ES2711726T3 - Sistema informático de seguridad de tipo relevante - Google Patents
Sistema informático de seguridad de tipo relevante Download PDFInfo
- Publication number
- ES2711726T3 ES2711726T3 ES16708372T ES16708372T ES2711726T3 ES 2711726 T3 ES2711726 T3 ES 2711726T3 ES 16708372 T ES16708372 T ES 16708372T ES 16708372 T ES16708372 T ES 16708372T ES 2711726 T3 ES2711726 T3 ES 2711726T3
- Authority
- ES
- Spain
- Prior art keywords
- memory control
- channels
- channel
- output
- control results
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
Sistema informático de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware (A; B), en donde los resultados de control de memoria de los canales (A; B) son enviados al menos a un comparador (3), el cual da como salida una respuesta de error (4) cuando los resultados de control de memoria no coinciden; caracterizado porque cada canal (A; B) presenta al menos dos programas de software diversitarios creados por compiladores (X, Y), cuyos resultados de control de memoria (XA, YA; YB, XB) son enviados al comparador (3); en donde los resultados de control de memoria (XA; XB) del primer programa de software del primer y del segundo canal (A; B) se comparan entre sí y los resultados de control de memoria (YA; YB) del segundo programa de software del primer y del segundo canal (A; B) se comparan entre sí.
Description
DESCRIPCION
Sistema informatico de seguridad de tipo relevante
Conforme a la reivindicacion 1, la presente invencion hace referencia a un sistema informatico de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware; en donde los resultados de control de memoria de los canales son enviados al menos a un comparador, el cual da como salida una respuesta de error cuando los resultados de control de memoria no coinciden.
La siguiente descripcion se refiere fundamentalmente a un sistema de seguridad ferroviario, sin que por ello la invencion este restringida a esta aplicacion especial. Por el contrario, la invencion puede ser utilizada para diferentes sistemas informaticos de seguridad de tipo relevante, por ejemplo para procesos de fabricacion industrial o para vehiculos de todo tipo.
Los sistemas de seguridad ferroviarios deben cumplir requisitos de tecnica de seguridad muy altos; en donde cada vez mas esta preestablecido el nivel mas alto de seguridad SIL 4. Los niveles de seguridad estan definidos por la Norma CENELEC EN50129, que van desde SIL 0 (no seguro desde el punto de vista de la tecnica de senalizacion) hasta SIL 4 (en alto grado seguro desde el punto de vista de la tecnica de senalizacion). Entre los sistemas de seguridad de tipo relevante estan incluidos aqui tambien subsistemas cuyo comportamiento de errores pueden ser considerados por separado. Por ejemplo, la activacion de una senal luminosa individual en una via ferrea puede representar un sistema de seguridad de tipo relevante.
Al concepto de seguridad de sistemas informaticos, corresponde segun la norma CENELEC EN50128 junto a la pluralidad de canales del hardware, tambien un control de memoria; en donde, o bien directamente el contenido almacenado, o sea el campo de codigos y datos relevante, inclusive las pilas, o bien las sumas de verificacion formadas a partir de ello, conforman los resultados de control de memoria de los canales individuales, los cuales se comparan y ante una diferencia dan como salida una respuesta de error. La comparabilidad de los resultados de control de memoria supone que en todos los canales opera el mismo software. Para determinar con seguridad que efectivamente existe una igualdad de software, los correspondientes compiladores deben validar los canales individuales. La validacion de un compilador nuevo implica tiempos y costes extremadamente considerables. A ello, se le suman costes anuales de mantenimiento durante el ciclo de innovacion para nuevos compiladores. Hasta ahora, el uso de compiladores diversitarios no es posible porque los compiladores diversitarios generan diferentes disenos de memoria, de modo que los resultados de control de memoria de los canales no pueden ser comparados unos con otros.
El documento D1 = DE 102011 053580 A1 revela un ordenador y una arquitectura funcional conforme a los cuales los valores de entrada se envian de manera paralela a una ruta de control, la cual contiene modulos funcionales de software individuales; y a una ruta de vigilancia, la cual esta estructurada correspondientemente diversitaria. La ruta de vigilancia implementa un modulo funcional SW correspondientemente diversitario con respecto al modulo funcional SW original; en donde se utiliza un algoritmo diferente al de la ruta de control. Mediante un comparador de nucleos implementado en hardware, se comparan a nivel de procesador las diferencias de calculo granulares de ambos nucleos. Si mediante el comparador de nucleos se establece alguna diferencia, entonces se produce una desconexion de sistema del sistema total.
Conforme a esto, la presente invencion tiene por objeto sugerir un sistema informatico de seguridad de tipo relevante, de la clase mencionada en la introduccion, que posibilite el uso de compiladores diversitarios.
Conforme a la invencion, el objeto se resuelve porque cada canal presenta al menos dos programas de software diversitarios creados por compiladores, cuyos resultados de control de memoria son enviados al comparador; en donde los resultados de control de memoria del primer programa de software del primer y del segundo canal se comparan entre si; y los resultados de control de memoria del segundo programa de software del primer y del segundo canal se comparan entre si.
De esta manera, se generan resultados de control de memoria comparables en al menos dos canales del sistema informatico de seguridad de tipo relevante, tambien en el uso de programas de software diversitarios creados por al menos dos compiladores. Se suprimen los tiempos y los costos de validacion para asegurar que los programas de software son identicos. En el caso de un sistema de dos canales, estan proporcionados por ejemplo dos programas de software creados por compiladores diversitarios, cuyos resultados de control de memoria se comparan cuasi transversalmente entre si. En este caso, los resultados de control de memoria del primer programa de software que opera en el primer canal se comparan con los resultados de control de memoria del primer programa de software que opera en el segundo canal; y los resultados de control de memoria del segundo programa de software que opera en el primer canal se comparan con los resultados de control de memoria del segundo programa de software que opera en el segundo canal.
Conforme a la reivindicacion 2, esta previsto que cada canal y cada programa de software presenten precisamente un modulo de salida comun; en donde los modulos de salida comun de todos los canales esten conectados con un comparador de salida. Esto significa que el primer canal emite solo los datos traducidos por el primer compilador, y el segundo canal emite solo los datos traducidos con el segundo compilador. Los datos en el primer canal, traducidos por el segundo compilador, y los datos en el segundo canal, traducidos por el primer compilador estan conectados con un pequeno modulo de salida. Por el contrario, estos datos se suprimen con una funcion vacia (dummy), de modo que esta garantizado que no es posible generar una informacion de salida con un unico canal que pudiera ser interpretada de manera fiable como una tecnica de senalizacion. Los modulos de salida, por su parte, no tienen que ser controlados por separado, ya que dichos modulos solo tienen una funcion de salida y no generan datos de seguridad de tipo relevante, cuya alteracion podria tener peligrosas repercusiones.
A continuacion, la presente invencion se explica en detalle mediante un ejemplo de ejecucion representado figurativamente.
La figura muestra esquematicamente los componentes mas importantes de un sistema informatico de seguridad de tipo relevante.
Esta representado un sistema informatico con dos canales A y B, los cuales presentan respectivamente una unidad central de procesamiento CPU y un sistema operativo Tipo A, o bien Tipo B. Ambos canales A y B procesan los mismos datos de entrada 1 y frente a un procesamiento de datos sin errores, los compilan en datos de salida 2 identicos. En el caso de los datos de entrada 1 se puede tratar por ejemplo del estado de elemento de elementos de campo, como agujas, senales, pasos a nivel etc. de un sistema de seguridad ferroviario, los cuales se compilan en ambos canales A y B en datos de salida 2 para indicar los estados de elemento en un monitor con seguridad desde el punto de vista de la tecnica e senalizacion, o sea SIL 4. Para ello, cada canal A y B estan provistos de programas de software diversitarios, los cuales se crean por un compilador X y por un segundo compilador Y. Los compiladores X e Y generan resultados de control de memoria Xa, Ya y Yb, Xb en los dos canales A y B. Los resultados de control de memoria Xa , Ya, Yb, y Xb, por ejemplo sumas de verificacion, se envian a un comparador SIL 4 3. El mismo realiza una comparacion de los resultados de control de memoria Xa y Xb con respecto al primer programa de software del compilador 1; y una comparacion de los resultados de control de memoria YA y YB con respecto al segundo programa de software del compilador Y. Ante una diferencia de los datos de control de memoria Xa y Xb con respecto al primer programa de software, creado por el compilador X, y/o de los datos de control de memoria Ya y Yb con respecto al segundo programa de software, creado por el compilador Y, se presenta un error de procesamiento de datos en el primer canal A y/o en el segundo canal B, de modo que el comparador 3 genera, a traves de una reaccion en ambos canales A y B, una respuesta de error 4 del sistema informatico de seguridad de tipo relevante, preferentemente una desconexion segura desde el punto de vista de la tecnica de senalizacion. Si el comparador 3 detecta un procesamiento de datos sin error en ambos canales A y B, entonces un modulo de salida Xsalida del primer programa de software, generado mediante el compilador X, del primer canal A y un modulo de salida Ysalida del segundo programa de software, generado mediante el compilador y, del segundo canal B generan respectivamente informaciones de salida, las cuales son enviadas a un comparador de salida 5 y ante una coincidencia forman los datos de salida. Los otros dos programas de software, o sea el del segundo compilador Y en el primer canal A y el del primer compilador X en el segundo canal B, no generan datos de salida, sino que sirven solamente para la comparacion de los resultados de control de memoria Ya y Xb con los resultados de control de memoria Xa y Yb generados respectivamente por el otro canal B y A. De esta manera, se presenta la posibilidad de utilizar programas de software diversitarios en compiladores X y Y, por lo cual se puede suprimir una validacion de compilador extremadamente costosa.
Claims (2)
1. Sistema informatico de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware (A; B), en donde los resultados de control de memoria de los canales (A; B) son enviados al menos a un comparador (3), el cual da como salida una respuesta de error (4) cuando los resultados de control de memoria no coinciden;
caracterizado porque cada canal (A; B) presenta al menos dos programas de software diversitarios creados por compiladores (X, Y), cuyos resultados de control de memoria (Xa, Ya ; Yb, Xb) son enviados al comparador (3); en donde los resultados de control de memoria (Xa ; Xb) del primer programa de software del primer y del segundo canal (A; B) se comparan entre si y los resultados de control de memoria (Ya ; Yb) del segundo programa de software del primer y del segundo canal (A; B) se comparan entre si.
2. Sistema informatico de seguridad de tipo relevante segun la reivindicacion 1, caracterizado porque cada canal (A; B) y cada programa de software presentan precisamente un modulo de salida (Xsalida; Ysalida) comun; en donde los modulos de salida comun (Xsalida; Ysalida) de todos los canales (A; B) estan conectados con un comparador de salida (5).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015204337.1A DE102015204337A1 (de) | 2015-03-11 | 2015-03-11 | Sicherheitsrelevantes Computersystem |
PCT/EP2016/053647 WO2016142159A1 (de) | 2015-03-11 | 2016-02-22 | Sicherheitsrelevantes computersystem |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2711726T3 true ES2711726T3 (es) | 2019-05-07 |
Family
ID=55484958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES16708372T Active ES2711726T3 (es) | 2015-03-11 | 2016-02-22 | Sistema informático de seguridad de tipo relevante |
Country Status (6)
Country | Link |
---|---|
US (1) | US10489228B2 (es) |
EP (1) | EP3245591B1 (es) |
CN (1) | CN107430539B (es) |
DE (1) | DE102015204337A1 (es) |
ES (1) | ES2711726T3 (es) |
WO (1) | WO2016142159A1 (es) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL2019206B1 (en) * | 2017-07-10 | 2019-01-16 | Vialis B V | Control system for a railway crossing |
US10558539B2 (en) * | 2017-09-28 | 2020-02-11 | GM Global Technology Operations LLC | Methods and systems for testing components of parallel computing devices |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3120387B2 (ja) * | 1992-08-04 | 2000-12-25 | ユニデン株式会社 | コードレス電話装置 |
US5551047A (en) | 1993-01-28 | 1996-08-27 | The Regents Of The Univeristy Of California | Method for distributed redundant execution of program modules |
DE102007032805A1 (de) * | 2007-07-10 | 2009-01-15 | Siemens Ag | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
DE102008043374A1 (de) * | 2008-10-31 | 2010-05-06 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System |
DE102010031282B4 (de) * | 2010-07-13 | 2022-05-12 | Robert Bosch Gmbh | Verfahren zum Überwachen eines Datenspeichers |
DE102011108077A1 (de) * | 2010-08-13 | 2012-03-22 | Lfk-Lenkflugkörpersysteme Gmbh | Verfahren zur Speicherplatzverwaltung in einem multitaskingfähigen Datenverarbeitungssystem |
DE102011086530A1 (de) | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
US9221492B2 (en) | 2011-09-14 | 2015-12-29 | Robert Bosch Automotive Steering Gmbh | Method for operating an electrical power steering mechanism |
DE102011053580A1 (de) * | 2011-09-14 | 2013-03-14 | Zf Lenksysteme Gmbh | Verfahren zum betrieb einer elektrischen hilfskraftlenkung |
FR2992749B1 (fr) * | 2012-06-29 | 2014-08-08 | Technicatome | Procede de traitement de donnees en securite, et calculateur associe |
JP6044316B2 (ja) * | 2012-12-12 | 2016-12-14 | 株式会社デンソー | 車載電子制御装置 |
JP2015022516A (ja) * | 2013-07-19 | 2015-02-02 | ソニー株式会社 | 記憶制御装置、記憶装置、情報処理システムおよび記憶制御方法 |
-
2015
- 2015-03-11 DE DE102015204337.1A patent/DE102015204337A1/de not_active Withdrawn
-
2016
- 2016-02-22 EP EP16708372.4A patent/EP3245591B1/de active Active
- 2016-02-22 US US15/556,211 patent/US10489228B2/en active Active
- 2016-02-22 CN CN201680014564.8A patent/CN107430539B/zh not_active Expired - Fee Related
- 2016-02-22 ES ES16708372T patent/ES2711726T3/es active Active
- 2016-02-22 WO PCT/EP2016/053647 patent/WO2016142159A1/de active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN107430539A (zh) | 2017-12-01 |
EP3245591B1 (de) | 2018-11-21 |
CN107430539B (zh) | 2020-09-25 |
DE102015204337A1 (de) | 2016-09-15 |
US10489228B2 (en) | 2019-11-26 |
WO2016142159A1 (de) | 2016-09-15 |
EP3245591A1 (de) | 2017-11-22 |
US20180046531A1 (en) | 2018-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107430540B (zh) | 用于硬件验证的运行时间ecc错误注入方案 | |
ES2807605T3 (es) | Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual | |
ES2711726T3 (es) | Sistema informático de seguridad de tipo relevante | |
ES2709124T3 (es) | Procedimiento de autentificación de datos y aparato para el mismo | |
BR112018008988A2 (pt) | método e sistema para uso de um protocolo de confiança em uma rede de processamento de transações | |
ES2341051T3 (es) | Procedimiento y sistema de control remoto inalambrico de locomotora utilizando numeracion de secuencia implicita de mensajes. | |
BR112018010196A2 (pt) | separação de link e correção de erro de arranjo em um sistema de memória | |
BR112012026233A2 (pt) | Sistema de tratamento por radiação | |
ES2311888T3 (es) | Procedimiento para el calculo seguro de resultados en un sistema microprocesador. | |
ES2333550T3 (es) | Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. | |
CA2952045C (en) | System, method, and apparatus for generating vital messages on an on-board system of a vehicle | |
AR050021A1 (es) | Un metodo para proveer acceso a contenido encriptado a uno de una pluralidad de sistemas de consumidor, un dispositivo para proveer acceso al contenido encriptado y un metodo para generar un paquete de contenido seguro | |
BRPI0702576B8 (pt) | sistema cirúrgico oftálmico | |
WO2009089313A3 (en) | Methods and systems for vital bus architecture | |
JP7018864B2 (ja) | 半導体装置及びその制御方法 | |
DE502008002533D1 (de) | Integriertes mikroprozessorsystem für sicherheitskritische regelungen | |
ES2953389T3 (es) | Procedimiento y dispositivo para incrementar la disponibilidad de una instalación de control de ocupación de la vía | |
DK1848619T3 (da) | Bremseindretning til et skinneköretöj | |
ES2643139A1 (es) | Sistema de montaje de radares en vehículos | |
ES2280805T3 (es) | Procedimiento para la formacion de firma y transmision de datos. | |
CN102831028A (zh) | 基于数据总线的ecc纠错方法及系统 | |
ES2780902T3 (es) | Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas | |
ES2629499T3 (es) | Dispositivo y procedimiento para detectar manipulaciones no autorizadas del estado del sistema de una unidad de control y regulación de una instalación nuclear | |
US10114685B2 (en) | System and method for error detection of executed program code employing compressed instruction signatures | |
ES2813125T3 (es) | Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras |