專利名稱:驗證控制裝置的應用程序的方法和執(zhí)行該方法的控制裝置的制作方法
技術領域:
本發(fā)明涉及一種根據權利要求1的前序部分所述的用于對故障安全的存儲器可編程的控制裝置的應用程序進行驗證的方法以及一種根據權利要求11的前序部分所述的存儲器可編程的控制裝置����。
背景技術:
存儲器可編程的控制裝置使用在自動化技術的所有領域中。在其中存儲器可編程的控制裝置失靈會導致嚴重后果(例如機器和設備的損壞或者甚至人員傷害)的應用情況下,對工作安全性提出了提高的要求��。在這樣的場景中使用的存儲器可編程的控制裝置為此設置了如下措施����,其使故障保險性或工作安全性提高�����,例如通過冗余設計���、更好的故障識別等來實現���。這樣的存儲器可編程的控制裝置也稱作“安全相關”����、“故障安全”、“故障保險” 等等�����。所需的功能安全性的規(guī)范也記錄在眾多標準中,例如在歐洲標準EN 61508中���。例如對應用者而言必須能夠可靠地對于故障安全的“安全相關的”存儲器可編程的控制裝置來檢查是否有正確的安全程序被加載到控制裝置中�����,即必須能夠校驗加載在可編程的控制裝置的工作存儲器中的應用程序是針對具體任務設計的應用程序�,而非例如其他應用程序或具有錯誤的輸出狀態(tài)(版本)的應用程序。在此,又必須保證�,不僅“正確的”應用程序加載到工作存儲器中而且該應用程序也被處理��,而并非例如以前處理過的其他應用程序的程序或者程序部件(功能部件)被加載和處理�。于是會發(fā)生執(zhí)行完整的“錯誤”或陳舊的應用程序�,或者來自以前處理過的應用程序的僅僅一個單獨的功能部件保留, 其于是無意地被處理�����。同樣,會發(fā)生單個的功能部件被刪除或損壞�,使得存在的應用程序不完整或不能用�����。為了排除這樣的錯誤��,在“加載”故障安全的存儲器可編程的控制裝置的情況下����, 各種操作方法是常見的。這樣,一方面保證了��,加載存儲器(即例如存儲器可編程的控制裝置的存儲器卡、硬盤或其他大容量存儲器)包含“正確的”應用程序并且因此包含“正確的”功能部件或程序部件���,其方式是在存儲器可編程的控制裝置方面確定在加載存儲器中的應用程序或程序部件或功能部件的程序標識����。這意味著例如函數名稱和相應的輸出狀態(tài)(版本)和必要時在加載存儲器中的“例程”順序(排列)確定為程序標識���。這些信息被傳輸給外部部件��、通常傳輸給創(chuàng)建系統(tǒng)(“工程系統(tǒng)”)并且在那里與在應用程序創(chuàng)建時被確定和存儲的期望值比較����。在比較為肯定的情況下���,確認消息可以由外部部件發(fā)送給存儲器可編程的控制裝置�����,由此最后啟動應用程序的處理����。通過該操作方法保證了在加載存儲器中存在正確的應用程序連帶所有其相關的功能部件和程序部件,更確切地說處于正確的順序和正確的輸出狀態(tài)(版本)�����。由于還會出現在加載因此確定的應用程序之后在存儲器可編程的控制裝置的工作存儲器中還存在其他應用程序的部分(片段)并且因此會獲得執(zhí)行,所以必須遵守所謂的加載規(guī)定���,即必須采取如下措施其保證在加載“正確的”應用程序之前清除工作存儲器上的程序片段等����。這例如可以表示進行存儲器可編程的控制裝置的“復位”,使得整個工作存儲器寫滿標準值(例如在每個存儲單元中的邏輯“0”或邏輯“1”)等等����。尤其是前述的加載規(guī)定的遵守在實踐中越來越成問題���,因為加載規(guī)定在所使用的不同的存儲器可編程的控制裝置(“目標系統(tǒng)”���,“目標”)的情況下部分彼此差異相當大。 