ES2265861T3 - Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. - Google Patents
Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. Download PDFInfo
- Publication number
- ES2265861T3 ES2265861T3 ES00128773T ES00128773T ES2265861T3 ES 2265861 T3 ES2265861 T3 ES 2265861T3 ES 00128773 T ES00128773 T ES 00128773T ES 00128773 T ES00128773 T ES 00128773T ES 2265861 T3 ES2265861 T3 ES 2265861T3
- Authority
- ES
- Spain
- Prior art keywords
- destination
- data
- zds
- computer
- dus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Procedimiento de programación de un sistema de destinación (ZS) redundantemente ejecutado, el cual tiene al menos un primer y un segundo ordenador de destinación (ZR1, ZR2) en el que se memorizan el juego de datos idénticos del sistema de destinación (ZDS), los ordenadores se conectan sobre un interfaz a un sistema de transmisión de datos (DUS) pudiendo ser seleccionado por una instrucción de mando, en el cual A) se genera a partir de una instrucción del proyecto para el sistema de destinación (ZS) un juego de datos del sistema de destinación (ZDS) por medio de un sistema de elaboración de datos (DES); B) el juego de datos del sistema de destinación (ZDS) se transmite por medio de un sistema de transmisión de datos (DUS) codificándolo con una primera clave (S1S) en el primer ordenador de destinación (ZR1) y codificándolo por medio de una segunda clave (S2S) en el segundo ordenador de destinación (ZR2); C) se descodifica y se memoriza el juego de datos del sistema de destinación transmitidode manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primer y en el segundo ordenador de destinación (ZR1, ZR2); D) se codifica otra vez el juego de datos del sistema de destinación (ZDS) mismo con respectivamente una tercera o bien cuarta clave (S3L, S4L) memorizadas en el primer y en el segundo ordenador de destinación (ZR1, ZR2) y se transmite de vuelta al sistema de transmisión de datos; E) se forma en el sistema de transmisión de datos (DUS) una primera y una segunda suma de comprobación (1MD4, 2MD4) a partir del juego de datos del sistema de destinación codificados y retransmitidos, F) se codifica por medio del sistema de elaboración de datos (DES) el juego de datos del sistema de destinación (ZDS) con la tercera y cuarta claves (S3L, S4L) y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación (3MD4, 4MD4), en el que la primera, segunda, tercera y cuarta suma de comprobación (1MD4,2MD4, 3MD4, 4MD4) comprende respectivamente una primera y una segunda parte; G) se compara la primera parte de la tercera y cuarta suma de comprobación (3MD4, 4MD4) del sistema de transmisión de datos (DUS) con la primera parte de la primera o bien de la segunda suma de comprobación (1MD4, 2MD4) y se acusa recibo en caso de coincidencia; y H) se compara la segunda parte de la primera y de la segunda suma de comprobación (1MD4, 2MD4) en el sistema de transmisión de datos (DES) con la segunda parte de la tercera o bien de la cuarta suma de comprobación (3MD4, 4MD4) y se acusa recibo en caso de coincidencia.
Description
Procedimiento de programación de un sistema de
destinación redundante con exigencias de seguridad.
La presente invención se refiere a un
procedimiento de programación segura de un sistema de destinación
redundantemente ejecutado, el cual tiene al menos un primer y un
segundo ordenador de destinación, que se conecta sobre un interfaz
con un sistema de transmisión de datos y son seleccionados por una
instrucción de mando.
Un procedimiento de este tipo se emplea en
muchas áreas de la técnica, en las cuales la función del sistema de
destinación es suficiente con que cumpla los requisitos
especialmente relevantes para la seguridad. Como aplicaciones para
los sistemas de destinación de este tipo se toman por ejemplo, las
instalaciones de mando en la industria de producción, disposiciones
tecnológicas en la industria química y farmacéutica y disposiciones
de procesamiento de datos en el marco de los cometidos de
competencia estatal pública (por ejemplo finanzas, persecución
penal, defensa). La presente solicitud contempla como otra forma de
aplicación en especial las instalaciones de mando y de técnica de
mando de operaciones industriales en el tráfico de personas y en el
transporte de mercancías, en especial el tráfico en carreteras,
tráfico ferroviario y tráfico aéreo.
En cuanto al tráfico ferroviario, tales sistemas
de destinación pueden ser todos sistemas de ordenador, que tienen
la influencia en la señalización del trayecto, la influencia de los
trenes sobre el trayecto, la búsqueda de la ruta y la preparación
de la ruta. Como sistema de destinación mencionado es el denominado
LEU (Lineside Electronic Unit), que recibe la información del
trayecto y/o la información de la señal para un punto del trayecto
determinado con completa exactitud y lo distribuye.
En lo que se refiere al LEU es naturalmente
obvio, que en la programación, en la concepción total y en la
función de seguridad para el otorgamiento de la seguridad en el
tráfico ferroviario, se tienen que poner exigencias especialmente
muy severas relevantes para la seguridad, que en particular
contienen siempre también la ejecución redundante de tales sistemas
de destinación.
Una de estas severas exigencias relevantes para
la seguridad se soporta en la programación y/o en la modificación
de los programas existentes de tal sistema de destinación. La
programación y/o la modificación se determina en general en primer
lugar en el marco de una fase del proyecto en las dimensiones
deseadas del programa y/o en las modificaciones deseadas del
programa. De esta fase del proyecto se desarrolla un registro de
datos para el sistema de destinación, que por una parte se debe
transmitir en una fase de la transmisión de datos en el sistema de
destinación. Por otra parte también tiene que estar previsto con
alta fiabilidad un retroacoplamiento de la fase de la transmisión
de datos en la fase del proyecto, el cual hace examinable la
correcta e integra implementación del programa deseado y/o de la
modificación del programa deseado.
En la práctica el desarrollo de tal
procedimiento descrito anteriormente prevé, que el responsable para
la proyección de la seguridad en el punto del trayecto, elabora el
juego de datos del sistema de destinación y éste juego de datos del
sistema de destinación de un programador, en particular el personal
de asistencia en el trayecto, se transmite al sistema de
destinación y el programador confirma al responsable de la
proyección la transmisión debida y completa del juego de datos del
sistema de destinación al sistema de destinación.
Este procedimiento puede en particular tener el
fallo de que, el programador esta seguro, que el registro de datos
del sistema de destinación se transmite de manera debida y completa
al sistema de destinación y de esto también se acusa recibo al
responsable de la proyección, sin embargo tampoco se sabe realmente
con el límite de100% de probabilidades de seguridad con que datos
trabajará realmente el sistema de destinación en el futuro. Él no
está por ejemplo en la situación de comprobar si el juego de datos
del sistema de destinación realmente también, como parte de su
implementación, se ha almacenado de forma completa y correcta o si
a consecuencia de una dificultad de transmisión se pudiera producir
una modificación del juego de datos del sistema de destinación.
En el documento US 4 982 430 se pone de
manifiesto, un procedimiento para la programación de un sistema de
destinación con condiciones de seguridad, con lo que los datos de
destinación de un ordenador central (network control center) se
descargan a un usuario (subscriber terminal), y ahí mediante la suma
de comprobación se controla en integridad. Se propone también una
transmisión de vuelta de los datos del usuario al ordenador
central, con lo que asimismo se puede garantizar una inspección de
los datos de destinación transmitidos al usuario sobre el ordenador
central.
La presente invención tiene por objeto proponer
un procedimiento, como se define en la reivindicación 1, que
permita la debida y completa implementación de un juego de datos de
un sistema de destinación en un sistema de destinación de manera
sencilla, controlado de manera fiable hasta el paso de la fase del
proyecto.
Este objetivo se soluciona por medio de un
procedimiento del tipo mencionado al inicio de conformidad a la
invención, que
- A)
- se genera a partir de una instrucción del proyecto para el sistema de destinación, un juego de datos del sistema de destinación por medio de un sistema de elaboración de datos;
- B)
- el juego de datos del sistema de destinación se transmite por medio de un sistema de transmisión de datos codificándolo con una primera clave en el primer ordenador de destinación y codificándolo por medio de una segunda clave en el segundo ordenador de destinación.
- C)
- Se descodifica y se memoriza el juego de datos codificado del sistema de destinación transmitido de manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primero y en el segundo ordenador de destinación;
- D)
- se codifica otra vez el juego de datos del sistema de destinación mismo con respectivamente una tercera o bien cuarta clave memorizada en el primer y en el segundo ordenador de destinación y se transmite de vuelta al sistema de transmisión de datos;
- E)
- se forma en el sistema de transmisión de datos una primera y una segunda suma de comprobación a partir del juego de datos del sistema de destinación codificados y retransmitido;
- F)
- se codifica por medio del sistema de elaboración de datos, el juego de datos del sistema de destinación con la tercera y cuarta claves y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación, en la que la primera, segunda, tercera y cuarta suma de comprobación comprende respectivamente una primera y una segunda parte;
- G)
- se compara la primera parte de la tercera y cuarta suma de comprobación del sistema de transmisión de datos con la primera parte de la primera o bien de la segunda suma de comprobación y se acusa recibo en caso de coincidencia; y
- H)
- se compara la segunda parte de la primera y de la segunda suma de comprobación en el sistema de transmisión de datos con la segunda parte de la tercera o bien de la cuarta suma de comprobación y se acusa recibo en caso de coincidencia.
Con estas etapas del procedimiento se puede
comprobar que el o los juegos de datos del sistema de destinación
se han transmitido sin fallos y se han almacenado en el ordenador de
destinación correcto. De esta manera se alcanza la alta seguridad
del correcto almacenamiento del juego de datos del sistema de
destinación, que el juego de datos del sistema de destinación
almacenado se vuelve a leer con seguridad y se compara con el juego
de datos del sistema de destinación inicial. Al mismo tiempo de la
comparación como código de prueba se forma una poderosa suma de
comprobación, para reducir el volumen de datos comparativo y con eso
posibilitar una comprobación por personas. La comprobación se
efectúa por los dos sistemas independientes, por un lado el sistema
de producción de datos/programador y por otro lado el sistema de
transferencia de datos/proyector y para la cantidad de ordenadores
de destinación disponibles. Como la transmisión del juego de datos
del sistema de destinación y la relectura circulan sobre el mismo
interfaz, se codifica el juego de datos del sistema de destinación
en cada caso antes de la transmisión con las claves diferentes
(primera y tercera clave o bien segunda y cuarta clave). Esto
garantiza la manifestación de error en caso de problemas con el
interfaz.
Para evitar una confusión del ordenador de
destinación, se utilizan para el primer y para el segundo ordenador
de destinación claves diferentes (primera y segunda clave o bien
tercera y cuarta clave).
Otras realizaciones ventajosas de la invención
están incluidas en otras reivindicaciones.
Con este procedimiento resultan además las
siguientes ventajas:
- i)
- Para la transmisión de los datos del sistema de destinación en más ordenadores de destinación independientes es necesario solamente un interfaz. De esta manera se realiza el sistema de transmisión de manera económica y de pequeñas dimensiones.
- ii)
- La aplicación del procedimiento se elabora de fácil manejo en comparación con un procedimiento basado en más interfaces independientes, entonces las conexiones necesarias del registro de datos del sistema de destinación se suprimen con el correspondiente interfaz.
- iii)
- En el sistema de transmisión de datos no se pone ninguna exigencia relevante para la seguridad, por lo tanto el sistema se puede llevar a cabo de una forma económica.
- iv)
- Por la evolución de los datos releídos se puede provocar una prueba de seguridad y documentarla.
Por la protección del registro de datos del
sistema de destinación con una suma de comprobación de los datos
CRC16 la manipulación de los datos se puede minimizar.
Antes de una transmisión de un nuevo juego de
datos del sistema de destinación en el primer o bien en el segundo
ordenador de destinación se suprime un contenido de memoria y un
primer código de desbloqueo en el primer ordenador de destinación y
un segundo código de desbloqueo en un segundo ordenador de
destinación.
Después de una transmisión con éxito del juego
de datos del sistema de destinación, se registra de nuevo el primer
código de desbloqueo en el primer ordenador de destinación y el
segundo código de desbloqueo de nuevo en el segundo ordenador de
destinación. Con lo que se asegura, que en lo sucesivo en una
terminación anormal de la transmisión del registro de datos del
sistema de destinación no quede ningún dato inconsistente en el
sistema de destinación.
A continuación se explica más detalladamente la
invención a título de ejemplo por medio de los dibujos adjuntos. En
los que se muestra:
Figura 1 un diagrama de conjunto para la
generación del procedimiento, la transmisión y el almacenamiento
del registro de datos del sistema de destinación al sistema de
destinación.
Figura 2 un diagrama de conjunto para el
principio de codificación
Figura 3 un diagrama de conjunto para la
comparación de la suma de comprobación
El procedimiento describirá en lo sucesivo en el
ejemplo de la programación de una unidad electrónica colocada en el
lado de la vía, por ejemplo bajo los nombres "LEU S21 M", como
se encuentra en la técnica de señalización ferroviaria. Bajo el
preámbulo del juego de datos del sistema de destinación ZDS se
entienden aquí datos de proyección para el LEU S21 M. En cuanto al
LEU S21 M se trata de un sistema de destinación ZS que contiene
entre otras cosas dos ordenadores de destinación ZR1, ZR2 sobre
cuyos datos de proyección ZDS idénticos se almacenan. El sistema de
destinación ZS se ejecuta con unas altas exigencias de seguridad
(SIL4). En la norma europea EN 50126 así como en la norma
provisional prEN 50129 están definidos grados de seguridad (Safety
Integrity Level SIL). Estos sistemas de destinación ZS disponen
sólo de un interfaz INT para la transmisión de los datos de
proyección ZDS. Tanto un sistema de producción de datos DES como un
sistema de transmisión de datos DUS no cumplen ninguna exigencia de
seguridad (SIL0). Los niveles de seguridad solicitados del sistema
de destinación ZS es según esto mayor que el sistema de transmisión
de datos DUS y que el sistema de producción de datos DES.
La figura 1 muestra una representación
esquemática del sistema de destinación ZS redundantemente ejecutado
con dos ordenadores de destinación ZR1, ZR2 acoplados mutuamente,
que con un dispositivo de conmutación SW sobre un interfaz INT está
conectado por un lado con el sistema de transmisión de datos DUS y
por otro lado con un sistema de señal en plena vía STS.
Como se representa en la figura 2 de una
especificación del proyecto para el sistema de destinación ZS, se
elaboran los datos de proyección ZDS determinados con el sistema de
producción de datos DES, en lo sucesivo denominado proyección con
aparatos de proyección o mas breve proyección. El contenido de los
datos de proyección ZDS se transmiten a un sistema de transmisión
de datos DUS, denominado en lo sucesivo programador con aparatos de
programación o más brevemente programador.
De la proyección DES se codifican en la conexión
el dato de proyección ZDS, para el primer ordenador de destinación
ZR1 con una tercera clave S3L, que para el segundo ordenador de
destinación ZR2 con una cuarta clave S4L y con ambos registros de
datos, forman el código de comprobación 3MD4, 4MD4. Como código de
prueba se ha demostrado la suma de comprobación-MD4
como ventajoso. La suma de comprobación-MD4
comprende una ristra (String) de 16 Byte. Como se representa en la
tabla 1, el primero de uno hasta ocho Byte forman una primera parte
y los sucesivos ocho Byte una segunda parte.
MD4 (S3L \textamp ZDS) 1. Teil | MD4 (S3L \textamp ZDS) 2. Teil |
\vskip1.000000\baselineskip
MD4 (S4L \textamp ZDS) 1. Teil | MD4 (S3L \textamp ZDS) 2. Teil |
La primera parte de la suma de comprobación MD4
calculada se transmite al programador conforme a la representación
de la tabla 2.
MD4 (S3L \textamp ZDS) 1. Teil | MD4 (S3L \textamp ZDS) 1. Teil |
Antes de que se comience con la transmisión de
datos en el sistema de destinación ZS, se borran del programador
con la maquina de programación DUS, el código de liberación RC1, RC2
y los contenidos de memoria de ambos ordenadores de destinación ZR1
y ZR2. En la conexión se transmiten los datos de proyección ZDS con
el aparato de programación DUS con la primera clave S1S codificada
en el primer ordenador de destinación ZR1 y con la segunda clave
S2S codificada en el segundo ordenador de destinación ZR2. El
ordenador de destinación correspondiente ZR1, ZR2 se selecciona
sobre una instrucción de mando.
Los datos codificados de proyección S1S (ZDS),
S2S (ZDS) transmitidos se descifran y almacenan mediante
respectivamente una clave de descodificación almacenada en el
primero y el segundo ordenador de destinación ZR1, ZR2.
Para la verificación los datos de proyección así
descifrados se codifican de nuevo con respectivamente la tercera o
bien cuarta clave S3L, S4L almacenada en el primer y en el segundo
ordenación de destinación ZR1, ZR2 y se releen en el sistema de
programación DUS.
De los datos codificados de proyección
transmitidos de vuelta S3L (ZDS), S4L (ZDS) se forman, con el
sistema de programación DUS, una primera y una segunda suma de
comprobación-MD4 1MD4, 2MD4. Como se representa en
la figura 3, se comparan en las siguientes etapas del procedimiento
la primera parte de la primera y de la segunda suma de
comprobación-MD4 A, C del programador DUS con la
primera parte de la tercera o bien de la cuarta suma de
comprobación-MD4 y se acusa recibo en caso de
coincidencia.
La segunda parte de la primera y de la segunda
suma de comprobación-MD4 se transmiten al proyector
DES y desde este con la segunda parte de la tercera y de la cuarta
suma de comprobación-MD4 se compara en conformidad
B, D y se acusa recibo.
Después de realizarse el examen con éxito, es
decir en caso de conformidad de la primera y segunda parte de la
primera y tercera suma de comprobación-MD4 y de la
segunda y cuarta suma de comprobación-MD4, se
desbloquean los datos de proyección ZDS en el sistema de
destinación ZS. Esto sucede por la transmisión de los códigos de
liberación en el ordenador de destinación ZR1, ZR2 por el sistema de
programación.
Las cuatro claves S1S, S2S, S3L, S4L, que se
usan en el procedimiento, son distintos unos de otros. El sistema
de programación no conoce tanto ni la tercera y la cuarta clave S3L,
S4L, como tampoco la segunda parte de la tercera y cuarta suma de
comprobación-MD4.
ZS | Sistema de destinación |
ZR1 | Primer ordenador de destinación |
ZR2 | Segundo ordenador de destinación |
STS | Sistema de señal en plena vía |
INT | Interfaz |
DUS | Sistema de transmisión de datos |
DES | Sistema de elaboración de datos |
ZDS | Juego de datos del sistema de destinación |
CRC16 | Suma de comprobación de datos |
MD4 | Suma de comprobación-MD4 |
1MD4 | Suma de comprobación-MD4 codificado con la clave 1 |
2MD4 | Suma de comprobación-MD4 codificado con la clave 2 |
3MD4 | Suma de comprobación-MD4 codificado con la clave 3 |
4MD4 | Suma de comprobación-MD4 codificado con la clave 4 |
S1S | Primera clave (grabación) |
S2S | Segunda clave (grabación) |
S3L | Tercera clave (lectura) |
S4L | Cuarta clave (lectura) |
Claims (8)
1. Procedimiento de programación de un sistema
de destinación (ZS) redundantemente ejecutado, el cual tiene al
menos un primer y un segundo ordenador de destinación (ZR1, ZR2) en
el que se memorizan el juego de datos idénticos del sistema de
destinación (ZDS), los ordenadores se conectan sobre un interfaz a
un sistema de transmisión de datos (DUS) pudiendo ser seleccionado
por una instrucción de mando, en el cual
- A)
- se genera a partir de una instrucción del proyecto para el sistema de destinación (ZS) un juego de datos del sistema de destinación (ZDS) por medio de un sistema de elaboración de datos (DES);
- B)
- el juego de datos del sistema de destinación (ZDS) se transmite por medio de un sistema de transmisión de datos (DUS) codificándolo con una primera clave (S1S) en el primer ordenador de destinación (ZR1) y codificándolo por medio de una segunda clave (S2S) en el segundo ordenador de destinación (ZR2);
- C)
- se descodifica y se memoriza el juego de datos del sistema de destinación transmitido de manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primer y en el segundo ordenador de destinación (ZR1, ZR2);
- D)
- se codifica otra vez el juego de datos del sistema de destinación (ZDS) mismo con respectivamente una tercera o bien cuarta clave (S3L, S4L) memorizadas en el primer y en el segundo ordenador de destinación (ZR1, ZR2) y se transmite de vuelta al sistema de transmisión de datos;
- E)
- se forma en el sistema de transmisión de datos (DUS) una primera y una segunda suma de comprobación (1MD4, 2MD4) a partir del juego de datos del sistema de destinación codificados y retransmitidos,
- F)
- se codifica por medio del sistema de elaboración de datos (DES) el juego de datos del sistema de destinación (ZDS) con la tercera y cuarta claves (S3L, S4L) y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación (3MD4, 4MD4), en el que la primera, segunda, tercera y cuarta suma de comprobación (1MD4, 2MD4, 3MD4, 4MD4) comprende respectivamente una primera y una segunda parte;
- G)
- se compara la primera parte de la tercera y cuarta suma de comprobación (3MD4, 4MD4) del sistema de transmisión de datos (DUS) con la primera parte de la primera o bien de la segunda suma de comprobación (1MD4, 2MD4) y se acusa recibo en caso de coincidencia; y
- H)
- se compara la segunda parte de la primera y de la segunda suma de comprobación (1MD4, 2MD4) en el sistema de transmisión de datos (DES) con la segunda parte de la tercera o bien de la cuarta suma de comprobación (3MD4, 4MD4) y se acusa recibo en caso de coincidencia.
2. Procedimiento según la reivindicación 1
caracterizado porque
el sistema de elaboración de datos (DES) y el
sistema de transmisión de datos (DUS) son dos sistemas
independientes el uno del otro.
3. Procedimiento según una de las
reivindicaciones 1 hasta 2
caracterizado porque
las cuatro claves (S1S, S2S, S3L, S4L) son
diferentes las unas de las otras.
4. Procedimiento según una de las
reivindicaciones 1 hasta 3
caracterizado porque
la tercera y cuarta clave (S3L, S4L) no son
conocidas del sistema de transmisión de datos (DUS).
5. Procedimiento según una de las
reivindicaciones 1 hasta 4
caracterizado porque
los datos concretos (ZDS) del sistema de
destinación (ZS) son protegidos con una suma de comprobación de los
datos CRC16.
6. Procedimiento según la reivindicación 1
caracterizado porque
por la introducción de un nuevo juego de datos
del sistema de destinación (ZDS) en el primer o bien en el segundo
ordenador de destinación (ZR1, ZR2) se cancela respectivamente un
código de liberación (RC1, RC2).
7. Procedimiento según la reivindicación 6
caracterizado porque
esta memorizado en un primer código de
liberación (RC1) de una manera fija en el primer ordenador de
destinación (ZR1) y un segundo código de liberación (RC2) de manera
fija en el segundo ordenación de destinación (ZR2).
8. Procedimiento según una de las
reivindicaciones 1 hasta 7
caracterizado porque
la segunda parte de la tercera y cuarta suma de
destinación (3MD4, 4MD4) es desconocida por sistema de transmisión
de datos (DUS).
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP00128773A EP1220094B1 (de) | 2000-12-30 | 2000-12-30 | Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2265861T3 true ES2265861T3 (es) | 2007-03-01 |
Family
ID=8170881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES00128773T Expired - Lifetime ES2265861T3 (es) | 2000-12-30 | 2000-12-30 | Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1220094B1 (es) |
AT (1) | ATE338977T1 (es) |
DE (1) | DE50013436D1 (es) |
DK (1) | DK1220094T3 (es) |
ES (1) | ES2265861T3 (es) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004059719A1 (de) * | 2004-12-08 | 2006-06-29 | Siemens Ag | Verfahren und Vorrichtung zur Zuordnung einer Steckplatznummer und/oder von Konfigurierungsdaten zu einer Baugruppe |
DE102004059717A1 (de) * | 2004-12-08 | 2006-06-22 | Siemens Ag | Verfahren und Vorrichtung zur Vorgabe einer Betriebsartennummer |
DE102016223481A1 (de) | 2016-11-25 | 2018-05-30 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4982430A (en) * | 1985-04-24 | 1991-01-01 | General Instrument Corporation | Bootstrap channel security arrangement for communication network |
DE4134207C1 (en) * | 1991-10-16 | 1993-04-01 | Ant Nachrichtentechnik Gmbh, 7150 Backnang, De | Loading double-computer standby system - preparing passive computer for loading and taking new software from data source for entering into memory of active computer |
DE69534757T2 (de) * | 1994-09-15 | 2006-08-31 | International Business Machines Corp. | System und Verfahren zur sicheren Speicherung und Verteilung von Daten unter Verwendung digitaler Unterschriften |
DE19851709A1 (de) * | 1998-10-30 | 2000-05-04 | Siemens Ag | Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik |
-
2000
- 2000-12-30 EP EP00128773A patent/EP1220094B1/de not_active Expired - Lifetime
- 2000-12-30 DK DK00128773T patent/DK1220094T3/da active
- 2000-12-30 ES ES00128773T patent/ES2265861T3/es not_active Expired - Lifetime
- 2000-12-30 AT AT00128773T patent/ATE338977T1/de active
- 2000-12-30 DE DE50013436T patent/DE50013436D1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
ATE338977T1 (de) | 2006-09-15 |
DK1220094T3 (da) | 2006-11-27 |
EP1220094A1 (de) | 2002-07-03 |
EP1220094B1 (de) | 2006-09-06 |
DE50013436D1 (de) | 2006-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2309687T3 (es) | Procedimiento y sistema de control redundante para ordenadores seguros. | |
EP0228071A2 (en) | High-reliability computer system | |
ES2708208T3 (es) | Procedimiento y disposición para monitorear una sección de vía delimitada por dos unidades de sensor contador de ejes | |
US6470244B2 (en) | Train detection system | |
JP2771537B2 (ja) | データ誤り訂正装置 | |
ES2265861T3 (es) | Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. | |
US20060087967A1 (en) | Method and apparatus for bus coupling of safety-relevant processes | |
WO2014041829A1 (ja) | 安全演算装置、安全入力装置、安全出力装置および安全コントローラ | |
CZ95794A3 (en) | Microprocessor-supported safety system, particularly for railway traffic | |
EP2860082B1 (en) | Signaling system | |
DK3074293T3 (en) | PROCEDURE FOR TROUBLESHOOTING IN A SIGNAL POST COMPUTER SYSTEM AND SIGNAL POST COMPUTER SYSTEM | |
JP5094591B2 (ja) | 照合システム | |
JP5975753B2 (ja) | 情報処理システム、出力制御装置、およびデータ生成装置 | |
ES2521616T3 (es) | Dispositivo para indicar la velocidad en vehículos | |
ES2241743T3 (es) | Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. | |
US6487695B1 (en) | Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit | |
US4611775A (en) | Railway track switch control apparatus | |
ES2135678T5 (es) | Circuito de autovigilancia, especialmente de equipo electrico y, en particular, de disyuntor de alta tension con sf6. | |
JP4140615B2 (ja) | データ通信方法及び安全システム | |
JPWO2014041829A1 (ja) | 安全演算装置、安全入力装置、安全出力装置および安全コントローラ | |
JPH10171608A (ja) | 磁気ディスクアレイ装置及び磁気ディスクアレイ装置に於けるデータチェック方法 | |
CN111124418A (zh) | 一种基于vcp冗余代码的通信数据超时判断方法 | |
ES2874522T3 (es) | Procedimiento y dispositivo para el ajuste de al menos un itinerario de una instalación ferroviaria | |
JP2000105675A (ja) | ディスクアレイ装置 | |
US20130151041A1 (en) | Method and system for operating a locomotive |