ES2711726T3 - Sistema informático de seguridad de tipo relevante - Google Patents

Sistema informático de seguridad de tipo relevante Download PDF

Info

Publication number
ES2711726T3
ES2711726T3 ES16708372T ES16708372T ES2711726T3 ES 2711726 T3 ES2711726 T3 ES 2711726T3 ES 16708372 T ES16708372 T ES 16708372T ES 16708372 T ES16708372 T ES 16708372T ES 2711726 T3 ES2711726 T3 ES 2711726T3
Authority
ES
Spain
Prior art keywords
memory control
channels
channel
output
control results
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16708372T
Other languages
English (en)
Inventor
Waldemar Harsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Application granted granted Critical
Publication of ES2711726T3 publication Critical patent/ES2711726T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

Sistema informático de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware (A; B), en donde los resultados de control de memoria de los canales (A; B) son enviados al menos a un comparador (3), el cual da como salida una respuesta de error (4) cuando los resultados de control de memoria no coinciden; caracterizado porque cada canal (A; B) presenta al menos dos programas de software diversitarios creados por compiladores (X, Y), cuyos resultados de control de memoria (XA, YA; YB, XB) son enviados al comparador (3); en donde los resultados de control de memoria (XA; XB) del primer programa de software del primer y del segundo canal (A; B) se comparan entre sí y los resultados de control de memoria (YA; YB) del segundo programa de software del primer y del segundo canal (A; B) se comparan entre sí.

Description

DESCRIPCION
Sistema informatico de seguridad de tipo relevante
Conforme a la reivindicacion 1, la presente invencion hace referencia a un sistema informatico de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware; en donde los resultados de control de memoria de los canales son enviados al menos a un comparador, el cual da como salida una respuesta de error cuando los resultados de control de memoria no coinciden.
La siguiente descripcion se refiere fundamentalmente a un sistema de seguridad ferroviario, sin que por ello la invencion este restringida a esta aplicacion especial. Por el contrario, la invencion puede ser utilizada para diferentes sistemas informaticos de seguridad de tipo relevante, por ejemplo para procesos de fabricacion industrial o para vehiculos de todo tipo.
Los sistemas de seguridad ferroviarios deben cumplir requisitos de tecnica de seguridad muy altos; en donde cada vez mas esta preestablecido el nivel mas alto de seguridad SIL 4. Los niveles de seguridad estan definidos por la Norma CENELEC EN50129, que van desde SIL 0 (no seguro desde el punto de vista de la tecnica de senalizacion) hasta SIL 4 (en alto grado seguro desde el punto de vista de la tecnica de senalizacion). Entre los sistemas de seguridad de tipo relevante estan incluidos aqui tambien subsistemas cuyo comportamiento de errores pueden ser considerados por separado. Por ejemplo, la activacion de una senal luminosa individual en una via ferrea puede representar un sistema de seguridad de tipo relevante.
Al concepto de seguridad de sistemas informaticos, corresponde segun la norma CENELEC EN50128 junto a la pluralidad de canales del hardware, tambien un control de memoria; en donde, o bien directamente el contenido almacenado, o sea el campo de codigos y datos relevante, inclusive las pilas, o bien las sumas de verificacion formadas a partir de ello, conforman los resultados de control de memoria de los canales individuales, los cuales se comparan y ante una diferencia dan como salida una respuesta de error. La comparabilidad de los resultados de control de memoria supone que en todos los canales opera el mismo software. Para determinar con seguridad que efectivamente existe una igualdad de software, los correspondientes compiladores deben validar los canales individuales. La validacion de un compilador nuevo implica tiempos y costes extremadamente considerables. A ello, se le suman costes anuales de mantenimiento durante el ciclo de innovacion para nuevos compiladores. Hasta ahora, el uso de compiladores diversitarios no es posible porque los compiladores diversitarios generan diferentes disenos de memoria, de modo que los resultados de control de memoria de los canales no pueden ser comparados unos con otros.
El documento D1 = DE 102011 053580 A1 revela un ordenador y una arquitectura funcional conforme a los cuales los valores de entrada se envian de manera paralela a una ruta de control, la cual contiene modulos funcionales de software individuales; y a una ruta de vigilancia, la cual esta estructurada correspondientemente diversitaria. La ruta de vigilancia implementa un modulo funcional SW correspondientemente diversitario con respecto al modulo funcional SW original; en donde se utiliza un algoritmo diferente al de la ruta de control. Mediante un comparador de nucleos implementado en hardware, se comparan a nivel de procesador las diferencias de calculo granulares de ambos nucleos. Si mediante el comparador de nucleos se establece alguna diferencia, entonces se produce una desconexion de sistema del sistema total.
Conforme a esto, la presente invencion tiene por objeto sugerir un sistema informatico de seguridad de tipo relevante, de la clase mencionada en la introduccion, que posibilite el uso de compiladores diversitarios.
Conforme a la invencion, el objeto se resuelve porque cada canal presenta al menos dos programas de software diversitarios creados por compiladores, cuyos resultados de control de memoria son enviados al comparador; en donde los resultados de control de memoria del primer programa de software del primer y del segundo canal se comparan entre si; y los resultados de control de memoria del segundo programa de software del primer y del segundo canal se comparan entre si.
De esta manera, se generan resultados de control de memoria comparables en al menos dos canales del sistema informatico de seguridad de tipo relevante, tambien en el uso de programas de software diversitarios creados por al menos dos compiladores. Se suprimen los tiempos y los costos de validacion para asegurar que los programas de software son identicos. En el caso de un sistema de dos canales, estan proporcionados por ejemplo dos programas de software creados por compiladores diversitarios, cuyos resultados de control de memoria se comparan cuasi transversalmente entre si. En este caso, los resultados de control de memoria del primer programa de software que opera en el primer canal se comparan con los resultados de control de memoria del primer programa de software que opera en el segundo canal; y los resultados de control de memoria del segundo programa de software que opera en el primer canal se comparan con los resultados de control de memoria del segundo programa de software que opera en el segundo canal.
Conforme a la reivindicacion 2, esta previsto que cada canal y cada programa de software presenten precisamente un modulo de salida comun; en donde los modulos de salida comun de todos los canales esten conectados con un comparador de salida. Esto significa que el primer canal emite solo los datos traducidos por el primer compilador, y el segundo canal emite solo los datos traducidos con el segundo compilador. Los datos en el primer canal, traducidos por el segundo compilador, y los datos en el segundo canal, traducidos por el primer compilador estan conectados con un pequeno modulo de salida. Por el contrario, estos datos se suprimen con una funcion vacia (dummy), de modo que esta garantizado que no es posible generar una informacion de salida con un unico canal que pudiera ser interpretada de manera fiable como una tecnica de senalizacion. Los modulos de salida, por su parte, no tienen que ser controlados por separado, ya que dichos modulos solo tienen una funcion de salida y no generan datos de seguridad de tipo relevante, cuya alteracion podria tener peligrosas repercusiones.
A continuacion, la presente invencion se explica en detalle mediante un ejemplo de ejecucion representado figurativamente.
La figura muestra esquematicamente los componentes mas importantes de un sistema informatico de seguridad de tipo relevante.
Esta representado un sistema informatico con dos canales A y B, los cuales presentan respectivamente una unidad central de procesamiento CPU y un sistema operativo Tipo A, o bien Tipo B. Ambos canales A y B procesan los mismos datos de entrada 1 y frente a un procesamiento de datos sin errores, los compilan en datos de salida 2 identicos. En el caso de los datos de entrada 1 se puede tratar por ejemplo del estado de elemento de elementos de campo, como agujas, senales, pasos a nivel etc. de un sistema de seguridad ferroviario, los cuales se compilan en ambos canales A y B en datos de salida 2 para indicar los estados de elemento en un monitor con seguridad desde el punto de vista de la tecnica e senalizacion, o sea SIL 4. Para ello, cada canal A y B estan provistos de programas de software diversitarios, los cuales se crean por un compilador X y por un segundo compilador Y. Los compiladores X e Y generan resultados de control de memoria Xa, Ya y Yb, Xb en los dos canales A y B. Los resultados de control de memoria Xa , Ya, Yb, y Xb, por ejemplo sumas de verificacion, se envian a un comparador SIL 4 3. El mismo realiza una comparacion de los resultados de control de memoria Xa y Xb con respecto al primer programa de software del compilador 1; y una comparacion de los resultados de control de memoria YA y YB con respecto al segundo programa de software del compilador Y. Ante una diferencia de los datos de control de memoria Xa y Xb con respecto al primer programa de software, creado por el compilador X, y/o de los datos de control de memoria Ya y Yb con respecto al segundo programa de software, creado por el compilador Y, se presenta un error de procesamiento de datos en el primer canal A y/o en el segundo canal B, de modo que el comparador 3 genera, a traves de una reaccion en ambos canales A y B, una respuesta de error 4 del sistema informatico de seguridad de tipo relevante, preferentemente una desconexion segura desde el punto de vista de la tecnica de senalizacion. Si el comparador 3 detecta un procesamiento de datos sin error en ambos canales A y B, entonces un modulo de salida Xsalida del primer programa de software, generado mediante el compilador X, del primer canal A y un modulo de salida Ysalida del segundo programa de software, generado mediante el compilador y, del segundo canal B generan respectivamente informaciones de salida, las cuales son enviadas a un comparador de salida 5 y ante una coincidencia forman los datos de salida. Los otros dos programas de software, o sea el del segundo compilador Y en el primer canal A y el del primer compilador X en el segundo canal B, no generan datos de salida, sino que sirven solamente para la comparacion de los resultados de control de memoria Ya y Xb con los resultados de control de memoria Xa y Yb generados respectivamente por el otro canal B y A. De esta manera, se presenta la posibilidad de utilizar programas de software diversitarios en compiladores X y Y, por lo cual se puede suprimir una validacion de compilador extremadamente costosa.

Claims (2)

REIVINDICACIONES
1. Sistema informatico de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware (A; B), en donde los resultados de control de memoria de los canales (A; B) son enviados al menos a un comparador (3), el cual da como salida una respuesta de error (4) cuando los resultados de control de memoria no coinciden;
caracterizado porque cada canal (A; B) presenta al menos dos programas de software diversitarios creados por compiladores (X, Y), cuyos resultados de control de memoria (Xa, Ya ; Yb, Xb) son enviados al comparador (3); en donde los resultados de control de memoria (Xa ; Xb) del primer programa de software del primer y del segundo canal (A; B) se comparan entre si y los resultados de control de memoria (Ya ; Yb) del segundo programa de software del primer y del segundo canal (A; B) se comparan entre si.
2. Sistema informatico de seguridad de tipo relevante segun la reivindicacion 1, caracterizado porque cada canal (A; B) y cada programa de software presentan precisamente un modulo de salida (Xsalida; Ysalida) comun; en donde los modulos de salida comun (Xsalida; Ysalida) de todos los canales (A; B) estan conectados con un comparador de salida (5).
ES16708372T 2015-03-11 2016-02-22 Sistema informático de seguridad de tipo relevante Active ES2711726T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015204337.1A DE102015204337A1 (de) 2015-03-11 2015-03-11 Sicherheitsrelevantes Computersystem
PCT/EP2016/053647 WO2016142159A1 (de) 2015-03-11 2016-02-22 Sicherheitsrelevantes computersystem

Publications (1)

Publication Number Publication Date
ES2711726T3 true ES2711726T3 (es) 2019-05-07

Family

ID=55484958

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16708372T Active ES2711726T3 (es) 2015-03-11 2016-02-22 Sistema informático de seguridad de tipo relevante

Country Status (6)

Country Link
US (1) US10489228B2 (es)
EP (1) EP3245591B1 (es)
CN (1) CN107430539B (es)
DE (1) DE102015204337A1 (es)
ES (1) ES2711726T3 (es)
WO (1) WO2016142159A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2019206B1 (en) * 2017-07-10 2019-01-16 Vialis B V Control system for a railway crossing
US10558539B2 (en) * 2017-09-28 2020-02-11 GM Global Technology Operations LLC Methods and systems for testing components of parallel computing devices

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3120387B2 (ja) * 1992-08-04 2000-12-25 ユニデン株式会社 コードレス電話装置
US5551047A (en) 1993-01-28 1996-08-27 The Regents Of The Univeristy Of California Method for distributed redundant execution of program modules
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
DE102008043374A1 (de) * 2008-10-31 2010-05-06 Robert Bosch Gmbh Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System
DE102010031282B4 (de) * 2010-07-13 2022-05-12 Robert Bosch Gmbh Verfahren zum Überwachen eines Datenspeichers
DE102011108077A1 (de) * 2010-08-13 2012-03-22 Lfk-Lenkflugkörpersysteme Gmbh Verfahren zur Speicherplatzverwaltung in einem multitaskingfähigen Datenverarbeitungssystem
DE102011086530A1 (de) 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur
US9221492B2 (en) 2011-09-14 2015-12-29 Robert Bosch Automotive Steering Gmbh Method for operating an electrical power steering mechanism
DE102011053580A1 (de) * 2011-09-14 2013-03-14 Zf Lenksysteme Gmbh Verfahren zum betrieb einer elektrischen hilfskraftlenkung
FR2992749B1 (fr) * 2012-06-29 2014-08-08 Technicatome Procede de traitement de donnees en securite, et calculateur associe
JP6044316B2 (ja) * 2012-12-12 2016-12-14 株式会社デンソー 車載電子制御装置
JP2015022516A (ja) * 2013-07-19 2015-02-02 ソニー株式会社 記憶制御装置、記憶装置、情報処理システムおよび記憶制御方法

Also Published As

Publication number Publication date
CN107430539A (zh) 2017-12-01
EP3245591B1 (de) 2018-11-21
CN107430539B (zh) 2020-09-25
DE102015204337A1 (de) 2016-09-15
US10489228B2 (en) 2019-11-26
WO2016142159A1 (de) 2016-09-15
EP3245591A1 (de) 2017-11-22
US20180046531A1 (en) 2018-02-15

Similar Documents

Publication Publication Date Title
CN107430540B (zh) 用于硬件验证的运行时间ecc错误注入方案
ES2807605T3 (es) Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual
ES2711726T3 (es) Sistema informático de seguridad de tipo relevante
ES2709124T3 (es) Procedimiento de autentificación de datos y aparato para el mismo
BR112018008988A2 (pt) método e sistema para uso de um protocolo de confiança em uma rede de processamento de transações
ES2341051T3 (es) Procedimiento y sistema de control remoto inalambrico de locomotora utilizando numeracion de secuencia implicita de mensajes.
BR112018010196A2 (pt) separação de link e correção de erro de arranjo em um sistema de memória
BR112012026233A2 (pt) Sistema de tratamento por radiação
ES2311888T3 (es) Procedimiento para el calculo seguro de resultados en un sistema microprocesador.
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
CA2952045C (en) System, method, and apparatus for generating vital messages on an on-board system of a vehicle
AR050021A1 (es) Un metodo para proveer acceso a contenido encriptado a uno de una pluralidad de sistemas de consumidor, un dispositivo para proveer acceso al contenido encriptado y un metodo para generar un paquete de contenido seguro
BRPI0702576B8 (pt) sistema cirúrgico oftálmico
WO2009089313A3 (en) Methods and systems for vital bus architecture
JP7018864B2 (ja) 半導体装置及びその制御方法
DE502008002533D1 (de) Integriertes mikroprozessorsystem für sicherheitskritische regelungen
ES2953389T3 (es) Procedimiento y dispositivo para incrementar la disponibilidad de una instalación de control de ocupación de la vía
DK1848619T3 (da) Bremseindretning til et skinneköretöj
ES2643139A1 (es) Sistema de montaje de radares en vehículos
ES2280805T3 (es) Procedimiento para la formacion de firma y transmision de datos.
CN102831028A (zh) 基于数据总线的ecc纠错方法及系统
ES2780902T3 (es) Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas
ES2629499T3 (es) Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear
US10114685B2 (en) System and method for error detection of executed program code employing compressed instruction signatures
ES2813125T3 (es) Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras