CN107430659B - 用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备 - Google Patents
用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备 Download PDFInfo
- Publication number
- CN107430659B CN107430659B CN201680015535.3A CN201680015535A CN107430659B CN 107430659 B CN107430659 B CN 107430659B CN 201680015535 A CN201680015535 A CN 201680015535A CN 107430659 B CN107430659 B CN 107430659B
- Authority
- CN
- China
- Prior art keywords
- data
- subsystem
- security
- security level
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明涉及一种在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备,此系统由至少两个子系统组成,子系统分别包含至少一个安全硬件和/或软件元件并分别满足特定的、用于功能安全的数据处理的安全等级。本发明提供:借助第一个子系统的安全硬件和/或软件元件将数据处理为第一安全等级的功能安全的数据并且通过此第一子系统为此数据添加至少一个标识特征,此标识特征标明此数据适合于使用此第一安全等级;将此数据以及添加的标识特征由此第一子系统传递到第二个子系统,并由此第二子系统接收此数据以及添加的标识特征;通过第二子系统借助其安全硬件和/或软件元件对接收到的标识特征进行如下检验,即,此标识特征标明的安全等级与第二子系统满足的安全等级为相同还是不同,并且,当检验结果为不同的安全等级时,则基于更低的安全等级对数据功能安全地进行进一步处理。
Description
技术领域
本发明涉及一种用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备,此系统由至少两个子系统组成。
背景技术
已知在国际标准IEC 61508以及在内容基本一致的欧洲标准EN 61508中描述了功能安全的电气、电子和可编程电子系统及其开发。其中所述的对安全系统开发过程的要求导致与开发标准系统相比明显更高的费用和必要的开发预算。在此,要求随安全完整性等级(“SIL”;SIL1至SIL4)的升高而增加。
同时,标准也限定了不满足IEC 61508对安全系统的要求的元件的使用。
对此,例如在2010版IEC 61508(IEC 61508-3:2010)的第3部分“对软件的要求“中,在7.4.2.8条中规定:
“当软件即实施安全功能又实施非安全功能时,除非有适当的措施保证非安全功能的错误不会对安全功能造成不利影响,否则,软件总体必须视为安全相关的。
以及在7.4.2.9中:
“当软件实施不同安全完整性等级的安全功能时,除非在设计中,不同安全完整性等级的安全功能之间可以显示出充足的独立性,否则,软件总体必视作其属于最高安全完整性等级。必须说明,不是(1)此独立性达到空间或时间领域,就是(2)掌握了每个独立性的损坏。对此独立性的判断必须有依据。”
因此,概念“安全完整性等级”(SIL;或者也称为安全要求等级)通过分别的等级定义用于降低风险必要的、或者达到的安全功能的功效。当未规定针对安全的(在本发明范围内也描述为安全相关或安全关键的)要求,那么,则根据通常的企业质量管理规范进行开发。此外,安全完整性等级SIL1提供了最低的要求。安全完整性等级越高,对安全的要求也就越高。
此处,在本发明范围内以及在说明书和权利要求中,除非有其他说明,否则概念“安全”涉及功能安全。
在此,根据标准系列IEC61508的功能安全还包括使用不同方法控制错误,例如避免开发中的系统错误、在运行过程中进行监控以识别意外错误和/或可靠地控制识别出的错误和过渡到先前定义为安全的状态。所有这些措施可以是特定的、先前确定的安全功能的一部分。普遍来说,两通道或多通道系统可以比只具有一个通道的系统使用更少的技术支出达到更高的SIL,在此两通道或多通道系统中,每个通道可单独触发一种安全功能。此处,通过安全链(Safety-Loop)的信息流描述为通道,其以例如安全功能的要求(例如通过传感器、接近传感器、光栅或按键)开始,以执行器或者引导机器到安全状态的控制元件为止。
相应地,电气安全不属于此功能安全。
因此,如果通过合适的措施确保电气、电子和/或可编程电子系统、以及单独的硬件和/或软件元件满足有效,那么,在下面的说明书及权利要求中,此系统以及各自的元件视为安全。如果对系统、以及对单独的硬件和/或软件元件未规定针对安全的要求并且因此对系统或对单独的硬件和/或软件元件未通过合适的措施保证其满足特定的安全功能,那么,在下面的说明书及权利要求中,此系统以及各自的元件视为非安全或为标准系统以及标准元件。
