CN102047263B - 用于监视涉及安全的系统的方法和系统 - Google Patents
用于监视涉及安全的系统的方法和系统 Download PDFInfo
- Publication number
- CN102047263B CN102047263B CN200980119336.7A CN200980119336A CN102047263B CN 102047263 B CN102047263 B CN 102047263B CN 200980119336 A CN200980119336 A CN 200980119336A CN 102047263 B CN102047263 B CN 102047263B
- Authority
- CN
- China
- Prior art keywords
- monitoring
- result
- safe system
- relating
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24024—Safety, surveillance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
一种用于监视涉及安全的系统(2)的系统,具有:监视装置(11),在该监视装置上运行第一过程(111),该第一过程产生监视结果(b),该监视结果被传送给形成该涉及安全的系统(2)的至少一部分的另一装置(12),其中涉及安全的系统(2)的第二监视过程(125)为了计算处理结果(a)而将接收的监视结果(b)发送回第一过程(111)以用于检验。
Description
技术领域
本发明涉及用于监视至少一个过程的方法和系统,该至少一个过程绑定到涉及安全的系统中、尤其是在电的、电子的或可编程的电子(E/E/PE)系统中。
背景技术
装置或设备通常是对人来说的一种危险。在此,该危险通常取决于相应装置或设备的作用原理。一般来说,装置或设备由电的或电子的系统控制。这样的(涉及安全的)系统最终负责将人置于危险之外。因此对这些涉及安全的系统提出高的安全要求,这些安全要求例如由针对所涉及的人而存在的风险来给出。从而例如通常提出预定的标准、规则和/或准则,相应的涉及安全的系统必须满足这些标准、规则和/或准则。这样的标准的示例可以是EN50128。该标准是用于涉及安全的铁路软件的欧洲标准,并且涉及与电信技术、信号技术有关的轨道应用以及用于铁路控制和监视系统的数据处理系统和软件。
为了在涉及安全的系统中实施安全功能,需要证明所有参与该安全功能的部件和模块都足够安全地实施它们各自的功能。就是说,预定标准、规则和/或准则的遵守在系统的所有级别和层次中都是必须的。在此需要始终监视该系统和始终检验参与该安全功能的部件、模块和过程。该监视通常在证明涉及安全的系统的范围内执行。通过该证明,证实所有预定标准,也就是标准、规则和/或准则都得到了遵守并且在涉及安全的系统中所执行的过程或处理的(最终)结果都具有必要的特征或按照相应标准的对应特征。
为了避免可能的错误源,目前硬件和软件在与安全有关的范围内都是最小化的,也就是仅减少到最需要的数量。操作系统是特别针对相应的专门硬件实施的。在此,关于该操作系统、软件和/或硬件的实施方式的限制要考虑在内。
此外,所实施的操作系统针对具体的应用情况而设计。如果例如想要将已存在的操作系统再用于其它应用情况,则由于对应操作系统的该非常特别的设计而通常不太可能。此外,通常还存在对所采用的部件的约束,这些部件将在对应操作系统的范围内被控制。
例如,特定于飞机领域或特定于工业应用的操作系统具有非常精确限定的功能范围。该操作系统例如是为飞机工业的需求而设计的。由此与其它使用领域、如铁路的匹配是不可能的。
此外,公知的涉及安全的系统的体系还通过这些系统的部件、操作系统和过程的特殊性而显得突出。如果现在想要检验或监视这种非常特别构建的涉及安全的系统是否正确工作,则需要进行精确针对特别构成的涉及安全的系统设计以及为这种系统构建的监视。
由此,存在一般性地证明涉及安全的系统的需要。在此,需要贯穿性的证明,即达到涉及安全的系统的所有级别和层、也就是一直达到操作系统级别的证明。目前还不知道这样的直到操作系统级别的一般性证明,也就是包括操作系统的硬件和软件的证明。
发明内容
本发明所基于的任务是使得可以灵活地和一般性地证明涉及安全的系统。
该任务通过具有独立权利要求1的特征的方法,通过具有独立权利要求11的特征的装置,通过具有独立权利要求12的特征的计算机程序或通过具有独立权利要求14的特征的数据载体来解决。
本发明涉及一种用于监视涉及安全的系统的方法,其中该方法具有以下步骤:
-从监视装置向形成涉及安全的系统的至少一部份的装置传送第一过程的监视结果,该监视装置是为监视涉及安全的系统而设置的;
-通过第二过程分析该监视结果,其中第二过程形成涉及安全的系统的过程;
-依据该监视结果计算处理结果;以及
