fünfte Prüfsumme gesichert ist. Dadurch wird eine zweikanalige Struktur aufgebaut, der die Sicherheitsfunktion der Systemarchitektur deutlich erhöht. Vorzugsweise ist auch die zweite sichere Firmware durch eine sechste Prüfsumme gesichert.at a particularly advantageous embodiment of the invention is a second processor present with a third processor associated with the second processor Storage means for storing one of the first secure firmware corresponding second secure firmware that connects with having at least one safe output, which by a fifth checksum is secured. This builds a two-channel structure which significantly increases the security function of the system architecture. Preferably The second secure firmware is also secured by a sixth checksum.

Bei einer vorteilhaften Weiterbildung der Erfindung ist das erste Speichermittel mit dem dritten Speichermittel und somit die erste sichere Firmware mit der zweiten sicheren Firmware über eine Verbindung verbunden, um die Änderungen in einer sicheren Firmware auf die andere sichere Firmware übertragen zu können, damit stets die Zweikanaligkeit gewährleistet ist, wobei diese Verbindung vorzugsweise über eine siebte Prüfsumme gesichert ist, um fehlerhafte Datenübertragungen erkennen zu können.at An advantageous development of the invention is the first storage means with the third storage means and thus the first secure firmware with the second secure firmware over connected to the changes in a secure To transfer firmware to the other secure firmware so that always guarantees dual-channeling is, this connection preferably secured by a seventh checksum is to erroneous data transfers to be able to recognize.

In einer bevorzugten Ausführungsform der Erfindung ist das zweite Speichermittel mit dem dritten Speichermittel und somit die erste Applikation mit der zweiten sicheren Firmware über eine Verbindung verbunden, damit die anwendungsspezifischen Informationen ebenfalls an beide sicheren Firmwares übertragen werden, wobei diese Verbindung vorzugsweise über eine achte Prüfsumme gesichert ist.In a preferred embodiment the invention is the second storage means with the third storage means and thus the first application with the second secure firmware via a Connected to the application-specific information also be transmitted to both secure firmwares, this being Compound preferably via an eighth checksum is secured.

Prinzipiell kann eine Applikation, welche nur mit einer sicheren Firmware oder mit beiden sicheren Firmwares in Verbindung steht, genügen. In einer alternativen bevorzugten Ausführungsform ist auf dem zweiten Prozessor ein dem zweiten Prozessor zugeordnetes viertes Speichermittel zur Speicherung einer der ersten Applikation entsprechenden zweiten Applikation vorhanden, um eine vollständige zweikanalige Struktur bereitzustellen, wobei die zweite Applikation vorzugsweise über eine neunte Prüfsumme gesichert ist.In principle, an application which is only connected with a secure firmware or with both secure firmware can be sufficient. In an alternative preferred embodiment, a fourth memory means assigned to the second processor for storing a second corresponding to the first application on the second processor Application available to provide a complete two-channel structure, the second application is preferably secured via a ninth checksum.

Sind zwei Applikationen vorhanden, sind diese vorzugsweise vollständig unabhängig voneinander, wozu das vierte Speichermittel mit dem dritten Speichermittel und somit die zweite Applikation mit der zweiten sicheren Firmware über eine Verbindung verbunden ist, wobei diese Verbindung vorzugsweise über eine zehnte Prüfsumme gesichert ist. Eine Verbindung zwischen den beiden Applikationen ist nicht vorgesehen, um sicherzustellen, dass in eine Applikation grundsätzlich nur durch eine Firmware vorgefilterte Information gelangen kann.are two applications are present, these are preferably completely independent of each other, why the fourth storage means with the third storage means and thus the second application with the second secure firmware over one Connection is connected, this connection preferably via a tenth checksum is secured. A connection between the two applications is not intended to ensure that in an application in principle can only get through a firmware pre-filtered information.

Die Länge der unterschiedlichen Prüfsummen beträgt vorzugsweise 16 Bit oder 32 Bit, was ausreichend ist, um mit genügend hoher Wahrscheinlichkeit entsprechende Fehler in den übertragenen Daten ausfindig machen und somit eine Änderung in den entsprechenden Daten erkennen zu können. Insbesondere können jedoch verschiedene Prüfsummen auch unterschiedliche Längen aufweisen.The Length of different checksums is preferably 16 bits or 32 bits, which is sufficient to be sufficiently high Probability of finding corresponding errors in the transmitted data make a change in the corresponding data. In particular, however, can different checksums also different lengths exhibit.

Die Erfindung wird anhand der nachfolgenden Figuren ausführlich erläutert. Es zeigtThe The invention will be explained in detail with reference to the following figures. It shows

1 eine schematische Ansicht eines ersten Ausführungsbeispiels einer Systemarchitektur, 1 a schematic view of a first embodiment of a system architecture,

2 eine schematische Ansicht der Aufteilung eines Prozessors, 2 a schematic view of the division of a processor,

3 eine schematische Ansicht eines Datenstroms zwischen einer sicheren Firmware und einer Applikation, 3 a schematic view of a data stream between a secure firmware and an application,

4 eine schematische Ansicht eines zweiten Ausführungsbeispiels einer Systemarchitektur und 4 a schematic view of a second embodiment of a system architecture and

5 eine schematische Ansicht eines dritten Ausführungsbeispiels einer Systemarchitektur. 5 a schematic view of a third embodiment of a system architecture.

Die 1 zeigt eine schematische Ansicht einer Systemarchitektur 10 mit einem ersten Prozessor 20 und einem zweiten Prozessor 30. Dem ersten Prozessor 20 ist ein erstes Speichermittel 21 und ein zweites Speichermittel 26 zugeordnet, wobei das erste Speichermittel 21 zur Speicherung einer ersten sicheren Firmware 22 und das zweite Speichermittel 26 zur Speicherung einer ersten Applikation 27 dient. Die erste sichere Firmware 22 und die Applikation 27 bilden zusammen eine Firmware für ein Feldgerät, beispielsweise ein Lichtgitter. Das erste Speichermittel 26 und das zweite Speichermittel 26 sind über eine Verbindung 50 miteinander verbunden. Diese Verbindung 50 stellt in diesem Ausführungsbeispiel die einzige Verbindung dar, über welche die erste Applikation 27 Daten empfangen und aussenden kann. In 3 ist schematisch dargestellt, dass über die Verbindung 50 einerseits Daten von der ersten sicheren Firmware 22, beispielsweise ein Signalmuster, z.B. aus einer auszuwertenden Sensorik, welche durch die vorliegende Systemarchitektur 10 gesteuert wird, an die erste Applikation 27 und andererseits Daten von der ersten Applikation 27, beispielsweise Ergebnisse der applikationsspezifischen Auswertung, an die erste sichere Firmware 22 übertragen werden.The 1 shows a schematic view of a system architecture 10 with a first processor 20 and a second processor 30 , The first processor 20 is a first storage means 21 and a second storage means 26 assigned, wherein the first storage means 21 for storing a first secure firmware 22 and the second storage means 26 for storing a first application 27 serves. The first secure firmware 22 and the application 27 together form a firmware for a field device, such as a light grid. The first storage means 26 and the second storage means 26 are about a connection 50 connected with each other. This connection 50 represents in this embodiment, the only connection through which the first application 27 Can receive and send data. In 3 is shown schematically that over the connection 50 on the one hand, data from the first secure firmware 22 , For example, a signal pattern, eg from a sensor to be evaluated, which by the present system architecture 10 is controlled to the first application 27 and on the other hand data from the first application 27 For example, results of the application-specific evaluation, to the first secure firmware 22 be transmitted.

Die erste sichere Firmware 22 und die erste Applikation 27 kann, wie in 2 schematisch dargestellt, ein Programmspeicher des Prozessors 20 in das erste Speichermittel 21 und das zweite Speichermittel 26 aufgeteilt werden, um die erste sichere Firmware 22 und die erste Applikation 27 voneinander zu trennen. Es können auch vollständig unabhängige Speichermittel 21, 26 verwendet werden und beispielsweise die erste sichere Firmware 22 und die erste Applikation durch Realisierung in zwei verschiedenen Controllern getrennt werden. Wesentlich ist, dass die erste sichere Firmware 22 von der Applikation 27 derart unabhängig ist, dass in der Applikation 27 Änderungen vorgenommen werden können, ohne die erste sichere Firmware 22 zu ändern und umgekehrt.The first secure firmware 22 and the first application 27 can, as in 2 shown schematically, a program memory of the processor 20 in the first storage means 21 and the second storage means 26 be split to the first safe firmware 22 and the first application 27 separate from each other. It can also be completely independent storage means 21 . 26 used and, for example, the first secure firmware 22 and the first application separated by realization in two different controllers. It is essential that the first secure firmware 22 from the application 27 is so independent that in the application 27 Changes can be made without the first secure firmware 22 to change and vice versa.

Die erste sichere Firmware 22 steht über eine Verbindung 51 mit wenigstens einem, vorzugsweise mehreren sicheren Eingängen 40 und über eine Verbindung 52 mit wenigstens einem, vorzugsweise mehreren sicheren Ausgängen 45 in Verbindung. Die Trennung von der ersten sicheren Firmware 22 und der ersten Applikation 27 ermöglicht auf folgende Weise, dass bei einer Änderung der Applikation 27, beispielsweise bei einer Aktualisierung des applikationsspezifischen Teils der Firmware, keine Änderung der sicheren Firmware 22 erfolgt: In der ersten sicheren Firmware 22 wird ein Ausgangsabbild der an den Ausgängen 45 anstehenden Werten und somit die Ausgänge 45 selbst durch eine erste Prüfsumme CRC-1 gesichert. Vorzugsweise umfasst diese Sicherung nicht nur die an den Ausgängen 45, sondern auch die an den Eingängen 40 anstehenden Werte. Die Sicherung erfolgt dabei derart, dass für die anstehenden Daten durch ein CRC-Verfahren eine Prüfsumme, d. h. die erste Prüfsumme CRC-1, ermittelt wird, welche in einem vorgegebenen Speicherplatz in der sicheren Firmware 22 hinterlegt wird. Erst dann erfolgt die Änderung der Applikation 27. Nach der Änderung der Applikation 27 wird die erste Prüfsumme CRC-1 erneut ermittelt und mit der hinterlegten ersten Prüfsumme CRC-1 verglichen. Sind beide ersten Prüfsummen CRC-1 identisch, hat keine Änderung der an den Ausgängen 45 und den Eingängen 40 anstehenden Daten und somit keine Änderung der ersten sicheren Firmware 22 stattgefunden. Eine neue Sicherheitsüberprüfung der ersten sicheren Firmware 22 oder eine neue Zertifizierung ist daher nicht erforderlich.The first secure firmware 22 is connected 51 with at least one, preferably several safe inputs 40 and about a connection 52 with at least one, preferably several safe outputs 45 in connection. The separation of the first secure firmware 22 and the first application 27 allows in the following way, that when changing the application 27 For example, if the application-specific part of the firmware is updated, there is no change to the secure firmware 22 done: In the first secure firmware 22 will take an output image of the outputs 45 pending values and thus the outputs 45 itself backed up by a first checksum CRC-1. Preferably, this fuse does not only include those at the outputs 45 but also at the entrances 40 pending values. The backup takes place in such a way that a checksum, ie the first checksum CRC-1, which is stored in a predetermined memory location in the secure firmware, is determined for the pending data by a CRC method 22 is deposited. Only then does the application change 27 , After changing the application 27 the first checksum CRC-1 is again determined and compared with the stored first checksum CRC-1. If both first checksums are identical to CRC-1, there is no change to the outputs 45 and the entrances 40 pending data and therefore no changes the first safe firmware 22 occurred. A new security check of the first secure firmware 22 or a new certification is therefore not required.

Die erste Applikation 27 ist durch eine zweite Prüfsumme CRC-2 und die erste sichere Firmware 22 durch eine dritte Prüfsumme CRC-3 gesichert. Bei einer Änderung der Applikation 27 ändert sich die zweite Prüfsumme CRC-2, während, wenn dabei gleichzeitig die erste sichere Firmware 22 nicht geändert wird, die dritte Prüfsumme CRC-3 nicht geändert wird. Dies erleichtert den Nachweis, dass die erste sichere Firmware 22 durch eine Änderung in der ersten Applikation 27 nicht geändert wurde.The first application 27 is through a second checksum CRC-2 and the first secure firmware 22 secured by a third checksum CRC-3. When changing the application 27 the second checksum CRC-2 changes, while if doing so the first secure firmware 22 is not changed, the third checksum CRC-3 is not changed. This facilitates proof that the first secure firmware 22 by a change in the first application 27 was not changed.

Die Verbindung 50 zwischen dem ersten Speichermittel 21 und dem zweiten Speichermittel 26 ist vorzugsweise durch eine weitere vierte Prüfsumme CRC-4 gesichert, um eine Verfälschung der zwischen der ersten sicheren Firmware 22 und der ersten Applikation 27 übertragenen Daten erkennen zu können.The connection 50 between the first storage means 21 and the second storage means 26 is preferably backed up by another fourth checksum CRC-4 to prevent corruption between the first secure firmware 22 and the first application 27 to be able to recognize transmitted data.

Nur die erste sichere Firmware 22 kommuniziert aus sicherheitstechnischen Gründen über eine Verbindung 53 mit einer Signalauswertung 60 der Optikkette des Lichtgitters.Only the first secure firmware 22 For safety reasons, it communicates via a connection 53 with a signal evaluation 60 the optical chain of the light grid.

Der zweite Prozessor 30 weist ein drittes Speichermittel 31 zur Speicherung einer zweiten sicheren Firmware 32 auf. Der zweite Prozessor 30 dient zum Aufbau einer zweikanaligen Struktur, wobei die zweite sichere Firmware 32 im Wesentlichen der ersten sicheren Firmware 22 entspricht und beispielsweise durch Spiegelung aus ihr hervorgeht. Die zweite sichere Firmware 32 ist über eine Verbindung 55 mit den Ausgängen 45 verbunden, wobei auch in der zweiten sicheren Firmware 32 eine Sicherung der Ausgänge 45 durch eine fünfte Prüfsumme CRC-5 erfolgt. In dem vorliegenden Ausführungsbeispiel besteht keine direkte Verbindung zwischen den Eingängen 40 und der zweiten sicheren Firmware 32, so dass die fünfte Prüfsumme CRC-5 lediglich die Ausgänge 45 sichert. Selbstverständlich könnte auch in diesem Ausführungsbeispiel eine direkte Verbindung zwischen der zweiten sicheren Firmware 32 und den Eingängen 40 und dann gegebenenfalls auch eine Sicherung der Eingänge 40 durch die fünfte Prüfsumme CRC-5 vorliegen. Auch die zweite sichere Firmware 32 ist durch eine sechste Prüfsumme CRC-6 gesichert, um Änderungen der Firmware 32 einfach feststellen zu können.The second processor 30 has a third storage means 31 for storing a second secure firmware 32 on. The second processor 30 is used to build a two-channel structure, with the second secure firmware 32 essentially the first secure firmware 22 corresponds and, for example, by mirroring her out. The second secure firmware 32 is via a connection 55 with the outputs 45 connected, although in the second secure firmware 32 a fuse of the outputs 45 by a fifth checksum CRC-5. In the present embodiment, there is no direct connection between the inputs 40 and the second secure firmware 32 so the fifth checksum CRC-5 only outputs 45 guaranteed. Of course, in this embodiment could also be a direct connection between the second secure firmware 32 and the entrances 40 and then possibly a backup of the inputs 40 by the fifth checksum CRC-5. Also the second secure firmware 32 is backed up by a sixth checksum CRC-6 to make changes to the firmware 32 easy to determine.

Das erste Speichermittel 21 und das zweite Speichermittel 31 und somit die erste sichere Firmware 22 und die zweite sichere Firmware 32 sind über eine Verbindung 54 verbunden, um den Datenaustausch zwischen den beiden sicheren Firmwares 22, 32 gewährleisten zu können, damit die Zweikanaligkeit sichergestellt ist. Dabei ist vorzugsweise auch diese Verbindung 54 über eine weitere siebte Prüfsumme CRC-7 gesichert, um gewährleisten zu können, dass bei der Übertragung der Daten zwischen den beiden sicheren Firmwares 22, 32 keine Verfälschungen der Daten erfolgen.The first storage means 21 and the second storage means 31 and thus the first secure firmware 22 and the second secure firmware 32 are about a connection 54 connected to the data exchange between the two secure firmwares 22 . 32 to ensure that the two-channeledness is ensured. It is also preferable that this compound 54 secured via another seventh checksum CRC-7, to ensure that in the transfer of data between the two secure firmwares 22 . 32 there are no distortions of the data.

In einer noch allgemeineren nicht dargestellten Ausführungsform kann der zweite Prozessor 30 vollständig ausgelassen werden. Dann weist die Systemarchitektur lediglich die erste sichere Firmware 22 und die Applikation 27 auf, so dass keine zweikanalige Struktur mehr vorhanden ist. Die entsprechenden Sicherheitsanforderungen müssten dann gegebenenfalls in anderer Weise realisiert werden.In a still more general embodiment, not shown, the second processor 30 be completely omitted. Then the system architecture has only the first secure firmware 22 and the application 27 on, so that no two-channel structure is no longer present. The corresponding security requirements would then have to be realized in another way if necessary.

In 4 ist ein zweites Ausführungsbeispiel dargestellt, welches zu großen Teilen dem ersten Ausführungsbeispiel der Systemarchitektur 10 gemäß 1 entspricht und um einige Komponenten ergänzt wurde. Gleiche Bestandteile sind daher mit gleichen Bezugsziffern bezeichnet.In 4 a second embodiment is shown, which in large part the first embodiment of the system architecture 10 according to 1 corresponds and was supplemented by some components. The same components are therefore designated by the same reference numerals.

Zusätzlich zu den Bestandteilen des ersten Ausführungsbeispiels weist die Systemarchitektur 10 in dem zweiten Ausführungsbeispiel eine Verbindung 56 zwischen dem zweiten Speichermittel 26 und dem dritten Speichermittel 31 und somit zwischen der ersten Applikation 27 und der zweiten sicheren Firmware 32 auf, damit auch die zweite sichere Firmware 32 applikationsspezifische Daten oder Ergebnisse der applikationsspezifischen Auswertungen erhalten und verarbeiten kann und somit die Zuverlässigkeit der zweikanaligen Struktur weiter erhöht wird. Dabei ist auch die Datenübertragung über die Verbindung 56 mit einer achten Prüfsumme CRC-8 gesichert.In addition to the components of the first embodiment, the system architecture 10 in the second embodiment, a connection 56 between the second storage means 26 and the third storage means 31 and thus between the first application 27 and the second secure firmware 32 on, so that the second secure firmware 32 can receive and process application-specific data or results of the application-specific evaluations and thus the reliability of the two-channel structure is further increased. It is also the data transmission over the connection 56 secured with an eighth checksum CRC-8.

Zusätzlich besteht in dem zweiten Ausführungsbeispiel gemäß 4 eine direkte Verbindung 57 zwischen den sicheren Eingängen 40 und der zweiten sicheren Firmware 32 sowie eine weitere direkte Verbindung 58 zwischen der Signalauswertung 60 und der zweiten sicheren Firmware 32. Dadurch wird die Zweikanaligkeit der Systemarchitektur 10 weiter verbessert.In addition, according to the second embodiment 4 a direct connection 57 between the safe entrances 40 and the second secure firmware 32 as well as another direct connection 58 between the signal evaluation 60 and the second secure firmware 32 , This makes the two-channel system architecture 10 further improved.

In 5 ist ein drittes Ausführungsbeispiel dargestellt, welches ebenfalls zu großen Teilen dem ersten Ausführungsbeispiel der Systemarchitektur 10 gemäßIn 5 a third embodiment is shown, which also largely to the first embodiment of the system architecture 10 according to

1 entspricht und um einige Komponenten ergänzt wurde. Gleiche Bestandteile sind daher wiederum mit gleichen Bezugsziffern bezeichnet. 1 corresponds and was supplemented by some components. The same components are therefore again denoted by the same reference numerals.

Die Systemarchitektur 20 gemäß dem dritten Ausführungsbeispiel weist in dem zweiten Prozessor 30 ein viertes Speichermittel 36 auf, in welchem eine zweite Applikation 37 gespeichert ist, welche im Wesentlichen der ersten Applikation 27 entspricht und beispielsweise durch Spiegelung aus ihr hervorgeht. Dabei ist auch die zweite Applikation 37 durch eine neunte Prüfsumme CRC-9 gesichert, um feststellen zu können, wann die Applikation 37 geändert wird. Das vierte Speichermittel 36 und somit die zweite Applikation 37 ist über eine Verbindung 59 mit dem dritten Speichermittel 31 und somit der zweiten sicheren Firmware 32 verbunden. Auch diese Verbindung 59 ist durch eine zehnte Prüfsumme CRC-10 gesichert. Die zweite Applikation 37 ist lediglich mit der zweiten sicheren Firmware 32 verbunden, so dass nun auch der applikationsspezifische Teil der Firmware zweikanalig aufgebaut ist.The system architecture 20 according to the third embodiment, in the second processor 30 a fourth storage means 36 in which a second application 37 which is essentially the first application 27 corresponds and for example, by mirroring emerges from it. This is also the second application 37 backed up by a ninth checksum CRC-9 to determine when the application 37 will be changed. The fourth storage means 36 and thus the second application 37 is about a connection 59 with the third storage means 31 and thus the second secure firmware 32 connected. Also this connection 59 is backed by a tenth checksum CRC-10. The second application 37 is only with the second secure firmware 32 connected so that now the application-specific part of the firmware is built two-channel.

Zusätzlich besteht in dem dritten Ausführungsbeispiel gemäß 5, wie auch bereits in dem zweiten Ausführungsbeispiel gemäß 4, die direkte Verbindung 57 zwischen den sicheren Eingängen 40 und der zweiten sicheren Firmware 32 sowie die direkte Verbindung 58 zwischen der Signalauswertung 60 und der zweiten sicheren Firmware 32. Da nun auch die Sicherung des applikationsspezifischen Teils der Firmware in zwei separaten Applikationen 27, 37 erfolgt und die zweite sichere Firmware 32 mit den selben Komponenten wie die erste sichere Firmware 22 in Verbindung steht, weist das dritte Ausführungsbeispiel eine vollständige zweikanalige Struktur auf.In addition, in the third embodiment according to 5 as already in the second embodiment according to 4 , the direct connection 57 between the safe entrances 40 and the second secure firmware 32 as well as the direct connection 58 between the signal evaluation 60 and the second secure firmware 32 , Since now also the backup of the application-specific part of the firmware in two separate applications 27 . 37 done and the second secure firmware 32 with the same components as the first safe firmware 22 In connection, the third embodiment has a complete two-channel structure.

1010
Systemarchitektursystem architecture
2020
erster Prozessorfirst processor
2121
erstes Speichermittelfirst storage means
2222
erste sichere Firmwarefirst secure firmware
2626
zweites Speichermittelsecond storage means
2727
erste Applikationfirst application
3030
zweiter Prozessorsecond processor
3131
drittes Speichermittelthird storage means
3232
zweite sichere Firmwaresecond secure firmware
3636
viertes Speichermittelfourth storage means
3737
zweite Applikationsecond application
4040
Eingangentrance
4545
Ausgangoutput
5050
Verbindungconnection
5151
Verbindungconnection
5252
Verbindungconnection
5353
Verbindungconnection
5454
Verbindungconnection
5555
Verbindungconnection
5656
Verbindungconnection
5757
Verbindungconnection
5858
Verbindungconnection
5959
Verbindungconnection
6060
Signalauswertungsignal processing
CRC-1CRC 1
erste Prüfsummefirst checksum
CRC-2CRC 2
zweite Prüfsummesecond checksum
CRC-3CRC 3
dritte Prüfsummethird checksum
CRC-4CRC-4
vierte Prüfsummefourth checksum
CRC-5CRC-5
fünfte Prüfsummefifth checksum
CRC-6CRC-6
sechste Prüfsummesixth checksum
CRC-7CRC-7
siebte Prüfsummeseventh checksum
CRC-8CRC-8
achte Prüfsummeeighth checksum
CRC-9CRC-9
neunte Prüfsummeninth checksum

Claims (12)

Systemarchitektur (10) mit einem ersten Prozessor (20), mit einem dem ersten Prozessor (20) zugeordneten ersten Speichermittel (21) zur Speicherung einer ersten sicheren Firmware (22) und einem dem ersten Prozessor (20) zugeordneten zweiten Speichermittel (26) zur Speicherung einer ersten Applikation (27), wobei das zweite Speichermittel (26) mit dem ersten Speichermittel (21) über eine Verbindung (50) verbunden ist und mit wenigstens einem sicheren Eingang (40) und wenigstens einem sicheren Ausgang (45), welche mit dem ersten Speichermittel (21) verbunden sind und wobei während einer Änderung oder Ausführung der ersten Applikation (27) der wenigstens eine sichere Ausgang (45) der ersten sicheren Firmware (22) durch eine erste Prüfsumme (CRC-1) gesichert ist.System architecture ( 10 ) with a first processor ( 20 ), with a first processor ( 20 ) associated first memory means ( 21 ) for storing a first secure firmware ( 22 ) and a first processor ( 20 ) associated second memory means ( 26 ) for storing a first application ( 27 ), wherein the second storage means ( 26 ) with the first storage means ( 21 ) via a connection ( 50 ) and with at least one secure input ( 40 ) and at least one safe exit ( 45 ), which with the first storage means ( 21 ) and during a modification or execution of the first application ( 27 ) the at least one safe output ( 45 ) of the first secure firmware ( 22 ) is secured by a first checksum (CRC-1). Systemarchitektur nach Anspruch 1, dadurch gekennzeichnet, dass durch die erste Prüfsumme (CRC-1) zusätzlich der wenigstens eine sichere Eingang (40) gesichert ist.System architecture according to claim 1, characterized in that by the first checksum (CRC-1) additionally the at least one secure input (CRC-1) 40 ) is secured. Systemarchitektur nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Applikation (27) durch eine zweite Prüfsumme (CRC-2) gesichert ist.System architecture according to claim 1 or 2, characterized in that the first application ( 27 ) is secured by a second checksum (CRC-2). Systemarchitektur nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste sichere Firmware (22) durch eine dritte Prüfsumme (CRC-3) gesichert ist.System architecture according to one of the preceding claims, characterized in that the first secure firmware ( 22 ) is secured by a third checksum (CRC-3). Systemarchitektur nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verbindung (50) zwischen dem ersten Speichermittel (21) und dem zweiten Speichermittel (26) durch eine vierte Prüfsumme (CRC-4) gesichert ist.System architecture according to one of the preceding claims, characterized in that the connection ( 50 ) between the first storage means ( 21 ) and the second storage means ( 26 ) is secured by a fourth checksum (CRC-4). Systemarchitektur nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein zweiter Prozessor (30) vorhanden ist mit einem dem zweiten Prozessor (30) zugeordneten dritten Speichermittel (31) zur Speicherung einer der ersten sicheren Firmware (22) entsprechenden zweiten sicheren Firmware (32), die eine Verbindung (55) mit dem wenigstens einen sicheren Ausgang (45) aufweist, welcher durch eine fünfte Prüfsumme (CRC-5) gesichert ist.System architecture according to one of the preceding claims, characterized in that a second processor ( 30 ) is present with a second processor ( 30 ) associated third memory means ( 31 ) for storing one of the first secure firmware ( 22 ) corresponding second secure firmware ( 32 ), which is a connection ( 55 ) with the at least one safe output ( 45 ), which is secured by a fifth checksum (CRC-5). Systemarchitektur nach Anspruch 6, dadurch gekennzeichnet, dass die zweite sichere Firmware (32) durch eine sechste Prüfsumme (CRC-6) gesichert ist.System architecture according to claim 6, characterized characterized in that the second secure firmware ( 32 ) is secured by a sixth checksum (CRC-6). Systemarchitektur nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass das erste Speichermittel (21) mit dem dritten Speichermittel (31) über eine Verbindung (54) verbunden ist, wobei diese Verbindung (54) vorzugsweise über eine siebte Prüfsumme (CRC-7) gesichert ist.System architecture according to claim 6 or 7, characterized in that the first storage means ( 21 ) with the third storage means ( 31 ) via a connection ( 54 ), this compound ( 54 ) preferably over a seventh checksum (CRC-7) is secured. Systemarchitektur nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, dass das zweite Speichermittel (26) mit dem dritten Speichermittel (31) über eine Verbindung (56) verbunden ist, wobei diese Verbindung (56) vorzugsweise über eine achte Prüfsumme (CRC-8) gesichert ist.System architecture according to one of claims 6 to 8, characterized in that the second storage means ( 26 ) with the third storage means ( 31 ) via a connection ( 56 ), this compound ( 56 ) is preferably secured via an eighth checksum (CRC-8). Systemarchitektur nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, dass der zweite Prozessor (30) ein dem zweiten Prozessor (30) zugeordnetes viertes Speichermittel (36) zur Speicherung einer der ersten Applikation (27) entsprechenden zweiten Applikation (37) aufweist, welche vorzugsweise über eine neunte Prüfsumme (CRC-9) gesichert ist.System architecture according to one of claims 6 to 8, characterized in that the second processor ( 30 ) to the second processor ( 30 ) fourth memory means ( 36 ) for storing one of the first applications ( 27 ) corresponding second application ( 37 ), which is preferably secured via a ninth checksum (CRC-9). Systemarchitektur nach Anspruch 10, dadurch gekennzeichnet, dass das dritte Speichermittel (31) mit dem vierten Speichermittel (36) über eine Verbindung (59) verbunden ist, wobei diese Verbindung (59) vorzugsweise über eine zehnte Prüfsumme (CRC-10) gesichert ist.System architecture according to claim 10, characterized in that the third storage means ( 31 ) with the fourth storage means ( 36 ) via a connection ( 59 ), this compound ( 59 ) is preferably secured over a tenth checksum (CRC-10). Systemarchitektur nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Länge der ersten (CRC-1 ), zweiten (CRC-2), dritten (CRC-3), vierten (CRC-4), fünften (CRC-5), sechsten (CRC-6), siebten (CRC-7), achten (CRC-8), neunten (CRC-9) und/oder zehnten (CRC-10) Prüfsumme 16 Bit oder 32 Bit beträgt.System architecture according to one of the preceding Claims, characterized in that the length of the first (CRC-1), second (CRC-2), third (CRC-3), fourth (CRC-4), fifth (CRC-5), sixth (CRC-6), seventh (CRC-7), eighth (CRC-8), ninth (CRC-9) and / or tenth (CRC-10) checksum 16 bits or 32 bits.
DE200620016012 2006-10-19 2006-10-19 System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application Expired - Lifetime DE202006016012U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200620016012 DE202006016012U1 (en) 2006-10-19 2006-10-19 System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200620016012 DE202006016012U1 (en) 2006-10-19 2006-10-19 System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application

Publications (1)

Publication Number Publication Date
DE202006016012U1 true DE202006016012U1 (en) 2006-12-21

Family

ID=37576255

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200620016012 Expired - Lifetime DE202006016012U1 (en) 2006-10-19 2006-10-19 System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application

Country Status (1)

Country Link
DE (1) DE202006016012U1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010121796A1 (en) * 2009-04-20 2010-10-28 Pilz Gmbh & Co. Kg Safety-related control unit, and method for controlling an automated system
CN113605053A (en) * 2021-07-30 2021-11-05 海信(山东)冰箱有限公司 Washing machine processing method, main control board and washing machine

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010121796A1 (en) * 2009-04-20 2010-10-28 Pilz Gmbh & Co. Kg Safety-related control unit, and method for controlling an automated system
CN102460316A (en) * 2009-04-20 2012-05-16 皮尔茨公司 Safety-related control unit, and method for controlling an automated system
CN102460316B (en) * 2009-04-20 2014-06-18 皮尔茨公司 Safety-related control unit, and method for controlling an automated system
US9098074B2 (en) 2009-04-20 2015-08-04 Pilz Gmbh & Co. Kg Safety-related control unit and method for controlling an automated installation
CN113605053A (en) * 2021-07-30 2021-11-05 海信(山东)冰箱有限公司 Washing machine processing method, main control board and washing machine

Similar Documents

Publication Publication Date Title
DE19927635B4 (en) Security related automation bus system
EP1923759B1 (en) Secure data transfer method and system
EP1631014B1 (en) Method and device for coupling critical processes to a bus
DE102007042353B4 (en) A method for detecting faults in a vehicle system of an active front steering
EP3201894B1 (en) Device for transmitting and receiving a sensor signal
DE102007054672A1 (en) Field device for determining or monitoring a process variable in process automation
DE102017123615B4 (en) Configurable safety module for acquiring digital or analog input or output signals
EP1811722B1 (en) Method and device for converting messages on multiple channels into a safe single channel message
EP1246033A1 (en) Method for monitoring consistent memory contents in a redundant system
EP1183827B1 (en) Circuit for carrying out secured data transmission, especially in ring bus systems
DE202006016012U1 (en) System architecture for firmware, has two memory units, and safe input and output that are connected with one memory unit, where safe output is secured by checksum during modification or execution of application
EP2405317B1 (en) Method for entering parameters for a security device securely
EP1596517B1 (en) Method of transmission of redundantly provided data over a single channel
DE102005007477B4 (en) Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
EP4127934A1 (en) Method and safety-oriented system for performing safety functions
DE102006048146B4 (en) Sensor arrangement, use of a sensor arrangement and method for monitoring the safety of a machine
DE102019005978A1 (en) Gas measuring system and method for operating a gas measuring system.
DE102007009141A1 (en) Safety device and safety method with several processing stages
DE10347381B4 (en) Method and device for the error-protected transmission of user data
DE102004046292A1 (en) Method for carrying out a voting of redundant information
DE10148157B4 (en) Program controlled unit
EP1038223B1 (en) Monitoring system for a digital trimming cell
EP3789832A1 (en) Device and method for performing a safety function
WO2024165639A1 (en) Method and system for visualizing safety-relevant graphics and textual data for railways
WO2022207213A1 (en) Data processing method

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 20070125

R163 Identified publications notified

Effective date: 20070306

R150 Term of protection extended to 6 years

Effective date: 20100113

R151 Term of protection extended to 8 years
R151 Term of protection extended to 8 years

Effective date: 20130104

R158 Lapse of ip right after 8 years