ES2585111T3 - Calculador, conjunto de comunicación que consta de tal calculador, sistema de gestión ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador - Google Patents

Calculador, conjunto de comunicación que consta de tal calculador, sistema de gestión ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador Download PDF

Info

Publication number
ES2585111T3
ES2585111T3 ES13172857.8T ES13172857T ES2585111T3 ES 2585111 T3 ES2585111 T3 ES 2585111T3 ES 13172857 T ES13172857 T ES 13172857T ES 2585111 T3 ES2585111 T3 ES 2585111T3
Authority
ES
Spain
Prior art keywords
calculation
data
security code
calculator
dia
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES13172857.8T
Other languages
English (en)
Inventor
Xavier Gallois
Guillaume Vibert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alstom Transport Technologies SAS
Original Assignee
Alstom Transport Technologies SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=47294924&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2585111(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Alstom Transport Technologies SAS filed Critical Alstom Transport Technologies SAS
Application granted granted Critical
Publication of ES2585111T3 publication Critical patent/ES2585111T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Hardware Redundancy (AREA)
  • Storage Device Security (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Procedimiento de fiabilidad de datos en un calculador (6), siendo el calculador (6) apto para proporcionar un dato de salida (Ds) a partir de un dato de entrada (De), y que consta al menos de dos módulos (12A, 12B) de tratamiento de datos y un órgano de cálculo (14) vinculado a cada módulo de tratamiento (12A, 12B), comprendiendo el procedimiento una etapa (64) de cálculo, por cada módulo de tratamiento (12A, 12B), de un dato intermedio (DIA, DIB) a partir del dato de entrada (De), consistiendo dicho cálculo en la aplicación de una función de cálculo (σ) al dato de entrada (De), siendo la función de cálculo (σ) idéntica para todos los módulos de tratamiento (12A, 12B), estando el procedimiento caracterizado porque comprende las etapas siguientes: - el cálculo (74), por cada módulo de tratamiento (12A, 12B), de un código de seguridad intermedio (CSIA, CSIB) a partir del dato intermedio (DIA, DIB) correspondiente, - la transmisión (76) al órgano de cálculo (14), por cada módulo de tratamiento (12A, 12B), del código de seguridad intermedio (CSIA, CSIB) y del dato intermedio (DIA, DIB), - el cálculo (78), por el órgano de cálculo (14), de un código de seguridad (CS) a partir de los códigos de seguridad intermedios (CSIA, CSIB), - la selección (80), por el órgano de cálculo (14), de un dato intermedio entre los datos intermedios (DIA, DIB) recibidos, comprendiendo el dato de salida (Ds) del calculador (6) el dato intermedio seleccionado y - la transmisión (82) con destino a un dispositivo de recepción (8), por el órgano de cálculo (14), del código de seguridad (CS) y del dato de salida (Ds).

Description

DESCRIPCION
Calculador, conjunto de comunicacion que consta de tal calculador, sistema de gestion ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador 5
[0001] La presente invention se refiere a un procedimiento de fiabilidad de datos en un calculador, siendo el calculador apto para proporcionar un dato de salida a partir de un dato de entrada, y que consta al menos de dos modulos de tratamiento de datos y un organo de calculo vinculado a cada modulo de tratamiento, comprendiendo el procedimiento una etapa de calculo, por cada modulo de tratamiento, de un dato intermedio a partir del dato de
10 entrada, consistiendo dicho calculo en la aplicacion de una funcion de calculo al dato de entrada, siendo la funcion de calculo identica para todos los modulos de tratamiento.
[0002] La presente invencion se refiere igualmente a un calculador, apto para proporcionar un dato de salida a partir de un dato de entrada, que consta de:
15
- al menos dos modulos de tratamiento de datos, constando cada modulo de tratamiento de unos primeros medios de calculo de un dato intermedio a partir del dato de entrada, siendo dichos primeros medios de calculo aptos para aplicar una funcion de calculo al dato de entrada, siendo la funcion de calculo identica para todos los modulos de tratamiento,
20
- un organo de calculo vinculado a cada modulo de tratamiento.
[0003] La presente invencion se refiere igualmente a un conjunto de comunicacion que comprende tal calculador.
25
[0004] La presente invencion se refiere igualmente a un sistema de gestion ferroviaria que comprende tal conjunto de comunicacion.
[0005] Se conoce un calculador del tipo precitado. Tal calculador es apto para tratar unos datos y/o unas 30 informaciones que circulan en una red de comunicacion y se utiliza generalmente en un sistema de comunicacion
segura, por ejemplo un sistema de gestion ferroviaria. A fin de garantizar las funciones crlticas de seguridad requeridas por el sistema de gestion ferroviaria, la probabilidad de aparicion de un dato erroneo y no detectable en salida de tal calculador se debe reducir al maximo. La norma de seguridad ferroviaria europea EN 50 128 establece, por ejemplo, que los equipos relativos a la seguridad de los trenes esten concebidos de manera que su probabilidad 35 de fallo a petition este comprendida entre 10-9 y 10-7. Una tecnica conocida para garantizar la seguridad se llama «seguridad compuesta» y consiste en hacer realizar los mismos tratamientos por varios modulos de tratamiento de datos de un mismo calculador, proceder despues a un «voto mayoritario». A tal efecto, cada modulo calcula un dato de salida a partir de un mismo dato de entrada. Por otro lado, tal calculador consta generalmente de unos medios de arbitraje aptos para garantizar la funcion de «voto mayoritario» entre los datos de salida calculados.
40
[0006] Los medios de arbitraje de tal calculador constan no obstante como mlnimo de una capa material, a veces completada por una capa de software. Ahora bien, el fallo de tal capa material puede conllevar un fallo de seguridad que puede conducir a unos incidentes crlticos para el sistema de comunicacion segura.
45 [0007] Un objeto de la invencion es por tanto proponer un procedimiento de fiabilidad de datos en un calculador que permite liberarse de la utilization de medios materiales dedicados para garantizar la funcion de voto mayoritario del calculador.
[0008] A tal efecto, la invencion tiene como objeto un procedimiento de fiabilidad de datos en un calculador del 50 tipo precitado, caracterizado porque comprende las etapas siguientes:
- el calculo, por cada modulo de tratamiento, de un codigo de seguridad intermedio a partir del dato intermedio correspondiente,
55 - la transmision al organo de calculo, por cada modulo de tratamiento, del codigo de seguridad intermedio y del dato intermedio,
- el calculo, por el organo de calculo, de un codigo de seguridad a partir de los codigos de seguridad intermedios,
- la selection, por el organo de calculo, de un dato intermedio entre los datos intermedios recibidos, comprendiendo el dato de salida del calculador el dato intermedio seleccionado y
- la transmision con destino a un dispositivo de reception, por el organo de calculo, del codigo de seguridad y del 5 dato de salida.
[0009] Segun otros aspectos ventajosos de la invention, el procedimiento comprende una o varias de las caracterlsticas siguientes, tomadas aisladamente o segun todas las combinaciones tecnicamente posibles:
10 - cada modulo de tratamiento consta de unos primeros medios de memorization de al menos una variable de cifrado y de una funcion de cifrado, siendo la funcion de cifrado identica para todos los modulos de tratamiento y durante la etapa de calculo de un codigo de seguridad intermedio a partir del dato intermedio correspondiente, dicho calculo consiste en aplicar, por cada modulo de tratamiento, la funcion de cifrado al menos al dato intermedio y a la variable de cifrado;
15
- el organo de calculo consta de unos segundos medios de memorizacion de al menos una constante de descifrado y una funcion de consolidation y durante la etapa de calculo de un codigo de seguridad a partir de los codigos de seguridad intermedios, dicho calculo consiste en aplicar, por el organo de calculo, la funcion de consolidacion a cada codigo de seguridad intermedio recibido y a la constante de descrifrado;
20
- el procedimiento consta ademas, entre la etapa de calculo de un dato intermedio y la etapa de calculo de un codigo de seguridad intermedio, de una etapa de transmision, por cada modulo de tratamiento, del valor de su dato intermedio a los otros modulos de tratamiento y una etapa de prueba, por cada modulo de tratamiento, de la existencia de un valor mayoritario entre el conjunto de los valores de los datos intermedios, siendo el valor
25 mayoritario el valor mas frecuente entre los valores de datos intermedios, si este valor existe;
- si la prueba de existencia de un valor mayoritario es negativa durante la etapa de prueba correspondiente, el procedimiento consta de una etapa de supresion por uno de los modulos de tratamiento de su variable de cifrado;
30 - el procedimiento consta ademas, antes de la etapa de calculo de un codigo de seguridad intermedio, de una etapa de reinitialization, por cada modulo de tratamiento, de su variable de cifrado, siendo efectuada dicha etapa de reinitialization de manera sincronizada entre todos los modulos de tratamiento;
- el dato de salida es el dato intermedio seleccionado por el organo de calculo durante la etapa de seleccion;
35
- el procedimiento consta ademas de una etapa de recepcion, por el dispositivo de recepcion, del codigo de seguridad y del dato de salida y una etapa de verification, por el dispositivo de recepcion, de la coherencia entre el codigo de seguridad y el dato de salida.
40 [0010] La invencion tiene igualmente como objeto un calculador del tipo precitado, caracterizado porque los primeros medios de calculo son aptos ademas para calcular un codigo de seguridad intermedio a partir del dato intermedio correspondiente, siendo cada modulo de tratamiento apto para transmitir al organo de calculo el codigo de seguridad intermedio y el dato intermedio correspondiente y porque el organo de calculo consta de unos segundos medios de calculo de un codigo de seguridad a partir de los codigos de seguridad intermedios, siendo el 45 organo de calculo apto para seleccionar un dato intermedio entre los datos intermedios recibidos y para transmitir el codigo de seguridad y el dato de salida a un dispositivo de recepcion, comprendiendo el dato de salida el dato intermedio seleccionado.
[0011] La invencion tiene igualmente como objeto un conjunto de comunicacion que comprende un calculador y un 50 dispositivo de recepcion de datos, siendo el calculador apto para proporcionar un codigo de seguridad y un dato,
constando el dispositivo de recepcion de unos medios de memorizacion de un algoritmo de control, siendo el dispositivo de recepcion apto para recibir el codigo de seguridad y el dato de salida y para verificar, por la aplicacion del algoritmo de control, la coherencia entre el codigo de seguridad y el dato de salida, caracterizado porque el calculador es tal como se ha definido anteriormente.
55
[0012] La invencion tiene igualmente como objeto un sistema de gestion ferroviaria caracterizado porque comprende al menos un conjunto de comunicacion tal como se ha definido anteriormente.
[0013] Estas caracterlsticas y ventajas de la invencion se mostraran con la lectura de la description que aparece a
continuacion, dada unicamente a tltuio de ejemplo no limitativo, y realizada en referenda a los dibujos anexos, en los cuales:
- la figura 1 es una representacion esquematica de un sistema de gestion ferroviaria que comprende un calculador 5 segun la invencion, constando el calculador de dos modulos de tratamiento de datos;
- la figura 2 es una representacion esquematica de uno de los modulos de tratamiento de datos del calculador de la figura 1; y
10 - la figura 3 es un organigrama que representa un procedimiento de fiabilidad de datos segun la invencion, aplicado por el calculador de la figura 1.
[0014] En la presente descripcion, se denominaran «datos de seguridad» a unos datos logicos o unas informaciones que circulan en una red de comunicacion. La red de comunicacion es tlpicamente una red no segura y 15 cada dato de seguridad circula en la red acompanado de un codigo de seguridad. Un dato de seguridad emitido en la red por un dispositivo de emision es aceptado por un dispositivo de recepcion unicamente si el dispositivo de recepcion determina, por medio de un algoritmo de control predeterminado, que el dato de seguridad emitido y el codigo de seguridad que lo acompana son coherentes.