-检验所计算的监视结果。
为了监视涉及安全的系统,在监视装置上执行第一过程。该第一过程在此被构成为,使得第二过程可通过第一过程被监视,即第一过程被构成为,使得通过第一过程可检查第二过程是否正确运行。在此,通过第一过程可以检查例如第二过程是否提供正确的结果,执行正确的过程、步骤或功能和/或还要被执行。
按照优选的实施方式,基于安全的系统可以由多个层、即至少一个层构成。第二被监视的过程在该情况下是涉及安全的系统的层之一的过程。涉及安全的系统可以例如具有以下层的至少一个:
-应用层,该应用层优选可被构成为使得可执行特定于应用的功能;
-中间件层;
-操作系统层;或者
-硬件层。
通过这种用于监视涉及安全的系统的优选构成的监视装置可成束地监视多个层。
按照本发明的另一优选实施方式,作为操作系统可以采用开放源操作系统,例如Linux。
开放源操作系统的使用使得可以灵活和一般性地证明涉及安全的系统。开放源操作系统(例如Linux)是可免费获得的并且其结构是透明的,也就是开放源操作系统为证明涉及安全的系统而提供能匹配和可再使用的基础。
开放源操作系统如Linux的开发是公开描述的。由此开放源操作系统经历多面的测试并且满足预定的安全标准,而向外非透明的几个特别开发的操作系统在很多情况下不经历这种测试强度大和有意识具有安全的开发。由此,使用开放源操作系统除了匹配能力和再使用能力的优点之外通常还提供满足高安全标准的优点。
除了使用整个开放源操作系统,也就是使用开放源操作系统的所有模块之外,按照优选的实施方式可以选择或确定开放源操作系统的与应用相关的模块,并且在一般性证明的系统的范围中仅使用开放源操作系统的预定模块。如果例如Linux被用作开放源操作系统,则可以既使用整个操作系统又使用针对(该应用)选择的该操作系统Linux的包(模块)。通过这样的预先选择,一方面避免潜在的错误源并减少测试或监视功能的个数,另一方面还通过该预先选择减少开放源操作系统的模块所需要的存储位置。这使得可以灵活地构造对涉及安全的系统的证明。
涉及安全的系统或该涉及安全的系统的层,例如开放源操作系统的层,通过为此专门开发的软件来监视。在此,为了监视涉及安全的系统的过程(例如完全或部分绑定到涉及安全的系统中的开放源操作系统的过程)而设置的监视过程管理、触发和处理涉及安全的系统(例如在监视操作系统的层的情况下是开放源操作系统)的至少一个过程的监视过程的结果。检验通过涉及安全的系统的过程的处理结果,由此识别出涉及安全的系统是否正确工作或是否引入了干扰。
正如已经提到的,按照本发明的方法通过第一过程监视第二过程。第一过程由此是第二过程的上级,从而可以有针对性地证明涉及安全的系统。
在此,在优选的实施方式中,从存储在为了监视而设计的装置中的过程集合中选择第一过程。该第一过程或监视过程的集合可自由构造。监视过程具有通用的监视过程和/或特定于应用的监视过程,这些通用的监视过程使得可以检验或检查涉及安全的系统的一般性流程或过程或者涉及安全的系统的层的一般性流程或过程(该涉及安全的系统例如是开放源操作系统)。由此保证针对涉及安全的系统的监视或证明的灵活性。
此外,对监视结果或挑战的处理可以期望在预定的时间内进行。在此,当监视结果的处理没有在预定的时间内进行时,中断对监视结果的处理,并且通过第二过程进行对监视结果的重新处理。由此存在对监视的另一次机会,因为可以减缓对该系统的短时过载,并且由此不需要立刻的干预或不需要立刻的措施来避免危险。可以在监视装置和/或在被监视的装置中确定对监视结果的处理是否在预定的时间内进行。
对处理结果或响应的检验可以在监视装置中执行。在此,该处理结果事先由被监视的、具有开放源操作系统的至少一个模块的装置传送给监视装置。
此外,对监视结果的处理可以在于将被监视的过程的函数应用于监视结果或挑战。在这种情况下,该处理结果可以对应于被监视的过程的函数的结果。
根据本发明方法的实施方式,对处理结果的检验包括通过第一过程来检查处理结果。
此外,如果对处理结果的检验表明处理结果是错误的,则停止涉及安全的系统,以便让涉及安全的系统处于可能的危险之外。
根据本发明的优选实施例,作为构造为用于监视的第一被监视装置可以使用所谓的安全和环境处理器(SEP)。作为具有开放源操作系统的至少一个模块的第二装置,例如可以设置主处理器。
本发明还提供一种系统,具有构成为监视涉及安全的系统的装置,并且该装置进一步构成为向形成该涉及安全的系统的至少一部分的另一装置传送第一过程的监视结果或挑战,其中该另一装置通过作为涉及安全的系统的过程的第二过程分析监视结果并且提供处理结果或响应。
所述另一装置可以形成涉及安全的系统的一部分,或者还包括整个涉及安全的系统。
第一过程优选构成为使得可以通过第一过程监视第二过程,也就是第一过程是第二过程的上级。
为了监视涉及安全的系统,第一过程实施在用于监视涉及安全的系统的监视装置上。
如上面解释的,涉及安全的系统可以具有多个层。在给定操作系统的一个层的情况下,根据本发明装置的优选实施方式,作为操作系统可以使用开放源操作系统(例如Linux)。
在本发明装置的实施方式中,用于监视涉及安全的系统的装置具有过程集合,并且构成为可以从该过程集合中确定第一过程。
此外,该装置优选还可以构成为,使得可以检验处理结果或响应。在此,第一过程在该检验的范围内构成为,可以通过第一过程检查处理结果。
如果处理结果或响应是错误的,则用于监视涉及安全的系统的装置优选构成为停止该涉及安全的系统。
此外,用于监视涉及安全的系统的装置优选构成为,使得可以从所述另一装置接收处理结果。
如上所解释的,用于监视涉及安全的系统的装置例如可以是安全和环境处理器(SEP)。具有涉及安全的系统的至少一部分的另一装置,可以是MCP(MainControlProcessor,主控制处理器)或主处理器。
根据本发明的优选实施例,该装置可以构成为使得通过第二过程可以处理在预定时间内的监视结果或挑战。在此,该装置优选可以构成为,当第一结果没有在预定时间内处理时,可以中断对监视结果的处理并且可以通过第二过程重新处理监视结果。
此外,第二过程可以优选构成为使得可以将第二过程的函数应用于监视结果或挑战。
按照本发明的优选实施例,具有涉及安全的系统的至少一部分的装置可以构成为,使得可以向监视装置传送处理结果或响应。
上述任务还通过计算机程序解决,该计算机程序具有编码,该编码构成为使得可以执行上面简述以及下面详细描述的方法的步骤。计算机程序在此根据本发明的优选实施例可以存储在数据载体上。最后,上述任务还可以通过具有上述计算机程序的数据载体解决。
本发明的监视由于上述软件层而确保持续进行的检查。对涉及安全的系统的正确运行的检验或检查部分在分离的硬件(例如watchdog或安全和环境处理器(SEP))上进行。通过足够复杂的、集成在监视过程中的要求保证:完全的崩溃—也就是如果束缚所有的系统资源—或存储器溢出现象以及涉及安全的系统的较小的错误都可能被识别出来(挑战-响应,任务监视,等等)。
监视涉及安全的系统的硬件(例如SEP)和软件的协作确保了足以用于安全完整度等级(例如SIL1)的错误发现。
通过本发明还保证应用可以基于由操作系统提供的功能。安全功能由此不需要与应用有关或适应地保证。
附图说明
下面参照附图中示出的实施例详细描述本发明。
图1示出根据本发明实施例的用于监视涉及安全的系统的系统;以及
图2示出具有多个层并且根据本发明的实施例被监视的涉及安全的系统。
具体实施方式
图1所示的系统形成用于监视涉及安全的系统2的系统1。在此,操作系统层具有开放源操作系统的至少一个模块,该开放源操作系统绑定在涉及安全的系统2中。开放源操作系统按照实施例是Linux。涉及安全的系统2可以是电的、电子的或可编程的电子系统(E/E/PE)。
此外,根据实施例在操作系统的操作系统层中只有整个开放源操作系统的特定模块。这些模块是涉及安全的系统2所必要的模块,以便通过其它的、非必要的模块最小化涉及安全的风险。还可以使用整个开放源操作系统。
为了更清楚和更简单的显示本发明,现在描述对操作系统层的监视,即监视Linux的至少一个模块。还可以按照适应的方式监视涉及安全的系统2的其它层。此外,还可以与层无关地监视涉及安全的系统2。
根据实施例,监视系统1具有两个装置11和12,其中装置11是SEP(安全和安全处理器)或监视处理器,并且设计为监视Linux的至少一个模块。装置12例如通过主控制处理器(MCP)和Linux的至少一个模块形成。主控制处理器12由SEP11监视。
SEP11具有监视过程111_1,111_2至111_n的集合,这些监视过程被配置为监视操作系统Linux的过程125_1,125_2至125_n。监视过程111_1,111_2至111_n形成Linux过程125_1,125_2至125_n的上级过程。
按照实施例,每个待监视的Linux过程125_1,125_2至125_n具有在SEP11上的负责监视SEP11的代表或上级过程111_1,111_2至111_n。但是,该简单的关系不应当被看做限制的。当然可以由至少一个上级过程或监视过程111_1,111_2至111_n来监视多个Linux过程125_1,125_2至125_n,并且一个Linux过程125_1,125_2至125_n由多个监视过程111_1,111_2至111_n监视或验证。
首先监视过程111_1,111_2至111_n产生监视结果b或挑战(例如一个数字或其它数据结构)。该监视结果b按照该实施例通过分组编码器112编码并且通过接口113-例如通用异步接收器发送器(UART)-发送给MCP12的接口121。编码的以及传送的监视结果b在MCP12内传递给分组解码器122。分组解码器122将监视过程111_1,111_2至111_n的结果b或监视结果解码给调度器123。然后调度器123将传送的监视结果b传递给相应待监视的Linux过程125_1,125_2至125_n以用于处理。
对哪个Linux过程125_1,125_2至125_n由哪个监视过程111_1,111_2至111_n监视的发现例如可以通过将相应的监视过程111_1,111_2至111_n的标识(ID)与所属的监视结果b一起传送来进行。然后调度器123还与监视结果b一起接收Linux过程125的相应ID并且可以将相应的监视结果b正确地传递给被寻址的Linux过程125_1,125_2至125_n。
Linux过程125_1,125_2至125_n在该实施例中由Linux安全管理器(LSM)125管理。
相应的Linux过程125_1,125_2至125_n接收监视过程111_1,111_2至111_n的结果,并且处理该监视结果b。在此出现下面被称为处理结果a或响应的另一个结果。该处理结果a可以类似于监视结果b那样例如是数字或其它简单或复杂的数据结构。
为了处理监视结果b,Linux过程125_1,125_2至125_n可以应用至少一个预定的单独的函数。在此,监视结果b通过该函数来计算,即依据监视结果b计算预定函数的函数结果,并且作为处理结果a临时存储。然后,实施至少一个单独的函数的结果可以用作处理结果a。
为了显示处理结果a的出现,采用下面的示例:
例如从用于监视MCP12并由此监视Linux操作系统的监视过程的集合中选择监视过程111_n。监视过程111_n产生数字b作为结果或监视结果。监视结果b由Linux过程125_n接收,因为监视过程111_n执行对Linux过程125_n的监视。Linux过程125_n利用单独的函数fn计算数字b得到新的结果a。该处理结果a被发送回监视过程111_n。监视过程111_n然后利用相同的单独的函数fn检验这两个结果b和a是否相互匹配。如果匹配,则涉及安全的系统2处于安全状态。在相反的情况下要引入相应的保证安全的措施,例如完全停止涉及安全的系统。
LSM125是为了在开放源操作系统—在此为Linux-的级别上的涉及安全的功能而设置的。这些功能还确定对涉及安全的系统2的服务的实施,这些服务通过涉及安全的系统2的服务的应用126控制和提供。由此至少一些Linux过程能够干预和影响对涉及安全的系统2的服务或应用126的实施,例如图1中的Linux过程125_1。在该Linux过程125_1被测试或监视的情况下,同时还测试通过应用126对相应服务的实施并且检验该实施的安全流程。通过这种方式使得可以通过涉及安全的系统2的所有层进行证明。
现在如果给出处理结果a,则将该处理结果传递给MCP12的分组编码器127。分组编码器127对处理结果a编码并且将编码的处理结果a传递给用于传送和接收数据的接口121。该接口121将编码的处理结果a传送给SEP11或传送给SEP的接口113。从那里编码的处理结果a到达分组解码器114,在分组解码器114那里被解码并被传递给调度器115。
调度器115将处理结果a分配给相应的监视过程111_1,111_2至111_n。这例如可以如上所述借助一起传送的ID来进行。
相应的监视过程111_1,111_2至111_n对接收的处理结果a进行分析,例如通过合适地分析或通过合适地比较监视结果b和处理结果a来进行。
如果通过监视过程111_1,111_2至111_n对处理结果a的分析是正面的,则涉及安全的系统2处于安全状态。否则相应地要执行保护该系统的措施。紧急情况下通过监视系统1的SEP11促使完全停止涉及安全的系统2。
但是可能出现MCP12完全负荷的情况。为了捕获这种情况,可以为了通过Linux过程125_1,125_2至125_n处理监视结果而确定这样一个持续时间,在该持续时间内进行对监视结果b的处理。如果对监视结果b的处理不是在预定时间内进行,则可以进行另一次处理尝试。目前的处理都将结束,并启动对监视结果b的重新处理。如果该新的处理也没有给出结果,则涉及安全的系统2被置于安全状态。必要时简单地结束涉及安全的系统2的实施。检验例如可以在MCP12中通过部件SEP-控制装置124和全局的安全控制装置(全局安全控制GSC)128来进行。为了监视,SEP-控制装置124从分组解码器122获得监视过程的相应ID,如果所属的监视结果在分组解码器122中给出的话。将系统2转换到安全状态可以在MCP12中通过安全控制装置128进行。
在SEP11一侧的一般性安全控制根据该实施例由部件—全局安全控制装置(GSC)116执行,该全局安全控制装置控制对监视过程111_1,111_2至111_n的实施并且检查Linux过程或处理过程的结果。将该系统转换到安全状态可以在SEP11中通过GSC116进行。
图2示出涉及安全的系统2,该系统具有多个层21,22,23,24并且按照本发明的优选实施例被监视。
在该实施例中,涉及安全的系统2具有应用层21、例如是通信框架的中间件层22、例如是开放源操作系统的操作系统层23和硬件层24。各个层21,22,23可以如上所示被监视。在这些层之间还进行通信或数据交换,即这些层相互影响、协调、控制和/或检查。该通信在图2中通过层之间的箭头示出。
在此,涉及安全的系统2例如位于主处理器中。监视由进行监视的装置如上述SEP11进行。
如果执行对应用层21的监视,则可以监视应用层21的软件模块或软件过程。在监视期间保证应用能正确运行。在此,还可以推断出下面的层的正确工作或正确运行。
在这种情况下SEP11具有这样的进行监视的过程等,这些过程被设计为监视应用层21。这些进行监视的过程的结果或数据被传送给主处理器上的应用层21,并在那里由应用层21的相应过程或模块处理。通过该处理而出现的结果或数据被传送给SEP11并且由进行监视的过程检验或检查这些结果或数据的正确性。
通过类似的方式还可以监视中间件层22。
对操作系统层23的监视同样可以如上所述执行。
此外,例如还可以监视过程以检查这些过程是否还“活着“。如果观察操作系统Linux,则在借助Linux的指令“grep”启动涉及安全的系统2或操作系统之后向监视装置11传送在Linux上运行的过程的标识符。监视装置11可以初始化例如在清单或列表中的这样的过程。然后在涉及安全的系统2的持续运行中,可以监视Linux的过程是否还如期望地那样运行,或者这些过程是否一般还存在,尤其是是否存在于“活着的”状态。
由此本发明涉及对涉及安全的系统2的监视,尤其是对电的、电子的或可编程的电子(E/E/PE)系统的监视。在此,第一过程的第一结果b由构成为监视该涉及安全的系统2的第一装置11传送给具有涉及安全的系统2的至少一部分的第二装置12。第一结果b通过第二过程处理,其中第二过程是涉及安全的系统2的过程。通过该处理提供第二结果a。接着检验第二结果a,以确定第二过程是否正确工作或正确运行,并由此确定涉及安全的系统2是否正确工作。
Claims (10)
1.一种用于监视涉及安全的系统(2)的方法,该方法具有以下步骤:
-在监视装置(11)上执行第一过程(111)以监视涉及安全的系统(2),该监视装置是为监视涉及安全的系统(2)而设置的;
-从所述监视装置(11)向形成涉及安全的系统(2)的至少一部分的装置(12)传送所述第一过程(111)的监视结果(b),其中从存储在监视装置(11)中的过程的集合中确定第一过程(111);
-通过第二过程(125)分析该监视结果(b),其中第二过程(125)形成涉及安全的系统(2)的过程;
-依据该监视结果(b)计算处理结果(a);以及
-检验所计算的处理结果(a),
其中第一过程被构成为使得能通过第一过程监视第二过程,以通过第一过程检查第二过程是否正确运行。
2.根据权利要求1所述的方法,其中为了分析监视结果(b)而设置预定的时间。
3.根据权利要求2所述的方法,其中,当所述监视结果(b)的分析没有在为此设置的时间内进行时,中断对该监视结果(b)的分析,并且通过第二过程(125)进行对该监视结果(b)的重新分析。
4.根据权利要求2或3所述的方法,其中,在监视装置(11)和/或在形成涉及安全的系统(2)的至少一部分的装置(12)中确定对监视结果(b)的分析是否在预定的时间内进行。
5.根据权利要求1至3之一所述的方法,其中对监视结果(b)的分析包括将第二过程(125)的预定函数应用于监视结果(b)。
6.根据权利要求1至3之一所述的方法,其中,对处理结果(a)的检验在监视装置(11)中执行。
7.根据权利要求6所述的方法,其中所述处理结果(a)由形成涉及安全的系统(2)的至少一部分的装置(12)传送给监视装置(1)。
8.根据权利要求1至3之一所述的方法,其中所述处理结果(a)通过第一过程(111)检验。
9.根据权利要求1至3之一所述的方法,其中,如果对监视结果(a)的检验说明处理结果(a)是错误的,则停止涉及安全的系统(2)。
10.一种用于监视涉及安全的系统(2)的系统(1),具有:
-监视装置(11),在该监视装置上运行第一过程(111)以监视涉及安全的系统(2),该第一过程产生监视结果(b),该监视结果被传送给形成该涉及安全的系统(2)的至少一部分的另一装置(12),其中涉及安全的系统(2)的第二监视过程(125)为了计算处理结果(a)而将接收的监视结果(b)发送回第一过程(111)以用于检验;
其中从存储在监视装置(11)中的过程的集合中确定第一过程(111),以及
其中第一过程被构成为使得能通过第一过程监视第二过程,以通过第一过程检查第二过程是否正确运行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102008025489A DE102008025489A1 (de) | 2008-05-28 | 2008-05-28 | Verfahren und System zum Überwachen eines sicherheitsbezogenen Systems |
| DE102008025489.4 | 2008-05-28 | ||
| PCT/EP2009/053401 WO2009149965A2 (de) | 2008-05-28 | 2009-03-24 | Verfahren und system zum überwachen eines sicherheitsbezogenen systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102047263A CN102047263A (zh) | 2011-05-04 |
| CN102047263B true CN102047263B (zh) | 2016-01-13 |
Family
ID=40740186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980119336.7A Active CN102047263B (zh) | 2008-05-28 | 2009-03-24 | 用于监视涉及安全的系统的方法和系统 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US20110213878A1 (zh) |
| EP (1) | EP2279480B1 (zh) |
| CN (1) | CN102047263B (zh) |
| BR (1) | BRPI0912138A2 (zh) |
| DE (1) | DE102008025489A1 (zh) |
| DK (1) | DK2279480T3 (zh) |
| ES (1) | ES2594437T3 (zh) |
| PL (1) | PL2279480T3 (zh) |
| PT (1) | PT2279480T (zh) |
| RU (1) | RU2520395C2 (zh) |
| WO (1) | WO2009149965A2 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2632569T3 (es) | 2010-06-12 | 2017-09-14 | Tts Tooltechnic Systems Ag & Co. Kg | Caja con tapa y asa |
| PL2466505T3 (pl) * | 2010-12-01 | 2013-10-31 | Nagravision Sa | Sposób rozpoznawania autentyczności terminala |
| DE102015205285B4 (de) | 2015-03-24 | 2017-02-23 | Siemens Healthcare Gmbh | Verfahren zum Betrieb eines medizinischen Geräts und medizinisches Gerät |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1450428A (zh) * | 2002-04-09 | 2003-10-22 | 费舍-柔斯芒特系统股份有限公司 | 过程控制系统内的互连区 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SU918949A1 (ru) * | 1980-06-30 | 1982-04-07 | Предприятие П/Я В-2769 | Устройство дл тестового контрол цифровых узлов |
| JP2944867B2 (ja) * | 1993-10-26 | 1999-09-06 | 三菱電機株式会社 | 電動パワーステアリング制御装置 |
| US5771343A (en) * | 1996-02-14 | 1998-06-23 | Sterling Commerce, Inc. | System and method for failure detection and recovery |
| US7272723B1 (en) * | 1999-01-15 | 2007-09-18 | Safenet, Inc. | USB-compliant personal key with integral input and output devices |
| US6651168B1 (en) * | 1999-01-29 | 2003-11-18 | International Business Machines, Corp. | Authentication framework for multiple authentication processes and mechanisms |
| US6338152B1 (en) * | 1999-10-28 | 2002-01-08 | General Electric Company | Method and system for remotely managing communication of data used for predicting malfunctions in a plurality of machines |
| US7000100B2 (en) * | 2001-05-31 | 2006-02-14 | Hewlett-Packard Development Company, L.P. | Application-level software watchdog timer |
| JP4155198B2 (ja) * | 2004-01-19 | 2008-09-24 | トヨタ自動車株式会社 | 車両の制御システムの異常検知装置 |
| US7421625B2 (en) * | 2005-05-26 | 2008-09-02 | Microsoft Corporation | Indicating data connection and status conditions |
| JP4483720B2 (ja) * | 2005-06-23 | 2010-06-16 | 株式会社デンソー | 電子制御装置 |
| CN101410847B (zh) * | 2006-06-30 | 2011-11-09 | 国际商业机器公司 | 在移动设备处的消息处理方法以及移动设备和智能卡 |
| UA21399U (en) * | 2006-09-22 | 2007-03-15 | Olena Mykhailivna Velychko | Agent for paint stripping |
| RU2324967C1 (ru) * | 2006-10-16 | 2008-05-20 | Федеральное государственное унитарное предприятие "Научно-производственное предприятие "Сигнал" | Программно-аппаратный стенд для диагностики цифровых и микропроцессорных блоков |
-
2008
- 2008-05-28 DE DE102008025489A patent/DE102008025489A1/de not_active Withdrawn
-
2009
- 2009-03-24 WO PCT/EP2009/053401 patent/WO2009149965A2/de active Application Filing
- 2009-03-24 BR BRPI0912138A patent/BRPI0912138A2/pt not_active IP Right Cessation
- 2009-03-24 PL PL09761528T patent/PL2279480T3/pl unknown
- 2009-03-24 CN CN200980119336.7A patent/CN102047263B/zh active Active
- 2009-03-24 DK DK09761528.0T patent/DK2279480T3/en active
- 2009-03-24 PT PT97615280T patent/PT2279480T/pt unknown
- 2009-03-24 ES ES09761528.0T patent/ES2594437T3/es active Active
- 2009-03-24 US US12/994,974 patent/US20110213878A1/en not_active Abandoned
- 2009-03-24 EP EP09761528.0A patent/EP2279480B1/de active Active
- 2009-03-24 RU RU2010153562/08A patent/RU2520395C2/ru active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1450428A (zh) * | 2002-04-09 | 2003-10-22 | 费舍-柔斯芒特系统股份有限公司 | 过程控制系统内的互连区 |
Also Published As
| Publication number | Publication date |
|---|---|
| PT2279480T (pt) | 2016-09-05 |
| PL2279480T3 (pl) | 2017-09-29 |
| EP2279480B1 (de) | 2016-06-29 |
| DE102008025489A1 (de) | 2009-12-24 |
| ES2594437T3 (es) | 2016-12-20 |
| US20110213878A1 (en) | 2011-09-01 |
| WO2009149965A2 (de) | 2009-12-17 |
| BRPI0912138A2 (pt) | 2015-11-03 |
| WO2009149965A3 (de) | 2010-06-10 |
| EP2279480A2 (de) | 2011-02-02 |
| RU2010153562A (ru) | 2012-07-10 |
| CN102047263A (zh) | 2011-05-04 |
| RU2520395C2 (ru) | 2014-06-27 |
| DK2279480T3 (en) | 2016-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2784015A1 (en) | System and method to prevent the use of pirate products in an elevator control | |
| CN103287932B (zh) | 电梯系统 | |
| CN105159170A (zh) | 一种适用于多星并行测试的控制台系统 | |
| CN108994840A (zh) | 故障机器人救助方法及装置 | |
| CN102047263B (zh) | 用于监视涉及安全的系统的方法和系统 | |
| CN105555638B (zh) | 双重安全关键的分布式系统中的非关键部件的软件更新 | |
| CN103257694A (zh) | 借助配电单元监测电源冗余的方法和系统 | |
| EP2933726A1 (en) | Apparatus, system and method for application log data processing | |
| CN109328453A (zh) | 用于无反作用的完整性监控的方法和完整性检查系统 | |
| JP2016184373A5 (ja) | 電子機器 | |
| CN109508295A (zh) | 区块链共识算法测试方法、装置、计算装置和存储介质 | |
| CN110780590A (zh) | 用于为机器的多通道控制提供安全控制参数的技术 | |
| CN106227032B (zh) | 控制逆变器的方法 | |
| KR101665972B1 (ko) | 통신단말기와 사물인터넷을 이용한 엘리베이터 원격관리 이중화 시스템 및 그 제어방법 | |
| CN107430659A (zh) | 用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备 | |
| CN105245579B (zh) | 一种配电网系统海量数据通讯处理方法及系统 | |
| CN105678163A (zh) | 一种数据校验方法和系统 | |
| Idirin et al. | Implementation details and safety analysis of a microcontroller-based SIL-4 software voter | |
| US10803163B2 (en) | Method of modular verification of a configuration of a device | |
| CN104134256B (zh) | 一种防止远程锁车失效的方法和系统 | |
| CN110766529A (zh) | 运行验证方法、装置、空调器以及存储介质 | |
| CN105608774A (zh) | 一种智能门禁控制系统及其控制方法 | |
| CN108713199A (zh) | 权限管理方法、系统、移动终端、共享充电设备及服务器 | |
| US11909821B2 (en) | Method for processing application programs in a distributed automation system | |
| CN105187511B (zh) | 一种应用在多个终端上登录的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190212 Address after: Munich, Germany Patentee after: Siemens Mobile Co., Ltd. Address before: Munich, Germany Patentee before: Siemens AG |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Munich, Germany Patentee after: Siemens Transport Co., Ltd. Address before: Munich, Germany Patentee before: Siemens Mobile Co., Ltd. |