CN105555638A - 双重安全关键的分布式系统中的非关键部件的软件更新 - Google Patents

Abstract

本发明涉及一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置(1)和至少一个参考数据装置(4)，所述第一数据装置具有已许可的安全相关的软件(2)，所述参考数据装置具有相同的已许可的安全相关的软件(2)。在所述方法中，在对系统进行类型检查之后给至少一个第一数据装置(1)配设至少一个非安全相关的附加软件(8，9，10)并且禁止至少一个参考数据装置(4)的软件修改。在输出安全技术方面的数据信息(D)之前，借助于比较装置(7)检查至少一个第一数据装置(1)的和至少一个参考数据装置(4)的输出信息(A1，Ar)的关于安全相关的软件(2)的一致性，以及在一致的情况下输出安全技术方面的数据信息(D)。

Description

双重安全关键的分布式系统中的非关键部件的软件更新

背景技术

被证实为是极其困难或几乎不可行的是：运行数据装置、例如个人计算机，使得所述数据装置可以在无法确定安全隐患的情况下运行。由此当数据装置属于安全关键的、配设有安全相关的和非安全相关的软件的系统时，产生特殊问题，所述系统在其使用之前必须进行类型检查并且(例如在联锁系统的操作装置或列车安全系统中)必须以耗费的程序来许可。此后不再允许改变软件。这根据现有技术甚至自动地被监控并且这种系统在确定变化之后自动地停止。如果在检查和许可这种系统之后产生通过升级或补丁将非安全相关的软件引入到这种系统中的必要性，那么要么必须使用已许可的、可明确识别的软件要么必须执行用于许可的重新的检查。

发明内容

本发明基于如下目的：提出一种用于运行安全关键的系统的方法，借助所述方法能够以相对小的耗费更新系统。

为了实现该目的，根据本发明，适合的是一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置和至少一个参考数据装置，所述第一数据装置具有已许可的、安全相关的软件，所述参考数据装置具有相同的已许可的安全相关的软件，其中在对系统进行类型检查之后，为至少一个第一数据装置配设至少一个非安全相关的附加软件并且禁止至少一个参考数据装置的软件修改；在输出安全技术方面的数据信息之前，借助于比较装置检查至少一个第一数据装置和至少一个参考数据装置的输出信息的关于安全相关的软件的一致性，并且仅在一致的情况下输出安全技术方面的数据信息。

根据本发明的方法的一个主要优点在于：提供如下可行性：后续地、即在许可之后将非安全相关的软件更新或补充到安全关键的系统中，而不必随后与重新许可一起重新进行类型检查。

为了确保安全性，在具有多个第一数据装置和多个参考数据装置的系统中尤其有利的是，仅当关于安全相关的软件检查第一数据装置和参考数据装置的输出信息得出分别关于第一数据装置和参考数据装置的特定多数存在一致性时，才输出安全技术方面的数据信息。

根据本发明的方法提供有利的可行性：使用数据保护软件作为附加软件，其中所述数据保护软件尤其能够是病毒防护软件或通常能够是恶意软件防护软件。

此外，根据本发明的方法有利地允许：使用外部软件作为附加软件，将外部软件理解为例如商业软件、而非由安全关键的系统的研发人员亲自研发的软件或未经检查的软件。

由此，根据本发明的方法关于非安全相关的软件的类型方面不受限制。

在根据本发明的方法的一个尤其有利的实施方式中，在进行类型检查之前以如下方式为至少一个第一数据装置配设至少一个非安全相关的附加软件：将程序与数据彼此分开，其中使用具有代码的测试数据作为数据；在进行类型检查之后，在使用代码的条件下在检查当前数据的有效性之后为至少一个第一数据装置在同一程序中提供当前的数据。代码能够是签名。根据本发明的方法的该实施方式的特征在于，通过更新附加软件以大的安全性避免安全关键的系统的故障。

根据本发明的该实施方式也能够与如下安全关键的系统分开使用，所述安全关键的系统具有至少一个第一数据装置和至少一个参考数据装置，所述第一数据装置具有已许可的安全相关的软件，所述参考数据装置具有相同的已许可的安全相关的软件，即也能够在具有就上述第一数据装置而言的一个数据装置或多个数据装置的安全关键的系统中使用。

当在作为附加软件的数据保护软件中保证程序的功能性不能够由数据影响时，也有利地有助于无干扰地更新附加软件。

在本文中有利的是：在使用附加软件时借助于安全相关的软件检查该附加软件的数据的代码的有效性。

安全关键的系统能够是类型完全不同的系统，此外能够是用于联锁机构的操作系统或列车安全系统。当使用列车安全系统作为安全关键的系统并且使用运行计算机作为至少一个第一数据装置以及使用联锁机构作为比较装置时，显得是尤其有利的。

附图说明

为了进一步阐述本发明，在附图中示意地示出具有第一数据装置和参考数据装置的设置。

具体实施方式

附图示出第一数据装置1，所述第一数据装置能够是列车安全系统的运行计算机。第一数据装置1包含已许可的、安全相关的软件2。参考数据装置4经由数据连接3与第一数据装置1连接，所述参考数据装置同样配设有已许可的、安全相关的软件2。

第一数据装置1经由一个数据通道5并且参考数据装置4经由另一数据通道6与比较装置7连接，所述比较装置的功能在列车安全系统中由未示出的联锁机构或另一安全导向的比较器承担。

为了进一步描述根据本发明的方法而假设：适才描述的设置在该状态下经受类型检查和许可。如果此后该设置例如配设有呈病毒保护程序形式的附加软件8，那么同时禁止参考数据装置4的软件修改；所述参考数据装置始终仅配设有安全相关的软件2。

如果应由比较装置7输出安全技术方面的数据信息D，那么事先由比较装置7获取第一数据装置和参考数据装置4的输出信息A1和Ar；关于安全相关的软件2检查这些输出信息A1和Ar，并且当安全相关的软件2一致时，输出安全技术方面的数据信息D。

除了不相关的附加软件8之外，第一数据装置还能够设有另一非安全相关的附加软件9，所述附加软件在列车安全系统的情况下例如能够是用于对车站设施进行视频监控的任意软件，或者设有附加的附加软件10，所述附加软件能够是用于铁路交叉口监控设施的软件。

在此，第一数据装置1未示出地能够以如下方式配设相应的附加软件8、9和10：分别将程序和属于其的数据分开。在进行类型检查或许可之前，将具有测试数据和代码的相应的程序存储在第一数据装置1中。显然，相应内容关于第一数据装置1和参考数据装置4适用于安全相关的软件2。

如果在进行类型检查之后第一数据装置应关于例如附件软件8方面进行更新，那么给第一数据装置1提供关于该软件的更新数据。在此，以与当前数据的转移无关的方式使用代码并且检查一致性。也检查当前数据的有效性。在此确保：附加软件的数据不能够改变附加软件的程序的功能性。

在此，只要保证更新无法使上述安全机制失效，尤其当能够排除参考装置4经由数据连接3所受的影响时更新无法使上述安全机制失效，那么就也能够进行附加软件的更新。

Claims (9)

1.一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置(1)和至少一个参考数据装置(4)，所述第一数据装置具有已许可的安全相关的软件(2)，所述参考数据装置具有相同的已许可的安全相关的软件(2)，其中在对所述系统进行类型检查之后为至少一个所述第一数据装置(1)配设至少一个非安全相关的附加软件(8，9，10)，并且禁止至少一个所述参考数据装置(4)的软件修改，

在输出安全技术方面的数据信息(D)之前，借助于比较装置(7)检查至少一个所述第一数据装置(1)的和至少一个所述参考数据装置(4)的输出信息(A1，Ar)的关于所述安全相关的软件(2)的一致性，以及

在一致的情况下输出安全技术方面的所述数据信息(D)。

2.根据权利要求1所述的方法，

其特征在于，

当关于所述安全相关的软件检查所述第一数据装置的和所述参考数据装置的所述输出信息得出分别关于所述第一数据装置的和所述参考数据装置的特定多数存在一致性时，在多个数据装置和多个参考数据装置中输出安全技术方面的数据信息。

3.根据权利要求1或2所述的方法，

其特征在于，

使用数据保护软件(8)作为附加软件。

4.根据上述权利要求中任一项所述的方法，

其特征在于，

使用外部软件(9，10)作为附加软件。

5.根据上述权利要求中任一项所述的方法，

其特征在于，

在进行类型检查之前以如下方式为至少一个所述第一数据装置配设至少一个非安全相关的附加软件：将程序与数据彼此分开，其中使用具有代码的测试数据作为数据，以及

在进行类型检查之后，在检查当前数据的有效性之后使用代码为至少一个所述第一数据装置在相同的所述程序中提供当前的数据。

6.根据权利要求5所述的方法，

其特征在于，

在作为附加软件的数据保护软件中保证所述程序的功能性不能够受所述数据影响。

7.根据权利要求5或6所述的方法，

其特征在于，

在使用所述附加软件时，借助于所述安全相关的软件检查所述附加软件的所述数据的所述代码的有效性。

8.根据权利要求5至7中任一项所述的方法，

其特征在于，

为了更新所述附加软件(8，9，10)，以与当前的数据的转移无关的方式使用代码为一个所述第一数据装置(1)提供关于所述附加软件的当前的数据。

9.根据上述权利要求中任一项所述的方法，

其特征在于，

使用列车安全系统作为安全关键的系统并且使用运行计算机作为至少一个所述第一数据装置以及使用联锁机构作为比较装置。