ES2629499T3 - Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear - Google Patents
Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear Download PDFInfo
- Publication number
- ES2629499T3 ES2629499T3 ES14705055.3T ES14705055T ES2629499T3 ES 2629499 T3 ES2629499 T3 ES 2629499T3 ES 14705055 T ES14705055 T ES 14705055T ES 2629499 T3 ES2629499 T3 ES 2629499T3
- Authority
- ES
- Spain
- Prior art keywords
- control
- module
- block
- regulation unit
- procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/16—Plc to applications
- G05B2219/161—Nuclear plant
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/001—Computer implemented control
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/008—Man-machine interface, e.g. control room layout
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Plasma & Fusion (AREA)
- High Energy & Nuclear Physics (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Programmable Controllers (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Storage Device Security (AREA)
Abstract
Dispositivo (70) para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación (9), en donde - está previsto un módulo de monitorización (82), el cual monitoriza el estado operacional y/o el estado de ampliación del hardware y/o el estado del programa de la unidad de control y regulación (8) y, en caso de existir modificaciones de este estado, genera un mensaje, - está previsto un módulo de control (116), el cual monitoriza el funcionamiento del módulo de monitorización (82), y - el módulo de monitorización (82) monitoriza el funcionamiento del módulo de control (116), caracterizado porque la unidad de control y regulación (8) presenta un control (10) programable por memoria y el módulo de monitorización (82) y el módulo de control (116) son elementos de software del control programable por memoria (10), que comprueban mutuamente si el otro módulo respectivo procesa según lo previsto indicaciones de programa dentro de un intervalo de tiempo prefijado.
Description
5
10
15
20
25
30
35
40
45
50
55
también sin un ataque pueden detectarse la avería o perturbaciones funcionales de uno de los dos módulos 82, 116.
En la fig. 2 se ha representado un diagrama de desarrollo de los pasos de procedimiento que se producen en el estado operacional del módulo de seguridad 76. El procedimiento implementado en el módulo de seguridad 76 en cuanto a software comienza en Inicio 120. En una decisión 126 se comprueba si el interruptor de llave 80 entrega una señal válida, que hace posible el acceso a escritura/lectura, y si al mismo tiempo el estatus de esta señal es válido o se trata de una simulación. Si se han cumplido todas estas condiciones, el procedimiento se deriva al bloque 132, en el que se conmuta el nivel de seguridad de la CPU 20 a acceso a escritura/lectura, lo que se corresponde con una etapa de seguridad 1.
En caso contrario el procedimiento se deriva a una decisión 134, en la que se comprueba si sin legitimización de contraseña debe impedirse un acceso a escritura y lectura. Si se produce esto, el procedimiento se deriva al bloque 136, en el que el nivel de seguridad o la etapa de seguridad de la CPU 20 se conmuta a acceso a escritura7lectura sin legitimización de contraseña. En el bloque 138 se conmuta el nivel de seguridad a protección contra escritura con legitimización de contraseña, si las dos decisiones anteriores 126, 134 han resultado ser negativas, lo que se corresponde con una etapa de seguridad 2. En el bloque 140 se lee y visualiza el nivel de seguridad actual. El procedimiento finaliza en Fin 142.
Un procedimiento implementado en cuanto a software en el módulo de monitorización 82 se ha representado en la fig. 3 mediante un diagrama de desarrollo y comienza en Inicio 150. En el bloqueo 152 se leen las sumas de comprobación, aquí sumas transversales, para la configuración de hardware HWKonfig y el código de programa así como el nivel de seguridad. En la decisión 154 se comprueba mediante una comparación de valores antiguos/nuevos, si el valor de la suma de comprobación del HWKonfig coincide con el valor de la última consulta. Si no es éste el caso, el procedimiento se deriva al bloque 145. Allí se registra o escribe el registro de mensaje “modificación de HWKonfig” en el regulador de monitorización 94 y en el regulador de diagnóstico 88, respectivamente con marcador cronológico de fecha/hora, y la salida binaria 102 se establece para el tratamiento ulterior específico de la instalación, es decir, al bit se asigna el valor que se corresponde con un mensaje (p.ej. 1 para mensaje, 0 para ningún mensaje). En el caso de que no se haya determinado ninguna modificación de la suma transversal mediante la comparación de valores antiguos/nuevos, en el bloque 158 se repone la salida 102, con lo que se garantiza que no se visualice un mensaje de forma errónea.
En una decisión 160 se comprueba si el valor de la suma transversal leída del código de programa ha variado respecto a su valor anterior procedente de la última consulta. Si ha sucedido esto el procedimiento se deriva al bloque 162. Allí se escribe un registro de mensaje “modificación de programa” en el regulador de monitorización 94 y en el regulador de diagnóstico 88, incluyendo un marcador cronológico de fecha/hora, y se establece la salida 100. En caso contrario se repone la salida 100 en el bloque 164.
En una decisión 166 se comprueba si la etapa de seguridad de la CPU 20 se ha modificado desde la última consulta. Si es éste el caso, se escribe en el bloque 168 un registro de mensaje “modificación de la etapa de seguridad” junto con un marcador cronológico en el regulador de monitorización 94 y en el regulador de diagnóstico 88. Asimismo se establece la salida 104. En caso contrario se repone esta salida en el bloque 170.
En una decisión 172 se comprueba si la recuperación de los pasos de procedimiento descritos es anterior a 1 segundo. Si es éste el caso en el bloque se emite un error de parámetro (los tres módulos descritos 76, 82, 116 junto con otros módulos se ponen a disposición en una biblioteca para una aplicación. El usuario puede elegir/ajustar diferentes comportamientos mediante parametrización de los módulos durante la programación o durante la puesta en funcionamiento. Si el usuario parametriza/elige un comportamiento inadmisible recibe una visualización de error de parametrización y puede corregir su parametrización). En caso contrario el procedimiento se deriva al bloque 176, en el que se repone el error de parametrización.
La monitorización mutua del módulo de monitorización 82 y del módulo de control 116 se consigue en el presente ejemplo de realización por medio de que cada módulo presenta respectivamente un contador, en el él mismo suma y un contador, en el que suma respectivamente el otro módulo. Si ambos módulos 82 y 116 funcionan adecuadamente, los contadores tienen respectivamente los mismos valores. Si se avería un módulo, el contador en el que él mismo suma ya no suma en el otro módulo, de tal manera que puede detectarse la avería del módulo.
El procedimiento pasa a continuación a una decisión 178, en la que se compara el valor de un contador de monitorización en el que suma el módulo de monitorización 82 con el valor de un contador de control en el que suma el módulo de control 116. Si coinciden estos valores, en el bloque 180 se suma en el contador de monitorización. Si no coinciden los dos valores, en una decisión 182 se comprueba si la última suma de contador del contador de control es anterior a 1 s y todavía no se ha producido registro en el regulador de monitorización 94 y en el regulador de diagnóstico 88. Si es éste el caso, esto demuestra que el módulo de control 106 no funciona adecuadamente. Por ello se registra después en el bloque 184 un registro de mensaje “error de monitorización de borrado” o “error de módulo de control” en el regulador de monitorización 94 y en regulador de diagnóstico 88, respectivamente con marcador cronológico, y en una salida binaria 108, en la que se visualizan errores del módulo de control 116, se establece un bit. En caso contrario se comprueba en la decisión 188, si en el regulador de diagnóstico 88 de la CPU ya existe el registro “módulo de monitorización funciona de nuevo”, que se ha registrado en el bloque 184. Si es éste
7
80 Interruptor de llave 82 Módulo de monitorización 84 Flecha 88 Regulador de diagnóstico 90 Flecha 92 Flecha 94 Regulador de diagnóstico de monitorización 100 Salida binaria 102 Salida binaria 104 Salida binaria 108 Salida binaria 110 Salida binaria 112 Flecha doble 116 Módulo de control 120 Inicio 126 Decisión 132 Bloque 134 Decisión 136 Bloque 138 Bloque 140 Bloque 142 Fin 150 Inicio 152 Bloque 154 Decisión 156 Bloque 158 Bloque 160 Decisión 162 Decisión 164 Bloque 166 Decisión 168 Bloque 170 Bloque 172 Decisión 174 Bloque 176 Bloque
9
Claims (1)
-
imagen1
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013201937 | 2013-02-06 | ||
DE102013201937.8A DE102013201937A1 (de) | 2013-02-06 | 2013-02-06 | Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage |
PCT/EP2014/051837 WO2014122063A1 (de) | 2013-02-06 | 2014-01-30 | Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2629499T3 true ES2629499T3 (es) | 2017-08-10 |
Family
ID=50115822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES14705055.3T Active ES2629499T3 (es) | 2013-02-06 | 2014-01-30 | Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear |
Country Status (10)
Country | Link |
---|---|
US (1) | US20150340111A1 (es) |
EP (1) | EP2954534B1 (es) |
JP (1) | JP6437457B2 (es) |
CN (1) | CN105074833B (es) |
BR (1) | BR112015018466B1 (es) |
DE (1) | DE102013201937A1 (es) |
ES (1) | ES2629499T3 (es) |
PL (1) | PL2954534T3 (es) |
RU (1) | RU2647684C2 (es) |
WO (1) | WO2014122063A1 (es) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3067768B1 (de) * | 2015-03-11 | 2018-04-25 | Siemens Aktiengesellschaft | Automatisierungseinrichtung und Operator-System |
EP3088976B1 (de) * | 2015-04-28 | 2017-11-29 | Siemens Aktiengesellschaft | Verfahren zum betreiben einer automatisierungseinrichtung und automatisierungseinrichtung |
EP3401831B1 (de) * | 2017-05-11 | 2021-06-30 | Siemens Aktiengesellschaft | Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul |
WO2020164994A1 (en) * | 2019-02-13 | 2020-08-20 | Syngenta Crop Protection Ag | Pesticidally active pyrazole derivatives |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6413643A (en) * | 1987-07-07 | 1989-01-18 | Fujitsu Ltd | Monitor device for program malfunction |
JPH01223581A (ja) * | 1988-03-02 | 1989-09-06 | Nec Corp | ユニット構成情報収集システム |
JPH02197901A (ja) * | 1989-01-27 | 1990-08-06 | Sharp Corp | プログラマブルコントローラにおけるi/oユニットの活線脱着装置 |
US5388156A (en) * | 1992-02-26 | 1995-02-07 | International Business Machines Corp. | Personal computer system with security features and method |
JP3556368B2 (ja) * | 1996-02-02 | 2004-08-18 | 株式会社東芝 | 発生警報データ収集装置 |
US5984504A (en) * | 1997-06-11 | 1999-11-16 | Westinghouse Electric Company Llc | Safety or protection system employing reflective memory and/or diverse processors and communications |
US7080249B1 (en) * | 2000-04-25 | 2006-07-18 | Microsoft Corporation | Code integrity verification that includes one or more cycles |
US7085934B1 (en) * | 2000-07-27 | 2006-08-01 | Mcafee, Inc. | Method and system for limiting processor utilization by a virus scanner |
US20030009687A1 (en) * | 2001-07-05 | 2003-01-09 | Ferchau Joerg U. | Method and apparatus for validating integrity of software |
EP1349033B1 (en) * | 2002-03-26 | 2004-03-31 | Soteres GmbH | A method of protecting the integrity of a computer program |
US7478431B1 (en) * | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
KR100568228B1 (ko) * | 2003-05-20 | 2006-04-07 | 삼성전자주식회사 | 고유번호를 이용한 프로그램 탬퍼 방지 방법과 난독처리된 프로그램 업그레이드 방법, 상기 방법을 위한 장치 |
US20050071668A1 (en) * | 2003-09-30 | 2005-03-31 | Yoon Jeonghee M. | Method, apparatus and system for monitoring and verifying software during runtime |
RU2265240C2 (ru) * | 2003-11-27 | 2005-11-27 | Общество с ограниченной ответственностью Научно-производственная фирма "КРУГ" (ООО НПФ "КРУГ") | Модуль системного контроля |
JP4619231B2 (ja) * | 2005-07-29 | 2011-01-26 | 株式会社ジェイテクト | 安全plc |
US20070067643A1 (en) * | 2005-09-21 | 2007-03-22 | Widevine Technologies, Inc. | System and method for software tamper detection |
US9177153B1 (en) * | 2005-10-07 | 2015-11-03 | Carnegie Mellon University | Verifying integrity and guaranteeing execution of code on untrusted computer platform |
RU2305313C1 (ru) * | 2005-12-27 | 2007-08-27 | Яков Аркадьевич Горбадей | Способ я.а. горбадея обеспечения надежной работы программного вычислительного средства |
US20070168680A1 (en) * | 2006-01-13 | 2007-07-19 | Lockheed Martin Corporation | Anti-tamper system |
CN100507775C (zh) * | 2006-03-13 | 2009-07-01 | 富士电机系统株式会社 | 可编程控制器的编程设备 |
US20080034350A1 (en) * | 2006-04-05 | 2008-02-07 | Conti Gregory R | System and Method for Checking the Integrity of Computer Program Code |
US8117512B2 (en) * | 2008-02-06 | 2012-02-14 | Westinghouse Electric Company Llc | Failure detection and mitigation in logic circuits |
WO2009128905A1 (en) * | 2008-04-17 | 2009-10-22 | Siemens Energy, Inc. | Method and system for cyber security management of industrial control systems |
JP5297858B2 (ja) * | 2009-03-27 | 2013-09-25 | 株式会社日立製作所 | 監視制御システム |
JP5422448B2 (ja) * | 2010-03-10 | 2014-02-19 | 株式会社東芝 | 制御装置 |
US9392017B2 (en) * | 2010-04-22 | 2016-07-12 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for inhibiting attacks on embedded devices |
US20110313580A1 (en) * | 2010-06-17 | 2011-12-22 | Levgenii Bakhmach | Method and platform to implement safety critical systems |
JP2012013581A (ja) * | 2010-07-01 | 2012-01-19 | Mitsubishi Heavy Ind Ltd | 原子力プラントの運転監視装置 |
US20120297461A1 (en) * | 2010-12-02 | 2012-11-22 | Stephen Pineau | System and method for reducing cyber crime in industrial control systems |
RU2470349C1 (ru) * | 2011-05-31 | 2012-12-20 | Закрытое акционерное общество "Особое Конструкторское Бюро Систем Автоматизированного Проектирования" | Способ защиты от несанкционированного доступа к информации, хранимой в компьютерных системах |
US9405283B1 (en) * | 2011-09-22 | 2016-08-02 | Joseph P. Damico | Sensor sentinel computing device |
US8522091B1 (en) * | 2011-11-18 | 2013-08-27 | Xilinx, Inc. | Prioritized detection of memory corruption |
-
2013
- 2013-02-06 DE DE102013201937.8A patent/DE102013201937A1/de not_active Ceased
-
2014
- 2014-01-30 RU RU2015136871A patent/RU2647684C2/ru active
- 2014-01-30 EP EP14705055.3A patent/EP2954534B1/de active Active
- 2014-01-30 JP JP2015555708A patent/JP6437457B2/ja active Active
- 2014-01-30 WO PCT/EP2014/051837 patent/WO2014122063A1/de active Application Filing
- 2014-01-30 CN CN201480007833.9A patent/CN105074833B/zh active Active
- 2014-01-30 BR BR112015018466-9A patent/BR112015018466B1/pt active IP Right Grant
- 2014-01-30 PL PL14705055T patent/PL2954534T3/pl unknown
- 2014-01-30 ES ES14705055.3T patent/ES2629499T3/es active Active
-
2015
- 2015-08-06 US US14/819,637 patent/US20150340111A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP2954534A1 (de) | 2015-12-16 |
BR112015018466B1 (pt) | 2022-03-22 |
PL2954534T3 (pl) | 2017-09-29 |
JP6437457B2 (ja) | 2018-12-12 |
WO2014122063A1 (de) | 2014-08-14 |
RU2015136871A (ru) | 2017-03-14 |
BR112015018466A2 (pt) | 2017-07-18 |
US20150340111A1 (en) | 2015-11-26 |
CN105074833B (zh) | 2018-01-02 |
JP2016505183A (ja) | 2016-02-18 |
CN105074833A (zh) | 2015-11-18 |
EP2954534B1 (de) | 2017-03-29 |
RU2647684C2 (ru) | 2018-03-16 |
DE102013201937A1 (de) | 2014-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2629499T3 (es) | Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear | |
ES2701702T3 (es) | Procedimiento y entorno de ejecución para la ejecución asegurada de instrucciones de programa | |
ES2866885T3 (es) | Sistema y procedimiento para la vigilancia protegida criptográficamente de al menos un componente de un aparato o de una instalación | |
CN103140841B (zh) | 保护存储器的部分的方法和装置 | |
US9990245B2 (en) | Electronic device having fault monitoring for a memory and associated methods | |
ES2807605T3 (es) | Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual | |
US8271932B2 (en) | Hierarchical error injection for complex RAIM/ECC design | |
CN103294505B (zh) | 医学设备以及用于检验医学设备的检验系统、方法和装置 | |
ES2634822T3 (es) | Almacenamiento de sistema de seguridad de datos persistentes | |
CN105843699A (zh) | 用于错误监视与校正的动态随机存取存储器设备与方法 | |
JP2014035730A (ja) | 車両用制御装置 | |
CN105122214A (zh) | 对非易失性存储器中损坏的系统数据的修复 | |
ES2414435T3 (es) | Ejecución controlada de un programa por un soporte portátil de datos | |
ES2351259T3 (es) | Dispositivo de protección para una unidad programable de proceso de datos. | |
US20150185268A1 (en) | Monitoring Device for Monitoring a Circuit | |
ES2781853T3 (es) | Instalación de quemador con un dispositivo de seguridad | |
BR102015016943A2 (pt) | sistema, método e meio legível por computador | |
US10191793B2 (en) | Microprocessor device with reset timer | |
JP2014530418A (ja) | 安全鍵自己生成 | |
JP6779032B2 (ja) | ガスメータ | |
JP2016066344A (ja) | メモリ診断回路 | |
ES2639814T3 (es) | Sistema de supervisión y control del sistema de alimentación que tiene función de supervisión de cálculo dependiente de subprocesos | |
US10749547B2 (en) | Error detector and/or corrector checker method and apparatus | |
ES2333189B1 (es) | Procedimiento corrector para un micro-procesador reprogramable. | |
ES2513665T3 (es) | Procedimiento de enmascaramiento del paso al fin de la vida útil de un dispositivo electrónico y dispositivo que comprende un módulo de control correspondiente |