由DE 10 2004 020 994 B4已知一种用于针对安全的电气电路的计算机辅助设计的方法和设备。
相应地,提供、选择并连接多个电路元件,其中,另外提供多个规则组,并且每个规则组又包含多个安全技术设计规则,其中,至少一个规则组包含此设计规则,其要求电路元件的多通道冗余输出信号和/或用于每个输出信号的反馈回路。此外,电气电路分为部分区域,并且在选择和连接电路元件前为每个部分区域定义规则组并选择在此定义的规则组,并且验证选择并连接的电路元件是否完全符合此定义的规则组的设计规则,从而,后续根据选定的规则组允许或避免电路元件的每个选择和/或连接,其中,显示出此定义的规则组。
因此,在不影响设计的电路的错误安全性的前提下,针对安全的电路设计应尽可能更简单和快捷,其中,此处的设计涉及作为总系统的特定电路的设计。因为,首先为电路定义并选择分别包含多个安全技术设计规则的单独的规则组,接着,选择并连接符合各自的规则组设计规则的电路元件。
发明内容
本发明的目的在于,构造一种方法和设备,借助其可以基于安全元件、必要时和标准元件以此种方式组成并驱动系统,即,满足对安全系统的规范要求,因此,开发的系统能够可靠地识别其控制独立性的损坏,尤其也可识别标准及安全子系统之间独立性的损坏。
根据本发明,此目的通过根据待审批的独立权利要求的方法和设备实现。各个从属权利要求的主体为有利的和适合的扩展。
因此,根据本发明,提出了一种用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备,此系统由至少两个子系统组成,子系统分别包括至少一个安全硬件和/或软件元件并分别满足特定的、用于功能安全的数据处理的安全等级。此外,此方法规定,数据借助其中第一个子系统的安全硬件和/或软件元件处理为第一安全等级的功能安全的数据,并通过此第一子系统为此数据添加至少一个标识特征,此标识特征标明此数据适合于使用此第一安全等级。然后,此数据以及添加的标识特征从第一子系统传递到第二个子系统,并因此由该第二子系统接收。
接着,接收到的标识特征通过第二子系统借助其安全硬件和/或软件元件进行如下检验,即,此标识特征标明的安全等级与第二子系统满足的安全等级为相同还是不同。当检验结果为不同的安全等级时,继而基于更低的安全等级对数据功能安全地进行进一步处理。
在此,一个显著的优势为,每个子系统、从而基本每个元件或机构可以满足各自的、分别不同的安全等级,然而,由这些子系统又能组成一个其总体仍旧满足一个安全等级的系统。因为,在此由不同子系统构成的系统识别不同安全等级并且始终基于两个不同安全等级中较低的那个进行数据的进一步处理,所以,尽管此系统由不同安全等级的子系统以积木的形式构成,仍旧可以通过本发明满足对功能安全的系统的要求。
为了实施此方法,本发明另外提供了一种设备,其包括满足特定的、用于功能安全的数据处理的安全等级的安全硬件和/或软件元件。
在此,安全硬件和/或软件元件布置用于将数据处理成特定安全等级的功能安全的数据,并继而为此数据添加标识特征,此标识特征标明此数据适合于使用此特定安全等级。
补充地或可选地,安全硬件和/或软件元件设计用于在收到数据(此数据已处理成特定安全等级的功能安全的数据并已为其添加了标明此数据适合于使用此特定安全等级的标识特征)后,对为此数据添加的标识特征进行如下检验,即,此标识特征标明的安全等级与硬件和/或软件元件满足的安全等级相同还是不同,并且,当检验结果为不同的安全等级时,基于更低的安全等级对数据进行进一步处理。
附图说明
根据下面参照附图进行的对实施例的描述进一步说明和/或展示本发明上文所述的和其他的特征,其中可见,此特征在不超出本发明范畴的情况下,不仅可使用于本文描述的组合中、也可使用于其他组合中或者单独使用。
在引用的附图中示出:
图1以极其简化的原理图示出了带有至少一个安全硬件和/或软件元件的子系统实施例,
图2以极其简化的原理图示出了由子系统构成的系统的实施例,其中,根据实施例的系统由两个子系统构成,子系统分别包含至少一个安全硬件和/或软件元件,
图3以极其简化的原理图示出了数据在系统内的处理和传递,此系统例如为或由三个各自具有至少一个安全硬件和/或软件元件的子系统构成。
具体实施方式
图1以及其简化的原理图示出了具有至少一个安全硬件和/或软件元件11的子系统1的实施例,其中,此安全硬件和/或软件元件11满足特定的、用于功能安全的数据处理的安全等级。在下面的描述及附图中,此种安全元件也描述为“安全环境”。
安全硬件和/或软件元件11是在附图中没有进一步示出的设备的一部分,尤其是电气、电子和/或可编程电子系统的电气、电子和/或可编程电子设备的一部分,此系统由至少两个子系统组成,此子系统分别包含至少一个安全硬件和/或软件元件并且分别满足特定的、用于功能安全地处理数据的安全等级。由至少两个子系统组成的电气、电子和/或可编程电子系统通过根据图2的由两个子系统2和3组成的系统的实施例极其简化的原理图说明,两个子系统分别包含至少一个安全硬件和/或软件元件21a至21c以及31a和31b。
