BR112015018466B1 - Dispositivo para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem e usina de tecnologia nuclear - Google Patents

Dispositivo para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem e usina de tecnologia nuclear Download PDF

Info

Publication number
BR112015018466B1
BR112015018466B1 BR112015018466-9A BR112015018466A BR112015018466B1 BR 112015018466 B1 BR112015018466 B1 BR 112015018466B1 BR 112015018466 A BR112015018466 A BR 112015018466A BR 112015018466 B1 BR112015018466 B1 BR 112015018466B1
Authority
BR
Brazil
Prior art keywords
control
regulation unit
monitoring module
module
memory
Prior art date
Application number
BR112015018466-9A
Other languages
English (en)
Other versions
BR112015018466A2 (pt
Inventor
Siegfried Halbig
Original Assignee
Framatome Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Framatome Gmbh filed Critical Framatome Gmbh
Publication of BR112015018466A2 publication Critical patent/BR112015018466A2/pt
Publication of BR112015018466B1 publication Critical patent/BR112015018466B1/pt

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/16Plc to applications
    • G05B2219/161Nuclear plant
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/008Man-machine interface, e.g. control room layout
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Programmable Controllers (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Storage Device Security (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

DISPOSITIVO PARA O RECONHECIMENTO DE MANIPULAÇÕES NÃO AUTORIZADAS DO ESTADO DO SISTEMA DE UMA UNIDADE DE CONTROLE E REGULAGEM E USINA DE TECNOLOGIA NUCLEAR. A presente invenção refere-se a um dispositivo (70) para o reconhecimento de manipulações autorizadas do estado do sistema de uma unidade de controle e regulação (8), em p articular, de um controlador lógico programável (10) de uma usina de tecnologia nuclear (2), que de maneira segura deve detectar manipulações não autorizadas. Para esse fim, é previsto um módulo de monitoramento (82), que monitora o estado de funcionamento e/ou o estado de integração de hardware e/ou o estado de programa da unidade de controle e regulação (8) e no caso de alteração desse estado gera uma mensagem.