20 [0015] La figura 1 representa un sistema de gestion ferroviaria 1 que comprende un conjunto de comunicacion 2. El sistema de gestion ferroviaria 1 esta implantado, por ejemplo, en una estacion ferroviaria. Es apto por ejemplo para determinar y hacer circular unas ordenes de mando destinadas a trenes o con destino a sistemas de seguridad de vlas, tales como unas agujas.
25 [0016] El conjunto 2 comprende un calculador 6 y un dispositivo 8 de recepcion de datos, vinculado al calculador 6 a traves de una conexion de datos 10.
[0017] El calculador 6 consta de unos medios 11 de recepcion de datos, un primer modulo 12A de tratamiento de datos y un segundo modulo 12B de tratamiento de datos, estando vinculado cada modulo de tratamiento 12A, 12B a
30 los medios de recepcion 11. El calculador 6 consta ademas de un organo de calculo 14, vinculado a cada modulo de tratamiento 12A, 12B y unos medios 18 de emision de datos destinados al dispositivo de recepcion 8, estando vinculados dichos medios de emision 18 al organo 14.
[0018] El calculador 6 es un calculador de seguridad, fijado de forma estable en el seno del sistema de gestion 35 ferroviaria 1. El calculador 6 es apto para efectuar unos calculos sobre unos datos de seguridad que circulan en una
red de comunicacion del sistema de gestion ferroviaria 1. El calculador 6 es apto, mas particularmente, para proporcionar al dispositivo de recepcion 8 un dato de salida Ds, a partir de un dato de entrada De, procedente de un dispositivo de comunicacion, tal como otro calculador. En el ejemplo de realizacion descrito, los datos de entrada De y de salida Ds son unas variables formadas por una combinacion de bits, por ejemplo una combinacion de dieciseis 40 bits.
[0019] El dispositivo de recepcion 8 consta de una memoria de almacenamiento de un algoritmo de control, no representada. El dispositivo de recepcion 8 es por ejemplo un calculador de seguridad. Es apto para recibir un codigo de seguridad Cs y el dato de salida Ds y para verificar, por la aplicacion del algoritmo de control, la coherencia entre el codigo de seguridad Cs y el dato de salida Ds.
45
[0020] El enlace de datos 10 es, por ejemplo, un enlace radioelectrico conforme a la norma IEEE-802-11, generalmente llamado enlace Wi-FiTM.
[0021] Los medios de recepcion 11 son aptos para recibir el dato de entrada De y para suministrar este dato de 50 entrada De en entrada de cada modulo de tratamiento 12A, 12B.
[0022] El primer modulo de tratamiento 12A y el segundo modulo de tratamiento 12B presentan cada uno una misma estructura. En lo que sigue, solo se describira por tanto la estructura del primer modulo de tratamiento 12A.
55 [0023] Como se ilustra en la figura 2, el primer modulo de tratamiento 12A consta de unos primeros medios de memorizacion 20A, unos primeros medios de calculo 22A, vinculados a los medios de memorizacion 20A, y unos medios de comunicacion 24A, vinculados a los primeros medios de calculo 22A. El primer modulo de tratamiento 12A consta ademas de unos medios de eliminacion 26A, vinculados a los primeros medios de memorizacion 20A, y unos medios de sincronizacion 28A, vinculados a los medios de comunicacion 24A.
[0024] El primer modulo de tratamiento 12A consta igualmente de unos medios de modificacion 30A, vinculados a los primeros medios de memorizacion 20A y a los medios de sincronizacion 28A.
5 [0025] En el ejemplo de realizacion, los primeros medios de memorizacion 20A estan formados por una memoria flash, conocida en si. Como variante, los primeros medios de memorizacion 20A estan formados por una memoria no volatil reescribible. Incluso como variante, los primeros medios de memorizacion 20A estan formados por una memoria volatil reescribible.
10 [0026] Los primeros medios de memorizacion 20A son aptos para almacenar una variable de cifrado Vca, apta para el primer modulo 12A. En el ejemplo de realizacion, la variable de cifrado Vca esta formada por una combinacion de dieciseis bits. los primeros medios de memorizacion 20A son aptos igualmente para almacenar una funcion de calculo a, una funcion de cifrado Fc y una funcion de reinicializacion Frein. En el ejemplo de realizacion, la funcion de calculo a es la funcion logica «NO», clasicamente conocida. Por otro lado, la funcion de cifrado Fc es, en 15 el ejemplo de realizacion, la funcion logica «O exclusiva», clasicamente conocida. La funcion de reinicializacion Frein es igualmente, por ejemplo, la funcion logica «O exclusiva».
[0027] En el ejemplo de realizacion de la figura 2, los primeros medios de calculo 22A estan formados por un procesador de datos, conocido en si. Los primeros medios de calculo 22A estan vinculados por una parte a los 20 medios de recepcion 11 y por otra parte al organo 14. Los primeros medios de calculo 22A reciben el dato de entrada De y proporcionan en entrada del organo 14 un dato de salida intermedio Dia y un codigo de seguridad intermedio Csia. Los primeros medios de calculo 22A son aptos para calcular el valor del dato de salida intermedio Dia a partir del valor del dato de entrada De. El dato Dia se expresa entonces, por ejemplo, del siguiente modo:
imagen1
[0028] En el ejemplo de realizacion, el dato de salida intermedio Dia es una variable formada por una combinacion de dieciseis bits.
30 [0029] Los primeros medios de calculo 22A son aptos ademas para calcular el valor del codigo de seguridad intermedio Csia a partir del valor del dato de salida intermedio Dia y del valor de la variable de cifrado Vca. El codigo de seguridad intermedio Csia se expresa del siguiente modo:
imagen2
35
[0030] F1, respectivamente Ma, son una funcion, respectivamente una constante, almacenadas en los primeros medios de memorizacion 20A. F1 es por ejemplo la funcion logica «Y». En el ejemplo de realizacion, Ma es una constante formada por una combinacion de dieciseis bits. Ma esta formada por ejemplo por una combinacion de ocho primeros bits cuyo valor es igual a uno y de ocho ultimos bits cuyo valor es igual a cero.
40
[0031] Los primeros medios de calculo 22A son aptos ademas para probar la existencia de un valor mayoritario entre varios valores de datos de salida intermedios, siendo el valor mayoritario el valor mas frecuente entre los valores de datos de salida intermedios, si este valor existe.
45 [0032] Los medios de comunicacion 24A constan de unos medios de emision 31 A y unos medios de recepcion 32A. Los medios de emision 31A son aptos para estar vinculados a los medios de recepcion 32B del segundo modulo 12B a traves de un enlace de datos 34. Los medios de recepcion 32A son aptos para estar vinculados a los medios de emision 31 B del segundo modulo 12B a traves del enlace de datos 35.
50 [0033] Los enlaces de datos 34, 35 son, por ejemplo, unos enlaces radioelectricos conformes a la norma IEEE- 802-11, generalmente llamados enlaces Wi-Fi™.
[0034] Los medios de eliminacion 26A estan formados por ejemplo por un procesador de datos. Son aptos para eliminar el valor corriente de la variable de cifrado Vca almacenada en el seno de la memoria 20A.
55
[0035] Los medios de sincronizacion 28A constan por ejemplo de un reloj apto para suministrar unas senales a impulsos a unos instantes i regulares. Los medios de sincronizacion 28A son aptos para enviar unas senales de sincronizacion destinadas a unos medios de comunicacion 24A y unos medios de modificacion 30A. Los medios de
sincronizacion 28A son aptos ademas para sincronizarse con los medios de sincronizacion 28B del segundo modulo de tratamiento 12B, a traves de las senales de sincronizacion transmitidas por los medios de comunicacion 24A.
[0036] Los medios de modificacion 30A constan por ejemplo de un generador 38A de secuencias pseudo- 5 aleatorias y un procesador 40A. El generador 38A de secuencias pseudo-aleatorias esta vinculado a los medios de
sincronizacion 28A y al procesador 40A. El generador 38A es apto para suministrar al procesador 40A una senal pseudo-aleatoria Spa, despues de la recepcion de una senal de sincronizacion suministrada por los medios de sincronizacion 28A. Mas precisamente, en cada instante i, el generador 38A es apto para suministrar al procesador 40A una senal pseudo-aleatoria Spa(i).
10
[0037] El procesador 40A esta vinculado ademas a los primeros medios de memorizacion 20A y a los medios de sincronizacion 28A. El procesador 40A es apto, despues de la recepcion de una senal de sincronizacion suministrada por los medios de sincronizacion 28A, de modificar el valor corriente de la variable de cifrado Vca almacenada en el seno de los primeros medios de memorizacion 20A. Mas precisamente, en cada instante i el
15 procesador 40A es apto para determinar el valor corriente Vca (i) de la variable de cifrado Vca, a partir especialmente del valor anterior Vca (i-1) de la variable de cifrado Vca. El valor corriente en el instante i de la variable de cifrado Vca se expresa del siguiente modo:
VcA(i) = Fran[Spa(i),VCA(i-1)]
20
[0038] Los medios de modificacion 30A son aptos as! para modificar el valor corriente de la variable de cifrado Vca almacenada en el seno de los primeros medios de memorizacion 20A.
[0039] El primer modulo de tratamiento 12A es apto as! para calcular y para suministrar en entrada del organo 14 25 el dato de salida intermedio Dia y el codigo de seguridad intermedio Csia.
[0040] Los primeros medios de memorizacion 20B del segundo modulo de tratamiento 12B son aptos para almacenar una variable de cifrado Vcb, apta para el modulo 12B, y una funcion de calculo a, identica a la funcion de calculo a del primer modulo de tratamiento 12a. En el ejemplo de realizacion, la variable de cifrado Vcb esta formada
30 por una combinacion de dieciseis bits. Los primeros medios de memorizacion 20B son aptos igualmente para almacenar una funcion de cifrado Fc, identica a la funcion de cifrado Fc del primer modulo de tratamiento 12A, y una funcion de reinicializacion Frein, identica a la funcion de reinicializacion Frein del primer modulo de tratamiento 12A.
(3)
[0041] Los medios de modificacion 30B del segundo modulo de tratamiento 12B son aptos para modificar el valor 35 corriente de la variable de cifrado Vcb almacenada en el seno de los primeros medios de memorizacion 20B. El valor corriente en el instante i de la variable de cifrado Vcb se expresa del siguiente modo:
^Cb(I)- Fr6|n [Spa(i), VCB(i-1)]
(4)
40 [0042] El segundo modulo de tratamiento 12B es apto as! para calcular y para suministrar, en entrada del organo de calculo 14, un dato de salida intermedio Dib y un codigo de seguridad intermedio Csib. El dato de salida intermedio Dib y el codigo de seguridad intermedio Csib se expresan del siguiente modo:
45
Dib =er(De)
SIB
Fc (F,(DIB,MB), Vcb)
(5)
(6)
[0043] F1, respectivamente Mb, son una funcion, respectivamente una constante, almacenadas en los primeros medios de memorizacion 20B. La funcion F1 es identica a la funcion F1 del primer modulo de tratamiento 12a. En el 50 ejemplo de realizacion, Mb es una constante formada por una combinacion de dieciseis bits. Mb esta formada por ejemplo por una combinacion de ocho primeros bits cuyo valor es igual a cero y de ocho ultimos bits cuyo valor es igual a uno.
[0044] En el ejemplo de realizacion descrito, el dato de salida intermedio Dib es una variable formada por una 55 combinacion de dieciseis bits.
[0045] En cada instante i, los valores de las variables de cifrado Vca, respectivamente Vcb del modulo de tratamiento 12A, respectivamente 12B, verifican entre ellas una misma relacion matematica, por ejemplo la relacion matematica siguiente:
F2[VCA(i),vCB(i)] = K
(7),
donde F2 es por ejemplo la funcion logica «O exclusiva» y K es una constante. En el ejemplo de realizacion, K es una constante formada por una combinacion de dieciseis bits.
10
[0046] Los modulos de tratamiento 12A, 12B son aptos para intercambiarse unos datos segun un protocolo de comunicacion sincronizado, a traves de sus medios de comunicacion y sus medios de sincronizacion respectivos.
[0047] El organo de calculo 14 suministra en entrada unos medios de emision 18 el dato de salida Ds as! como el 15 codigo de seguridad Cs. El organo 14 consta de unos segundos medios de memorizacion 42 y unos segundos
medios de calculo 44, vinculados a los segundos medios de memorizacion 42.
[0048] Los segundos medios de memorizacion 42 estan formados, por ejemplo, por una memoria flash. Los segundos medios de memorizacion 42 son aptos para almacenar una constante de descifrado Kd y una funcion de
20 consolidacion Fconso. En el ejemplo de realizacion, la funcion de consolidation Fconso es la funcion logica «O exclusiva» y la constante de descifrado Kd es una constante formada por una combinacion de dieciseis bits.
[0049] En el ejemplo de realizacion descrito, los segundos medios de calculo 44 estan formados por un procesador de datos. Los segundos medios de calculo 44 estan vinculados por una parte a cada uno de los primeros medios de
25 calculo 22A, 22B y por otra parte a los medios de emision 18. Los segundos medios de calculo 44 proporcionan en entrada unos medios de emision 18 el dato de salida Ds y el codigo de seguridad Cs. Los segundos medios de calculo 44 son aptos para calcular el valor del dato de salida Ds a partir del valor de los datos de salida intermedios Dia, Dib. El valor del dato de salida Ds se toma, en el ejemplo de realizacion, como igual al valor del dato de salida intermedio Dia. Como variante, el valor del dato de salida Ds se toma como igual al valor del dato de salida 30 intermedio Dib.
[0050] Los segundos medios de calculo 44 son aptos ademas para calcular el valor del codigo de seguridad Cs a partir del valor de cada codigo de seguridad intermedio Csia, Csib y del valor de la constante de descifrado Kd. El codigo de seguridad Cs se expresa por ejemplo del siguiente modo:
35
imagen3
[0051] Los medios de emision 18 son aptos para transmitir el dato de salida Ds y el codigo de seguridad Cs al dispositivo de reception 8.
40
[0052] En la figura 3 se representan las etapas de un procedimiento de fiabilidad de datos aplicado por el calculador 6, en un modo de realizacion de la invention.
[0053] En el curso de la description, se considera que la probabilidad de aparicion de un fallo simultaneo en los 45 modulos de tratamiento 12A, 12B es nula.
[0054] se supone ademas que en el instante presente i-L, los primeros medios de memorizacion 20A, respectivamente 20B almacenan un valor corriente VcA(i-1), respectivamente VcB(i-1) de la variable de cifrado Vca, respectivamente Vcb.
50
[0055] Durante una etapa 60 inicial, los medios de recepcion 11 reciben un mensaje que consta del dato de entrada De.
[0056] En el transcurso de una etapa 62 siguiente, los medios de recepcion 11 proporcionan el dato de entrada De 55 a cada uno de los primeros medios de calculo 22A, 22B.
[0057] En el transcurso de una etapa 64 siguiente, los primeros medios de calculo 22A, respectivamente 22B,
calculan el valor corriente del dato de salida intermedio Dia, respectivamente Dib a partir del valor corriente del dato de entrada De. La expresion del dato de salida intermedio Dia, respectivamente Dib se da por la formula (1), respectivamente la formula (5).
5 [0058] Como complemento, en el transcurso de una etapa 66 siguiente, los primeros medios de calculo 22A, respectivamente 22B, transmiten el valor corriente del dato de salida intermedio Dia, respectivamente Dib, a los medios de emision 31A, respectivamente 31 B. Los medios de emision 31A, respectivamente 31B, transmiten entonces el valor corriente del dato de salida intermedio Dia, respectivamente Dib a los medios de recepcion 32B, respectivamente 32A, a traves del enlace de datos 34, respectivamente 35. Los medios de recepcion 32B, 10 respectivamente 32A, transmiten el valor corriente del dato de salida intermedio Dia, respectivamente Dib a los primeros medios de calculo 22B, respectivamente 22A.
[0059] Como complemento, durante una etapa 68 siguiente, cada uno de los primeros medios de calculo 22A, 22B determina si existe un valor mayoritario entre los valores corrientes de los datos de salida intermedios Dia, Dib.
15
[0060] Si despues de la etapa 68, cada uno de los primeros medios de calculo 22A, 22B determina que no existe valor mayoritario entre los valores corrientes de los datos de salida intermedios Dia, Dib, los medios de eliminacion 26A eliminan el valor corriente de la variable de cifrado Vca en los primeros medios de memorizacion 20A en el transcurso de una etapa 70. Como variante, los medios de eliminacion 26B eliminan el valor corriente de la variable
20 de cifrado Vcb en los primeros medios de memorizacion 20B durante la etapa 70. Como complemento, una etapa 72 siguiente es aplicada entonces por los procesadores 40A, 40B, como se describe posteriormente.
[0061] Si despues de la etapa 68, cada uno de los primeros medios de calculo 22A, 22B determina que existe un valor mayoritario entre los valores corrientes de los datos de salida intermedios Dia, Dib, la etapa 72 se efectua.
25
[0062] La etapa 72 se origina en el instante i inmediatamente despues del final de la etapa 68 o de la etapa 70. En el instante i, los valores corrientes Vca(M), VcB(i-1) de las variables de cifrado Vca, Vcb se convierten en unos valores anteriores. En este mismo instante i, el procesador 40A, respectivamente 40B, determina el valor corriente VcA(i), respectivamente VcB(i) de la variable de cifrado Vca, respectivamente Vcb a partir del valor anterior VcA(i-1),
30 respectivamente VcB(i-1) de dicha variable de cifrado. La etapa 72 se efectua as! de manera sincronizada entre los modulos de tratamiento 12A, 12B. La expresion del valor corriente de la variable de cifrado Vca, respectivamente Vcb en el instante i es dada por la formula (3), respectivamente la formula (4).
[0063] En el transcurso de una etapa 74 siguiente, el procesador 22A, respectivamente 22B, calcula el valor 35 corriente del codigo de seguridad intermedio Csia, respectivamente Csib, a partir del valor corriente del dato de salida
intermedio Dia, respectivamente Dib, y del valor corriente de la variable de cifrado Vca, respectivamente Vcb. La expresion del codigo de seguridad intermedio Csia, respectivamente Csib, es dada por la formula (2), respectivamente la formula (6).
40 [0064] En el transcurso de una etapa 76 siguiente, los primeros medios de calculo 22A, respectivamente 22B, transmiten el dato de salida intermedio Dia, respectivamente Dib y el codigo de seguridad intermedio Csia, respectivamente Csib a los segundos medios de calculo 44.
[0065] En el transcurso de una etapa 78 siguiente, los segundos medios de calculo 44 calculan el valor corriente 45 del codigo de seguridad Cs a partir del valor corriente de cada codigo de seguridad intermedio Csia, Csib y del valor
de la constante de descifrado Kd. La expresion del codigo de seguridad Cs es dada por la formula (8).
[0066] En el transcurso de una etapa 80 siguiente, los segundos medios de calculo 44 seleccionan un valor entre los valores de los datos de salida intermedios Dia, Dib. El valor seleccionado es por ejemplo el valor corriente del
50 dato de salida intermedio Dia. El valor corriente del dato de salida Ds se toma igual al valor seleccionado, dicho de otro modo igual al valor corriente del dato de salida intermedio Dia.
[0067] En el transcurso de una etapa 82 siguiente, los segundos medios de calculo 44 transmiten el dato de salida Ds y el codigo de seguridad Cs a los medios de emision 18. Los medios de emision 18 transmiten entonces el dato
55 de salida Ds y el codigo de seguridad Cs al dispositivo de recepcion 8.
[0068] En el transcurso de una etapa 83 siguiente, el dispositivo de recepcion 8 recibe el dato de salida Ds y el codigo de seguridad Cs.
[0069] En el transcurso de una etapa 84 siguiente, el dispositivo de recepcion 8 verifica, por aplicacion del algoritmo de control, la coherencia entre el dato de salida Ds y el codigo de seguridad Cs.
[0070] Segun un primer aspecto de la invencion, el procedimiento de fiabilidad de datos segun la invencion permite 5 garantizar as! la funcion de «voto mayoritario» del calculador. En efecto, si los valores de los datos de salida
intermedios Dia, Dib son identicos, el dato de salida Ds toma por valor el valor mayoritario, en este caso el unico valor posible. Por otro lado, si los valores de los datos de salida intermedios Dia, Dib difieren, el codigo de seguridad Cs toma un valor particular, diferente del valor que toma cuando los valores de los datos de salida intermedios Dia, Dib son identicos.
10
[0071] Asl, si los valores de los datos de salida intermedios Dia, Dib difieren, el dispositivo de recepcion 8 determina una incoherencia entre el dato de salida Ds emitido y el codigo de seguridad Cs. El dispositivo de recepcion 8 rechaza entonces el dato de salida Ds. El calculador 6 que aplica el procedimiento segun la invencion permite proporcionar por tanto en todos los casos ya sea un dato de salida Ds correcto, o un dato de salida Ds
15 erroneo pero detectable.
[0072] Segun un segundo aspecto de la invencion, independiente y complementario del primer aspecto, el procedimiento de fiabilidad de datos permite garantizar la funcion de «pasivacion» del calculador 6. Mas particularmente, las etapas 66, 68 y 70 corresponden a la aplicacion de esta funcion de «pasivacion».
20
[0073] La etapa 72 de reinicializacion permite por otro lado ventajosamente al calculador 6 auto-probar de manera periodica la funcion de «pasivacion», y protegerse asl del riesgo de fallo de los medios de eliminacion 26A, 26B. Este riesgo corresponde a una imposibilidad para los medios de eliminacion de eliminar la variable de cifrado Vca, respectivamente Vcb, En los primeros medios de memorizacion 20A, respectivamente 20B. Ademas, en caso de fallo
25 que se produzca en uno de los modulos de tratamiento durante la etapa 72 de reinicializacion, la relacion matematica de la formula (7), verificada teoricamente en cada instante i por las variables de cifrado Vca, Vcb. Entre ellas, no se verifica mas. Gracias a esta caracterlstica, la funcion de «pasivacion» del calculador 6 sigue estando garantizada permanentemente, incluso en caso de fallo en uno de los modulos de tratamiento durante la etapa 72.
30 [0074] Se concibe asl que el procedimiento de fiabilidad de datos segun este modo de realizacion de la invencion permite liberarse de la utilization de medios materiales dedicados para garantizar la funcion de voto mayoritario del calculador.
[0075] Este modo de realizacion constituye el modo de realizacion preferencial de la invencion.
35
[0076] El experto en la materia comprendera que la invencion se aplica de la misma manera a un procedimiento de fiabilidad de datos que no consta de las etapas 66, 68, 70 y 72.
[0077] Como variante no representada, el calculador consta de un numero N1 de modulos 12 de tratamiento de 40 datos, siendo N1 un numero entero superior o igual a tres. Cada modulo de tratamiento 12 consta de unos primeros
medios de memorizacion 20 y de unos primeros medios de calculo 22. Los primeros medios de memorizacion 20 de un modulo de tratamiento 12 son aptos para almacenar una variable de cifrado Vc, apta para el modulo. Cada uno de los primeros medios de calculo 22 recibe el dato de entrada De y proporciona en entrada del organo 14 un dato de salida intermedio Di y un codigo de seguridad intermedio Csi. De manera analoga al modo de realizacion 45 preferencial de la invencion, los modulos de tratamiento 12 son aptos para intercambiarse unos datos segun un protocolo de comunicacion sincronizado, a traves de sus medios de comunicacion y sus medios de sincronizacion respectivos. Ademas, las funciones de calculo a, las funciones de cifrado Fc y las funciones de reinicializacion Frein de cada uno de los modulos de tratamiento son identicas.
50 [0078] Segun esta variante de realizacion, cada uno de los primeros medios de calculo 22 es apto ademas para verificar la correspondencia entre el valor del dato de salida intermedio Di correspondiente y un eventual valor mayoritario. Ademas, el procedimiento consta de dos etapas suplementarias 86, 88. Las etapas 86, 88 se efectuan entre la etapa 68 y la etapa 72 si despues de la etapa 68, cada uno de los primeros medios de calculo 22 determina que existe un valor mayoritario entre los valores de los datos de salida intermedios Di.
55
[0079] Durante la etapa 86, cada uno de los primeros medios de calculo 22 verifica si el valor de su dato de salida intermedio Di es igual al valor mayoritario.
[0080] Si despues de la etapa 86, cada uno de los primeros medios de calculo 22 verifica que el valor de su dato
de salida intermedio Di es igual al valor mayoritario, la etapa 72 se efectua.
[0081] Si despues de la etapa 86, al menos uno de los primeros medios de calculo 22 verifica que el valor de su dato de salida intermedio Di no es igual al valor mayoritario, los medios de eliminacion del modulo de tratamiento
5 correspondiente eliminan el valor corriente de la variable de cifrado Vc en los primeros medios de memorization 20 en el transcurso de la etapa 88.
[0082] El experto en la materia comprendera que, durante la etapa 76, los primeros medios de calculo 22 de cada modulo de tratamiento 12 transmiten el dato de salida intermedio Di correspondiente y el codigo de seguridad
10 intermedio Csi correspondiente, a los segundos medios de calculo 44 del organo de calculo 14.
[0083] Durante la etapa 78 siguiente, los segundos medios de calculo 44 calculan el valor corriente del codigo de seguridad Cs a partir del valor corriente de cada codigo de seguridad intermedio Csi transmitido durante la etapa 76.
15 [0084] Durante la etapa 80 siguiente, los segundos medios de calculo 44 seleccionan un valor entre los valores de los datos de salida intermedios Di transmitidos durante la etapa 76. El valor corriente del dato de salida Ds se toma entonces igual al valor seleccionado.
[0085] En el transcurso de la etapa 82 siguiente, los segundos medios de calculo 44 transmiten el dato de salida 20 Ds y el codigo de seguridad Cs a los medios de emision 18. Los medios de emision 18 transmiten entonces el dato
de salida Ds y el codigo de seguridad Cs al dispositivo de reception 8.
[0086] En el transcurso de la etapa 83 siguiente, el dispositivo de recepcion 8 recibe el dato de salida Ds y el codigo de seguridad Cs.
25
[0087] En el transcurso de la etapa 84 siguiente, el dispositivo de recepcion 8 verifica, por aplicacion del algoritmo de control, la coherencia entre el dato de salida Ds y el codigo de seguridad Cs.
[0088] Segun otra variante de realization particular, no representada, el calculador consta de tres modulos 12A, 30 12B, 12C de tratamiento de datos. La condition de «voto mayoritario» se cumple entonces cuando al menos dos de
los tres modulos han producido unos datos de salida coherentes a partir del mismo dato de entrada.
[0089] Un calculador constituido de este modo consta entonces de tres pares (12A; 12B), (12B; 12C) y (12C; 12A) de modulos de tratamiento, perteneciendo cada modulo 12A, 12B, 12C a dos pares.
35
[0090] En cada modulo de tratamiento 12A, 12B, 12C, el proceso de generation del codigo de seguridad intermedio se dobla entonces. En particular, dos codigos de seguridad intermedios Csi-ab, Csi-ac, Csi-ba, Csi-bc, Csi-ca, Csi-cb son generados por cada modulo 12A, 12B, 12C. Mas precisamente, cada modulo 12A, 12B, 12C genera un codigo para cada par (12A; 12B), (12B; 12C) y (12C; 12A) al cual pertenece.
40
[0091] Los primeros medios de memorizacion 20 de cada modulo 12A, 12B, 12C son aptos para almacenar dos variables de cifrado Vc1 y Vc2, relativas al modulo.
[0092] Cada uno de los primeros medios de calculo 22 recibe el dato de entrada De y proporciona en entrada del 45 organo 14 un dato intermedio Di y dos codigos de seguridad intermedios Csi: el modulo 12a calcula dos codigos Csi-
ab y Csi-ac; el modulo 12B calcula dos codigos Csi-ba y Csi-bc; el modulo 12C calcula dos codigos Csi-ca y Csi-cb.
[0093] El organo 14 selecciona un par de modulos entre los tres pares posibles (12A; 12B), (12B; 12C) y (12C; 12A), sobre la base de un voto mayoritario de los datos Di recibidos.
50
[0094] El organo 14 calcula entonces el codigo de seguridad Cs a partir de los codigos de seguridad intermedios asociados al par seleccionado. Asl, si el par (12A; 12B) ha sido seleccionado entonces el codigo de seguridad Cs se calcula a partir de los codigos intermedios Csi-ab y Csi-ba.
55 [0095] Se concibe asl que el procedimiento de fiabilidad de datos segun la invention permite liberarse de la utilization de medios materiales dedicados para garantizar la funcion de voto mayoritario y de pasivacion del calculador.

Claims (11)

  1. REIVINDICACIONES
    1. Procedimiento de fiabilidad de datos en un calculador (6), siendo el calculador (6) apto para proporcionar un dato de salida (Ds) a partir de un dato de entrada (De), y que consta al menos de dos modulos (12A,
    5 12B) de tratamiento de datos y un organo de calculo (14) vinculado a cada modulo de tratamiento (12A, 12B), comprendiendo el procedimiento una etapa (64) de calculo, por cada modulo de tratamiento (12A, 12B), de un dato intermedio (Dia, Dib) a partir del dato de entrada (De), consistiendo dicho calculo en la aplicacion de una funcion de calculo (a) al dato de entrada (De), siendo la funcion de calculo (a) identica para todos los modulos de tratamiento (12A, 12B),
    10
    estando el procedimiento caracterizado porque comprende las etapas siguientes:
    - el calculo (74), por cada modulo de tratamiento (12A, 12B), de un codigo de seguridad intermedio (Csia, Csib) a partir del dato intermedio (Dia, Dib) correspondiente,
    15
    - la transmision (76) al organo de calculo (14), por cada modulo de tratamiento (12A, 12B), del codigo de seguridad intermedio (Csia, Csib) y del dato intermedio (Dia, Dib),
    - el calculo (78), por el organo de calculo (14), de un codigo de seguridad (Cs) a partir de los codigos de seguridad 20 intermedios (Csia, Csib),
    - la selection (80), por el organo de calculo (14), de un dato intermedio entre los datos intermedios (Dia, Dib) recibidos, comprendiendo el dato de salida (Ds) del calculador (6) el dato intermedio seleccionado y
    25 - la transmision (82) con destino a un dispositivo de reception (8), por el organo de calculo (14), del codigo de seguridad (Cs) y del dato de salida (Ds).
  2. 2. Procedimiento segun la reivindicacion 1, caracterizado porque cada modulo de tratamiento (12A, 12B) consta de unos primeros medios de memorization (20A, 20B) de al menos una variable de cifrado (Vca, Vcb) y
    30 de una funcion de cifrado (Fc), siendo la funcion de cifrado (Fc) identica para todos los modulos de tratamiento (12A, 12B) y porque durante la etapa (74) de calculo de un codigo de seguridad intermedio (Csia, Csib) a partir del dato intermedio (Dia, Dib) correspondiente, dicho calculo consiste en aplicar, por cada modulo de tratamiento (12A, 12B), la funcion de cifrado (Fc) al menos al dato intermedio (Dia, Dib) y a la variable de cifrado (Vca, Vcb).
    35 3. Procedimiento segun la reivindicacion 1 o 2, caracterizado porque el organo de calculo (14) consta
    de unos segundos medios de memorizacion (42) de al menos una constante de descifrado (Kd) y una funcion de consolidation (Fconso) y porque durante la etapa (78) de calculo de un codigo de seguridad (Cs) a partir de los codigos de seguridad intermedios (Csia, Csib), dicho calculo consiste en aplicar, por el organo de calculo (14), la funcion de consolidacion (Fconso) a cada codigo de seguridad intermedio (Csia, Csib) recibido y a la constante de 40 descrifrado (Kd).
  3. 4. Procedimiento segun la reivindicacion 2 o 3, caracterizado porque consta ademas, entre la etapa (64) de calculo de un dato intermedio y la etapa (74) de calculo de un codigo de seguridad intermedio, de una etapa (66) de transmision, por cada modulo de tratamiento (12A, 12B), del valor de su dato intermedio (Dia, Dib) a los otros
    45 modulos de tratamiento (12A, 12B) y una etapa (68) de prueba, por cada modulo de tratamiento (12A, 12B), de la existencia de un valor mayoritario entre el conjunto de los valores de los datos intermedios (Dia, Dib), siendo el valor mayoritario el valor mas frecuente entre los valores de datos intermedios (Dia, Dib), si este valor existe.
  4. 5. Procedimiento segun la reivindicacion 4, caracterizado porque, si la prueba de existencia de un valor 50 mayoritario es negativa durante la etapa (68) de prueba correspondiente, el procedimiento consta de una etapa (70)
    de supresion por uno de los modulos de tratamiento (12A, 12B) de su variable de cifrado (Vca, Vcb).
  5. 6. Procedimiento segun una de las reivindicaciones de 2 a 5, caracterizado porque consta ademas, antes de la etapa (74) de calculo de un codigo de seguridad intermedio, de una etapa (72) de reinitialization, por
    55 cada modulo de tratamiento (12A, 12B), de su variable de cifrado (Vca, Vcb), siendo efectuada dicha etapa (72) de reinicializacion de manera sincronizada entre todos los modulos de tratamiento (12A, 12B).
  6. 7. Procedimiento segun cualquiera de las reivindicaciones anteriores, caracterizado porque el dato de salida (Ds) es el dato intermedio seleccionado por el organo de calculo (14) durante la etapa (80) de seleccion.
  7. 8. Procedimiento segun cualquiera de las reivindicaciones anteriores, caracterizado porque consta ademas de una etapa (83) de recepcion, por el dispositivo de recepcion (8), del codigo de seguridad (Cs) y del dato de salida (Ds) y una etapa (84) de verificacion, por el dispositivo de recepcion (8), de la coherencia entre el codigo
    5 de seguridad (Cs) y el dato de salida (Ds).
  8. 9. Procedimiento segun cualquiera de las reivindicaciones anteriores, caracterizado porque el calculador consta de tres modulos de tratamiento de datos, estando los tres modulos de tratamiento distribuidos en tres pares de modulos, perteneciendo cada modulo a dos pares distintos, porque cada modulo de tratamiento
    10 calcula dos codigos de seguridad intermedios a partir del dato intermedio correspondiente, estando asociado cada codigo de seguridad intermedio a uno de los dos pares al cual pertenece el modulo, porque cada modulo de tratamiento transmite al organo de calculo (14) el dato intermedio y los dos codigos de seguridad intermedios asociados, porque el organo de calculo (14) calcula el codigo de seguridad (Cs) a partir de un primer codigo de seguridad intermedio transmitido por uno de los modulos de tratamiento y asociado a un primer par de modulos y de 15 un segundo codigo de seguridad intermedio transmitido por otro modulo, estando asociado dicho segundo codigo de seguridad intermedio al primer par de modulos y porque el dato intermedio seleccionado por el organo de calculo (14) es uno de los datos intermedios asociados a los modulos del primer par de modulos.
  9. 10. Calculador (6) apto para proporcionar un dato de salida (Ds) a partir de un dato de entrada (De) que 20 consta:
    - al menos de dos modulos (12A, 12B) de tratamiento de datos, constando cada modulo de tratamiento (12A, 12B) de unos primeros medios (22A, 22B) de calculo de un dato intermedio (Dia, Dib) a partir del dato de entrada (De), siendo dichos primeros medios de calculo aptos para aplicar una funcion de calculo (o) al dato de entrada (De), 25 siendo la funcion de calculo (o) identica para todos los modulos de tratamiento (12A, 12B),
    caracterizado porque los primeros medios (22A, 22B) de calculo son aptos ademas para calcular un codigo de seguridad intermedio (Csia, Csib) a partir del dato intermedio (Dia, Dib) correspondiente, siendo cada modulo de tratamiento (12A, 12B) apto para transmitir al organo de calculo (14) el codigo de seguridad intermedio (Csia, Csib) y 30 el dato intermedio (Dia, Dib) correspondiente y porque el organo de calculo (14) consta de unos segundos medios (44) de calculo de un codigo de seguridad (Cs) a partir de los codigos de seguridad intermedios (Csia, Csib), siendo el organo de calculo (14) apto para seleccionar un dato intermedio entre los datos intermedios (Dia, Dib) recibidos y para transmitir el codigo de seguridad (Cs) y el dato de salida (Ds) a un dispositivo de recepcion (8), comprendiendo el dato de salida (Ds) el dato intermedio seleccionado.
    35
  10. 11. Conjunto de comunicacion (2) que consta de un calculador (6) y un dispositivo (8) de recepcion de datos, siendo el calculador (6) apto para proporcionar un codigo de seguridad (Cs) y un dato (Ds), constando el dispositivo de recepcion (8) de unos medios de memorization de un algoritmo de control, siendo el dispositivo de recepcion (8) apto para recibir el codigo de seguridad (Cs) y el dato de salida (Ds) y para verificar, por la aplicacion
    40 del algoritmo de control, la coherencia entre el codigo de seguridad (Cs) y el dato de salida (Ds), caracterizado porque el calculador (6) es conforme a la revindication 10.
  11. 12. Sistema de gestion ferroviaria (1) caracterizado porque comprende al menos un conjunto (2) segun la reivindicacion 11.
    45
ES13172857.8T 2012-06-19 2013-06-19 Calculador, conjunto de comunicación que consta de tal calculador, sistema de gestión ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador Active ES2585111T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1255728 2012-06-19
FR1255728A FR2992083B1 (fr) 2012-06-19 2012-06-19 Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur

Publications (1)

Publication Number Publication Date
ES2585111T3 true ES2585111T3 (es) 2016-10-03

Family

ID=47294924

Family Applications (1)

Application Number Title Priority Date Filing Date
ES13172857.8T Active ES2585111T3 (es) 2012-06-19 2013-06-19 Calculador, conjunto de comunicación que consta de tal calculador, sistema de gestión ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador

Country Status (8)

Country Link
US (1) US9087217B2 (es)
EP (1) EP2677454B1 (es)
KR (1) KR102147750B1 (es)
CN (1) CN103577760B (es)
BR (1) BR102013015403B1 (es)
CA (1) CA2819517C (es)
ES (1) ES2585111T3 (es)
FR (1) FR2992083B1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8714494B2 (en) * 2012-09-10 2014-05-06 Siemens Industry, Inc. Railway train critical systems having control system redundancy and asymmetric communications capability
US9233698B2 (en) * 2012-09-10 2016-01-12 Siemens Industry, Inc. Railway safety critical systems with task redundancy and asymmetric communications capability
CN105184171B (zh) * 2015-09-22 2018-06-22 湖南中车时代通信信号有限公司 安全计算机平台文件系统的组件、运行方法及信息处理装置
CN109842603A (zh) * 2017-11-29 2019-06-04 北京通号国铁城市轨道技术有限公司 一种时间同步方法及装置
CN111142367B (zh) * 2018-11-02 2022-01-28 株洲中车时代电气股份有限公司 一种针对铁路安全应用的控制系统
CN112286715A (zh) * 2020-09-23 2021-01-29 卡斯柯信号有限公司 基于编码技术的安全输出方法及装置

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2017853C3 (de) 1970-04-14 1975-12-11 Standard Elektrik Lorenz Ag, 7000 Stuttgart Steuerverfahren zur Sicherung der Informationsverarbeitung und -Übertragung
US4326291A (en) 1979-04-11 1982-04-20 Sperry Rand Corporation Error detection system
DE3040080C1 (de) 1980-10-24 1987-11-12 Standard Elektrik Lorenz Ag, 7000 Stuttgart Einrichtung zur signaltechnisch sicheren Datenuebertragung zwischen einer Trasse und auf dieser gefuehrten Fahrzeugen
US4843608A (en) 1987-04-16 1989-06-27 Tandem Computers Incorporated Cross-coupled checking circuit
DE3924266A1 (de) 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
DE19532639C2 (de) 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
DE19532640C2 (de) 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
US5757915A (en) * 1995-08-25 1998-05-26 Intel Corporation Parameterized hash functions for access control
DE19833867C5 (de) 1998-07-28 2006-10-12 Alcatel Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
DE10011887B4 (de) 2000-03-07 2004-09-02 Siemens Ag Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE10040866A1 (de) 2000-08-21 2002-03-07 Alcatel Sa Rechnersystem
GB2368233B (en) * 2000-08-31 2002-10-16 F Secure Oyj Maintaining virus detection software
DE10053023C1 (de) 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
US6910128B1 (en) * 2000-11-21 2005-06-21 International Business Machines Corporation Method and computer program product for processing signed applets
DE10065907A1 (de) 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
US7254712B2 (en) * 2001-06-12 2007-08-07 Research In Motion Limited System and method for compressing secure e-mail for exchange with a mobile data communication device
US6948067B2 (en) * 2002-07-24 2005-09-20 Qualcomm, Inc. Efficient encryption and authentication for data processing systems
ATE504446T1 (de) * 2002-12-02 2011-04-15 Silverbrook Res Pty Ltd Totdüsenausgleich
GB0304663D0 (en) * 2003-02-28 2003-04-02 Ncipher Corp Ltd A method and system of securely enforcing a computer policy
US7730518B2 (en) * 2003-07-31 2010-06-01 Emc Corporation Method and apparatus for graph-based partition of cryptographic functionality
EP1673675A2 (en) * 2003-10-17 2006-06-28 International Business Machines Corporation Method and system for user attestation-signatures with attributes
DE102004039932A1 (de) 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US20070192824A1 (en) * 2006-02-14 2007-08-16 Microsoft Corporation Computer hosting multiple secure execution environments
US8020001B2 (en) * 2006-02-23 2011-09-13 Qualcomm Incorporated Trusted code groups
AU2007276673B2 (en) * 2006-07-18 2013-01-17 Blackberry Limited System and method for authenticating a gaming device
US8156082B2 (en) * 2006-10-06 2012-04-10 Sybase, Inc. System and methods for temporary data management in shared disk cluster
FR2912526B1 (fr) * 2007-02-13 2009-04-17 Thales Sa Procede de maintien du synchronisme d'execution entre plusieurs processeurs asynchrones fonctionnant en parallele de maniere redondante.
US7930554B2 (en) * 2007-05-31 2011-04-19 Vasco Data Security,Inc. Remote authentication and transaction signatures
DE102007032805A1 (de) 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
US8295486B2 (en) * 2007-09-28 2012-10-23 Research In Motion Limited Systems, devices, and methods for outputting alerts to indicate the use of a weak hash function
US8566929B2 (en) * 2008-01-14 2013-10-22 Telefonaktiebolaget Lm Ericsson (Publ) Integrity check failure detection and recovery in radio communications system
EP2255317B1 (en) * 2008-03-05 2013-05-15 Irdeto B.V. Cryptographic system
US8150039B2 (en) * 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
JP5236352B2 (ja) * 2008-05-15 2013-07-17 株式会社日立製作所 アプリケーション配信制御システム、アプリケーション配信制御方法、情報処理装置、およびクライアント端末
EP2304918B1 (en) * 2008-06-16 2014-04-09 Telefonaktiebolaget L M Ericsson (PUBL) Sending media data via an intermediate node
CN101739298B (zh) * 2008-11-27 2013-07-31 国际商业机器公司 共享缓存管理方法和系统
US8713688B2 (en) * 2010-03-24 2014-04-29 Microsoft Corporation Automated security analysis for federated relationship
TW201201041A (en) * 2010-06-21 2012-01-01 Zhe-Yang Zhou Data security method and system
US8605905B2 (en) * 2010-08-30 2013-12-10 Futurewei Technologies, Inc. System and method for securing wireless transmissions
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves

Also Published As

Publication number Publication date
FR2992083A1 (fr) 2013-12-20
EP2677454A1 (fr) 2013-12-25
KR102147750B1 (ko) 2020-08-25
CA2819517A1 (fr) 2013-12-19
FR2992083B1 (fr) 2014-07-04
BR102013015403A8 (pt) 2016-05-31
CA2819517C (fr) 2021-04-27
CN103577760B (zh) 2017-12-26
KR20130142960A (ko) 2013-12-30
CN103577760A (zh) 2014-02-12
BR102013015403A2 (pt) 2015-08-11
BR102013015403B1 (pt) 2021-07-20
US9087217B2 (en) 2015-07-21
US20130339755A1 (en) 2013-12-19
EP2677454B1 (fr) 2016-05-18

Similar Documents

Publication Publication Date Title
ES2585111T3 (es) Calculador, conjunto de comunicación que consta de tal calculador, sistema de gestión ferroviaria que consta de tal conjunto y procedimiento de fiabilidad de datos en un calculador
US9292692B2 (en) System and device for verifying the integrity of a system from its subcomponents
CN103580872B (zh) 一种用于密钥生成与管理的系统及方法
ES2309687T3 (es) Procedimiento y sistema de control redundante para ordenadores seguros.
ES2754178T3 (es) Recurso de reserva para un canal de ordenador defectuoso de un vehículo ferroviario
US11290257B2 (en) Data transfer system and transfer method
BR102016004145B1 (pt) Aparelho, e, método para controlar um atuador
BR102013016687A2 (pt) Trem e método para a determinação segura da composição de tal trem
ES2837444T3 (es) Procedimiento para el intercambio de mensajes entre dispositivos relevantes para la seguridad
CN109274636A (zh) 数据安全传输方法及其装置、系统、列车
CN106789002B (zh) 一种基于身份信息的eeid标识生成方法
ES2780902T3 (es) Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas
CN108062085A (zh) 控制方法和控制系统
ES2786635T3 (es) Método para transmitir y verificar la validez de los datos de configuración en un sistema electrónico, sistema electrónico asociado y producto de programa informático
CN101098211B (zh) 发送控制装置、接收控制装置、以及通信系统
ES2962845T3 (es) Procedimiento para operar de forma segura una instalación de ingeniería ferroviaria y nodo de red de una red de datos
CN104506558A (zh) 层次式数据拥有证明方法
ES2796083T3 (es) Procedimiento de parada de emergencia y sistema de seguridad asociado
CN112398711B (zh) 一种用于安全计算机的can总线通信方法
CN114128180B (zh) 具有crc生成器的电子设备和用于将数据从电子设备传输至控制单元的方法
ES2959982T3 (es) Método de transmisión de datos segura compatible hacia atrás en una red de sensores
ES2702990T3 (es) Dispositivo y método de filtrado de mantenimiento en una secuencia de Entradas/Salidas codificadas
ES2739153T3 (es) Procedimiento para monitorizar un componente de red así como disposición con un componente de red y un dispositivo de monitorización
CN110020515A (zh) 数据保护方法、数据保护装置、电子设备和介质
ES2972182T3 (es) Procedimiento para el procesamiento paralelo de datos en un sistema informático con múltiples unidades informáticas y sistema informático con múltiples unidades informáticas