Sicherheitssteuerung zum fehlersicheren Steuern von sicher- heitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogramms auf eine solche Die vorliegende Erfindung betrifft eine Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen, insbesondere zum fehlersicheren Abschalten einer Maschine oder Maschinenanlage, mit einem Eingangsmodul zum automatischen Ein- lesen von Prozeßsignalen, mit einem fehlersicheren Signalverar- beitungsmodul zum automatischen Verarbeiten der Prozeßsignale und mit einem fehlersicheren Ausgangsmodul, das in Abhängigkeit von dem Signalverarbeitungsmodul Steuersignale erzeugt, wobei das Signalverarbeitungsmodul zumindest einen programmierbaren Prozessor und zumindest einen ersten Festspeicher beinhaltet, in dem ein aktuelles Betriebsprogramm für den Prozessor nicht- flüchtig abgespeichert ist.

Die Erfindung betrifft ferner ein Verfahren zum Aufspielen eines neuen Betriebsprogramms auf eine solche Sicherheitssteue- rung sowie ein entsprechendes Betriebsprogramm.

Eine Sicherheitssteuerung der vorgenannten Art ist beispiels- weise aus der WO 98/44399 bekannt.

Eine Sicherheitssteuerung im Sinne der vorliegenden Erfindung ist ein Gerät oder eine Kombination von miteinander verbundenen Geräten, die Prozeßsignale von Sensoren aufnehmen und daraus durch logische Verknüpfungen und eventuell weitere Signal-oder Datenverarbeitungsschritte Ausgangssignale erzeugen. Die Aus- gangssignale werden Aktuatoren zugeführt werden, die gezielte Aktionen oder Reaktionen in der Umgebung bewirken. Ein bevor- zugtes Anwendungsgebiet für Sicherheitssteuerungen ist im Be- reich der Maschinensicherheit die Überwachung von Not-Aus- Tastern, Zwei-Hand-Steuerungen, Schutztüren, Lichtgittern, Stillstandswächtern und dergleichen. Derartige Sensoren werden verwendet, um beispielsweise eine Maschine, von der im Betrieb eine Gefahr für Bedienpersonal ausgeht, abzusichern. Beim Öff- nen der Schutztür oder beim Betätigen des Not-Aus-Tasters wird ein Prozeßsignal erzeugt, das der Sicherheitssteuerung als Ein- gangssignal zugeführt ist. In Reaktion auf das Eingangssignal schaltet die Sicherheitssteuerung mit Hilfe eines angeschlosse- nen Aktuators den gefahrbringenden Teil der Maschine fehlersi- cher ab.

Charakteristisch an einer Sicherheitssteuerung ist im Gegensatz zu einer"normalen"Steuerung, daß die Sicherheitssteuerung stets einen sicheren Zustand des gesteuerten Prozesses, bei- spielsweise also der gefahrbringenden Maschine, gewährleisten muß. Dies gilt selbst dann, wenn innerhalb der Sicherheits- steuerung oder bei einem mit ihr verbundenen Gerät eine Fehl- funktion auftritt. Bei Sicherheitssteuerungen werden daher ex- trem hohe Anforderungen an die Eigenfehlersicherheit gestellt, was einen erheblichen Zusatzaufwand bei der Entwicklung und Herstellung zur Folge hat. In der Regel benötigen Sicherheits- steuerungen vor ihrer Verwendung eine besondere Zulassung durch zuständige Aufsichtsbehörden, wie beispielsweise in Deutschland durch die Berufsgenossenschaften oder den TÜV. Die Sicherheits- steuerung muß dabei vorgegebene Sicherheitsstandards einhalten, die beispielsweise in der europäischen Norm EN 954-1 definiert sind. Die vorliegende Erfindung trägt diesen Besonderheiten Rechnung. Der Begriff"Sicherheitssteuerung"bezieht sich hier daher ausschließlich auf ein Gerät oder eine Kombination von Geräten, die zumindest nach der Kategorie 3 der genannten euro- päischen Norm für die Steuerung von Maschinen, Maschinenanlagen und dergleichen zugelassen sind.

Eine programmierbare Sicherheitssteuerung bietet dem Anwender die Möglichkeit, die logischen Verknüpfungen der Eingangs- signale mit Hilfe einer Software, nämlich dem sogenannten An- wenderprogramm ; seinen Bedürfnissen entsprechend individuell festzulegen. Eine programmierbare Sicherheitssteuerung ersetzt damit die früher übliche Verdrahtung der einzelnen Sensoren mit Hilfe von Logik-Schaltgliedern. Um diese Funktion erfüllen zu können, besitzt eine programmierbare Sicherheitssteuerung ein vom Anwenderprogramm getrenntes Betriebsprogramm, das den grundsätzlichen Funktionsumfang der Sicherheitssteuerung be- stimmt. Das Betriebsprogramm beinhaltet insbesondere Programm- code, mit dem die Hardwarekomponenten der Sicherheitssteuerung unmittelbar angesprochen und damit"zum Leben erweckt"werden.

Darüber hinaus sind in dem Betriebsprogramm in aller Regel auch sicherheitstechnische Steuerregeln implementiert, die der An- wender mit seinem Anwenderprogramm als vorbereitete Funktions- module aufrufen und mit aktuellen Eingangs-und Ausgangs- signalen parametrieren kann. Beispielsweise sind in dem Be- triebsprogramm vorbereitete Funktionsmodule zum fehlersicheren Auswerten eines zweikanaligen Not-Aus-Tasters oder einer zwei- kanaligen Schutztür enthalten. Im Anwenderprogramm kann der An- wender nur noch festlegen, wie die vorbereiteten Module, hier also der Not-Aus-Taster und die Schutztür, logisch miteinander verknüpft sein sollen.

Auf das Betriebsprogramm hat der Anwender aus Sicherheitsgrün- den keinen Zugriff, d. h. er kann das Betriebsprogramm weder austauschen noch verändern. In der Fachterminologie wird das Betriebsprogramm häufig auch als Firmware bezeichnet.

In der eingangs genannten WO 98/44399 ist ein Verfahren zum Programmieren einer Sicherheitssteuerung beschrieben, wobei die sicherheitstechnischen Steuerregeln in Form von Funktionsmodu- len in der Sicherheitssteuerung abgelegt sind. Der Anwender kann die Funktionsmodule mit seinem Anwenderprogramm auswählen, parametrieren und logisch miteinander verknüpfen. Hierzu dient ein Programmiergerät, mit dem die Befehle zum Auswählen, Para- metrieren und Verknüpfen der Funktionsmodule an die Sicher- heitssteuerung übertragen werden. Wie zuvor erläutert, hat der Anwender jedoch keine Möglichkeit, auf die implementierten si- cherheitstechnischen Steuerregeln in den Funktionsmodulen zu- zugreifen, d. h. er kann sie weder austauschen noch verändern.

Der gesperrte Zugriff auf das Betriebsprogramm entspricht der gefestigten Praxis bei Sicherheitssteuerungen, da das Betriebs- programm in Kombination mit der Hardware der Sicherheits- steuerung der Zulassung durch die zuständigen Aufsichtsbehörden unterliegt. Wenn der Anwender in die Kombination von Hardware und Betriebsprogramm eingreifen könnte, kann der Hersteller der Sicherheitssteuerung die Fehlersicherheit nach gefestigter Ü- berzeugung nicht in der erforderlichen Konsequenz gewährleis- ten.

Die gefestigte Praxis führt allerdings zu dem Nachteil, daß eine Funktionsänderung im Bereich des Betriebsprogramms der Si- cherheitssteuerung nur durch den Hersteller der Sicherheits- steuerung selbst vorgenommen werden kann. Wenn eine Funktions- änderung oder ein sonstiger Eingriff in das Betriebsprogramm gewünscht ist, muß der Anwender die Sicherheitssteuerung entwe- der zum Hersteller einschicken oder vom Hersteller sachkundiges und zugelassenes Servicepersonal anfordern. Dies bedeutet einen Aufwand, der umständlich und teuer ist und sich zudem auch nachteilig auf Stillstandszeiten einer Maschinenanlage auswir- ken kann, in der die Sicherheitssteuerung eingesetzt ist.

Außerhalb der Sicherheitstechnik, beispielsweise also bei han- delsüblichen Personalcomputern, ist es gängige Praxis, daß ein Anwender Softwareaktualisierungen in eigener Verantwortung vor- nehmen kann, indem er eine neue Software vom Hersteller bezieht und gegebenenfalls nach Anleitung auf den Personalcomputer auf- spielt. Dies gilt auch für sogenannte Betriebssysteme, die ein Betriebsprogramm im Sinne der vorliegenden Erfindung darstel- len. Nach gängiger Überzeugung ist ein solches Vorgehen für si- cherheitstechnische Anwendungen jedoch undenkbar, da dem Her- steller der Sicherheitssteuerung hierdurch die alleinige Kon- trolle über die Kombination von Hardware und Betriebsprogramm entzogen wäre. Infolge dessen wären nicht-überprüfte Kombinati- onen von Hardware und Betriebsprogramme möglich, was ein Si- cherheitsrisiko bedeutet.

Es ist eine Aufgabe der vorliegenden Erfindung, eine Sicher- heitssteuerung der eingangs genannten Art anzugeben, die eine flexiblere und kostengünstigere Anpassung an Kundenwünsche er- möglicht.

Diese Aufgabe wird durch eine Sicherheitssteuerung der eingangs genannten Art gelöst, die eine Downloadeinrichtung zum Überneh- men eines neuen Betriebsprogramms aufweist, wobei die Download- einrichtung die Übernahme des neuen Betriebsprogramms in Abhän- gigkeit von einer Freigabeinformation fehlersicher freigibt o- der unterbindet.

Die Aufgabe wird ferner durch ein Verfahren zum Aufspielen eines neuen Betriebsprogramms auf eine Sicherheitssteuerung der eingangs genannten Art gelöst, mit den Schritten : Bereitstellen der Sicherheitssteuerung mit einem aktuellen Betriebsprogramm, - Bereitstellen eines neuen Betriebsprogramms, Bereitstellen einer Freigabeinformation, und Übernehmen des neuen Betriebsprogramms in einem Festwert- speicher der Sicherheitssteuerung in Abhängigkeit von der Freigabeinformation.

Mit der beschriebenen Sicherheitssteuerung und dem entsprechen- den Verfahren ist es erstmals für den Bereich der Maschinensi- cherheit möglich, daß ein Anwender ein neues Betriebsprogramm, d. h. eine neue Firmware, selbständig auf eine vorhandene Si- cherheitssteuerung aufspielt, d. h. übernimmt. Die vorliegende Erfindung löst sich damit von dem bislang ehernen Grundsatz, daß Handlungen, die sicherheitstechnische Steuerregeln betref- fen, allein vom Hersteller vorgenommen werden dürfen, der die Verantwortung gegenüber den Aufsichtsbehörden trägt.

Die Abkehr von der bisherigen Praxis ist aufgrund der überra- schenden Erkenntnis möglich, daß die Kontrolle des Herstellers über die Sicherheitssteuerung mit Hilfe einer speziellen bzw. zusätzlichen Freigabeinformation weiterhin lückenlos aufrecht- erhalten werden kann. Die Auswahl und Definition der Freigabe- information verbleibt in der Hand des Herstellers. Dadurch, daß ein Aufspielen des neuen Betriebsprogramms in Abhängigkeit von der Freigabeinformation fehlersicher und damit"automatisch" bzw."maschinell"unterbunden wird, kann der Hersteller der Si- cherheitssteuerung dann die Anzahl der möglichen Kombinationen von Hardware und Betriebsprogramm auf Anwenderseite eingrenzen.

Es genügt, die Downloadeinrichtung so auszugestalten, daß sie eine Übernahme des neuen Betriebsprogramms nur dann zuläßt, wenn sie anhand der erforderlichen Freigabeinformation erkennt, daß die Übernahme auf der vorhandenen Hardwareplattform vom Hersteller freigegeben ist. Die Überprüfung der Freigabeinfor- mation, die beispielsweise eine Liste zulässiger Hardwareplatt- formen beinhaltet, kann mit an sich bekannten und im Bereich der Maschinensicherheit üblichen programmtechnischen oder schaltungstechnischen Maßnahmen fehlersicher ausgestaltet wer- den, insbesondere durch zweikanalige, bevorzugt diversitäre Ü- berprüfung der Freigabeinformation und/oder zweikanalig und be- vorzugt diversitäre Sperrung der Übernahme.

Die neue Sicherheitssteuerung besitzt aufgrund der Möglichkeit einer Softwareaktualisierung des Betriebsprogramms durch den Anwender eine wesentlich höhere Flexibilität bei der logisti- schen Betreuung. Produktions-und Servicekosten auf Hersteller- seite lassen sich reduzieren. Andererseits lassen sich Still- standszeiten einer Maschinenanlage bei einer Modifikation der Sicherheitssteuerung auf Betriebsprogrammebene verringern, da nicht erst auf einen Servicetechniker des Herstellers gewartet werden muß. Darüber hinaus erhält der Anwender eine größere Einsatzbreite für eine vorhandene Sicherheitssteuerung, da er diese durch Aufspielen eines neuen Betriebsprogramms mit einem neuen Funktionsumfang ausrüsten kann. Diese Vorteile sind je- doch nicht mit Einbußen bei der Sicherheit verbunden, da der Anwender nach wie vor keinen Zugriff auf die internen sicher- heitstechnischen Steuerregeln erhält.

Die genannte Aufgabe ist daher vollständig gelöst.

In einer Ausgestaltung der Erfindung ist die Freigabe- information zumindest teilweise in dem neuen Betriebsprogramm maschinenlesbar integriert.

Diese Ausgestaltung ist eine besonders einfache und gleichzei- tig für den Anwender sehr komfortable Möglichkeit, um die Frei- gabeinformation fehlersicher zu auszuwerten und die Übernahme des neuen Betriebsprogramms in Abhängigkeit davon fehlersicher durchzuführen oder zu sperren. Außerdem lassen sich Manipulati- onen mit einer zumindest teilweise integrierten Freigabefunkti- on noch besser unterbinden, was zu einer erhöhten Sicherheit führt.

In einer weiteren Ausgestaltung beinhaltet die Freigabe- information eine erste und eine zweite sequentielle Versions- information, wobei die erste sequentielle Versionsinformation dem aktuellen Betriebsprogramm und die zweite sequentielle Ver- sionsinformation dem neuen Betriebsprogramm zugeordnet ist.

Eine sequentielle Versionsinformation, d. h. eine eindeutig in eine Reihenfolge einzuordnenden Versionsinformation, ist eine besonders einfache Möglichkeit, um die fehlersichere Freigabe oder Sperrung zu realisieren. Grundsätzlich werden Sicherheits- steuerungen vom Hersteller nämlich mit einem aufgespielten Be- triebsprogramm ausgeliefert. Die Kombination von Hardwareplatt- form und aktuellem Betriebsprogramm unterliegt damit wie bisher der vollen Kontrolle des Herstellers im eigenen Betrieb. Mit Hilfe einer sequentiellen Versionsinformation kann der Herstel- ler dann auf einfache Weise gewährleisten, daß ein Anwender nur ein neueres Betriebsprogramm, d. h. ein Betriebsprogramm mit ei- ner höheren sequentiellen Versionsinformation, aufspielen kann.

Damit kann die ausgelieferte Sicherheitssteuerung vom Anwender unter keinen Umständen mit einem"älteren"Betriebsprogramm versehen werden. Der Großteil der ungeprüften und damit unzu- lässigen Kombinationen von Hardwareplattform und Betriebspro- gramm ist damit wirkungsvoll und auf einfache Weise ausge- schlossen.

Für den Hersteller genügt es, daß er gegenüber den Aufsichtsbe- hörden nachweisen kann, daß eine neue Version des Betriebs- programms mit einer entsprechend höheren Versionsinformation fehlersicher auf den bisher verwendeten Hardwareplattformen lauffähig ist. Der Aufwand hierfür läßt sich vergleichsweise gering halten, da eine neue Version eines Betriebsprogramms in aller Regel auf vorhergehenden Versionen aufbaut und dement- sprechend nur einen begrenzten Umfang an Modifikationen bein- haltet.

Die theoretisch denkbare Möglichkeit, daß ein Anwender auf eine neue Sicherheitssteuerung ein in dieser Kombination nicht ge- prüftes, älteres Betriebsprogramm aufspielt, ist durch die feh- lersichere Überprüfung der sequentiellen Versionsinformation ausgeschlossen.

In einer weiteren Ausgestaltung beinhaltet die Downloadeinrich- tung einen Vergleicher zum Vergleich der ersten und zweiten Versionsinformationen sowie eine Freigabeeinrichtung, wobei die Freigabeeinrichtung das Aufspielen des neuen Betriebsprogramms in Abhängigkeit von dem Vergleicher fehlersicher unterbindet, wenn die sequentielle zweite Versionsinformation niedriger ist als die sequentielle erste Versionsinformation.

Diese Ausgestaltung ist eine besonders vorteilhafte Möglich- keit, um die sequentiellen Versionsinformationen automatisch und maschinell zum Freigeben oder Sperren der Übernahme auszu- werten. Es versteht sich dabei, daß der Vergleicher bzw. die Freigabeeinrichtung gleichermaßen als Hardwarebausteine oder als Software, d. h. innerhalb des aktuellen Betriebsprogramms realisiert sein können.

In einer weiteren Ausgestaltung gibt die Freigabeeinrichtung das Aufspielen des neuen Betriebsprogramms nur dann frei, wenn die sequentielle zweite Versionsinformation höher ist als die sequentielle erste Versionsinformation.

Anders ausgedrückt wird das Abspeichern des neuen Betriebs- programms hiernach auch dann unterbunden, wenn die sequentielle zweite Versionsinformation gleich der sequentiellen ersten Ver- sionsinformation ist.

In dieser Ausgestaltung wird zusätzlich zu dem bisher erläuter- ten Ansatz auch das erneute Aufspielen eines identischen Be- triebsprogramms unterbunden. Ein Anreiz hierzu besteht bei- spielsweise dann, wenn der Anwender der Sicherheitssteuerung Funktionsstörungen feststellt, von denen er meint, daß sie durch erneutes Aufspielen des vorhandenen Betriebsprogramms be- seitigt werden können. Häufig ist eine solche"Selbsthilfe"je- doch trügerisch. Aus Sicherheitsgründen ist es daher von Vor- teil, wenn ein Anwender tatsächlich nur ein Betriebsprogramm mit einer höheren Versionsinformation selbständig auf seine Si- cherheitssteuerung aufspielen kann.

In einer weiteren Ausgestaltung sind die erste und die zweite Versionsinformation in dem jeweiligen Betriebsprogramm fehler- sicher abgesichert.

Eine fehlersichere Absicherung der Versionsinformation wird insbesondere durch eine redundante Abspeicherung und/oder eine an sich bekannte Signaturbildung, beispielsweise in Form einer CRC-Prüfsumme (cyclic redundancy check) erreicht. In dieser Ausgestaltung ist das Aufspielen eines neuen Betriebsprogramms noch zuverlässiger möglich, da ein unerwünschtes Aufspielen eines neuen Betriebsprogramms selbst bei einem Fehler oder einer Manipulation an der Versionsinformation verhindert ist.

Die Kontrolle des Herstellers der Sicherheitssteuerung ist nochmals verstärkt.

In einer weiteren Ausgestaltung beinhaltet zumindest das neue Betriebsprogramm Programmcode, der sicherheitstechnische Steu- erregeln in der Sicherheitssteuerung implementiert, wenn das neue Betriebsprogramm in der Sicherheitssteuerung ausgeführt wird.

Durch diese Maßnahme läßt sich der gesamte Funktionsumfang der Sicherheitssteuerung in besonders vorteilhafter Weise modifi- zieren, ohne daß der Hersteller der Sicherheitssteuerung die Kontrolle verliert. Die Vorteile der Erfindung treten in dieser Ausgestaltung besonders deutlich hervor. Der Anwender hat hier die Möglichkeit, durch Aufspielen des neuen Betriebsprogramms die sicherheitstechnischen Steuerregeln zu verändern. Er ist jedoch darauf beschränkt, das vom Hersteller kontrollierte"Ge- samtpaket"aller implementierten sicherheitstechnischen Steuer- regeln auszutauschen. Er kann nicht die sicherheitstechnischen Steuerregeln selbst verändern oder manipulieren, was ein Si- cherheitsrisiko bedeuten würde.

In einer weiteren Ausgestaltung ist ein zweiter Festspeicher vorhanden, in dem eine erste Hardwareinformation abgespeichert ist, die zumindest für das Signalverarbeitungsmodul charakte- ristisch ist. Ferner beinhaltet das neue Betriebsprogramm eine zweite Hardwareinformation, die für eine minimal erforderliche Hardwarekonfiguration charakteristisch ist, und die Freigabe- einrichtung gibt das Aufspielen des neuen Betriebsprogramms in Abhängigkeit von einem Vergleich der ersten und der zweiten Hardwareinformation frei oder sperrt es. Mit anderen Worten un- terbindet die Freigabeeinrichtung das Abspeichern in Abhängig- keit von einem Vergleich der ersten und der zweiten Hardware- information.

Mit dieser Ausgestaltung der Erfindung kann der Hersteller der Sicherheitssteuerung zusätzlich auch kontrollieren, daß ein neues Betriebsprogramm nur auf einer Hardwareplattform betrie- ben werden darf, die von ihm getestete, minimale Voraussetzun- gen erfüllt. Der Hersteller der Sicherheitssteuerung kann damit die Kombinationsvielfalt von Hardwareplattformen und Betriebs- programmen auf Anwenderseite weiter einschränken. Hierdurch läßt sich auf Herstellerseite der Aufwand beim Nachweis der fehlerfrei zulässigen Kombinationen von Hardwareplattformen und Betriebsprogrammen reduzieren. Auf Anwenderseite ist die Gefahr einer sicherheitskritischen Kombination von Hardware und Be- triebsprogramm weiter reduziert.

In einer weiteren Ausgestaltung beinhalten die erste und die zweite Hardwareinformation sequentielle Versionsinformationen.

Eine sequentielle Versionsinformation läßt, wie bereits erläu- tert, eine eindeutige Einordnung in einer Reihenfolge zu. Die Zulässigkeit der sich beim Anwender ergebenden Kombination von Hardwareplattform und Betriebsprogramm läßt sich damit beson- ders einfach und sicher kontrollieren.

In einer weiteren Ausgestaltung beinhalten die erste und die zweite Hardwareinformation jeweils eine Typeninformation.

Hierdurch kann die Überprüfung, ob eine zulässige Kombination von Hardwareplattform und Betriebsprogramm vorliegt, noch ein- facher und zuverlässiger gestaltet werden. Mit Hilfe einer Ty- peninformation lassen sich verschiedene Baureihen und Hardware- plattformen so voneinander unterscheiden, daß das Aufspielen eines typfremden Betriebsprogramms unabhängig von der Versions- information verhindert ist. In Kombination mit einer sequen- tiellen Versionsinformation erhält man zudem eine doppelte Ü- berprüfungsmöglichkeit, die eine zusätzliche Sicherheit bietet.

Es versteht sich, daß die vorstehend genannten und die nach- stehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen : Fig. 1 eine schematische Darstellung einer erfindungsgemäßen Sicherheitssteuerung und Fig. 2 ein Flußdiagramm zur Erläuterung des erfindungsgemä- ßen Verfahrens.

In Fig. 1 ist eine erfindungsgemäße Sicherheitssteuerung in ih- rer Gesamtheit mit der Bezugsziffer 10 bezeichnet.

Die Sicherheitssteuerung 10 dient hier gemäß einem bevorzugten Ausführungsbeispiel der Erfindung zum sicheren Abschalten einer Maschinenanlage, insbesondere einer Maschinenanlage in einer industriellen Produktionsumgebung. Die Maschinenanlage ist hier beispielhaft durch drei elektrische Antriebe 12 dargestellt, die von der Sicherheitssteuerung 10 einzeln oder gemeinsam ab- geschaltet werden können. Als Eingangssignale wertet die Si- cherheitssteuerung 10 in diesem exemplarischen Anwendungsfall zwei Not-Aus-Schalter 14 sowie eine Schutztür 16 aus. Die Not- Aus-Schalter 14 und die Schutztür 16 sind in an sich bekannter Weise im Bereich der Maschinenanlage angeordnet, um deren Absi- cherung im Hinblick auf die Betriebssicherheit für Bedienperso- nal zu gewährleisten.

Die Sicherheitssteuerung 10 ist im vorliegenden Ausführungs- beispiel als proprietäres Gerät allein für die Absicherung der Maschinenanlage verantwortlich, d. h. das gezielte Abschalten der Antriebe 12 bei Vorliegen eines entsprechenden Abschaltsig- nals von den Not-Aus-Schaltern 14 oder der Schutztür 16. Die Betriebssteuerung der Maschine, beispielsweise also das Be- schleunigen und Abbremsen der Antriebe 12 im Arbeitsablauf ist hier nicht Aufgabe der Sicherheitssteuerung 10. Hierfür ist ei- ne eigenständige, an sich bekannte Betriebssteuerung vorgese- hen, die hier aus Gründen der Übersichtlichkeit nicht darge- stellt ist. Alternativ kann die Sicherheitssteuerung 10 in an- deren Ausführungsbeispielen jedoch auch zusätzlich die Be- triebssteuerung der Maschinenanlage übernehmen. Es versteht sich, daß die Sicherheitssteuerung 10 in diesem Fall eine höhe- re Komplexität aufweist und über die gezeigten Eingangs-und Ausgangssignale hinaus weitere maschinentypische Steuersignale erhält und abgibt.

Es versteht sich ferner, daß über die hier gezeigten Signalge- ber für die Eingangssignale, d. h. die Not-Aus-Schalter 14 und die Schutztür 16, beliebige andere Signalgeber am Eingang der Sicherheitssteuerung 10 angeschlossen sein können, wie bei- spielsweise Zwei-Hand-Taster, Stillstandswächter, Lichtschran- ken oder Positionsschalter. Die fehlersichere Auswertung dieser Signalgeber erfolgt in der Sicherheitssteuerung 10 in an sich bekannter Weise mit Hilfe des Betriebsprogramms und des Anwen- derprogramms.

Ebenso können am Ausgang der Sicherheitssteuerung 10 andere e- lektrisch betätigte Verbraucher angeschlossen sein, die in Ab- hängigkeit von den Signalen am Eingang der Sicherheitssteuerung 10 fehlersicher abgeschaltet werden müssen.

Schließlich sei darauf hingewiesen, daß die Sicherheitssteue- rung 10 hier vom Anwender in an sich bekannter Weise mit einem Anwenderprogramm programmiert werden kann. Beispielhaft sei auf die bereits eingangs genannte WO 98/44399 verwiesen. Die Vor- teile der Erfindung kommen jedoch auch bei solchen Sicherheits- steuerungen zur Geltung, die vom Anwender nicht mit einem An- wenderprogramm programmiert werden können, sofern ein Betriebs- programm im Sinne der vorherigen Erläuterungen vorhanden ist.

Derartige Sicherheitssteuerungen werden von der Anmelderin der vorliegenden Erfindung beispielsweise unter der Produktfamilie PNOZelogTM vertrieben, wobei ein Austausch des Betriebsprogramms durch den Anwender bei diesen Geräten bislang nicht möglich war.

Die Sicherheitssteuerung 10 besitzt zum Aufnehmen der Prozeß- größen von den Signalgebern, hier also den Not-Aus-Schaltern 14 und der Schutztür 16, ein Eingangsmodul 18. Das Eingangsmodul 18 ist in der Regel aus Gründen der erforderlichen Fehler- sicherheit zweikanalig redundant aufgebaut, was in Fig. 1 mit der gestrichelten Linie dargestellt ist. In Einzelfällen kann es jedoch ausreichend sein, das Eingangsmodul 18 oder zumindest Teile davon einkanalig auszubilden. Ferner ist das Eingangsmo- dul in dem Blockschaltbild in Fig. 1 aus Gründen der Übersicht- lichkeit als ein eigener Funktionsblock dargestellt. Es kann jedoch teilweise per Software realisiert sein und ist dann ent- sprechend in das Betriebsprogramm eingebettet.

Mit der Ziffer 20 ist ein Signalverarbeitungsmodul der Sicher- heitssteuerung 10 bezeichnet. Es verknüpft in an sich bekannter Weise die vom Eingangsmodul 18 aufgenommenen Prozeßsignale und erzeugt daraus Steuersignale, die über ein Ausgangsmodul 22 ausgegeben werden. Häufig beinhaltet das Ausgangsmodul 22 Re- lais, Schütze oder auch elektronische Schalter, mit denen die elektrische Versorgung der Antriebe 12, allgemeiner der Maschi- nenanlage, fehlersicher abgeschaltet wird. Die Fehlersicherheit ist auch hier wiederum durch eine diagonale Linie symbolisiert, die auf eine entsprechend redundante Auslegung des Ausgangs- moduls 20 hinweist. Der Signalfluß vom Eingangsmodul 18 über das Signalverarbeitungsmodul 20 zum Ausgangsmodul 22 ist in Fig. 1 durch entsprechende Blockpfeile angedeutet.

Das Signalverarbeitungsmodul 20 beinhaltet zumindest einen pro- grammierbaren Prozessor 24 sowie einen Festspeicher 26 und einen Arbeitsspeicher 28. Im Festspeicher 26 ist in an sich be- kannter Weise das Betriebsprogramm 30 für den Prozessor 24 nicht-flüchtig abgespeichert. Hierbei handelt es sich um eine Summe von Programmbefehlen in maschinenlesbarer Form, die die Grundfunktionalität der Sicherheitssteuerung 10 ermöglicht.

Insbesondere beinhaltet das Betriebsprogramm 30 in diesem Aus- führungsbeispiel diejenigen Programmbefehle, mit denen der Pro- zessor 24 Signale einlesen und ausgeben kann. Mit diesen Pro- grammbefehlen wird die Hardware der Sicherheitssteuerung 10 praktisch"zum Leben erweckt".

Darüber hinaus beinhaltet das Betriebsprogramm 30 hier einen vorbereiteten Satz von sicherheitstechnischen Steuer- regeln, mit denen beispielsweise die fehlersichere Auswertung eines zweikanaligen Not-Aus-Schalters realisiert wird. Ebenso sind fehlersichere Auswertealgorithmen für sämtliche anderen zugelassenen Signalgeber und für alle zugelassenen Aktuatoren auf der Ausgangsseite der Sicherheitssteuerung 10 vorhanden.

In dem Fall, daß es sich bei der Sicherheitssteuerung 10 um ein proprietäres Gerät handelt, beinhaltet das Betriebsprogramm 30 ferner die Zuordnung der sicherheitstechnischen Steuerregeln zu den Ein-und Ausgangsanschlüssen. Der Anwender hat in diesem Fall keinen oder allenfalls einen sehr begrenzten Einfluß auf den Funktionsumfang. Wie erwähnt, kann die Sicherheitssteuerung 10 alternativ jedoch auch so realisiert sein, daß der Anwender mit Hilfe eines von ihm zu erstellenden Anwenderprogramms die Auswahl von sicherheitstechnischen Steuerregeln vornehmen und diese parametrieren kann.

Der Arbeitsspeicher 28 dient zum temporären Abspeichern von Zwischengrößen und gegebenenfalls zum Aufnehmen des Anwender- programms, das auf das Betriebsprogramm 30 aufsetzt.

Das Signalverarbeitungsmodul 20 der Sicherheitssteuerung 10 ist durchgehend eigenfehlersicher aufgebaut, was beispielsweise durch eine redundante Realisierung mit gegenseitigen Tests und Kontrollen geschehen kann. Andeutungsweise sind der Prozessor 24, der Festspeicher 26 und der Arbeitsspeicher 28 hier daher jeweils doppelt dargestellt.

Mit der Bezugsziffer 32 ist im Blockschaltbild eine Download- einrichtung zum Aufspielen eines neuen Betriebsprogramms 34 be- zeichnet."Aufspielen"bedeutet dabei, daß das neue Betriebs- programm 34 so in dem Festspeicher 26 abgespeichert wird, daß es in Ergänzung und/oder alternativ zum ersten Betriebsprogramm 30 den Funktionsumfang der Sicherheitssteuerung 10 bestimmt.

Das Aufspielen des neuen Betriebsprogramms 34 kann insbesondere beinhalten, daß das vorhandene Betriebsprogramm 30 vollständig ersetzt wird. Damit besteht unter anderem die Möglichkeit, die vorbereiteten sicherheitstechnischen Steuerregeln durch geän- derte sicherheitstechnische Steuerregeln zu ersetzen.

Die Downloadeinrichtung 32 beinhaltet hier der Erfindung ent- sprechend einen Vergleicher 36 sowie eine Freigabeeinrichtung 38. Des weiteren ist sowohl im vorhandenen Betriebsprogramm 30 als auch im neuen Betriebsprogramm 34 eine sequentielle Versi- onsinformation vorgesehen, die in Fig. 1 mit den Bezugsziffern 40 bzw. 42 bezeichnet ist. Der Vergleicher 36 liest die Versi- onsinformation 40 des vorhandenen Betriebsprogramms 30 und die Versionsinformation 42 des neuen Betriebsprogramms 34 ein und vergleicht diese miteinander. In Abhängigkeit vom Ergebnis die- ses Vergleichs sperrt die Freigabeeinrichtung 38 die Möglich- keit des Aufspielens des neuen Betriebsprogramms 34 oder sie gibt dies frei. Konkret wird mit Hilfe der Downloadeinrichtung 32 das Aufspielen des neuen Betriebsprogramms 34 nur dann er- möglicht, wenn die Versionsinformation des neuen Betriebs- programms 34 höher ist als die Versionsinformation des vorhan- denen Betriebsprogramms 30. Mit anderen Worten kann bei der Si- cherheitssteuerung 10 ein neues Betriebsprogramm 34 nur dann aufgespielt werden, wenn es neuer ist als das vorhandene Be- triebsprogramm 30, was durch Vergleich der Versionsinforma- tionen festgestellt wird.

Es versteht sich, daß die Darstellung in Fig. 1 mit dem Vergleicher 36 und der Freigabeeinrichtung 38 in erster Linie aus anschaulichen Gründen gewählt wurde. In der praktischen Re- alisierung findet der Vergleich der Versionsinformationen sowie die Freigabe oder Sperrung des Aufspielens mit Hilfe von pro- grammtechnischen Mitteln, d. h. mit Hilfe von entsprechenden Programmbefehlen statt, die als Teil des vorhandenen Betriebs- programms 30 im Festspeicher 26 abgelegt sind und vom Prozessor 24 abgearbeitet werden. Hardwaretechnisch beinhaltet die Down- loadeinrichtung 32 darüber hinaus eine an sich bekannte Schnittstelle, wie beispielsweise eine RS232-Schnittstelle, ü- ber die das neue Betriebsprogramm 34 bei entsprechender Frei- gabe eingelesen werden kann.

Entsprechend einem bevorzugten Ausführungsbeispiel der Erfin- dung sind die Versionsinformationen 40 und 42 der Betriebs- programme 30 und 34 mehrfach redundant in den Betriebsprogram- men eingebettet und/oder durch Fehlersicherungsmaßnahmen, wie beispielsweise eine CRC-Prüfsumme oder eine andere Signaturbil- dung, abgesichert. Das Aufspielen des neuen Betriebsprogramms 34 wird von der Freigabeeinrichtung 38 nur dann freigegeben, wenn ein fehlersicherer Vergleich der beiden Versions- informationen 40,42 zweifelsfrei ergibt, daß die Versions- information des neuen Betriebsprogramms 34 höher ist als die Versionsinformation des vorhandenen Betriebsprogramms 30.

Entsprechend einem bevorzugten Ausführungsbeispiel ist in der Sicherheitssteuerung 10 ferner eine Hardwareinformation 44 ab- gespeichert, die zumindest für das Signalverarbeitungsmodul 20 charakteristisch ist. Mit anderen Worten gibt die Hardware- information 44 Aufschluß über den Entwicklungsstand der Hard- wareplattform der Sicherheitssteuerung 10. Gemäß einem beson- ders bevorzugten Ausführungsbeispiel beinhaltet die Hardware- information auch eine Typeninformation 46, mit deren Hilfe ver- schiedene Hardwareplattformen genauer identifiziert werden kön- nen. Des weiteren ist im neuen Betriebsprogramm 34 eine zweite Hardwareinformation 48 vorgesehen, mit deren Hilfe die mindes- tens erforderlichen Hardwarevoraussetzungen identifiziert wer- den können. Bevorzugt handelt es sich bei den Hardware- informationen 44,48 wiederum um sequentielle Versionsinforma- tionen, die eine eindeutige Einordnung der vorhandenen Hard- wareplattform bzw. der erforderlichen Minimalvoraussetzungen in eine Entwicklungsreihenfolge ermöglichen.

In dem bevorzugten Ausführungsbeispiel werden bei der Über- prüfung, ob das Aufspielen des neuen Betriebsprogramms 34 frei- gegeben wird oder nicht, auch die Hardwareinformationen 44,46, 48 berücksichtigt. Insbesondere wird das Aufspielen des neuen Betriebsprogramms 34 nur dann freigegeben, wenn die im Be- triebsprogramm 34 codierten Minimalanforderungen an die Hard- wareplattform bei der Sicherheitssteuerung 10 aufgrund der ab- gespeicherten Hardwareinformationen 44, 46 zweifelsfrei vorlie- gen.

Entsprechend einem weiteren bevorzugten Ausführungsbeispiel ist bei der Sicherheitssteuerung 10 hier außerdem eine weitere Ver- sionsinformation 50 nicht flüchtig abgespeichert, die die mini- mal zulässige Version für ein neues Betriebsprogramm 34 defi- niert. In diesem Ausführungsbeispiel wird die Freigabe für das Aufspielen eines neuen Betriebsprogramms 34 daher zusätzlich noch davon abhängig gemacht, daß die Versionsinformation 42 hö- her ist als die festgelegte minimale Versionsinformation 50.

Durch dieses weitere Vergleichskriterium wird das Aufspielen des neuen Betriebsprogramms 34 von einer weiteren Kontrolle ab- hängig gemacht. Diese Kontrolle kann jedoch auch entfallen, wenn der Hersteller der Sicherheitssteuerung 10 gewährleistet, daß die Sicherheitssteuerung 10 stets nur mit einem Betriebs- programm 30 ausgeliefert wird, indem eine Versionsinformation 40 enthalten ist. Eine Minimalanforderung an das neue Betriebs- programm 34 ist dann dadurch sichergestellt, daß das neue Be- triebsprogramm 34 nur mit einer höheren Versionsinformation als der vorhandenen aufgespielt werden kann.

In Fig. 2 ist anhand eines Flußdiagramms schematisch darge- stellt, wie das Aufspielen des neuen Betriebsprogramms 34 er- folgen kann. Es ist leicht nachzuvollziehen, daß das entspre- chende Verfahren sehr gut in Form von geeignetem Programmcode für den Prozessor 24 realisiert werden kann.

In Schritt 60 wird zunächst ein Download-Modus aktiviert. Um eine Fehlbedienung und eine unbeabsichtigte Aktivierung zu ver- hindern, kann dies vorteilhafterweise dadurch erfolgen, daß ein für diesen Zweck extra vorgesehener Schlüsselschalter (hier nicht dargestellt) an der Sicherheitssteuerung 10 betätigt wird. Es ist jedoch auch möglich, den Download-Modus programm- technisch durch Eingabe eines Paßworts oder dergleichen zu ak- tivieren.

Gemäß Schritt 62 erfolgt dann das Einlesen der aktuellen Versi- onsinformation 40 des vorhandenen Betriebsprogramms 30. An- schließend wird im Schritt 64 die Versionsinformation 42 des neuen Betriebsprogramms 34 eingelesen. Gemäß Schritt 66 erfolgt dann ein Vergleich der beiden Versionsinformationen 40,42. Ist die Versionsinformation 40 des vorhandenen Betriebsprogramms 30 größer oder höher als die Versionsinformation 42 des neuen Be- triebsprogramms 34, erfolgt gemäß Schritt 68 der Abbruch des Verfahrens und bevorzugt die Beendigung des Download-Modus. Das Aufspielen des neuen Betriebsprogramms 34 wird hierdurch zuver- lässig verhindert.

Ergibt der Vergleich der beiden Versionsinformationen 40,43, daß das neue Betriebsprogramm 34 das vorhandene Betriebs- programm 30 zulässigerweise ergänzen oder ersetzen darf, wird gemäß Schritt 70 die Hardwareinformation 44,46 der Sicher- heitssteuerung 10 eingelesen. Im Schritt 72 wird anschließend die Hardwareinformation 48 eingelesen, die die minimalen Hard- warevoraussetzungen für die Lauffähigkeit und Zulässigkeit des neuen Betriebsprogramms 34 definiert. Gemäß Schritt 74 erfolgt in dem hier dargestellten, bevorzugten Ausführungsbeispiel zu- nächst ein Typenvergleich, d. h. es wird überprüft, ob das Be- triebsprogramm 34 anhand der Typeninformation für den Betrieb auf der Sicherheitssteuerung 10 zugelassen ist. Ist dies nicht der Fall, erfolgt gemäß Schritt 76 wiederum der endgültige Ab- bruch des Download-Modus. Ist der Typenvergleich hingegen ebenfalls positiv, wird in Schritt 78 als weiteres Kriterium überprüft, ob die Hardware- information 44 der Sicherheitssteuerung 10 größer oder zumin- dest gleich der minimalen Hardware-Information 48 ist, die im Betriebsprogramm 34 enthalten ist. Ergibt dieser Vergleich, daß die Sicherheitssteuerung 10 die minimalen Hardwarevoraussetzun- gen nicht erfüllt, wird der Download-Modus gemäß Schritt 80 wiederum abgebrochen.

Fällt hingegen auch die Überprüfung der Hardwarevoraussetzungen anhand der Hardwareinformationen positiv aus, erfolgt gemäß Schritt 82 das Aufspielen des Betriebsprogramms 34. Mit anderen Worten wird das Betriebsprogramm 34 dann in dem Festspeicher 26 abgespeichert. Nach Beendigung des Abspeicherns steht das neue Betriebsprogramm 34 anstelle oder in Ergänzung zum vorhandenen Betriebsprogramm 30 für den Betrieb der Sicherheitssteuerung 10 zur Verfügung.

Das Übertragen des neuen Betriebsprogramms 34 zu der Sicher- heitssteuerung 10 kann auf unterschiedliche Weise erfolgen. Wie bereits oben erwähnt, kann das Betriebsprogramm 34 nach erfolg- ter Freigabe über eine serielle Schnittstelle an die Sicher- heitssteuerung 10 übertragen werden. Ebenso ist es möglich, die Übertragung über einen Feldbus oder ein wechselbares Speicher- medium vorzunehmen. Grundsätzlich ist sogar die Übertragung des neuen Betriebsprogramms 34 über das Internet möglich.

Zur weiteren Erhöhung der Fehlersicherheit ist es ferner vor- teilhaft, wenn das Betriebsprogramm 34 und insbesondere die Versionsinformationen 42 und 48 durch einen an sich bekannten Verschlüsselungsalgorithmus gegen Manipulationen und Verfäl- schungen gesichert sind. In der Sicherheitssteuerung 1ß ist dann ein entsprechendes Entschlüsselungsprogramm (hier nicht dargestellt) vorhanden.

In den bislang beschriebenen, bevorzugten Ausführungsbeispielen beinhalten die Versionsinformationen beispielsweise Zahlen- und/oder Buchstabenkombinationen, die eine eindeutige Einord- nung in eine Reihenfolge ermöglichen. Alternativ hierzu ist es jedoch auch möglich, die Versionsinformationen nicht in"ferti- ger Form"bereitzustellen, sondern in Form eines Algorithmus, der ein eindeutiges Ergebnis liefert und somit die endgültige Bestimmung der sequentiellen Versionsinformation erst ermög- licht. Auch dies ist eine sequentielle Versionsinformation im Sinne der vorliegenden Erfindung.