Description

[001] A presente invenção refere-se a um dispositivo e um método para o reconhecimento de manipulações não autorizadas do estado de sistema de uma unidade de comando e regulação, em particular, de um controlador lógico programável de uma usina de tecnologia nuclear. Essa se refere, além disso, a um controlador lógico programável, a um equipamento de monitoramento digital para uma usina de tecnologia nuclear, bem como a uma usina de tecnologia nuclear correspondente.
[002] Em equipamentos de tecnologia nuclear, tais como, por exemplo, equipamentos para a geração de energia (central nuclear), correm em paralelo um grande número de métodos que interagem entre si, que compreendem geralmente métodos de controle e regulação. Para os respectivos métodos, nesse caso, são usadas, para a aplicação, unidades de controle e regulação otimizadas e configuradas.
[003] Através da crescente rede de dados, também de equipamentos de tecnologia nuclear, em particular, também de equipamentos para a geração de energia e sua conexão com redes externas até a internet, esses equipamentos são suscetíveis a ataques com o auxílio de vírus ou outros softwares nocivos. Um caso conhecido, no qual um tal equipamento foi atacado com um vírus de software, foi STUXNET. Um tal ataque pode levar a perdas de produção até à falha total de equipamentos e causar altos prejuízos pessoais e econômicos. Além disso, um tal software malicioso infiltrado pode ser usado para a espionagem industrial. Além disso, em um primeiro ataque por um vírus há o perigo da propagação do vírus, de modo que esse pode atacar outras instalações de controle da mesma usina de tecnologia nuclear ou também instalações de controle de equipamentos conectados em rede com as mesmas. Devido a esses perigos, o uso de sistemas de controle, cuja configuração de armazenamento pode ser modificada, em princípio, através de softwares nocivos no período de funcionamento, pode representar um alto risco de segurança em ambientes de redes. Tais sistemas de controle são os controladores lógicos programáveis (SPS).
[004] Por conseguinte, o objetivo da invenção é pôr um dispositivo à disposição, com o qual as manipulações não autorizadas podem ser detectadas de maneira segura. Além disso, devem ser postos à disposição um controlador lógico programável e um equipamento de monitoramento digital para uma usina de tecnologia nuclear, uma usina de tecnologia nuclear, bem como um método correspondente.
[005] Em relação ao dispositivo, esse objetivo é solucionado de acordo com a invenção pelo fato de que é previsto um módulo de monitoramento, que monitora o estado de funcionamento e/ou o estado de integração do hardware e/ou o estado de programa da unidade de controle e regulação e gera uma mensagem no caso de alterações desse estado.
[006] Configurações vantajosas da invenção são objetivo das concretizações.
[007] A invenção baseia-se na consideração, de que os ataques por vírus ou softwares nocivos similares têm êxito, quando esses podem influenciar o estado de sistema de sistemas de controle e regulação de tal modo, que sua funcionalidade é alterada, ampliada ou destruída de maneira indesejada. Isso pode ocorrer pelo fato de que um programa nocivo e/ou dados nocivos são carregados e executados em uma memória gravável durante o funcionamento. Por esse motivo, inicialmente parece ser problemático usar tais sistemas de controle e/ou regulação em equipamentos de segurança crítica. Em equipamentos de tecnologia nuclear é exigido o cumprimento do mais alto padrão de segurança, visto que alterações dos sistemas de controle podem levar à espionagem, falha de componentes, mal funcionamentos e graves acidentes.
[008] Em um tal ataque seria tentado, por exemplo, inserir códigos de programas adicionais na unidade de controle e regulação ou substituir códigos de programas presentes por códigos infectados. Além disso, poderia ser tentado alterar uma configuração de tal maneira, que os dados de sensores não poderiam mais ser recebidos e/ou atuadores não poderiam mais entrar em ação ou ser ativados.
[009] Tal como foi reconhecido agora, os altos padrões de segurança exigidos podem ser realizados, em que os procedimentos internos do sistema de uma unidade de controle e regulação usados em um tal equipamento, em outras palavras, portanto, o estado de funcionamento e/ou o estado de integração de hardware e/ou o estado do programa da unidade de controle e regulação é monitorado e relatadas as alterações.
[0010] Através da geração de uma mensagem, pode ser imediatamente investigado de que tipo é a alteração e se essa opcionalmente ocorreu sem autorização. Além disso, é possível reagir diretamente a essa alteração. No escopo do pedido, com uma unidade de controle e regulação é designada cada unidade eletrônica, que pode executar apenas procedimentos de controle ou procedimentos de regulação ou também os dois tipos de procedimentos.
[0011] Preferencialmente, a unidade de controle e regulação apresenta pelo menos uma memória gravável com dados armazenados na mesma, sendo que o módulo de monitoramento gera uma mensagem no caso de alterações dos dados armazenados na memória. O estado de funcionamento, o estado de integração de hardware e o estado de programa de uma unidade de controle e regulação com uma memória gravável, tal como de um controlador lógico programável, são determinados essencialmente através de seu conteúdo de memória. O conteúdo de memória compreende, nesse caso, geralmente o código de programa, a configuração de acordo com o software e hardware e campos de dados dinamicamente criados, variáveis e assim por diante. Um ataque adverso de fora através de softwares maliciosos se manifestará nas alterações da memória, de modo que as alterações do conteúdo de memória possam apontar para manipulações não autorizadas.
[0012] De maneira vantajosa, os dados compreendem o código de programa ou variáveis de programas geradas a partir do mesmo. O código de programa, em particular, um programa de usuário carregável, é executado durante o funcionamento no tempo de execução e contém as instruções, que são executadas. As alterações do código de programa apontam para manipulações. Para reconhecer tais manipulações, contudo, o código não precisa ser necessariamente monitorado diretamente para alterações. Nesse caso, é mais eficaz e econômico, se variáveis de programas derivadas dessas ou geradas com o auxílio do código de programa (código de usuário, microprogramação (firmware), sistema de funcionamento e assim por diante), portanto, de certa maneira secundários, são monitorados para alterações, contanto que nesses, no caso de alterações do código, ocorram alterações dessas variáveis também com uma probabilidade suficientemente grande. Esse é o caso, por exemplo, nas somas de verificação ou comprimentos gerados do código ou das seções de código ou dos componentes de código. A CPU apresenta, nesse caso, de maneira vantajosa, a "disjunção binária exclusiva através das somas de verificação dos componentes de software ou módulos" como funcionalidade interna. Os resultados (por exemplo, valores de 32 bits) são lidos, então, pelo módulo de monitoramento e monitorados para alterações. Os controladores lógicos programáveis, tais como a SIMATIC S7-300 e a SIMATIC S7-400 geram por si só automaticamente somas de verificação, em particular, somas de dígitos. Essas devem ser apenas lidas pelo módulo de monitoramento e monitorados para alterações. Dessa maneira, cada alteração de programa pode ser reconhecida dessa maneira, através de uma comparação do valor antigo/valor novo.
[0013] De maneira vantajosa, os dados compreendem os dados do sistema, em particular, a configuração de hardware e/ou as variáveis de sistema geradas da mesma. A configuração de hardware compreende, nesse caso, os dados em sistemas modulares para os módulos usados. O projeto da configuração de hardware é realizado, por exemplo, no SIMATIC através da configuração de hardware (configuração HW) contida no software de programação STEP7/PCS7. Cada módulo, que deve ser ligado em um S7-300 ou S7-400 modular, deve, para ser executável, ser parametrizado na configuração de hardware e, em seguida, ser carregado na CPU da estação de destino. Na configuração de hardware, todas as configurações, tais como o endereço do módulo, as configurações de diagnóstico, as configurações da margem de medição e assim por diante, do respectivo módulo são parametrizadas. Com isso, as configurações, por exemplo, através de chaves em ponte e assim por diante podem ser dispensadas. No caso de uma troca de um módulo não são mais necessárias outras configurações.
[0014] O projeto mencionado é depositado nos chamados dados do sistema. Uma verificação de alterações desses dados do sistema permite a detecção de possíveis ataques. Tal como descrito acima, as disjunções binárias exclusivas também são disponibilizadas através das somas de verificação da unidade de controle e regulação, são lidas pelo módulo de monitoramento e monitoradas através da comparação do valor antigo/valor novo para alterações.
[0015] Em uma modalidade preferida, o módulo de monitoramento monitora a posição de um comutador de modo de funcionamento da unidade de controle e regulação. Um tal comutador de modo de funcionamento pode apresentar várias configurações. Essas podem ser, por exemplo:
[0016] - MRES (reinicialização da memória variável)
[0017] - STOP (nenhuma execução de programa, apenas a comunicação é possível)
[0018] - RUN (execução de programa com uma opção bloqueada de mudança de programa)
[0019] - RUN-P (execução de programa com uma opção de mudança de programa).
[0020] Em muitas CPU’s atuais sem comutadores de chave existem somente as posições de interruptor "PARTIDA" (START) e "PARE" (STOP), sendo que na posição "PARE" (STOP) não é possível qualquer execução de programa, de modo que nesse caso, uma avaliação técnica de programa na CPU não traz qualquer alteração.
[0021] Além disso, pode ser previsto que o módulo de monitoramento monitora as alterações de um nível de segurança da unidade de controle e regulação. O nível de segurança pode apresentar, por exemplo, as posições "somente ler" ou "ler e escrever" respectivamente combinado com a proteção de código de acesso.
[0022] No caso de alterações do estado de funcionamento, do estado de integração de hardware ou do programa verificadas durante o monitoramento, é gerada uma mensagem, o que pode ocorrer de modo e maneira diferente. Para que a mensagem esteja disponível em momentos posteriores para avaliações, essa é escrita, de maneira vantajosa em uma memória, em particular, em uma memória de diagnóstico da CPU da unidade de controle e regulação e/ou em uma memória de monitoramento do módulo de monitoramento. Uma memória de diagnóstico pode ser executada, por exemplo, como uma área de armazenamento integrada a uma CPU, que pode coletar registros de diagnóstico como uma memória de anel. Esses registros são providos preferencialmente com um carimbo de data/hora. Preferencialmente, o módulo de monitoramento apresenta uma memória de monitoramento, na qual a mensagem pode ser escrita preferencialmente com um carimbo de data e hora. Essa memória de monitoramento pode ser executada, por exemplo, como memória de anel. Um registro da mensagem pode ser escrito apenas em uma das duas memórias ou para a produção de redundância em duas memórias, contanto que estejam presentes.
[0023] Alternativa ou adicionalmente, de modo preferido, a mensagem é disponibilizada em uma saída, em particular, binária, do dispositivo, em particular, do módulo de monitoramento. Com isso, essa está à disposição do projetor para uma saída da mensagem específica do equipamento. Nesse caso, de maneira vantajosa, são previstas várias saídas, que são relacionadas aos tipos individuais de alteração detectada (memória de programa, memória de dados do sistema, nível de segurança e assim por diante).
[0024] Preferencialmente, é previsto um módulo de monitoramento, que comuta, caso necessário, um nível de segurança da unidade de controle e regulação, em particular, ao acionar um comutador de chave. Nesse caso, o nível de segurança apresenta, em particular, as posições "ler e escrever" e "somente ler" e "proteção de leitura e escrita", sendo que essas posições podem alternativamente ser encadeadas com uma legitimação de código de acesso. Um comutador de chave, através do qual pode ser realizada essa comutação, é, então instalado, por exemplo, no armário de distribuição. Assim pode ser garantido, que alterações de programa sejam realizadas apenas por pessoas autorizadas. Sem essa conversão ou operação do comutador de chave, então, as alterações de programa estão de certa maneira bloqueadas e, assim, excluídas. O comutador de chave é cablado em qualquer entrada digital. No programa de controle, esse sinal é ligado a um componente (SecLev_2), que ajusta, então, o nível de segurança através de uma função do sistema.
[0025] Em uma modalidade vantajosa do dispositivo, é previsto um módulo de controle, que monitora o funcionamento do módulo de monitoramento, sendo que o módulo de monitoramento monitora também o funcionamento do módulo de controle. O raciocínio que serve de base para essa configuração é a seguinte: para que o invasor possa realizar uma alteração de programa não reconhecido na unidade de controle e regulação, ele deve obter inicialmente um acesso por escrito através da posição do nível de segurança para "ler e escrever". Adicionalmente, ele deve impedir a atividade do módulo de monitoramento, isto é, em uma realização do módulo de monitoramento por um módulo de software ou por um componente do software, ele deve impedir seu processamento ou o processamento de suas instruções de programa por parte da CPU. Para reconhecer ou interceptar o último, é previsto o módulo de controle.
[0026] O módulo de monitoramento e o módulo de controle monitoram mutuamente o seu funcionamento. Aqui, portanto, não está presente um monitoramento redundante simples da unidade de controle e regulação. No caso preferido, de que o módulo de monitoramento e o módulo de controle são realizados como componentes de software, os dois módulos monitoram muito mais mutuamente a sua execução. Isso ocorre de maneira vantajosa pelo fato de que é verificado, se durante um período de tempo predeterminado, por exemplo, um segundo, há uma execução correta de cada módulo monitorado. Se esse não for o caso, a falta de execução é avisada, o que pode apontar para a tentativa de um ou para um comprometimento já ocorrido.
[0027] Uma deleção de componentes de software por fora através de um ataque é possível apenas sucessivamente. Isto é, o invasor, desde que tenha obtido, de todo, conhecimento da existência dos dois módulos e de suas funcionalidades, terá que deletar ou desativar os mesmos sucessivamente. No caso de uma deleção ou desativação de um dos dois módulos, essa também será reconhecida através do respectivo outro módulo e é gerada uma mensagem correspondente, de modo que a falha de um dos dois módulos é reconhecida de maneira segura.
[0028] No caso em que o módulo de controle verifica irregularidades no funcionamento do módulo de monitoramento, esse mostra o funcionamento corrompido ou a execução corrompida do módulo de monitoramento em uma saída binária. O módulo de monitoramento mostra irregularidades no funcionamento do módulo de controle em pelo menos um dos trajetos descritos acima: uma mensagem é escrita em uma memória ou em uma memória da CPU ou do módulo de monitoramento, preferencialmente em conjunto com um carimbo de data/hora ou é disponibilizada em uma saída (binária) para a outra edição de mensagem específica do equipamento. Preferencialmente, todos os três trajetos são percorridos.
[0029] Em relação ao controlador lógico programável, o objetivo mencionado acima é solucionado de acordo com a invenção, com um dispositivo representado acima integrado através de módulos de software. Isto é, os módulos mencionados acima (módulo de monitoramento, módulo de controle, módulo de monitoramento) são respectivamente realizados como módulos de software ou componentes de software e no estado de funcionamento da unidade de controle e regulação se situam em suas memórias.
[0030] Em relação ao equipamento de monitoramento digital para uma usina de tecnologia nuclear, o objetivo mencionado acima é solucionado de acordo com a invenção com um controlador lógico programável representado acima.
[0031] Em relação à usina de tecnologia nucelar, o objetivo mencionado acima é solucionado de acordo com a invenção com um tal equipamento de monitoramento digital.
[0032] Em relação ao método, o objetivo mencionado acima é solucionado pelo fato de que o estado de funcionamento e/ou o estado de integração de hardware e/ou o estado de programa da unidade de controle e regulação são monitorados e no caso de alterações desse estado é emitida uma mensagem. Configurações vantajosas do método resultam das funcionalidades descritas em conexão com o dispositivo.
[0033] As vantagens da invenção são, em particular, que através do monitoramento do estado de funcionamento, do estado de integração de hardware e do estado de programa da unidade de controle e regulação, uma manipulação não detectada é evitada o mais amplamente possível e reportada de maneira segura, de modo que medidas para impedir os danos no equipamento podem ser introduzidas diretamente e de forma objetiva. O uso de controladores lógicos programáveis só será possível, dessa maneira, em ambientes de segurança crítica, conectados em rede. Através do monitoramento mútuo do módulo de monitoramento e do módulo de controle consegue- se, que as manipulações não são possíveis através do desligamento do monitoramento.
[0034] Um exemplo de realização da invenção é explicado em mais detalhes com base em um desenho. Nesse mostram em representação altamente esquemática:
[0035] Figura 1, uma usina de tecnologia nuclear com uma unidade de monitoramento digital com uma unidade de controle e regulação com um dispositivo integrado com um módulo de monitoramento, um módulo de monitoramento e um módulo de controle em uma modalidade preferida,
[0036] Figura 2, um fluxograma da funcionalidade do módulo de monitoramento do dispositivo de acordo com a Figura 1,
[0037] Figura 3, um fluxograma da funcionalidade do módulo de monitoramento do dispositivo de acordo com a Figura 1 e
[0038] Figura 4, um fluxograma da funcionalidade do módulo de controle do dispositivo de acordo com a Figura 1.
[0039] Partes iguais são providas em todas as Figuras com os mesmos números de referência.
[0040] Uma usina de tecnologia nuclear 2 representada na Figura 1 compreende um equipamento de monitoramento digital 4 com uma unidade de controle e regulação 8, que é executado como um controlador lógico programável 10 (SPS). Nesse caso, pode se tratar, por exemplo, de um SIMATIC S7-300 ou S7-400 da empresa Siemens. Esse compreende uma CPU 20, bem como uma memória 26, que compreende várias áreas de armazenamento. Em uma área de armazenamento de programa 32 é ou são armazenado(s) os programas, que são executados durante o funcionamento do SPS 10. Adicionalmente, são armazenadas somas de verificação do código e seus comprimentos, esses são computados pela CPU 20 na transmissão dos programas para a CPU e no caso de alterações são imediatamente atualizadas. Da mesma maneira, as disjunções binárias exclusivas são calculadas através dessas somas de verificação, armazenadas na memória de dados do sistema 38 e atualizados em caso de alterações. Pode ser previsto, também, que essas variáveis derivadas do código de programa sejam armazenadas em uma área de armazenamento própria.
[0041] Na área de armazenamento de dados do sistema 38 são armazenados, além disso, dados de configuração da CPU 20, em particular, os dados de configuração do hardware. Para que em um controlador lógico programável 10 (SPS) modular montado, tal como no presente caso possa ser executado um módulo, esse precisa ser parametrizado na configuração de hardware e, em seguida, ser carregado para a CPU 20. Na configuração de hardware são parametrizadas todas as configurações, tal como o endereço do módulo, as configurações de diagnóstico, as configurações da margem de medição, entre outros do respectivo módulo. No caso da troca de um módulo, então, não são mais necessárias quaisquer outras configurações. A memória 26 compreende ainda, além disso, outras áreas de armazenamento 40.
[0042] O controlador lógico programável 10 (SPS) está ligado no lado de entrada com grupos de sensor 44, que compreendem um número de sensores e no lado de saída com grupos construtivos de atuadores 50, que compreendem, por sua vez, um número de atuadores. Uma linha de dados 56 conduz de fora para dentro da instalação de tecnologia nuclear e através de uma interface 62, liga o controlador lógico programável 10 (SPS) com uma rede de área local (LAN) ou também com a internet. Devido a essa ligação consiste a possibilidade, de que invasores potenciais tentam infiltrar um vírus na CPU 20 ou instalar outros tipos de softwares maliciosos, para ou obter informações através dos dados depositados na CPU 20 (espionagem de funcionamento) ou para alterar, impedir ou destruir a funcionalidade do controlador lógico programável 10 (SPS). Um tal ataque bem- sucedido pode levar a altos danos pessoais e também a danos econômicos, se o controlador lógico programável 10 (SPS) se ocupar com métodos críticos de segurança do controlador.
[0043] Para evitar esses danos e ataques e, com isso, poder reconhecer de modo seguro e rápido as manipulações não autorizadas do estado de funcionamento, do estado de integração de hardware e do estado de programa do controlador lógico programável 10 (SPS) de acordo com a invenção é previsto um dispositivo 70, que no presente caso está integrado no controlador lógico programável 10 (SPS). O dispositivo 70 compreende três módulos 76, 82, 116, que são descritos a seguir. Esses módulos são realizados como componentes de software e armazenados na área de armazenamento do programa.
[0044] Um módulo de monitoramento 76 tem, representado por uma seta 78, acesso ao nível de segurança da CPU 20. Esse se destina a comutar o nível de segurança entre "ler e escrever", "somente ler" e "proteção contra leitura e escrita" ou vice-versa. Essa funcionalidade está acoplada com um comutador de chave 80, que não está montado em um armário de distribuição (não representado). Isto é, em uma primeira posição do comutador de chave, o módulo de monitoramento 76 ativa o nível de segurança "ler e escrever" e em uma segunda posição do comutador de chave, o módulo de monitoramento 76 ativa o nível de segurança "somente ler" ou alternativamente a "proteção contra leitura e escrita". Durante o funcionamento, essa segunda posição é a posição normal, de modo que nenhuma das alterações de programa ou outras alterações na memória 26 não podem ser realizadas por pessoas não autorizadas. As alterações são possíveis apenas quando o comutador de chave está na primeira posição. Dessa maneira, o invasor deveria ou obter o acesso ao comutador de chave, portanto, conseguir acesso ao equipamento, o que pode ser evitado o mais amplamente possível através de medidas de segurança usuais. Opcionalmente, ele também poderia, se o comutador de chave estiver na primeira posição, excluir softwares maliciosos através de infiltração ou, então, alterar diretamente o nível de segurança na CPU de forma programática.
[0045] Para descobrir a infiltração de softwares maliciosos em qualquer forma ou as alterações não autorizadas do estado de funcionamento, do estado de integração de hardware e do estado do programa do controlador lógico programável 10 (SPS) de maneira segura, é previsto um módulo de monitoramento 82. Tal como é indicado através de uma seta 90, o módulo de monitoramento 82 monitora alterações na área de armazenamento do programa da memória 32. Isso ocorre da seguinte maneira: a partir do código de programa armazenado na área de armazenamento do programa 32, a CPU 20 gera somas de verificação e comprimentos de programa para cada componente. Através da disjunção binária exclusiva, através dessas somas de verificação individuais e comprimentos de programa é formada uma soma de verificação total (número de 32 bits) e armazenada na memória de dados do sistema 38. Os resultados (a soma total de verificação) desses encadeamentos são monitorados para alterações. Para esse fim, é realizada uma comparação de valor antigo/valor novo em intervalos de tempo predeterminados.
[0046] Tal como é simbolizado através de uma seta 90, o módulo de monitoramento 82 monitora também a área de armazenamento de dados do sistema 38 para alterações. Isso ocorre novamente através da verificação de alterações das disjunções binárias exclusivas geradas e disponibilizadas pela CPU 20 ao longo dos comprimentos e somas de verificação dos dados do sistema. O módulo de monitoramento 82 monitora, além disso, as alterações do nível de segurança da CPU 20, que também está armazenada na memória de dados do sistema.
[0047] No caso de alterações dos resultados monitorados, o módulo de monitoramento 82 gera mensagens de três diferentes tipos. Por um lado, as mensagens são escritas na memória de diagnóstico 88 do controlador lógico programável 10 (SPS). Esse é uma área de armazenamento integrada, executada como memória de anel na CPU 20, que pode coletar até 500 registros de diagnóstico. Mesmo após a "redefinição geral" (a redefinição geral é uma função, na qual a memória completa da CPU, com exceção da memória de diagnóstico 88, é excluída, isto é, uma CPU completamente redefinida não funciona (mais) ou com falha simultânea de bateria ou rede, essa memória ainda é legível. Ao escrever a mensagem na memória de diagnóstico 88 é garantido, dessa maneira, que a mensagem não seja perdida, mesmo após as falhas de energia. O conteúdo da memória de diagnóstico, por um lado, pode ser lido ou mostrado através do software de programação STEP7/PCS7. Por outro lado, certos aparelhos de HMI/sistemas de software, tais como, por exemplo, WinCC ou PCS7 OS também podem mostrar esses registros de memória de diagnóstico igualmente em um texto simples com um carimbo de data/hora.
[0048] O módulo de monitoramento 82 escreve uma mensagem também em uma memória de monitoramento 94 executada como memória anular no módulo de monitoramento 82, que no presente caso 50 pode coletar registros. Cada registro consiste em um carimbo de data/hora e em um bit para cada alteração ocorrida. A memória de monitoramento 94 pode ser lida e avaliada por meio do STEP7/PCS7.
[0049] Além disso, a mensagem é disponibilizada ou mostrada respectivamente em uma saída binária 100,102, 104 no módulo de monitoramento e, com isso, é posta à disposição para o processamento adicional. Após o alerta, o usuário, caso necessário, pode ler informações mais detalhadas sobre memórias de diagnóstico ou sobre memórias de monitoramento. Cada um dos três monitoramentos descritos acima (código de programa, dados do sistema, nível de segurança) é atribuída respectivamente uma própria saída binária 100, 102, 104, de modo que a colocação de um bit é suficiente para criar uma mensagem. As mensagens em alterações do código de programa, são feitas na saída binária 100, as mensagens nas alterações dos dados do sistema são feitas em uma saída binária 102 e as mensagens nas alterações do nível de segurança são respectivamente feitas na saída binária 104 através da respectiva colocação de um bit.
[0050] Através do módulo de monitoramento 82 descrito podem se reconhecidas tentativas com base nas mensagens geradas, para realizar alterações nos dados do sistema e/ou no código de programa, que podem ser, por exemplo, os efeitos de um ataque de vírus, com o qual a funcionalidade do controlador lógico programável 10 (SPS) dever ser prejudicada. A geração das mensagens também poderia ser evitada pelo fato de que o invasor exclui ou desativa parcial ou completamente o módulo de monitoramento 82 antes que o módulo de monitoramento 82 perceba a penetração e possa gerar uma mensagem. Para evitar tais cenários, é previsto um módulo de controle 116. Tal como é representado por uma seta dupla 112, o módulo de monitoramento 82 e o módulo de controle 116 se monitoram mutuamente. Isso ocorre no presente de tal modo, que a execução das instruções do programa é respectivamente monitorada. Para esse fim, é respectivamente verificado, se em um intervalo de tempo predeterminado, aqui 1 segundo (geralmente os programas de condução técnica correm em frações de tempo de 10 a 100 milissegundos), a execução das instruções do código de programa foi prosseguida. Se um dos dois módulos 82, 106 descobre, que no respectivo outro módulo 82, 106 o processamento não foi prosseguido, esse gera uma mensagem correspondente, de modo que se possa reagir contra um possível ataque.
[0051] O módulo de controle 116 mostra a execução incorreta ou ausente do módulo de monitoramento 82 em uma saída binária 110. A execução incorreta ou ausente do módulo de monitoramento 82, tal como descrito acima em relação aos monitoramentos da memória 26, é respectivamente escrita com um carimbo de data/hora na memória de diagnóstico 88 e na memória de monitoramento 94, bem como é posto à disposição na saída binária 110 para a outra saída de mensagem específica do equipamento.
[0052] Esse mecanismo é extremamente confiável, visto que um invasor inicialmente, de todo, teria que obter o conhecimento de fora da presença de dois módulos 82, 116 que se controlam ou monitoram mutuamente. Além disso, não lhe seria possível excluir os dois módulos 82 e 116 ao mesmo tempo, de modo que pelo menos um dos dois módulos 82 ou 116 gera uma mensagem e, com isso, o ataque pode ser reconhecido. Mas também sem o ataque, as falhas ou interrupções de funcionamento de um dos dois módulos 82, 116 podem ser descobertas.
[0053] Um fluxograma das etapas de método resultantes no estado de funcionamento do módulo de monitoramento 76 é representado na Figura 2. O método implementado no módulo de monitoramento 76 de acordo com o software inicia na partida 120. Em uma decisão 126 é verificado, se o comutador de chave 80 emite um sinal válido, que permite o acesso de leitura/escrita e se ao mesmo tempo o status desse sinal é válido ou se há uma simulação. Se todas essas condições são preenchidas, o método se bifurca para o bloco 132, no qual o nível de segurança da CPU 20 é ligada para o acesso de leitura/escrita, o que corresponde a um nível de segurança 1.
[0054] Caso contrário, o método se bifurca para uma decisão 134, na qual é verificado, se sem a legitimação do código de acesso deve ser evitado um acesso de leitura/escrita. Caso isso se aplica, o método se bifurca para o bloco 136, no qual o nível de segurança ou o nível de segurança da CPU 20 é comutado para o acesso de leitura/escrita sem a legitimação do código de acesso. No bloco 138, quando as duas decisões 126, 134 acima foram negativadas, o nível de segurança é comutado para a proteção contra escrita com a legitimação do código de acesso, o que corresponde a um nível de segurança 2. No bloco 140 o atual nível de segurança é lido e mostrado. O método é concluído no final 142.
[0055] Um método implementado de acordo com o software no módulo de monitoramento 82 é representado por meio de um fluxograma na Figura 3 e inicia na partida 150. No bloco 152 são lidas as somas de verificação, aqui somas de dígitos, para a configuração de hardware (HWKonfig) e o código de programa, bem como os níveis de segurança. Na decisão 154, por meio de uma comparação de valor antigo/valor novo é verificado se o valor da soma de verificação da configuração de hardware (HWKonfig) corresponde ao valor da última pesquisa. Se esse não for o caso, o método se bifurca para o bloco 145. Ali, um registro de mensagem "alteração da configuração de hardware" é registrado ou escrito na memória de monitoramento 94 e na memória de diagnóstico 88, respectivamente com carimbo de data/hora e a saída binária 102 é definida para o processamento adicional específico do equipamento, isto é, ao bit é definido o valor, que corresponde a uma mensagem (por exemplo, 1 para mensagem, 0 para nenhuma mensagem). Caso nenhuma alteração da soma de dígitos tenha sido determinada através da comparação do valor antigo/valor novo, a saída binária 102 é redefinida no bloco 158, pelo que é garantido que não seja mostrada qualquer mensagem de maneira errônea.
[0056] Em uma decisão 160 é verificado se o valor da soma de dígitos do código de programa se alterou em relação ao valor antigo da última pesquisa. Caso isso tenha ocorrido, o método se bifurca para o bloco 162. Ali, um registro de mensagem "alteração de programa" é escrito na memória de monitoramento 94 e na memória de diagnóstico 88, incluindo um carimbo de data/hora e é definida a saída 100. Por outro lado, no bloco 164 a saída 100 é redefinida.
[0057] Em uma decisão 166 é verificado, se o nível de segurança da CPU 20 se alterou desde a última pesquisa. Se esse for o caso, no bloco 168 um registro de mensagem "alteração do nível de segurança" em conjunto com um carimbo de hora é escrito na memória de monitoramento 94 e na memória de diagnóstico 88. Além disso, é definida a saída 104. Por outro lado, no bloco 170 é redefinida essa saída.
[0058] Em uma decisão 172 é testado se a chamada das etapas de método descritas é mais antiga do que 1 segundo. Se esse for o caso, em um bloco é emitida uma falha de parametrização (os três módulos descritos 76, 82, 116 são disponibilizados em conjunto com outros módulos em uma biblioteca para uma utilização). O usuário pode, na programação ou na inauguração, selecionar/ajustar diferentes comportamentos através da parametrização dos módulos. Se o usuário parametriza/seleciona um comportamento ilícito, esse recebe uma mensagem de erro de parametrização e pode corrigir sua parametrização. Por outro lado, o método se bifurca para o bloco 176, no qual é redefinido o erro de parametrização.
[0059] O monitoramento mútuo do módulo de monitoramento 82 e do módulo de controle 116 é obtido no presente exemplo de realização, pelo fato de que cada módulo apresenta respectivamente um contador, que ele mesmo extrapola, bem como um contador, que é extrapolado pelo respectivo outro módulo. Se os dois módulos 82 e 116 funcionam de maneira adequada, os contadores têm respectivamente os mesmos valores. Se um módulo falha, então o contador extrapolado é mais aumentado no outro módulo, de modo que é possível reconhecer a falha do módulo.
[0060] O método segue, então, para uma decisão 178, na qual o valor de um contador de monitoramento extrapolado pelo módulo de monitoramento 82 é comparado com o valor de um contador de controle extrapolado pelo módulo de controle 116. Se esses valores coincidirem o contador de monitoramento no bloco 180 é aumentado. Se esses valores não coincidirem, testa-se em uma decisão 182 se o último aumento de contador do contador de controle é mais antigo do que 1 s e se não foi realizado qualquer registro na memória de monitoramento 94 e na memória de diagnóstico 88. Se esse for o caso, isso mostra, que o módulo de controle 106 não funciona de maneira adequada. Por conseguinte, então no bloco 184, um registro de mensagem "falha de monitoramento de exclusão" ou "falha do módulo de controle" é registrado na memória de monitoramento 94 e na memória de diagnóstico 88 respectivamente com um carimbo de hora e em uma saída binária 108, na qual são mostradas as falhas do módulo de controle 116, é definido um bit. O método termina então no final 186. Por outro lado, em uma decisão 188 é verificado se na memória de diagnóstico 88 da CPU já existe o registro "o módulo de monitoramento funciona novamente", que foi registrado no bloco 184. Se esse for o caso, a saída 108 é redefinida no bloco 190. Ademais, no bloco 192 é efetuado um registro de mensagem "módulo de controle funciona ok" ou "monitoramento de exclusão ok" com um carimbo de hora na memória de monitoramento 94 e na memória de diagnóstico.
[0061] Um método realizado de acordo com o software no módulo de controle 116 é representado como fluxograma na Figura 4 e inicia na partida 194. Em uma decisão 196 verifica-se se a ligação ao módulo de monitoramento 82 é de maneira adequada ou correta. No presente exemplo de realização, isto é, no projeto/programação, o usuário deve produzir uma ligação/linha em um editor de CFC gráfico de funções contínuas (Continuous Function Chart) com um mouse entre os dois módulos através do clique. Através dessa ligação, o módulo de controle 116 pode ler e escrever no componente de dados de instância do módulo de monitoramento 82. O próprio módulo de controle não tem um próprio armazenamento de dados. Caso esse não seja o caso, é emitida uma falha de parametrização no bloco 198. Por outro lado, em uma decisão 200 é verificado se a última chamada dessa função é mais antiga do que 1 s. Caso não seja, é emitida uma falha de parametrização no bloco 202. Caso seja, o método continua para o bloco 204, no qual é redefinida a falha de parametrização.
[0062] No módulo de controle 116, quando o contador, que conta o módulo de monitoramento 82, é maior do que o contador do módulo de controle 116, é contado o contador de controle. Em uma decisão 206 são comparados entre si o contador de monitoramento e o contador de controle. Se o contador de monitoramento é maior do que o contador de controle, é aumentado o contador de controle no bloco 208. Por conseguinte, em uma decisão 210 é verificado se é registrado um registro "módulo de monitoramento funciona novamente" na memória de diagnóstico 88. Caso não, isso será reproduzido no bloco 212. Então, no bloco 214 é redefinida saída binária correspondente.
[0063] Quando há uma concordância, em uma decisão 216 é verificado se o último aumento de contador do contador de monitoramento é mais antigo do que 1 s e se não ocorreu qualquer registro na memória de diagnóstico 88. Se não ocorreu qualquer registro, no bloco 218 é efetuado um registro "módulo de monitoramento não funciona mais" na memória de diagnóstico 88. Então, no bloco 220 é redefinida a saída 110.
[0064] Se o último aumento de contador foi mais antigo do que 1 s e se não houve nenhum registro, o método se bifurca da decisão 216 diretamente para o bloco 220. O método é finalizado no final 222.
[0065] Em todos os três módulos, a sequência também pode ser percorrida por etapas de método em outra sequência ou de modo paralelo, contanto que seja mantida a funcionalidade descrita. A sequência das etapas de método respectivamente descritas entre o início e o final, é reproduzida em intervalos de tempo regulares. Respectivamente, entre o início e o final o respectivo módulo conta o seu contador atualizado por si em torno de um para cima. LISTAGEM DE NÚMEROS DE REFERÊNCIA 2 usina de tecnologia nuclear 4 equipamento de monitoramento digital 8 unidade de controle e regulação 10 controlador lógico programável 20 CPU 26 memória 32 área de armazenamento do programa 38 área de armazenamento do sistema 40 outras áreas de armazenamento 44 grupos de sensores 50 grupos de atuadores 56 linha de dados 62 interface 70 dispositivo 76 módulo de monitoramento 78 seta 80 comutador de chave 82 módulo de monitoramento 84 seta 88 memória de diagnóstico 90 seta 92 seta 94 memória de diagnóstico de monitoramento 100 saída binária 102 saída binária 104 saída binária 108 saída binária 110 saída binária 112 seta dupla 116 módulo de controle 120 partida 126 decisão 132 bloco 134 decisão 136 bloco 138 bloco 140 bloco 142 final 150 partida 152 bloco 154 decisão 156 bloco 158 bloco 160 decisão 162 decisão 164 bloco 166 decisão 168 bloco 170 bloco 172 decisão 174 bloco 176 bloco 178 decisão 180 bloco 182 decisão 184 bloco 186 final 188 decisão 190 bloco 192 bloco 194 partida 196 decisão bloco decisão bloco bloco decisão bloco decisão bloco bloco decisão bloco bloco final

Claims (11)

1. Dispositivo (70) para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem (8), sendo que • é previsto um módulo de monitoramento (82), que monitora o estado de funcionamento e/ou o estado de integração de hardware e/ou o estado de programa da unidade de controle e regulagem (8) e, quando de alterações desse estado, gera uma mensagem, • é previsto um módulo de controle (116), que monitora o funcionamento do módulo de monitoramento (82), e • o módulo de monitoramento (82) monitora o funcionamento do módulo de controle (116), caracterizado pelo fato de que a unidade de controle e regulagem (8) apresenta um controlador lógico programável (10) e o módulo de monitoramento (82) e o módulo de controle (116) são componentes de software do controlador lógico programável (10), que verificam mutuamente se o respectivo outro módulo processa instruções do programa de acordo com o plano dentro de um intervalo de tempo predeterminado.
2. Dispositivo (70), de acordo com a reivindicação 1, caracterizado pelo fato de que a unidade de controle e regulagem (8) é de uma usina de tecnologia nuclear (2).
3. Dispositivo (70), de acordo com a reivindicação 1, caracterizado pelo fato de que a unidade de controle e regulagem (8) apresenta pelo menos uma memória gravável (26) com dados armazenados na mesma, e sendo que o módulo de monitoramento (82) gera uma mensagem no caso de alterações dos dados armazenados na memória (26).
4. Dispositivo (70), de acordo com a reivindicação 2, caracterizado pelo fato de que os dados compreendem o código de programa e/ou variáveis de programas geradas das mesmas.
5. Dispositivo (70), de acordo com a reivindicação 3 ou 4, caracterizado pelo fato de que os dados compreendem os dados de sistema, em particular a configuração de hardware e/ou variáveis de sistema geradas das mesmas.
6. Dispositivo (70), de acordo com qualquer uma das reivindicações 1 a 5, caracterizado pelo fato de que o módulo de monitoramento (82) monitora a posição de um comutador de modo de funcionamento da unidade de controle e regulagem (8).
7. Dispositivo (70), de acordo com qualquer uma das reivindicações 1 a 6, caracterizado pelo fato de que o módulo de monitoramento (82) monitora alterações de um nível de segurança da unidade de controle e regulagem (8).
8. Dispositivo (70), de acordo com qualquer uma das reivindicações 1 a 7, caracterizado pelo fato de que a mensagem é escrita em uma memória, em particular em uma memória de diagnóstico (88) da CPU da unidade de controle e regulagem (8) e/ou em uma memória (94) do módulo de monitoramento (82).
9. Dispositivo (70), de acordo com qualquer uma das reivindicações 1 a 8, caracterizado pelo fato de que a mensagem é disponibilizada em uma saída (100, 102, 104, 108) do dispositivo (70), em particular do módulo de monitoramento (82).
10. Dispositivo (70), de acordo com qualquer uma das reivindicações 1 a 9, caracterizado pelo fato de que é previsto um módulo de monitoramento (76) que, caso necessário, comuta um nível de segurança da unidade de controle e regulagem (8), em particular, ao acionar um comutador de chave (80).
11. Usina de tecnologia nuclear (2), caracterizada pelo fato de que compreende um dispositivo de monitoramento digital, como definido em qualquer uma das reivindicações 1 a 10.
BR112015018466-9A 2013-02-06 2014-01-30 Dispositivo para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem e usina de tecnologia nuclear BR112015018466B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102013201937.8A DE102013201937A1 (de) 2013-02-06 2013-02-06 Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage
DE102013201937.8 2013-02-06
PCT/EP2014/051837 WO2014122063A1 (de) 2013-02-06 2014-01-30 Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage

Publications (2)

Publication Number Publication Date
BR112015018466A2 BR112015018466A2 (pt) 2017-07-18
BR112015018466B1 true BR112015018466B1 (pt) 2022-03-22

Family

ID=50115822

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112015018466-9A BR112015018466B1 (pt) 2013-02-06 2014-01-30 Dispositivo para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem e usina de tecnologia nuclear

Country Status (10)

Country Link
US (1) US20150340111A1 (pt)
EP (1) EP2954534B1 (pt)
JP (1) JP6437457B2 (pt)
CN (1) CN105074833B (pt)
BR (1) BR112015018466B1 (pt)
DE (1) DE102013201937A1 (pt)
ES (1) ES2629499T3 (pt)
PL (1) PL2954534T3 (pt)
RU (1) RU2647684C2 (pt)
WO (1) WO2014122063A1 (pt)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3067768B1 (de) * 2015-03-11 2018-04-25 Siemens Aktiengesellschaft Automatisierungseinrichtung und Operator-System
EP3088976B1 (de) * 2015-04-28 2017-11-29 Siemens Aktiengesellschaft Verfahren zum betreiben einer automatisierungseinrichtung und automatisierungseinrichtung
EP3401831B1 (de) * 2017-05-11 2021-06-30 Siemens Aktiengesellschaft Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
WO2020164994A1 (en) * 2019-02-13 2020-08-20 Syngenta Crop Protection Ag Pesticidally active pyrazole derivatives

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6413643A (en) * 1987-07-07 1989-01-18 Fujitsu Ltd Monitor device for program malfunction
JPH01223581A (ja) * 1988-03-02 1989-09-06 Nec Corp ユニット構成情報収集システム
JPH02197901A (ja) * 1989-01-27 1990-08-06 Sharp Corp プログラマブルコントローラにおけるi/oユニットの活線脱着装置
US5388156A (en) * 1992-02-26 1995-02-07 International Business Machines Corp. Personal computer system with security features and method
JP3556368B2 (ja) * 1996-02-02 2004-08-18 株式会社東芝 発生警報データ収集装置
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
US7080249B1 (en) * 2000-04-25 2006-07-18 Microsoft Corporation Code integrity verification that includes one or more cycles
US7085934B1 (en) * 2000-07-27 2006-08-01 Mcafee, Inc. Method and system for limiting processor utilization by a virus scanner
US20030009687A1 (en) * 2001-07-05 2003-01-09 Ferchau Joerg U. Method and apparatus for validating integrity of software
DE60200323T2 (de) * 2002-03-26 2005-02-24 Soteres Gmbh Verfahren zum Schutz der Integrität von Programmen
US7478431B1 (en) * 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
KR100568228B1 (ko) * 2003-05-20 2006-04-07 삼성전자주식회사 고유번호를 이용한 프로그램 탬퍼 방지 방법과 난독처리된 프로그램 업그레이드 방법, 상기 방법을 위한 장치
US20050071668A1 (en) * 2003-09-30 2005-03-31 Yoon Jeonghee M. Method, apparatus and system for monitoring and verifying software during runtime
RU2265240C2 (ru) * 2003-11-27 2005-11-27 Общество с ограниченной ответственностью Научно-производственная фирма "КРУГ" (ООО НПФ "КРУГ") Модуль системного контроля
JP4619231B2 (ja) * 2005-07-29 2011-01-26 株式会社ジェイテクト 安全plc
US20070067643A1 (en) * 2005-09-21 2007-03-22 Widevine Technologies, Inc. System and method for software tamper detection
US9177153B1 (en) * 2005-10-07 2015-11-03 Carnegie Mellon University Verifying integrity and guaranteeing execution of code on untrusted computer platform
RU2305313C1 (ru) * 2005-12-27 2007-08-27 Яков Аркадьевич Горбадей Способ я.а. горбадея обеспечения надежной работы программного вычислительного средства
US20070168680A1 (en) * 2006-01-13 2007-07-19 Lockheed Martin Corporation Anti-tamper system
CN100507775C (zh) * 2006-03-13 2009-07-01 富士电机系统株式会社 可编程控制器的编程设备
US20080034350A1 (en) * 2006-04-05 2008-02-07 Conti Gregory R System and Method for Checking the Integrity of Computer Program Code
US8117512B2 (en) * 2008-02-06 2012-02-14 Westinghouse Electric Company Llc Failure detection and mitigation in logic circuits
WO2009128905A1 (en) * 2008-04-17 2009-10-22 Siemens Energy, Inc. Method and system for cyber security management of industrial control systems
JP5297858B2 (ja) * 2009-03-27 2013-09-25 株式会社日立製作所 監視制御システム
JP5422448B2 (ja) * 2010-03-10 2014-02-19 株式会社東芝 制御装置
US9392017B2 (en) * 2010-04-22 2016-07-12 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for inhibiting attacks on embedded devices
US20110313580A1 (en) * 2010-06-17 2011-12-22 Levgenii Bakhmach Method and platform to implement safety critical systems
JP2012013581A (ja) * 2010-07-01 2012-01-19 Mitsubishi Heavy Ind Ltd 原子力プラントの運転監視装置
US20120297461A1 (en) * 2010-12-02 2012-11-22 Stephen Pineau System and method for reducing cyber crime in industrial control systems
RU2470349C1 (ru) * 2011-05-31 2012-12-20 Закрытое акционерное общество "Особое Конструкторское Бюро Систем Автоматизированного Проектирования" Способ защиты от несанкционированного доступа к информации, хранимой в компьютерных системах
US9405283B1 (en) * 2011-09-22 2016-08-02 Joseph P. Damico Sensor sentinel computing device
US8522091B1 (en) * 2011-11-18 2013-08-27 Xilinx, Inc. Prioritized detection of memory corruption

Also Published As

Publication number Publication date
RU2647684C2 (ru) 2018-03-16
BR112015018466A2 (pt) 2017-07-18
RU2015136871A (ru) 2017-03-14
CN105074833B (zh) 2018-01-02
JP6437457B2 (ja) 2018-12-12
ES2629499T3 (es) 2017-08-10
WO2014122063A1 (de) 2014-08-14
CN105074833A (zh) 2015-11-18
JP2016505183A (ja) 2016-02-18
PL2954534T3 (pl) 2017-09-29
EP2954534B1 (de) 2017-03-29
US20150340111A1 (en) 2015-11-26
DE102013201937A1 (de) 2014-08-07
EP2954534A1 (de) 2015-12-16

Similar Documents

Publication Publication Date Title
Spenneberg et al. Plc-blaster: A worm living solely in the plc
CN106775716B (zh) 一种基于度量机制的可信plc启动方法
EP3101581B1 (en) Security system for industrial control infrastructure using dynamic signatures
EP3101586B1 (en) Active response security system for industrial control infrastructure
EP3101491B1 (en) Security system for industrial control infrastructure
US7814396B2 (en) Apparatus and method for checking an error recognition functionality of a memory circuit
EP4242892A2 (en) Code pointer authentication for hardware flow control
CN104991528B (zh) Dcs信息安全控制方法及控制站
Ghaeini et al. {PAtt}: Physics-based Attestation of Control Systems
US10592668B2 (en) Computer system security with redundant diverse secondary control system with incompatible primary control system
JP2017004521A (ja) インテグリティに基づき産業企業システムにおけるエンドポイントの通信を制御する方法および装置
Garcia et al. Detecting PLC control corruption via on-device runtime verification
US20170060779A1 (en) Method and memory module for security-protected write processes and/or read processes on the memory module
BR112015018466B1 (pt) Dispositivo para o reconhecimento de manipulações não autorizadas do estado do sistema de uma unidade de controle e regulagem e usina de tecnologia nuclear
CN111264046A (zh) 用于密码保护地监控设备或设施的至少一个组件的系统和方法
CN109286606A (zh) 针对过程控制系统中的加密业务的防火墙
Serhane et al. PLC code-level vulnerabilities
Valentine PLC code vulnerabilities through SCADA systems
CN101369141B (zh) 用于可编程数据处理设备的保护单元
WO2015100189A1 (en) Server chassis physical security enforcement
Lim et al. Attack induced common-mode failures on PLC-based safety system in a nuclear power plant: practical experience report
Zubair et al. Control logic obfuscation attack in industrial control systems
JP5464128B2 (ja) Ram故障診断装置、そのプログラム
US12008099B2 (en) Method for safety responses to security policy violations
JP2016505183A5 (pt)

Legal Events

Date Code Title Description
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B25A Requested transfer of rights approved

Owner name: FRAMATOME GMBH (DE)

B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 30/01/2014, OBSERVADAS AS CONDICOES LEGAIS.