這意味著例如具有專有硬件的��、簡單的���、存儲器可編程的控制裝置(該硬件作為加載存儲器具有僅僅一個存儲卡和僅僅一個相關的工作存儲器)以其他加載規(guī)定加載和起動,例如基于PC的系統(tǒng)����,其中在實時操作系統(tǒng)中的存儲器可編程的控制裝置與面向窗口的操作系統(tǒng)(例如Microsoft Windows)并行工作。雖然在遵守相應有效的加載規(guī)定的情況下保證了 “正確的”應用程序實際上被加載在工作存儲器中并且此外沒有其他程序部分等等在工作存儲器中存在����,但由于針對不同系統(tǒng)有不同加載規(guī)定所以會容易出現如下故障��,其未被識別或通常僅能困難地識別并且導致同樣并不一定達到適當的狀態(tài)����。另一缺點在于除了必須知悉加載規(guī)定以及遵守其之外也需要準確知悉或分析相應的存儲器可編程的控制裝置及其存儲器結構。
發(fā)明內容
于是����,本發(fā)明的任務是簡化在安全相關的存儲器可編程的控制裝置中的加載過程��。本發(fā)明的另一任務是識別存儲器可編程的控制裝置的工作存儲器的有故障的內容���,該內容例如由加載程序(加載規(guī)定)的有錯誤的執(zhí)行而造成。在此,本發(fā)明的中心思想是對在存儲器中存在的應用程序就其與所期望的狀態(tài)的一致性方面不進行校驗或不僅僅進行校驗,而是對加載過程之后工作存儲器的內容在與所希望的狀態(tài)(期望值)的一致性方面進行校驗,使得由于不遵守或由于在應用加載規(guī)定時的錯誤形成的不希望的狀態(tài)也被可靠地識別�。本發(fā)明的另一構思是��,該校驗并且因此在實際值與期望值之間的比較借助相關的存儲器可編程的控制裝置本身來進行�����。任務的解決方案尤其是設計了根據權利要求1所述的方法和根據權利要求9所述的存儲器可編程的控制裝置��。借助所述方法和這種存儲器可編程的控制裝置(SPQ可以保證�����,在工作存儲器(AQ中存在正確而完整的應用程序��,其中保證了沒有其他功能部件或程序片段無意地存在于工作存儲器(AS)中并且可以實現處理�。借助該方法保證了成功應用對于具體存在的架構所需的加載規(guī)定�����。在此,設計的是用于對安全相關的存儲器可編程的控制裝置的應用程序進行驗證的方法,其中由多個程序部件構成的應用程序由加載存儲器傳輸至工作存儲器中。在此����,在創(chuàng)建應用程序的過程中作為期望值通過多個程序部件形成簽名�,其中該簽名的第一副本傳輸至故障安全的存儲器可編程的控制裝置并且存儲在那里,并且其中該簽名的第二副本存儲在外部部件中�����。至少在將應用程序和該簽名的第一副本傳輸至故障安全的存儲器可編程的控制裝置之后�,該簽名的第一副本被傳輸給外部部件(“回讀”)并且借助第二比較與該簽名的第二副本進行比較。此外�,由在工作存儲器中存在的應用程序或由多個傳輸至工作存儲器中的程序部件借助故障安全的存儲器可編程的控制裝置的管理實體將第二簽名確定為實際值����,由此所確定的第二簽名借助在存儲器可編程的控制裝置方面進行的第一比較與該簽名的第一副本比較。存儲器可編程的控制裝置在比較之一有差異時轉變到可靠的工作狀態(tài)中�����。通過該方法保證了 在存儲器可編程的控制裝置的工作存儲器中存在的應用程序恰好對應于在創(chuàng)建(編程)時曾確定的應用程序�。存儲在存儲器可編程的控制裝置上的簽名的回讀和與作為期望值存儲的簽名的比較在此攔截故障�,該故障在根本沒有數據傳輸至存儲器可編程的控制裝置中(既無新應用程序也無簽名的期望值的副本)�����,而是帶有合適簽名的“老”應用程序在那里保持不變時形成���;在這樣的情況下存儲器可編程的控制裝置借助“不期望的”程序來啟動是可能的。