根据一种实施形式,设计安全硬件和/或软件元件(例如安全硬件和/或软件元件11)用于将数据处理成特定安全等级的功能安全的数据,并继而为此数据添加标识特征,此标识特征标明此数据适合于使用此特定安全等级。因此,此种安全元件制造功能安全的数据。下面,具有一个或数个此种制造功能安全的数据的安全元件的装置或子系统也称作“安全服务器”。
然而,根据另一种实施形式,设计安全硬件和/或软件元件(例如安全硬件和/或软件元件11)也用于在收到数据(此数据已处理成特定安全等级的功能安全的数据并已为其添加了标明此数据适合于使用此特定安全等级的标识特征)后,对为此数据添加的标识特征进行如下检验,即,此标识特征标明的安全等级与硬件和/或软件元件满足的安全等级相同还是不同,并且,当检验结果为不同的安全等级时,基于更低的安全等级对数据进行进一步处理。因此,此种安全元件首先消耗功能安全的数据并在此评估此数据。具有一个或数个此种安全元件的、消耗功能安全数据的装置或子系统,下面也称作“安全客户端”。
在本发明的范围内,安全元件(例如,在图3的子系统5中描述为“安全环境B”的安全元件)也可以首先消耗功能安全的数据并在此进行评估,接着再制造功能安全的数据。具有一个或数个安全元件的装置或子系统既用于评估功能安全的数据、又用于更改或重新制造功能安全的数据,相应地,如图3的子系统5那样,可以既充当安全服务器、又充当安全客户端的角色。
因此,在本发明的范围内,图1的子系统1也有利地为在图1中未进一步示出的上层系统的一部分。此外,除了至少一个安全硬件和/或软件元件11以外,子系统还可具有至少一个非安全硬件和/或软件元件12组成。子系统1可以例如为程序设计系统,借助此程序设计系统用户“user”、尤其是程序员通过适合的软件元件编写安全的控制程序。在此种情况下,也就是,当子系统、例如子系统1除了至少一个安全硬件和/或软件元件11以外还具有至少一个非安全硬件和/或软件元件12时,通过非安全硬件和/或软件元件12进行的数据处理由安全硬件和/或软件元件进行如下监控,即,数据在进行处理时不损坏,如下面还将进一步阐述那样。从而,通过借助安全元件对标准元件的监控也可以得到功能安全的子系统。
在本发明的范围内,在由至少两个功能安全的子系统组成的系统中,数据已首先借助第一子系统的安全硬件和/或软件元件处理成第一安全等级的功能安全的数据。接着,第一子系统还为此数据添加至少一个标明此数据适合于使用第一安全等级的标识特征。
然后,当此数据包括添加的标识特征由此第一子系统传递到第二个子系统、并且包括添加的标识特征一并由此第二个子系统接收时,第二子系统借助其安全硬件和/或软件元件对接收到的标识特征进行如下检验,即,此标识特征标明的安全等级与第二子系统满足的安全等级相同还是不同。如果检验得出安全等级为不同,则无论如何通过第二子系统基于更低的安全等级对此数据进行功能安全的进一步处理。
如上文已经提及的那样,此种功能安全的电气、电子和/或可编程电子系统,其由至少两个子系统组成,两子系统分别包含至少一个安全硬件和/或软件元件并分别满足特定的、用于功能安全的数据处理的安全等级,例如图2所示。在此,第一子系统2提供例如用户界面,用户“user”可在其上进行操作来编写控制程序,此控制程序应随后传递给第二子系统3。因此,第一子系统2的安全硬件和/或软件元件21a、21b、21c可以包括例如安全编程元件21a、安全数据列表元件21b和/或例如安全网络配置元件21c。
在此,子系统可以仅具有此种安全元件,但也可如根据图2的实施例中一样,额外具有非安全硬件和/或软件元件22a、22b和/或22c,例如非安全编程元件22a、非安全数据列表元件22b和/或例如非安全网络配置元件22c。
此处,第二子系统3可继而提供例如编译环境,借助子系统2生成的控制程序传递到此第二子系统。因此,第二子系统3的安全硬件和/或软件元件31a和31b可以包含例如不同编译器的安全元件。子系统3也可额外具有例如非安全硬件和/或软件元件32a,其包含例如带有抽象语法树的非安全编译基础设施。
因此,根据图2的系统中,功能安全数据的制造也区别于功能安全数据的消耗。
因此,在此示例中,子系统2提供制造能力或“安全服务器”,子系统3提供消耗能力或“安全客户端”,其中,在根据图2的示例中,不论是“安全服务器”(子系统2)还是“安全客户端”(子系统3)都由标准元件和安全元件结合组成。如上文所述,在此种情况下,安全服务器监控借助标准元件产生的数据。有利地,在此种情况下,安全客户端也监控借助标准元件评估的数据。在图2中,通过安全服务器和安全客户端进行的此种监控由在标准元件和安全元件之间相应的双向箭头表示。
此处,保证数据不由标准元件损坏。有利地,在数据更改期间和期间之外进行此监控。为此,优选在由非安全硬件和/或软件元件处理数据之前,将不应更改的数据与其他数据分离并单独存储和/或者单独占有一组校验和。从而,有利地切分了数据并因此将数据分为应该更改的数据和不应更改的数据。待通过删除、添加或修改数据而更改的数据允许更改。在待更改的数据更改期间,不允许更改的数据优选存在RAM中和/或借助例如包括杂凑值的校验和等相应的方法存在单独的硬盘中。在此有利地,应注意尽量大地设置保护的数据、也就是不更改的数据范围。
数据监控的功能正确可以通过合适的、本身已知的方法,如逻辑程序运行监控来保证。因此,如果要计算校验和及其他证明数据一致性和数据完整性的特征,那么,仅有一个安全服务器的一个安全元件或者说安全环境进行此计算。从而更安全地识别安全元件或者说安全环境以外的数据变更以及安全服务器的功能故障。
除了用于证明数据一致性和完整性的校验和以外,安全服务器的安全环境(例如在图2的安全环境21a处表明的)在任何情况下都为其传输的数据制造前述的标识特征101并继而以此标识特征101评定此数据,从而,待由安全服务器(例如图2的子系统2)最终传递到安全客户端(例如图2的子系统3)的数据100也包含标识特征101。
因此,此种标明数据适合于使用特定安全等级的标识特征101尤其也证明安全服务器的系统能力。此标识特征例如为可达到的最大SIL(安全完整性等级)、可达到的最大PL(性能等级)和/或设定语言范围的使用,例如根据LVL(有限可变语言)、或FVL(全可变语言),在此,其根据接下来的进一步处理确定。
在之后的过程中,所有前述校验和及(扩展的)用于标识数据的特征继而由接收数据的安全客户端(例如图2的子系统3)评估。如前文所述,安全客户端也通常为子系统的组合,因此,其不仅包含安全元件、也包含标准元件,然而,功能安全地标识的数据尤其也通过安全元件针对安全性进行评估。为此,安全客户端相应地即校验可能随接收的数据而接收到的校验和以确认数据一致性和数据完整性,也校验描述功能安全的数据的系统能力的标识特征。如果安全客户端确定了数据一致性或数据完整性的损坏、或者数据的系统能力与安全客户端的系统能力不匹配,那么,在有利的实施中,安全客户端不对数据进行功能安全的处理。因此,在此情况下,处理只能在损失一个安全完整性等级的条件下实现。换句话说,接收的数据通过此第二子系统借助其安全硬件和/或软件元件针对数据的无偏差性进行评估,并且,在有利的实施中,只有基于评估识别数据无偏差时,接收的数据才进行功能安全的进一步处理。然而,在有利的实施中,在具有不同系统能力的子系统组合的情况下,标识特征总是匹配较低的安全等级,例如,设定为较低安全完整性等级的值。因此,在数据在两子系统之间传输后,为数据添加的标识特征优选总是由接收子系统设定为一个标明最低安全等级的标识特征,更确切地说,此最低安全等级为参与此传输的子系统满足的、并且传输的数据在传输中标明为适用于的安全等级的安全等级组中最低的安全等级。
如果功能安全的数据即没有更改、又没有针对安全性进一步处理,那么,按照黑色通道的含义,原则上可能另外有任意数量的标准元件参与数据的进一步传输以及存储。
在非常有利的方法中,上文描述的系统结构以及由其实现的方法可以在从编程系统直到安全控制系统的整个流程链上使用。
下面基于图3再次描述另一种优选的实施例。
此处,假设机器制造商使用保护装置降低机器的风险,使机器具有例如紧急制动和无接触作用的保护装置(BWS)。保护装置通常为应急开关或者为例如光幕、感应接近开关或电容式距离传感器等BWS,应急开关用于在危险情况下或为了预防危险将机器快速切换到安全状态。
只有当两个保护装置都显示安全状态时,才允许启动驱动。此保护装置由通过编程系统编程的安全控制器监控。为此,程序员借助适合的软件编写安全控制程序。此软件即存在于标准元件也存在于安全元件上。通过以安全元件监控标准元件实现功能安全的系统。从而,程序员可以将系统用于安全技术中。此系统典型并简化地如下组成。
安全控制程序借助程序编辑器开发。此程序编辑器在图3中以子系统4示出。程序编辑器具有标准软件元件,其在图3中以子系统4的“标准元件A”示出。程序编辑器实现了控制程序的输入和显示。此外,程序编辑器在安全技术范畴内具有安全软件元件,其在图3中以子系统4的“安全环境A”示出。安全软件元件监控程序编辑器的正确运行方式并且保证控制程序数据的完整性。安全软件元件标明安全应用程序的数据,也就是说,在前述控制程序的例子中通过上文描述的安全技术标识特征以及以优选的方式通过校验和及(扩展)特征标明。从而,程序编辑器并因此图3的子系统呈现为安全服务器。
控制程序的数据传递给至少一个编译器,从而由程序源码编写用于安全控制器的可实施的机器代码。该至少一个编译器在图3中由子系统5示出。传递也可通过硬盘上的缓存或其他非易失性存储器完成。在此,至少一个编译器校验数据完整性及数据的系统能力,系统能力由安全技术特征、也就是说由上文描述的安全技术标识特征并以有利的方式和校验和及(扩展)特征确定。如果完整性损坏或者数据不符合要求的系统能力,那么,进一步处理不再继续功能安全地实施。因此,在此方法步骤中,至少一个编译器表现为安全客户端(参见图3的子系统5)。
如果至少一个编译器将程序源处理为可实施的机器代码,那么,有利地在机器代码上计算用于数据完整性的校验和。此外,机器代码具有安全技术标识特征。其安全技术标识特征可以与程序源的安全技术标识特征一致,或者可以补充或删减。也就是说,在本发明的实际实施中,数据处理后的标识特征不能具有高于源数据标识特征的安全等级。因此,在此方法步骤中,至少一个编译器提供为安全服务器(参见图3的子系统5)。
通过安全编程软件和安全控制器之间的通讯关系,机器代码和其附属的与安全相关的数据传递到安全控制器。在本发明的范畴中,也可将上文提及的黑通道用于此种通讯,此黑通道即不担任安全客户端也不担任安全服务器的角色,因为数据没有通过此传递更改。
在图3中,安全控制器由子系统6示出。
安全控制器接收机器代码并且校验机器代码的数据完整性和系统适合性。如果验证成功,那么,安全控制器实施此机器代码。因此,在本发明中,安全控制器仍为安全客户端。
因为以此方式,根据本发明的、由不同子系统组成的系统识别不同的安全等级并且总是以少于两个的不同安全等级进行数据的进一步处理,所以,总能满足对功能安全的系统的要求。然而此处优选,在通过子系统的安全硬件和/或软件元件基于一个安全等级进行数据处理时,其中,此安全等级低于此子系统满足的安全等级,此安全等级由此子系统向在系统数据处理链中的下一个子系统和/或用户显示。
附图标记说明
1 子系统,
11 安全硬件和/或软件元件,
12 非安全(标准)元件;
2 子系统,
21a、21b、21c 安全硬件和/或软件元件,
22a、22b、22c 非安全(标准)元件;
3 子系统,
31a、31b 安全硬件和/或软件元件,
32a、22b、22c 非安全(标准)元件;
4 子系统;
5 子系统;
6 子系统;
100 数据;
101 标识特征;
Claims (10)
1.一种用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法,所述系统由至少两个子系统组成,所述子系统分别包含至少一个安全硬件和/或软件元件并分别满足特定的、用于功能安全的数据处理的安全等级,所述方法具有如下步骤:
借助第一个子系统的安全硬件和/或软件元件将数据处理为第一安全等级的功能安全的数据并且通过此第一子系统为此数据添加至少一个标识特征,所述标识特征标明此数据适合于使用此第一安全等级;以及
将所述数据以及添加的标识特征由此第一子系统传递到第二个子系统,并由此第二子系统接收此数据以及添加的标识特征;以及
通过所述第二子系统借助其安全硬件和/或软件元件对接收到的标识特征进行如下检验,即,此标识特征标明的安全等级与第二子系统满足的安全等级为相同还是不同,并且,当检验结果为不同的安全等级时,则基于更低的安全等级对数据功能安全地进行进一步处理,其中,通过所述标识特征针对此数据各自进行的进一步处理确定能够达到的最高的安全完整性等级和/或确定设定语言范围的使用,通过所述标识特征标明数据适合于使用此特定的安全等级。
2.根据权利要求1所述的方法,其特征在于,所述设定语言范围的使用是根据LVL有限可变语言或FVL全可变语言确定的。
3.根据权利要求1所述的方法,其特征在于,所述接收到的数据通过所述第二子系统借助其安全硬件和/或软件元件针对数据的无偏差性进行评估,并且,只有基于评估识别数据无偏差时,接收的数据才进行功能安全的进一步处理。
4.根据权利要求1或2所述的方法,其特征在于,通过子系统的安全硬件和/或软件元件基于一个安全等级进行数据处理,所述安全等级低于此子系统满足的安全等级,并向在系统数据处理链中的下一个子系统和/或用户显示。
5.根据权利要求1所述的方法,其特征在于,所述至少两个子系统还分别具有至少一个非安全硬件和/或软件元件。
6.根据权利要求5所述的方法,其特征在于,通过所述非安全硬件和/或软件元件进行的数据处理由所述安全硬件和/或软件元件进行如下监控,即,数据在进行处理时不损坏。
7.根据权利要求5所述的方法,其特征在于,在通过所述非安全硬件和/或软件元件对数据进行处理之前,将不应更改的数据与其他数据分离并且单独存储,和/或单独占有一组校验和。
8.根据权利要求1所述的方法,其特征在于,在数据在两子系统之间传输后,为数据添加的标识特征总是由接收子系统设定为一个标明最低安全等级的标识特征,此最低安全等级为参与此传输的子系统满足的、并且传输的数据在传输中标明为适用于的安全等级的安全等级组中最低的安全等级。
9.用于实施根据前述权利要求中任一项所述的方法的设备,所述设备包含安全硬件和/或软件元件,所述安全硬件和/或软件元件满足特定的、用于功能安全的数据处理的安全等级,
其特征在于,
安全硬件和/或软件元件设计用于,
-将数据处理为特定安全等级的功能安全的数据并继而为此数据添加至少一个标识特征,所述标识特征标明此数据适合于使用此特定安全等级;
和/或者安全硬件和/或软件元件设计用于,
-在接收到已处理为特定安全等级、并添加了标明此数据适合于使用此特定安全等级的标识特征的功能安全的数据之后,对为此数据添加的标识特征进行如下检验,即,此标识特征标明的安全等级与硬件和/或软件元件满足的安全等级为相同还是不同,并且,当检验结果为不同的安全等级时,则基于更低的安全等级对数据进行进一步处理,其中,通过所述标识特征针对此数据各自进行的进一步处理确定能够达到的最高的安全完整性等级和/或确定设定语言范围的使用,通过所述标识特征标明数据适合于使用此特定的安全等级。
10.根据权利要求9所述的设备,其特征在于,所述设定语言范围的使用是根据LVL有限可变语言或FVL全可变语言确定的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015103740.8 | 2015-03-13 | ||
| DE102015103740.8A DE102015103740A1 (de) | 2015-03-13 | 2015-03-13 | Verfahren und Vorrichtung zum Verarbeiten und Übertragen von Daten innerhalb eines funktional sicheren elektrischen, elektronischen oder programmierbar elektronischen Systems |
| PCT/EP2016/055236 WO2016146504A1 (de) | 2015-03-13 | 2016-03-11 | Verfahren und vorrichtung zum verarbeiten und übertragen von daten innerhalb eines funktional sicheren elektrischen, elektronischen und/oder programmierbar elektronischen systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107430659A CN107430659A (zh) | 2017-12-01 |
| CN107430659B true CN107430659B (zh) | 2021-03-09 |
Family
ID=55527561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680015535.3A Active CN107430659B (zh) | 2015-03-13 | 2016-03-11 | 用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10645112B2 (zh) |
| EP (1) | EP3271856B1 (zh) |
| CN (1) | CN107430659B (zh) |
| DE (1) | DE102015103740A1 (zh) |
| WO (1) | WO2016146504A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016102282B4 (de) | 2016-02-10 | 2024-01-04 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems |
| DE102017123910A1 (de) * | 2017-10-13 | 2019-04-18 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion |
| DE102017123911A1 (de) | 2017-10-13 | 2019-04-18 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zum Überwachen der Reaktionszeit einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion |
| EP4087293A1 (en) * | 2021-05-06 | 2022-11-09 | Robert Bosch GmbH | Methods and devices for radio communication |
| EP4087294A1 (en) * | 2021-05-06 | 2022-11-09 | Robert Bosch GmbH | Methods and devices for radio communication |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802612A (zh) * | 2003-04-17 | 2006-07-12 | 菲尔德巴士基金 | 用于现场总线体系结构中实现安全仪表系统的系统和方法 |
| US8024788B2 (en) * | 2007-05-31 | 2011-09-20 | The Boeing Company | Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment |
| CN102804734A (zh) * | 2009-06-04 | 2012-11-28 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 车辆单元 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5596718A (en) * | 1992-07-10 | 1997-01-21 | Secure Computing Corporation | Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor |
| US5958051A (en) | 1996-11-27 | 1999-09-28 | Sun Microsystems, Inc. | Implementing digital signatures for data streams and data archives |
| US20030112996A1 (en) * | 2001-12-19 | 2003-06-19 | Holliman Matthew J. | Automatic monitoring of host signal quality using embedded data |
| KR100801125B1 (ko) | 2003-08-12 | 2008-02-05 | 리서치 인 모션 리미티드 | 암호 강도를 나타내는 시스템 및 방법 |
| GB0404517D0 (en) | 2004-03-01 | 2004-03-31 | Qinetiq Ltd | Threat mitigation in computer networks |
| DE102004020994B4 (de) | 2004-04-19 | 2013-07-04 | Pilz Gmbh & Co. Kg | Verfahren und Vorrichtung zum computergestützten Konstruieren einer sicherheitsgerichteten elektrischen Schaltung |
| EP2455881B1 (en) * | 2006-05-18 | 2018-01-17 | BlackBerry Limited | Automatic security action invocation for mobile communications device |
| EP1921560A1 (en) * | 2006-11-10 | 2008-05-14 | Nokia Siemens Networks Gmbh & Co. Kg | Method and system for providing sensitive data |
| US8959657B2 (en) * | 2013-03-14 | 2015-02-17 | Appsense Limited | Secure data management |
-
2015
- 2015-03-13 DE DE102015103740.8A patent/DE102015103740A1/de not_active Withdrawn
-
2016
- 2016-03-11 CN CN201680015535.3A patent/CN107430659B/zh active Active
- 2016-03-11 WO PCT/EP2016/055236 patent/WO2016146504A1/de active Application Filing
- 2016-03-11 US US15/557,648 patent/US10645112B2/en active Active
- 2016-03-11 EP EP16709766.6A patent/EP3271856B1/de active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802612A (zh) * | 2003-04-17 | 2006-07-12 | 菲尔德巴士基金 | 用于现场总线体系结构中实现安全仪表系统的系统和方法 |
| US8024788B2 (en) * | 2007-05-31 | 2011-09-20 | The Boeing Company | Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment |
| CN102804734A (zh) * | 2009-06-04 | 2012-11-28 | 大陆-特韦斯贸易合伙股份公司及两合公司 | 车辆单元 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107430659A (zh) | 2017-12-01 |
| EP3271856A1 (de) | 2018-01-24 |
| US10645112B2 (en) | 2020-05-05 |
| EP3271856B1 (de) | 2021-02-17 |
| US20180069890A1 (en) | 2018-03-08 |
| DE102015103740A1 (de) | 2016-09-15 |
| WO2016146504A1 (de) | 2016-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107430659B (zh) | 用于在功能安全的电气、电子和/或可编程电子系统中处理和传递数据的方法和设备 | |
| US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
| CN109923518B (zh) | 用于安全关键系统的软件更新机制 | |
| DE102011005209B4 (de) | Programmanweisungsgesteuerte Instruktionsflusskontrolle | |
| JP2021535477A (ja) | フォールトツリー分析を使用して機能安全のため制御フローグラフを最適化するシステム及び方法 | |
| US9829866B2 (en) | Method and apparatus for automatically creating an executable safety function for a device | |
| JP2008522260A (ja) | Iec61508sil1から3またはen954−1カテゴリー1から4による安全なパラメータ化の方法および装置 | |
| RU2383926C2 (ru) | Способ и система контроля робастности модели физической системы | |
| Glas et al. | Automotive safety and security integration challenges | |
| EP2614438A1 (de) | Verfahren zum bereitstellen eines wertes zum ermitteln, ob bei einer ausführung eines programms ein fehler aufgetreten ist | |
| CN111264046A (zh) | 用于密码保护地监控设备或设施的至少一个组件的系统和方法 | |
| JP6606293B2 (ja) | 安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス | |
| KR20210061446A (ko) | 안전 관련 데이터 스트림 검출 방법 | |
| Ruchkin et al. | Eliminating inter-domain vulnerabilities in cyber-physical systems: An analysis contracts approach | |
| CN115827291A (zh) | 软件的持续监视和/或提供 | |
| US9678870B2 (en) | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data | |
| RU2647684C2 (ru) | Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки | |
| JP6094523B2 (ja) | プログラム書き換え方法 | |
| JP6171385B2 (ja) | コントローラおよび情報処理装置 | |
| CN106484945B (zh) | 用于分析逻辑电路的方法 | |
| CN110389871B (zh) | 一种具备系统完整性确认功能的安全计算机平台 | |
| US10691805B2 (en) | Resident manufacturing test software based system for mitigating risks associated with vehicle control modules | |
| US11909821B2 (en) | Method for processing application programs in a distributed automation system | |
| US20160011932A1 (en) | Method for Monitoring Software in a Road Vehicle | |
| CN112214922A (zh) | 用于测试系统的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |