ES2265861T3 - Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. - Google Patents

Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. Download PDF

Info

Publication number
ES2265861T3
ES2265861T3 ES00128773T ES00128773T ES2265861T3 ES 2265861 T3 ES2265861 T3 ES 2265861T3 ES 00128773 T ES00128773 T ES 00128773T ES 00128773 T ES00128773 T ES 00128773T ES 2265861 T3 ES2265861 T3 ES 2265861T3
Authority
ES
Spain
Prior art keywords
destination
data
zds
computer
dus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES00128773T
Other languages
English (en)
Inventor
Leo Brunner
Jean-Pierre Halbritter
Andrea Giugni
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Schweiz AG
Original Assignee
Siemens Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Schweiz AG filed Critical Siemens Schweiz AG
Application granted granted Critical
Publication of ES2265861T3 publication Critical patent/ES2265861T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Procedimiento de programación de un sistema de destinación (ZS) redundantemente ejecutado, el cual tiene al menos un primer y un segundo ordenador de destinación (ZR1, ZR2) en el que se memorizan el juego de datos idénticos del sistema de destinación (ZDS), los ordenadores se conectan sobre un interfaz a un sistema de transmisión de datos (DUS) pudiendo ser seleccionado por una instrucción de mando, en el cual A) se genera a partir de una instrucción del proyecto para el sistema de destinación (ZS) un juego de datos del sistema de destinación (ZDS) por medio de un sistema de elaboración de datos (DES); B) el juego de datos del sistema de destinación (ZDS) se transmite por medio de un sistema de transmisión de datos (DUS) codificándolo con una primera clave (S1S) en el primer ordenador de destinación (ZR1) y codificándolo por medio de una segunda clave (S2S) en el segundo ordenador de destinación (ZR2); C) se descodifica y se memoriza el juego de datos del sistema de destinación transmitidode manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primer y en el segundo ordenador de destinación (ZR1, ZR2); D) se codifica otra vez el juego de datos del sistema de destinación (ZDS) mismo con respectivamente una tercera o bien cuarta clave (S3L, S4L) memorizadas en el primer y en el segundo ordenador de destinación (ZR1, ZR2) y se transmite de vuelta al sistema de transmisión de datos; E) se forma en el sistema de transmisión de datos (DUS) una primera y una segunda suma de comprobación (1MD4, 2MD4) a partir del juego de datos del sistema de destinación codificados y retransmitidos, F) se codifica por medio del sistema de elaboración de datos (DES) el juego de datos del sistema de destinación (ZDS) con la tercera y cuarta claves (S3L, S4L) y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación (3MD4, 4MD4), en el que la primera, segunda, tercera y cuarta suma de comprobación (1MD4,2MD4, 3MD4, 4MD4) comprende respectivamente una primera y una segunda parte; G) se compara la primera parte de la tercera y cuarta suma de comprobación (3MD4, 4MD4) del sistema de transmisión de datos (DUS) con la primera parte de la primera o bien de la segunda suma de comprobación (1MD4, 2MD4) y se acusa recibo en caso de coincidencia; y H) se compara la segunda parte de la primera y de la segunda suma de comprobación (1MD4, 2MD4) en el sistema de transmisión de datos (DES) con la segunda parte de la tercera o bien de la cuarta suma de comprobación (3MD4, 4MD4) y se acusa recibo en caso de coincidencia.

Description

Procedimiento de programación de un sistema de destinación redundante con exigencias de seguridad.
La presente invención se refiere a un procedimiento de programación segura de un sistema de destinación redundantemente ejecutado, el cual tiene al menos un primer y un segundo ordenador de destinación, que se conecta sobre un interfaz con un sistema de transmisión de datos y son seleccionados por una instrucción de mando.
Un procedimiento de este tipo se emplea en muchas áreas de la técnica, en las cuales la función del sistema de destinación es suficiente con que cumpla los requisitos especialmente relevantes para la seguridad. Como aplicaciones para los sistemas de destinación de este tipo se toman por ejemplo, las instalaciones de mando en la industria de producción, disposiciones tecnológicas en la industria química y farmacéutica y disposiciones de procesamiento de datos en el marco de los cometidos de competencia estatal pública (por ejemplo finanzas, persecución penal, defensa). La presente solicitud contempla como otra forma de aplicación en especial las instalaciones de mando y de técnica de mando de operaciones industriales en el tráfico de personas y en el transporte de mercancías, en especial el tráfico en carreteras, tráfico ferroviario y tráfico aéreo.
En cuanto al tráfico ferroviario, tales sistemas de destinación pueden ser todos sistemas de ordenador, que tienen la influencia en la señalización del trayecto, la influencia de los trenes sobre el trayecto, la búsqueda de la ruta y la preparación de la ruta. Como sistema de destinación mencionado es el denominado LEU (Lineside Electronic Unit), que recibe la información del trayecto y/o la información de la señal para un punto del trayecto determinado con completa exactitud y lo distribuye.
En lo que se refiere al LEU es naturalmente obvio, que en la programación, en la concepción total y en la función de seguridad para el otorgamiento de la seguridad en el tráfico ferroviario, se tienen que poner exigencias especialmente muy severas relevantes para la seguridad, que en particular contienen siempre también la ejecución redundante de tales sistemas de destinación.
Una de estas severas exigencias relevantes para la seguridad se soporta en la programación y/o en la modificación de los programas existentes de tal sistema de destinación. La programación y/o la modificación se determina en general en primer lugar en el marco de una fase del proyecto en las dimensiones deseadas del programa y/o en las modificaciones deseadas del programa. De esta fase del proyecto se desarrolla un registro de datos para el sistema de destinación, que por una parte se debe transmitir en una fase de la transmisión de datos en el sistema de destinación. Por otra parte también tiene que estar previsto con alta fiabilidad un retroacoplamiento de la fase de la transmisión de datos en la fase del proyecto, el cual hace examinable la correcta e integra implementación del programa deseado y/o de la modificación del programa deseado.
En la práctica el desarrollo de tal procedimiento descrito anteriormente prevé, que el responsable para la proyección de la seguridad en el punto del trayecto, elabora el juego de datos del sistema de destinación y éste juego de datos del sistema de destinación de un programador, en particular el personal de asistencia en el trayecto, se transmite al sistema de destinación y el programador confirma al responsable de la proyección la transmisión debida y completa del juego de datos del sistema de destinación al sistema de destinación.
Este procedimiento puede en particular tener el fallo de que, el programador esta seguro, que el registro de datos del sistema de destinación se transmite de manera debida y completa al sistema de destinación y de esto también se acusa recibo al responsable de la proyección, sin embargo tampoco se sabe realmente con el límite de100% de probabilidades de seguridad con que datos trabajará realmente el sistema de destinación en el futuro. Él no está por ejemplo en la situación de comprobar si el juego de datos del sistema de destinación realmente también, como parte de su implementación, se ha almacenado de forma completa y correcta o si a consecuencia de una dificultad de transmisión se pudiera producir una modificación del juego de datos del sistema de destinación.
En el documento US 4 982 430 se pone de manifiesto, un procedimiento para la programación de un sistema de destinación con condiciones de seguridad, con lo que los datos de destinación de un ordenador central (network control center) se descargan a un usuario (subscriber terminal), y ahí mediante la suma de comprobación se controla en integridad. Se propone también una transmisión de vuelta de los datos del usuario al ordenador central, con lo que asimismo se puede garantizar una inspección de los datos de destinación transmitidos al usuario sobre el ordenador central.
La presente invención tiene por objeto proponer un procedimiento, como se define en la reivindicación 1, que permita la debida y completa implementación de un juego de datos de un sistema de destinación en un sistema de destinación de manera sencilla, controlado de manera fiable hasta el paso de la fase del proyecto.
Este objetivo se soluciona por medio de un procedimiento del tipo mencionado al inicio de conformidad a la invención, que
A)
se genera a partir de una instrucción del proyecto para el sistema de destinación, un juego de datos del sistema de destinación por medio de un sistema de elaboración de datos;
B)
el juego de datos del sistema de destinación se transmite por medio de un sistema de transmisión de datos codificándolo con una primera clave en el primer ordenador de destinación y codificándolo por medio de una segunda clave en el segundo ordenador de destinación.
C)
Se descodifica y se memoriza el juego de datos codificado del sistema de destinación transmitido de manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primero y en el segundo ordenador de destinación;
D)
se codifica otra vez el juego de datos del sistema de destinación mismo con respectivamente una tercera o bien cuarta clave memorizada en el primer y en el segundo ordenador de destinación y se transmite de vuelta al sistema de transmisión de datos;
E)
se forma en el sistema de transmisión de datos una primera y una segunda suma de comprobación a partir del juego de datos del sistema de destinación codificados y retransmitido;
F)
se codifica por medio del sistema de elaboración de datos, el juego de datos del sistema de destinación con la tercera y cuarta claves y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación, en la que la primera, segunda, tercera y cuarta suma de comprobación comprende respectivamente una primera y una segunda parte;
G)
se compara la primera parte de la tercera y cuarta suma de comprobación del sistema de transmisión de datos con la primera parte de la primera o bien de la segunda suma de comprobación y se acusa recibo en caso de coincidencia; y
H)
se compara la segunda parte de la primera y de la segunda suma de comprobación en el sistema de transmisión de datos con la segunda parte de la tercera o bien de la cuarta suma de comprobación y se acusa recibo en caso de coincidencia.
Con estas etapas del procedimiento se puede comprobar que el o los juegos de datos del sistema de destinación se han transmitido sin fallos y se han almacenado en el ordenador de destinación correcto. De esta manera se alcanza la alta seguridad del correcto almacenamiento del juego de datos del sistema de destinación, que el juego de datos del sistema de destinación almacenado se vuelve a leer con seguridad y se compara con el juego de datos del sistema de destinación inicial. Al mismo tiempo de la comparación como código de prueba se forma una poderosa suma de comprobación, para reducir el volumen de datos comparativo y con eso posibilitar una comprobación por personas. La comprobación se efectúa por los dos sistemas independientes, por un lado el sistema de producción de datos/programador y por otro lado el sistema de transferencia de datos/proyector y para la cantidad de ordenadores de destinación disponibles. Como la transmisión del juego de datos del sistema de destinación y la relectura circulan sobre el mismo interfaz, se codifica el juego de datos del sistema de destinación en cada caso antes de la transmisión con las claves diferentes (primera y tercera clave o bien segunda y cuarta clave). Esto garantiza la manifestación de error en caso de problemas con el interfaz.
Para evitar una confusión del ordenador de destinación, se utilizan para el primer y para el segundo ordenador de destinación claves diferentes (primera y segunda clave o bien tercera y cuarta clave).
Otras realizaciones ventajosas de la invención están incluidas en otras reivindicaciones.
Con este procedimiento resultan además las siguientes ventajas:
i)
Para la transmisión de los datos del sistema de destinación en más ordenadores de destinación independientes es necesario solamente un interfaz. De esta manera se realiza el sistema de transmisión de manera económica y de pequeñas dimensiones.
ii)
La aplicación del procedimiento se elabora de fácil manejo en comparación con un procedimiento basado en más interfaces independientes, entonces las conexiones necesarias del registro de datos del sistema de destinación se suprimen con el correspondiente interfaz.
iii)
En el sistema de transmisión de datos no se pone ninguna exigencia relevante para la seguridad, por lo tanto el sistema se puede llevar a cabo de una forma económica.
iv)
Por la evolución de los datos releídos se puede provocar una prueba de seguridad y documentarla.
Por la protección del registro de datos del sistema de destinación con una suma de comprobación de los datos CRC16 la manipulación de los datos se puede minimizar.
Antes de una transmisión de un nuevo juego de datos del sistema de destinación en el primer o bien en el segundo ordenador de destinación se suprime un contenido de memoria y un primer código de desbloqueo en el primer ordenador de destinación y un segundo código de desbloqueo en un segundo ordenador de destinación.
Después de una transmisión con éxito del juego de datos del sistema de destinación, se registra de nuevo el primer código de desbloqueo en el primer ordenador de destinación y el segundo código de desbloqueo de nuevo en el segundo ordenador de destinación. Con lo que se asegura, que en lo sucesivo en una terminación anormal de la transmisión del registro de datos del sistema de destinación no quede ningún dato inconsistente en el sistema de destinación.
A continuación se explica más detalladamente la invención a título de ejemplo por medio de los dibujos adjuntos. En los que se muestra:
Figura 1 un diagrama de conjunto para la generación del procedimiento, la transmisión y el almacenamiento del registro de datos del sistema de destinación al sistema de destinación.
Figura 2 un diagrama de conjunto para el principio de codificación
Figura 3 un diagrama de conjunto para la comparación de la suma de comprobación
El procedimiento describirá en lo sucesivo en el ejemplo de la programación de una unidad electrónica colocada en el lado de la vía, por ejemplo bajo los nombres "LEU S21 M", como se encuentra en la técnica de señalización ferroviaria. Bajo el preámbulo del juego de datos del sistema de destinación ZDS se entienden aquí datos de proyección para el LEU S21 M. En cuanto al LEU S21 M se trata de un sistema de destinación ZS que contiene entre otras cosas dos ordenadores de destinación ZR1, ZR2 sobre cuyos datos de proyección ZDS idénticos se almacenan. El sistema de destinación ZS se ejecuta con unas altas exigencias de seguridad (SIL4). En la norma europea EN 50126 así como en la norma provisional prEN 50129 están definidos grados de seguridad (Safety Integrity Level SIL). Estos sistemas de destinación ZS disponen sólo de un interfaz INT para la transmisión de los datos de proyección ZDS. Tanto un sistema de producción de datos DES como un sistema de transmisión de datos DUS no cumplen ninguna exigencia de seguridad (SIL0). Los niveles de seguridad solicitados del sistema de destinación ZS es según esto mayor que el sistema de transmisión de datos DUS y que el sistema de producción de datos DES.
La figura 1 muestra una representación esquemática del sistema de destinación ZS redundantemente ejecutado con dos ordenadores de destinación ZR1, ZR2 acoplados mutuamente, que con un dispositivo de conmutación SW sobre un interfaz INT está conectado por un lado con el sistema de transmisión de datos DUS y por otro lado con un sistema de señal en plena vía STS.
Como se representa en la figura 2 de una especificación del proyecto para el sistema de destinación ZS, se elaboran los datos de proyección ZDS determinados con el sistema de producción de datos DES, en lo sucesivo denominado proyección con aparatos de proyección o mas breve proyección. El contenido de los datos de proyección ZDS se transmiten a un sistema de transmisión de datos DUS, denominado en lo sucesivo programador con aparatos de programación o más brevemente programador.
De la proyección DES se codifican en la conexión el dato de proyección ZDS, para el primer ordenador de destinación ZR1 con una tercera clave S3L, que para el segundo ordenador de destinación ZR2 con una cuarta clave S4L y con ambos registros de datos, forman el código de comprobación 3MD4, 4MD4. Como código de prueba se ha demostrado la suma de comprobación-MD4 como ventajoso. La suma de comprobación-MD4 comprende una ristra (String) de 16 Byte. Como se representa en la tabla 1, el primero de uno hasta ocho Byte forman una primera parte y los sucesivos ocho Byte una segunda parte.
TABLA 1
MD4 (S3L \textamp ZDS) 1. Teil MD4 (S3L \textamp ZDS) 2. Teil 
\vskip1.000000\baselineskip
MD4 (S4L \textamp ZDS) 1. Teil MD4 (S3L \textamp ZDS) 2. Teil
La primera parte de la suma de comprobación MD4 calculada se transmite al programador conforme a la representación de la tabla 2.
TABLA 2
MD4 (S3L \textamp ZDS) 1. Teil MD4 (S3L \textamp ZDS) 1. Teil
Antes de que se comience con la transmisión de datos en el sistema de destinación ZS, se borran del programador con la maquina de programación DUS, el código de liberación RC1, RC2 y los contenidos de memoria de ambos ordenadores de destinación ZR1 y ZR2. En la conexión se transmiten los datos de proyección ZDS con el aparato de programación DUS con la primera clave S1S codificada en el primer ordenador de destinación ZR1 y con la segunda clave S2S codificada en el segundo ordenador de destinación ZR2. El ordenador de destinación correspondiente ZR1, ZR2 se selecciona sobre una instrucción de mando.
Los datos codificados de proyección S1S (ZDS), S2S (ZDS) transmitidos se descifran y almacenan mediante respectivamente una clave de descodificación almacenada en el primero y el segundo ordenador de destinación ZR1, ZR2.
Para la verificación los datos de proyección así descifrados se codifican de nuevo con respectivamente la tercera o bien cuarta clave S3L, S4L almacenada en el primer y en el segundo ordenación de destinación ZR1, ZR2 y se releen en el sistema de programación DUS.
De los datos codificados de proyección transmitidos de vuelta S3L (ZDS), S4L (ZDS) se forman, con el sistema de programación DUS, una primera y una segunda suma de comprobación-MD4 1MD4, 2MD4. Como se representa en la figura 3, se comparan en las siguientes etapas del procedimiento la primera parte de la primera y de la segunda suma de comprobación-MD4 A, C del programador DUS con la primera parte de la tercera o bien de la cuarta suma de comprobación-MD4 y se acusa recibo en caso de coincidencia.
La segunda parte de la primera y de la segunda suma de comprobación-MD4 se transmiten al proyector DES y desde este con la segunda parte de la tercera y de la cuarta suma de comprobación-MD4 se compara en conformidad B, D y se acusa recibo.
Después de realizarse el examen con éxito, es decir en caso de conformidad de la primera y segunda parte de la primera y tercera suma de comprobación-MD4 y de la segunda y cuarta suma de comprobación-MD4, se desbloquean los datos de proyección ZDS en el sistema de destinación ZS. Esto sucede por la transmisión de los códigos de liberación en el ordenador de destinación ZR1, ZR2 por el sistema de programación.
Las cuatro claves S1S, S2S, S3L, S4L, que se usan en el procedimiento, son distintos unos de otros. El sistema de programación no conoce tanto ni la tercera y la cuarta clave S3L, S4L, como tampoco la segunda parte de la tercera y cuarta suma de comprobación-MD4.
Lista de los símbolos de referencia
ZS Sistema de destinación
ZR1 Primer ordenador de destinación
ZR2 Segundo ordenador de destinación
STS Sistema de señal en plena vía
INT Interfaz
DUS Sistema de transmisión de datos
DES Sistema de elaboración de datos
ZDS Juego de datos del sistema de destinación
CRC16 Suma de comprobación de datos
MD4 Suma de comprobación-MD4
1MD4 Suma de comprobación-MD4 codificado con la clave 1
2MD4 Suma de comprobación-MD4 codificado con la clave 2
3MD4 Suma de comprobación-MD4 codificado con la clave 3
4MD4 Suma de comprobación-MD4 codificado con la clave 4
S1S Primera clave (grabación)
S2S Segunda clave (grabación)
S3L Tercera clave (lectura)
S4L Cuarta clave (lectura)

Claims (8)

1. Procedimiento de programación de un sistema de destinación (ZS) redundantemente ejecutado, el cual tiene al menos un primer y un segundo ordenador de destinación (ZR1, ZR2) en el que se memorizan el juego de datos idénticos del sistema de destinación (ZDS), los ordenadores se conectan sobre un interfaz a un sistema de transmisión de datos (DUS) pudiendo ser seleccionado por una instrucción de mando, en el cual
A)
se genera a partir de una instrucción del proyecto para el sistema de destinación (ZS) un juego de datos del sistema de destinación (ZDS) por medio de un sistema de elaboración de datos (DES);
B)
el juego de datos del sistema de destinación (ZDS) se transmite por medio de un sistema de transmisión de datos (DUS) codificándolo con una primera clave (S1S) en el primer ordenador de destinación (ZR1) y codificándolo por medio de una segunda clave (S2S) en el segundo ordenador de destinación (ZR2);
C)
se descodifica y se memoriza el juego de datos del sistema de destinación transmitido de manera cifrada por medio respectivamente de una clave de descodificación memorizada en el primer y en el segundo ordenador de destinación (ZR1, ZR2);
D)
se codifica otra vez el juego de datos del sistema de destinación (ZDS) mismo con respectivamente una tercera o bien cuarta clave (S3L, S4L) memorizadas en el primer y en el segundo ordenador de destinación (ZR1, ZR2) y se transmite de vuelta al sistema de transmisión de datos;
E)
se forma en el sistema de transmisión de datos (DUS) una primera y una segunda suma de comprobación (1MD4, 2MD4) a partir del juego de datos del sistema de destinación codificados y retransmitidos,
F)
se codifica por medio del sistema de elaboración de datos (DES) el juego de datos del sistema de destinación (ZDS) con la tercera y cuarta claves (S3L, S4L) y se forma del juego de datos del sistema de destinación codificado una tercera o bien una cuarta suma de comprobación (3MD4, 4MD4), en el que la primera, segunda, tercera y cuarta suma de comprobación (1MD4, 2MD4, 3MD4, 4MD4) comprende respectivamente una primera y una segunda parte;
G)
se compara la primera parte de la tercera y cuarta suma de comprobación (3MD4, 4MD4) del sistema de transmisión de datos (DUS) con la primera parte de la primera o bien de la segunda suma de comprobación (1MD4, 2MD4) y se acusa recibo en caso de coincidencia; y
H)
se compara la segunda parte de la primera y de la segunda suma de comprobación (1MD4, 2MD4) en el sistema de transmisión de datos (DES) con la segunda parte de la tercera o bien de la cuarta suma de comprobación (3MD4, 4MD4) y se acusa recibo en caso de coincidencia.
2. Procedimiento según la reivindicación 1
caracterizado porque
el sistema de elaboración de datos (DES) y el sistema de transmisión de datos (DUS) son dos sistemas independientes el uno del otro.
3. Procedimiento según una de las reivindicaciones 1 hasta 2
caracterizado porque
las cuatro claves (S1S, S2S, S3L, S4L) son diferentes las unas de las otras.
4. Procedimiento según una de las reivindicaciones 1 hasta 3
caracterizado porque
la tercera y cuarta clave (S3L, S4L) no son conocidas del sistema de transmisión de datos (DUS).
5. Procedimiento según una de las reivindicaciones 1 hasta 4
caracterizado porque
los datos concretos (ZDS) del sistema de destinación (ZS) son protegidos con una suma de comprobación de los datos CRC16.
6. Procedimiento según la reivindicación 1
caracterizado porque
por la introducción de un nuevo juego de datos del sistema de destinación (ZDS) en el primer o bien en el segundo ordenador de destinación (ZR1, ZR2) se cancela respectivamente un código de liberación (RC1, RC2).
7. Procedimiento según la reivindicación 6
caracterizado porque
esta memorizado en un primer código de liberación (RC1) de una manera fija en el primer ordenador de destinación (ZR1) y un segundo código de liberación (RC2) de manera fija en el segundo ordenación de destinación (ZR2).
8. Procedimiento según una de las reivindicaciones 1 hasta 7
caracterizado porque
la segunda parte de la tercera y cuarta suma de destinación (3MD4, 4MD4) es desconocida por sistema de transmisión de datos (DUS).
ES00128773T 2000-12-30 2000-12-30 Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad. Expired - Lifetime ES2265861T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP00128773A EP1220094B1 (de) 2000-12-30 2000-12-30 Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung

Publications (1)

Publication Number Publication Date
ES2265861T3 true ES2265861T3 (es) 2007-03-01

Family

ID=8170881

Family Applications (1)

Application Number Title Priority Date Filing Date
ES00128773T Expired - Lifetime ES2265861T3 (es) 2000-12-30 2000-12-30 Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad.

Country Status (5)

Country Link
EP (1) EP1220094B1 (es)
AT (1) ATE338977T1 (es)
DE (1) DE50013436D1 (es)
DK (1) DK1220094T3 (es)
ES (1) ES2265861T3 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004059719A1 (de) * 2004-12-08 2006-06-29 Siemens Ag Verfahren und Vorrichtung zur Zuordnung einer Steckplatznummer und/oder von Konfigurierungsdaten zu einer Baugruppe
DE102004059717A1 (de) * 2004-12-08 2006-06-22 Siemens Ag Verfahren und Vorrichtung zur Vorgabe einer Betriebsartennummer
DE102016223481A1 (de) 2016-11-25 2018-05-30 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4982430A (en) * 1985-04-24 1991-01-01 General Instrument Corporation Bootstrap channel security arrangement for communication network
DE4134207C1 (en) * 1991-10-16 1993-04-01 Ant Nachrichtentechnik Gmbh, 7150 Backnang, De Loading double-computer standby system - preparing passive computer for loading and taking new software from data source for entering into memory of active computer
DE69534757T2 (de) * 1994-09-15 2006-08-31 International Business Machines Corp. System und Verfahren zur sicheren Speicherung und Verteilung von Daten unter Verwendung digitaler Unterschriften
DE19851709A1 (de) * 1998-10-30 2000-05-04 Siemens Ag Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik

Also Published As

Publication number Publication date
ATE338977T1 (de) 2006-09-15
DK1220094T3 (da) 2006-11-27
EP1220094A1 (de) 2002-07-03
EP1220094B1 (de) 2006-09-06
DE50013436D1 (de) 2006-10-19

Similar Documents

Publication Publication Date Title
ES2309687T3 (es) Procedimiento y sistema de control redundante para ordenadores seguros.
EP0228071A2 (en) High-reliability computer system
ES2708208T3 (es) Procedimiento y disposición para monitorear una sección de vía delimitada por dos unidades de sensor contador de ejes
US6470244B2 (en) Train detection system
JP2771537B2 (ja) データ誤り訂正装置
ES2265861T3 (es) Procedimiento de programacion de un sistema de destinacion redundante con exigencias de seguridad.
US20060087967A1 (en) Method and apparatus for bus coupling of safety-relevant processes
WO2014041829A1 (ja) 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
CZ95794A3 (en) Microprocessor-supported safety system, particularly for railway traffic
EP2860082B1 (en) Signaling system
DK3074293T3 (en) PROCEDURE FOR TROUBLESHOOTING IN A SIGNAL POST COMPUTER SYSTEM AND SIGNAL POST COMPUTER SYSTEM
JP5094591B2 (ja) 照合システム
JP5975753B2 (ja) 情報処理システム、出力制御装置、およびデータ生成装置
ES2521616T3 (es) Dispositivo para indicar la velocidad en vehículos
ES2241743T3 (es) Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.
US6487695B1 (en) Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit
US4611775A (en) Railway track switch control apparatus
ES2135678T5 (es) Circuito de autovigilancia, especialmente de equipo electrico y, en particular, de disyuntor de alta tension con sf6.
JP4140615B2 (ja) データ通信方法及び安全システム
JPWO2014041829A1 (ja) 安全演算装置、安全入力装置、安全出力装置および安全コントローラ
JPH10171608A (ja) 磁気ディスクアレイ装置及び磁気ディスクアレイ装置に於けるデータチェック方法
CN111124418A (zh) 一种基于vcp冗余代码的通信数据超时判断方法
ES2874522T3 (es) Procedimiento y dispositivo para el ajuste de al menos un itinerario de una instalación ferroviaria
JP2000105675A (ja) ディスクアレイ装置
US20130151041A1 (en) Method and system for operating a locomotive