該任務的解決方案還設計了用于使用在安全相關的應用情況中的存儲器可編程的控制裝置,其中存儲器可編程的控制裝置構建為用于執(zhí)行前述的方法�,其中存儲器可編程的控制裝置配備有管理實體,用于確定在存儲器可編程的控制裝置的工作存儲器中的應用程序的簽名的實際值��;和比較裝置,用于將所確定的實際值與作為期望值存儲的第二簽名比較�,并且其中存儲器可編程的控制裝置構建為在比較結果為否定的情況下激活可靠的工作狀態(tài)�。通過這樣的存儲器可編程的控制裝置可以執(zhí)行上述的方法����,使得可以實現與此相關的優(yōu)點���。根據本發(fā)明的方法的有利的擴展方案在從屬權利要求中給出����。在此所給出的特征和優(yōu)點相應地也適于根據本發(fā)明的存儲器可編程的控制裝置���。作為可靠的工作狀態(tài)����,例如存儲器可編程的控制裝置的應急停止(Not-Mop)可以被力爭達到,其中在一個有利的實施形式中存儲器可編程的控制裝置的電輸出端可以被引入到為此預定義的狀態(tài)中���。有利地���,簽名(實際值)的確定和與期望值的比較在程序加載到工作存儲器中之后即在第一程序起動之前進行�����,使得在故障情況下起初可以阻止有錯誤的應用程序的執(zhí)行。在一個可替選的實施形式中�,被加載到工作存儲器中的所有程序部件被用于創(chuàng)建簽名 (實際值)�����,使得省去校驗完整的工作存儲器內容,只要在存儲器可編程的控制裝置的每次重新起動或“完全復位(Urliischen )”工作存儲器之后以當前地、動態(tài)地創(chuàng)建簽名來開始。附加地��,所確定的簽名(實際值)也可以被傳輸給外部部件����、例如工程系統(tǒng)���,在那里進一步與那里作為期望值存儲的簽名或其副本進行比較���,并且其中應用程序的工作僅在比較為肯定時被啟動�,例如通過將啟動消息傳輸給存儲器可編程的控制裝置來進行�。由此�, 在存儲器可編程的控制裝置方面進行的比較可以被校驗或補充����。有利地,用作期望值的簽名或用作第一期望值和第二期望值的簽名在創(chuàng)建應用程序的過程中被確定并且存儲���,其中有利地代替最初基于函數名稱和文檔名稱或其版本號的程序標識形成對于相應的函數部件�����、程序例程等等的內容典型的校驗值�����,例如CRC值(CRC =循環(huán)冗余校驗)>Hash值���、校驗和���、所謂的“指紋”等等���。在此����,有利地各個程序部分�����、函數部件等的校驗值或簽名可以彼此鏈接或計算為總值,例如通過所謂的XOR函數(X0R =比特水平上的異或運算)���。由此�,可以可靠地檢測內容上的故障和結構上的故障,其中結構上的故障尤其是在各個功能塊和程序部件的順序影響簽名值時才可以被識別����。在用作實際值的簽名由所有在工作存儲器中存在的程序部件(“代碼序列”)形成并且在控制裝置起動時與加載存儲器中的簽名的期望值比較時,可以可靠地識別所不期望的程序部件或程序片段在工作存儲器中的存在。借助該方法也可以事后確定工作存儲器或其中存儲有可執(zhí)行的應用程序的工作存儲器區(qū)域的內容改變或者扭曲�,其方式是在存儲器可編程的控制裝置的連續(xù)運行期間重復地新確定簽名的實際值并且重新與期望值比較�����。這樣的重復的執(zhí)行例如也可以在工作停頓中或者在如下的工作周期中進行���,其中存儲器可編程的控制裝置的微處理器通過應用程序單獨地未完全被利用。作為借助其進行第二比較的外部部件首先考慮創(chuàng)建系統(tǒng)或者開發(fā)系統(tǒng)��,其用于創(chuàng)建應用程序并且因此也用于創(chuàng)建簽名的期望值���。然而����,進行“外部”比較的功能也可以轉移到其他部件中�����,例如轉移到安全服務器中,其有序管理自動化設備的所有安全相關程序的簽名等等。尤其是,為此也考慮所謂的“投入運行的服務器”,其中借助這樣的服務器可以為自動化裝置的許多或所有存儲器可編程的控制裝置供給應用程序��。
根據本發(fā)明的方法的一個實施例在下文中借助附圖來闡述���。該實施例同時用于闡述根據本發(fā)明的存儲器可編程的控制裝置�����。其中圖1在示意性視圖中示出了根據現有技術的存儲器可編程的控制裝置和創(chuàng)建系統(tǒng)/工程系統(tǒng)的對于實施該方法所需的部件��,以及圖2示出了構建為用于執(zhí)行根據本發(fā)明的方法的裝置��。
具體實施例方式在附圖中示意性地示出了由開發(fā)系統(tǒng)ES (也稱作“創(chuàng)建系統(tǒng)”�、“編程系統(tǒng)”或“工程系統(tǒng)”)和存儲器可編程的控制裝置SPS構成的裝置,它們通過(未示出的)數據連接彼此鏈接��。借助該裝置要闡述根據現有技術的方法。在此要假設的是�,曾創(chuàng)建了應用程序,其由多個程序部件F-FBx、FDBx, F-FCx (通常也稱作“函數”�、“例程”、“函數塊”等等)構成��。 該應用程序在開發(fā)系統(tǒng)ES中存儲在存儲器BO(部件文件夾)中��。在完成應用程序之后��,通過開發(fā)系統(tǒng)ES借助在那里可執(zhí)行的函數E-SIG-S (創(chuàng)建簽名期望值)作為期望值創(chuàng)建和存儲簽名SIG-S。簽名SIG-G在此情況下是所謂的“程序標識”���,即其是校驗值,其由應用程序或者應用程序的程序部件F-FBX�、F-DBX、F-FCX的文檔的名稱和版本名稱創(chuàng)建�����。為了使應用程序在故障安全的存儲器可編程的控制裝置SPS上運行�,將應用程序傳輸至存儲器可編程的控制裝置SPS的加載存儲器LS中;加載存儲器LS例如可以是可更換的存儲卡(“閃存”卡等等)��、硬盤或者其他大容量存儲器��。為了執(zhí)行應用程序,應用程序必須被傳輸至工作存儲器AS中��。為此����,存儲器可編程的控制裝置SPS的對象管理OV確定如下信息例如應用程序或對象、例程和在加載存儲器LS中形成應用程序的程序部件F-FBX����、F-DBX、F-FCX的對象名����、函數名、文檔名�����、版本狀態(tài)等等�,并且該對象管理也將這些信息傳送給開發(fā)系統(tǒng)ES��。在那里,函數E-SIG-I從這些信息創(chuàng)建簽名SIG-I的實際值(創(chuàng)建簽名實際值)���,函數E-SIG-I在一個有利的擴展方案中也可以與函數E-SIG-S的函數相同。隨后�����,期望值SIG-S和實際值SIG-I借助比較V進行比較��,其中在協(xié)調之后肯定的確認消息被傳送給存儲器可編程的控制裝置SPS的對象管理 0V����。在該比較之前���、期間或之后由存儲器可編程的控制裝置SPS處理加載指令或加載規(guī)定的序列���,其負責完全擦除工作存儲器AS����,使得沒有以前處理過的應用程序的片段保留在那里。根據加載規(guī)定,現在借助肯定的確認消息啟動的應用程序或形成應用程序的程序部件加載到工作存儲器AS中并且運行���,其中當然在否定的確認消息的情況下阻止程序啟動���。在這樣的情況下���,存儲器可編程的控制裝置SPS的(未示出的)輸出端被置于限定的狀態(tài)中或例如被關斷?���!翱煽康倪\行狀態(tài)”在此可以針對每個存儲器可編程的控制裝置SPS或每種應用情況特別地限定。加載規(guī)定也可以包括工作指令,借助其保證了應用程序完全并且正確地傳輸至工作存儲器,例如通過所謂的“控制讀”(“Verify (校驗)”)來傳輸���。對于現有技術的實施例(圖1)���,出于清楚性的原因選擇了簡單的架構,其可以以簡單的加載規(guī)定啟動���。在實踐中,通常使用更為復雜的架構,其根據具體的情況而會彼此相差極大并且要求復雜的并且通常非常不同的加載規(guī)定�����。在此����,處理錯誤的即與具體的配置不匹配的加載規(guī)定會導致不期望的結果,其還不一定被識別出���。函數E-SIG-S和E-SIG-I以及用于執(zhí)行比較V的裝置可以組合成軟件模塊(程序標識)��;相應內容適用于與此類似的函數E-SIG-S和E-SIG-I2以及用于執(zhí)行以下所討論的圖2的比較V2的裝置�����。以下借助圖2闡述了根據本發(fā)明的方法���,其中其名稱或附圖標記已在圖1中已知的部件����、裝置和函數在此情況下不重新描述�。圖2中所示的架構對應于(這涉及硬件)借助圖1(現有技術)所闡述的情況。在創(chuàng)建在開發(fā)系統(tǒng)ES的存儲器BO中又存在的應用程序之后�,這里也通過函數E-SIG-S來產生關于應用程序或應用程序的程序部件F-FBX�����、F-DBx�、F-FCx的簽名(期望值)。然而該簽名現在以第一副本SIG-S-I存儲在存儲器可編程的控制裝置中�,其中存儲與應用程序一同可以在加載存儲器LS中進行,或者在存儲器可編程的控制裝置SPS的與加載存儲器LS不同的位置(存儲器裝置)上進行���。此外��,第二副本SIG-S-2存儲在開發(fā)系統(tǒng)ES的存儲器中�����。以下要假設的是����,應用程序在加載存儲器LS中,并且簽名的第一副本SIG-S-I存儲在存儲器可編程的控制裝置SPS的與加載存儲器LS不同的第二存儲器中��。第二存儲器有利地可以是所謂的智能卡����,其作為“啟動鑰匙”插入到存儲器可編程的控制裝置SPS的讀取設備中,使得在那里所存儲的信息尤其是簽名的第一副本SIG-S-I可以被對象管理OV讀取�。為了準備程序啟動,通過對象管理OV執(zhí)行加載規(guī)定��,該加載規(guī)定使得工作存儲器AS被擦除,使得之后應用程序并且由此程序部件從加載存儲器傳輸至工作存儲器AS����,之后執(zhí)行安全校驗。有利地���,加載規(guī)定可以固定地存儲在存儲器可編程的控制裝置SPS的存儲器中�����。安全校驗包括函數E-SIG-Il的調用��,由此關于工作存儲器AS的內容通過SPS或在那里的函數E-SIG-Il創(chuàng)建簽名(程序簽名���、CRC值、“指紋”等等)��,并且其中借助比較Vl 將實際值與作為期望值存儲的簽名SIG-S-I進行比較�����?�?商孢x地����,傳輸至工作存儲器AS中的每個程序塊等等也會有助于形成簽名���,使得工作存儲器的“屏蔽”可免除并且在“流量控制”的意義下通過連續(xù)校驗所加載的和所擦除的(卸載)程序部件來替代����。在比較Vl得到肯定結果的情況下,工作存儲器AS中的應用程序的處理會被啟動�����, 而在否定的比較的情況下存儲器可編程的控制裝置SPS轉變到可靠的運行狀態(tài)中���,其已經借助現有技術(圖1)予以闡述��。比較結果的分析可以由應用程序的例程來完成����;在該情況下應用程序會構建為該例程在執(zhí)行安全關鍵的指令之前被執(zhí)行�。可替選地�,這樣的任務也可以通過“固件”來完成。此外���,在啟動應用程序之前���,即在執(zhí)行第一比較Vl之前�、期間或之后進行第二比較V2�,由此信息從存儲器可編程的控制裝置SPS傳輸給開發(fā)系統(tǒng)ES。這些信息包括在存儲器可編程的控制裝置方面存儲的簽名的副本(期望值)SIG-S-I�����,其借助比較V2與在開發(fā)系統(tǒng)ES方面存儲的第二副本SIG-S-2(期望值的第二副本)比較�����。在肯定的比較的情況下����, 相應的肯定的確認消息被發(fā)送給存儲器可編程的控制裝置SPS,其中該確認消息與第一比較Vl的肯定的結果一起引起在工作存儲器AS中存在的應用程序的啟動�����,由此可以起動程序執(zhí)行�����。在否定的第二比較V2的情況下,當然否定的確認消息被發(fā)送給存儲器可編程的控制裝置SPS���,由此觸發(fā)了已描述的可靠的運行狀態(tài)�����。在一個有利的擴展方案中,附加地將已通過函數E-SIG-Il生成的簽名(“實際值”)傳輸給開發(fā)系統(tǒng)ES或其他外部部件��,使得該簽名直接通過進一步的第二比較V2可以與那里存在的第二副本SIG-S-2比較�����。借助根據本發(fā)明的方法可以保證應用程序正確地被傳輸至工作存儲器AS中��,并且此外所需的加載規(guī)定成功并且正確地應用�����,而不必已知或不必校驗具體存在的架構和具體的加載規(guī)定��,此外也可以保證�����,在加載存儲器LS中也存在對于此情況“正確的”應用程序,使得可以阻止存儲器可編程的控制裝置SPS借助盡管基本上也有效的但對于其他應用情況設置的應用程序工作�。
權利要求
1.一種用于對故障安全的存儲器可編程的控制裝置(SPS)的應用程序進行驗證的方法,其中由多個程序部件(F-FBx�,F-DBx,F-FCx)構成的應用程序從加載存儲器(LS)傳輸至工作存儲器(AS)中����,其特征在于,在創(chuàng)建應用程序的過程中作為期望值形成關于應用程序或多個程序部件(F-FBx�, F-DBx,F-FCx)的簽名,其中該簽名的第一副本(SIG-S-I)被傳輸至故障安全的存儲器可編程的控制裝置(SPS)并且存儲在那里�����,并且其中該簽名的第二副本(SIG-S-2)存儲在外部部件(ES)中����,至少在將應用程序和/或該簽名的第一副本(SIG-S-I)傳輸給故障安全的存儲器可編程的控制裝置(SPQ之后將該簽名的第一副本(SIG-S-I)傳輸給外部部件(EQ并且借助第二比較(V2)與該簽名的第二副本(SIG-S-2)比較,由工作存儲器(AQ中存在的應用程序或多個被傳輸至工作存儲器(AQ中的程序部件 (F-FBx, F-DBx, F-FCx)借助故障安全的存儲器可編程的控制裝置(SPS)的管理實體(OV) 確定第二簽名(SIG-I)作為實際值�,所確定的第二簽名(SIG-I)借助存儲器可編程的控制裝置(SPS)的第一比較(Vl)與該簽名的第一副本(SIG-S-I)比較,并且存儲器可編程的控制裝置(SPQ在第一比較(Vl) 中差異的情況下和/或在第二比較(^)中差異的情況下轉變到可靠的工作狀態(tài)中�����。
2.根據權利要求1所述的方法,其特征在于為了將存儲器可編程的控制裝置(SPQ轉變到可靠的工作狀態(tài)中而阻止在工作存儲器(AQ中存在的應用程序的執(zhí)行�,或者停止該應用程序。
3.根據上述權利要求之一所述的方法���,其特征在于���,在應用程序的程序起動之前確定用作實際值(SIG-I)的簽名和與第二簽名(SIG-S-I) 比較(Vl)。
4.根據上述權利要求之一所述的方法��,其特征在于����,作為實際值(SIG-I)確定的簽名被傳輸給外部部件�����,其中通過外部部件的裝置(PI) 進行與在那里作為期望值存儲的該簽名的第二副本(SIG-S-2)的另外的比較��,其中存儲器可編程的控制裝置的應用程序的工作在所述另外的比較(M)的肯定的結果的情況下被啟動���。
5.根據上述權利要求之一所述的方法�����,其特征在于��,在創(chuàng)建應用程序的過程中進行用作期望值的簽名或簽名(SIG-S-l�,SIG-S-2)的計算。
6.根據上述權利要求之一所述的方法�,其特征在于,用作實際值(SIG-I)和用作期望值的簽名副本(SIG-S-1���,SIG-S-2)分別由各程序部件(F-FBx�����,F-DBx, F-FCx)的特性或者簽名形成����。
7.根據上述權利要求之一所述的方法�,其特征在于,用作實際值的簽名(SIG-I)由所有在工作存儲器(AQ中存在或在加載過程中傳輸至工作存儲器(AQ中的程序部件 (F-FBx, F-DBx����,F-FCx)確定。
8.根據上述權利要求之一所述的方法�,其特征在于,借助確定簽名的實際值(SIG-I) 和借助將所述簽名與作為期望值存儲的簽名的副本(SIG-S-I)比較(Vl)來在存儲器可編程的控制裝置的工作期間重復執(zhí)行驗證的重復���。
9.根據上述權利要求之一所述的方法����,其特征在于,用于創(chuàng)建應用程序的開發(fā)系統(tǒng)或工程系統(tǒng)用作外部部件(ES)����。
10.根據上述權利要求之一所述的方法,其特征在于���,工業(yè)自動化裝置的加載服務器或安全服務器用作為外部部件(Es)���。
11.一種用于使用在安全相關的應用情況中的存儲器可編程的控制裝置(SPS),其特征在于�����,存儲器可編程的控制裝置(SPQ構建為用于執(zhí)行上述方法之一�����,其中存儲器可編程的控制裝置(SPQ配備有管理實體(OV)�����,用于確定在存儲器可編程的控制裝置(SPS)的工作存儲器(AS)中的應用程序的簽名的實際值(SIG-I)���;和比較裝置�,用于將所確定的實際值(SIG-I)與作為期望值存儲的第二簽名(SIG-S-I)比較(VI)��,其中存儲器可編程的控制裝置(SPS)構建為在比較(Vl)的結果為否定的情況下激活可靠的工作狀態(tài)�����。
全文摘要
用于對故障安全的存儲器可編程的控制裝置的應用程序進行驗證的方法和存儲器可編程的控制裝置(SPS)���,其中在創(chuàng)建應用程序的過程中通過程序部件或完整的應用程序生成簽名(期望值)�,其中該簽名的副本分別存儲在存儲器可編程的控制裝置上和外部部件中����。在安全相關的應用程序的程序啟動之前,一方面將在存儲器可編程的控制裝置方面所存儲的副本傳送給外部部件并且與那里存在的副本比較�。在另一比較中,通過存儲器可編程的控制裝置的工作存儲器的內容通過實際被加載的應用程序生成簽名(實際值)并且隨后將其與局部存在的簽名的期望值的副本比較�。當兩個比較得到肯定結果時,才釋放實際應用個程序的啟動�����。
文檔編號G06F11/20GK102446125SQ201110315569
公開日2012年5月9日 申請日期2011年10月8日 優(yōu)先權日2010年10月6日
發(fā)明者延斯·基德利, 馬庫斯·韋爾特 申請人:西門子公司