ES2807605T3 - Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual - Google Patents
Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual Download PDFInfo
- Publication number
- ES2807605T3 ES2807605T3 ES14761976T ES14761976T ES2807605T3 ES 2807605 T3 ES2807605 T3 ES 2807605T3 ES 14761976 T ES14761976 T ES 14761976T ES 14761976 T ES14761976 T ES 14761976T ES 2807605 T3 ES2807605 T3 ES 2807605T3
- Authority
- ES
- Spain
- Prior art keywords
- data
- software
- safety
- data device
- relevant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000009977 dual effect Effects 0.000 title description 2
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000012360 testing method Methods 0.000 claims abstract description 16
- 230000004048 modification Effects 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/368—Test management for test version control, e.g. updating test cases to a new software version
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/60—Testing or simulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Mechanical Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Stored Programmes (AREA)
Abstract
Procedimiento para el funcionamiento de un sistema crítico para la seguridad con al menos un primer dispositivo de datos (1) con un software aprobado y relevante para la seguridad (2) y con al menos un dispositivo de datos de referencia (4) con el mismo software aprobado y relevante para la seguridad (2), en el cual después de una prueba de conformidad del sistema el, al menos un, primer dispositivo de datos (1) está equipado con al menos un software adicional no relevante para la seguridad (8, 9, 10) y el, al menos un, dispositivo de datos de referencia (4) está bloqueado para modificaciones de software y todavía está equipado sólo con el software relevante para la seguridad (2), antes del envío de una información de datos relacionados con la seguridad (D) mediante un dispositivo de comparación (7) se verifica la coincidencia de las informaciones de salida (A1, Ar) del, al menos un, primer dispositivo de datos (1) y del, al menos un, dispositivo de datos de referencia (4) en referencia al software relevante para la seguridad (2) y si hay una coincidencia se envía la información de datos relativos a la seguridad (D).
Description
DESCRIPCIÓN
Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual
Se ha demostrado que es muy difícil o prácticamente imposible operar dispositivos de datos como, por ejemplo, computadoras personales, de tal manera que puedan funcionar sin huecos de seguridad identificables. De ello resultan problemas particulares cuando los dispositivos de datos pertenecen a un sistema crítico para la seguridad equipado con un software relevante y no relevante para la seguridad que debe ser probado en conformidad antes de su uso y aprobado en un procedimiento complejo, por ejemplo, en un sistema de seguridad de trenes o un dispositivo operativo de un sistema de enclavamiento. Después de ello, el software ya no se puede modificar. Esto se monitorea incluso automáticamente de acuerdo con el estado del arte y dichos sistemas se apagan automáticamente después de que se han detectado cambios. Cuando, después de la prueba y admisión de un sistema como este se presenta la necesidad de incorporar un software no relevante para la seguridad en dicho sistema mediante una actualización o un parche informático, entonces se debe utilizar un software aprobado, claramente identificable, o bien se debe realizar una nueva prueba para su admisión.
De la solicitud WO 03/047937 A1 se conoce un procedimiento para el control de un proceso operativo de ferrocarril crítico para la seguridad. Para la ejecución de este procedimiento se utiliza un dispositivo con un ordenador con tecnología de señal segura en el cual se implementa el software del sistema y con ordenadores comerciales sin tecnología de señales segura en los cuales está implementado un software específico de gestión ferroviaria. Allí, el ordenador seguro y los ordenadores comerciales están conectados a un sistema de comunicaciones a través del cual el ordenador seguro transmite órdenes de procesamiento a los ordenadores comerciales y recibe resultados y/o resultados intermedios desde ellos. Los ordenadores comerciales están configurados para ejecutar cada operación de procesamiento al menos dos veces de forma independiente entre sí. El ordenador seguro verifica con tecnología de señales segura la coincidencia de contenido de los resultados y/o de los resultados intermedios que le transmiten los ordenadores comerciales al menos en pares; en función del resultado de la prueba, el ordenador deriva comandos de control para los elementos del proceso e inicia su salida en el proceso a través de controladores provistos para ese propósito. Del lado del ordenador comercial están proporcionados mecanismos de verificación para la plausibilidad de las firmas de las salidas elaboradas por el mismo. Dichos mecanismos de verificación no se ejecutan con tecnología de señales segura. Por otro lado, del lado del ordenador con tecnología de señales segura están proporcionados mecanismos de verificación que se ejecutan con tecnología de señales segura.
El objeto de la presente invención consiste en especificar un procedimiento para el funcionamiento de un sistema crítico para la seguridad con el cual el sistema se pueda actualizar con costes comparativamente reducidos.
Para resolver dicho objeto resulta adecuado un procedimiento para el funcionamiento de un sistema crítico para la seguridad con al menos un primer dispositivo de datos con un software aprobado y relevante para la seguridad y con al menos un dispositivo de datos de referencia con el mismo software aprobado y relevante para la seguridad; en el cual después de una prueba de conformidad del sistema el, al menos un, primer dispositivo de datos está equipado con al menos un software adicional no relevante para la seguridad y el, al menos un, dispositivo de datos de referencia está bloqueado para modificaciones de software y todavía está equipado sólo con el software relevante para la seguridad; antes del envío de una información de datos relacionados con la seguridad mediante un dispositivo de comparación se verifica la coincidencia de las informaciones de salida del, al menos un, primer dispositivo de datos y del, al menos un, dispositivo de datos de referencia en referencia al software relevante para la seguridad y si hay una coincidencia se envía la información de datos relativos a la seguridad.
Una ventaja fundamental del procedimiento conforme a la invención consiste en que ofrece la posibilidad de actualizar o complementar con posterioridad en el sistema crítico para la seguridad, es decir, después de la admisión, un software no relevante para la seguridad sin necesidad de realizar una nueva prueba de conformidad con una nueva aprobación.
Para garantizar la seguridad resulta ventajoso en un sistema con una pluralidad de primeros dispositivos de datos y una pluralidad de dispositivos de datos de referencia, emitir informaciones de datos relacionados con la seguridad cuando una verificación de las informaciones de salida de los primeros dispositivos de datos y los dispositivos de datos de referencia con respecto al software relevante para la seguridad ha demostrado que existe una coincidencia en cada caso con respecto a una mayoría cualificada de los primeros dispositivos de datos y de los dispositivos de datos de referencia.
El procedimiento conforme a la invención ofrece la posibilidad ventajosa de utilizar un software de protección de datos como software adicional, el cual puede consistir, en particular, en un software de protección contra virus o contra programas malignos en general.
Además, el procedimiento conforme a la invención permite ventajosamente que se utilice un software externo como software adicional, que incluye, por ejemplo, un software disponible comercialmente, un software no desarrollado por el propio desarrollador del sistema crítico para la seguridad o un software no verificado.
En referencia al tipo del software no relevante para la seguridad, el procedimiento conforme a la invención no está sujeto a ninguna restricción.
En una forma de realización particularmente ventajosa del procedimiento conforme a la invención, antes de la prueba de conformidad, el, al menos un, primer dispositivo de datos está equipado con al menos un software adicional no relevante para la seguridad de tal manera que el programa y los datos están separados entre sí; en donde como datos se utilizan datos de prueba con un código; después de la prueba de conformidad, el, al menos un, primer dispositivo de datos es provisto de datos actualizados en el mismo programa usando el código después de la verificación de la validez de los datos actualizados. El código puede tratarse de una firma. Esta forma de realización del procedimiento conforme a la invención se caracteriza porque se evitan con gran fiabilidad perturbaciones en funcionamiento del sistema crítico para la seguridad actualizando el software adicional.
Esta forma de realización del procedimiento conforme a la invención también se puede utilizar independientemente de un sistema crítico para la seguridad con al menos un primer dispositivo de datos con software aprobado y relevante para la seguridad y con al menos un dispositivo de datos de referencia con el mismo software aprobado y relevante para la seguridad, es decir, también en un sistema crítico para la seguridad con un dispositivo de datos en el sentido del primer dispositivo de datos mencionado anteriormente o con múltiples dispositivos de datos.
Para la actualización sin alteraciones del software adicional también contribuye ventajosamente cuando, en el caso del software de protección de datos como software adicional, se garantiza que la funcionalidad del programa no pueda verse afectada por los datos.
En este mismo sentido resulta ventajoso cuando al utilizar el software adicional, la validez del código de los datos de dicho software adicional se verifica mediante el software relevante para la seguridad.
El sistema crítico para la seguridad puede consistir en sistemas de diversos tipos, incluidos entre otros, sistemas de seguridad de trenes o sistemas de control para enclavamientos. Resulta particularmente ventajoso cuando como sistema crítico para la seguridad se utiliza un sistema de seguridad de trenes y como al menos un primer dispositivo de datos se utiliza una computadora operativa y como dispositivo de comparación se usa un enclavamiento.
Para explicaciones adicionales de la invención, en la figura está representada esquemáticamente una disposición con un primer dispositivo de datos y un dispositivo de datos de referencia.
La figura muestra un primer dispositivo de datos 1, que puede consistir en una computadora operativa de un sistema de seguridad de trenes. El primer dispositivo de datos 1 contiene software aprobado y relevante para la seguridad 2. Un dispositivo de datos de referencia 4, que también está equipado con el software aprobado relevante para la seguridad 2, está conectado con el primer dispositivo de datos 1 a través de una conexión de datos 3.
El primer dispositivo de datos 1 está conectado, a través de un canal de datos 5 y el dispositivo de datos de referencia 4, a través de un canal de datos adicional 6 con un dispositivo de comparación 7, cuya función es asumida en un sistema de seguridad de trenes por un enclavamiento que no está representado, u otro comparador orientado a la seguridad.
Para una descripción más detallada del procedimiento conforme a la invención, se supone que la disposición recién descrita ha sido sometida a una prueba de conformidad y a una aprobación en este estado. Cuando dicha disposición se equipa posteriormente, por ejemplo, con un software adicional 8 en forma de un programa antivirus, entonces el dispositivo de datos de referencia 4 se bloquea en simultáneo para modificaciones de software; el mismo todavía sólo está equipado con un software relevante para la seguridad 2.
Cuando el dispositivo de comparación 7 debe emitir información de datos relacionados con la seguridad D, entonces las informaciones de salida A1 y Ar del primer dispositivo de datos y del dispositivo de datos de referencia 4 son registradas previamente por el dispositivo de comparación 7; dichas informaciones de salida A1 y Ar se verifican en referencia al software 2 relevante para la seguridad, y cuando el software 2 relevante para la seguridad coincide se emite la información de datos relacionados con la seguridad D.
Además del software adicional no relevante 8, el primer dispositivo de datos también puede estar provisto de otro software adicional no relevante para la seguridad 9, que en el caso de un sistema de seguridad de trenes puede ser, por ejemplo, cualquier software para el monitoreo de video de un sistema de estación de trenes, o de otro software adicional 10, que puede representar un software para el sistema de monitoreo de los pasos a nivel.
En este caso, el primer dispositivo de datos 1 se puede equipar con el respectivo software adicional 8, 9 y 10 de una manera no mostrada de tal modo que el programa y los correspondientes datos estén respectivamente separados. Antes de la prueba de conformidad o admisión, los respectivos programas están almacenados en el primer dispositivo de datos 1 con datos de prueba y un código. Lo mismo resulta válido, por supuesto, para el software 2 relevante para la seguridad en referencia al primer dispositivo de datos 1 y al dispositivo de datos de referencia 4. Cuando, después de la prueba de conformidad, el primer dispositivo de datos debe actualizarse con respecto, por ejemplo, al software adicional 8, entonces el primer dispositivo de datos 1 recibe datos actualizados con respecto a dicho software. Allí, el código se utiliza de manera independiente de la transferencia de los datos actualizados y se verifica en referencia a la coincidencia. También se verifica la validez de los datos actualizados. De esta manera se garantiza que los datos del software adicional no puedan modificar la funcionalidad del programa del software adicional.
El software adicional también se puede actualizar siempre y cuando se garantice que la actualización no pueda anular los mecanismos de seguridad descritos previamente, en particular, cuando se puede excluir una influencia en el dispositivo de referencia 4 a través de la conexión de datos 3.
Claims (8)
1. Procedimiento para el funcionamiento de un sistema crítico para la seguridad con al menos un primer dispositivo de datos (1) con un software aprobado y relevante para la seguridad (2) y con al menos un dispositivo de datos de referencia (4) con el mismo software aprobado y relevante para la seguridad (2), en el cual después de una prueba de conformidad del sistema el, al menos un, primer dispositivo de datos (1) está equipado con al menos un software adicional no relevante para la seguridad (8, 9, 10) y el, al menos un, dispositivo de datos de referencia (4) está bloqueado para modificaciones de software y todavía está equipado sólo con el software relevante para la seguridad (2), antes del envío de una información de datos relacionados con la seguridad (D) mediante un dispositivo de comparación (7) se verifica la coincidencia de las informaciones de salida (A1, Ar) del, al menos un, primer dispositivo de datos (1) y del, al menos un, dispositivo de datos de referencia (4) en referencia al software relevante para la seguridad (2) y si hay una coincidencia se envía la información de datos relativos a la seguridad (D).
2. Procedimiento según la reivindicación 1,
caracterizado porque,
en el caso de una pluralidad de primeros dispositivos de datos y una pluralidad de dispositivos de datos de referencia, se emiten informaciones de datos relacionados con la seguridad cuando una verificación de las informaciones de salida de los primeros dispositivos de datos y los dispositivos de datos de referencia con respecto al software relevante para la seguridad ha demostrado que existe una coincidencia en cada caso con respecto a una mayoría cualificada de los primeros dispositivos de datos y de los dispositivos de datos de referencia.
3. Procedimiento según la reivindicación 1 ó 2,
caracterizado porque,
como software adicional se utiliza un software de protección de datos (8).
4. Procedimiento según una de las reivindicaciones precedentes,
caracterizado porque,
como software adicional se utiliza un software externo (9,10).
5. Procedimiento según una de las reivindicaciones precedentes,
caracterizado porque,
antes de la prueba de conformidad, el, al menos un, primer dispositivo de datos está equipado con al menos un software adicional no relevante para la seguridad de tal manera que el programa y los datos están separados entre sí; en donde como datos se utilizan datos de prueba con un código y, después de la prueba de conformidad, el, al menos un, primer dispositivo de datos es provisto de datos actualizados en el mismo programa usando el código después de la verificación de la validez de los datos actualizados.
6. Procedimiento según la reivindicación 5,
caracterizado porque,
cuando se utiliza el software adicional, la validez del código de los datos de dicho software adicional se verifica mediante el software relevante para la seguridad.
7. Procedimiento según una de las reivindicaciones 5 ó 6,
caracterizado porque,
para la actualización del software adicional (8, 9, 10), el primer dispositivo de datos (1) es provisto de datos actualizados de dicho software adicional utilizando el código de manera independiente de la transferencia de los datos actualizados.
8. Procedimiento según una de las reivindicaciones precedentes,
caracterizado porque,
como sistema crítico para la seguridad se utiliza un sistema de seguridad de trenes y como al menos un primer dispositivo de datos se utiliza una computadora operativa y como dispositivo de comparación se utiliza un enclavamiento.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013218814.5A DE102013218814A1 (de) | 2013-09-19 | 2013-09-19 | Verfahren zum Betreiben eines sicherheitskritischen Systems |
| PCT/EP2014/068843 WO2015039878A1 (de) | 2013-09-19 | 2014-09-04 | Software aktualisierung von non-kritischen komponenten in dual sicherheitskritischen verteilten systemen |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2807605T3 true ES2807605T3 (es) | 2021-02-23 |
Family
ID=51535419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES14761976T Active ES2807605T3 (es) | 2013-09-19 | 2014-09-04 | Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10229036B2 (es) |
| EP (1) | EP3027483B1 (es) |
| CN (1) | CN105555638B (es) |
| DE (1) | DE102013218814A1 (es) |
| DK (1) | DK3027483T3 (es) |
| ES (1) | ES2807605T3 (es) |
| WO (1) | WO2015039878A1 (es) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016205119A1 (de) * | 2016-03-29 | 2017-10-05 | Siemens Aktiengesellschaft | System zur Steuerung von Stellwerken im Bahnverkehr |
| EP3312073B1 (de) * | 2016-10-21 | 2023-08-23 | Schweizerische Bundesbahnen SBB | Verfahren zur prüfung eines eisenbahnsystems und eisenbahnsystem |
| DE102018120347A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| US11561873B2 (en) | 2019-09-26 | 2023-01-24 | General Electric Company | Test equipment interface add-on having a production support equipment module and a selectively removable test support equipment module |
| US20220238204A1 (en) * | 2021-01-25 | 2022-07-28 | Solsten, Inc. | Systems and methods to link psychological parameters across various platforms |
| DE102021201830A1 (de) * | 2021-02-26 | 2022-09-01 | Siemens Mobility GmbH | Verfahren zur Konfiguration einer Steuerungssoftware bei einem Schienenfahrzeug |
| US11646122B2 (en) | 2021-05-20 | 2023-05-09 | Solsten, Inc. | Systems and methods to facilitate adjusting content to facilitate therapeutic outcomes of subjects |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
| US20040153269A1 (en) * | 2001-02-16 | 2004-08-05 | Kalas Frank Joseph | Automated data capture system |
| US7209811B1 (en) | 2001-11-22 | 2007-04-24 | Siemens Aktiengesellschaft | System and method for controlling a safety-critical railroad operating process |
| AU2002224742A1 (en) * | 2001-11-22 | 2003-06-17 | Siemens Aktiengesellschaft | Method for controlling a safety-critical railway operating process and device for carrying out said method |
| DE10240584A1 (de) * | 2002-08-28 | 2004-03-11 | Pilz Gmbh & Co. | Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche |
| KR20060026884A (ko) | 2003-06-24 | 2006-03-24 | 로베르트 보쉬 게엠베하 | 프로세서 유닛의 적어도 2개의 작동 모드 사이의 전환 방법및 상응하는 프로세서 유닛 |
| DE10332700A1 (de) * | 2003-06-24 | 2005-01-13 | Robert Bosch Gmbh | Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer Prozessoreinheit sowie entsprechende Prozessoreinheit |
| US7117119B2 (en) * | 2003-08-01 | 2006-10-03 | Invensys Systems, Inc | System and method for continuous online safety and reliability monitoring |
| NO322007B1 (no) * | 2004-11-19 | 2006-08-07 | Marine Cybernetics As | Fremgangsmate og system for testing av et dynamisk posisjoneringssystem |
| DE102005023296B4 (de) | 2005-05-12 | 2007-07-12 | Siemens Ag | Zugbeeinflussungssystem |
| US8693610B2 (en) * | 2006-05-26 | 2014-04-08 | Gregory J. Hess | System and method for implementing unified computer-based management of fire safety-related risk and compensatory measures management in nuclear power plants |
| US7949841B2 (en) * | 2006-12-08 | 2011-05-24 | Microsoft Corporation | Protection of critical memory using replication |
| US20080201643A1 (en) * | 2007-02-01 | 2008-08-21 | 7 Billion People, Inc. | System for creating customized web content based on user behavioral portraits |
| DE102008018680A1 (de) * | 2007-12-18 | 2009-07-02 | Siemens Aktiengesellschaft | Verfahren zum Unterstützen eines sicherheitsgerichteten Systems |
| US9560049B2 (en) * | 2008-05-28 | 2017-01-31 | Arris Enterprises, Inc. | Method and system for optimizing network access control |
| DE102009019089A1 (de) * | 2009-04-20 | 2010-11-04 | Pilz Gmbh & Co. Kg | Verfahren und Vorrichtung zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung |
| US9164860B2 (en) * | 2009-07-06 | 2015-10-20 | Deuta-Werke Gmbh | Method for representation of safety-relevant information on a display and apparatus for the application of the method |
| EP3940533A1 (en) * | 2009-09-08 | 2022-01-19 | Abbott Diabetes Care, Inc. | Methods and articles of manufacture for hosting a safety critical application on an uncontrolled data processing device |
| US8341738B2 (en) * | 2009-09-29 | 2012-12-25 | Oracle America, Inc. | API signature verification for high-security platforms |
| US20110125302A1 (en) * | 2009-10-23 | 2011-05-26 | Gm Global Technology Operations, Inc. | Method and system for formal safety verification of manufacturing automation systems |
| WO2011101707A1 (en) * | 2010-02-16 | 2011-08-25 | Freescale Semiconductor, Inc. | Data processing method, data processor and apparatus including a data processor |
| EP2550599B1 (de) * | 2010-03-23 | 2020-05-06 | Continental Teves AG & Co. OHG | Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems |
| US20120054729A1 (en) * | 2010-08-31 | 2012-03-01 | Symantec Corporation | Safely Updating Latent Applications to Reduce Attack Surface |
| DE102011086530A1 (de) * | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
| US8667477B2 (en) * | 2010-12-30 | 2014-03-04 | Sap Ag | Modifying software code |
| DE112012000946T5 (de) * | 2011-02-22 | 2013-11-21 | Fts Computertechnik Gmbh | Versehsagbares Rechnen in virtualisierten verteilten Computersystemen basierend auf der Partitionierung von Rechenleistung und Kommunikationsleistung |
| GB201103151D0 (en) * | 2011-02-24 | 2011-04-06 | Bae Systems Plc | Reliability centred maintance |
| US9395702B2 (en) * | 2011-07-20 | 2016-07-19 | Freescale Semiconductor, Inc. | Safety critical apparatus and method for controlling distraction of an operator of a safety critical apparatus |
| US8549586B2 (en) * | 2011-12-06 | 2013-10-01 | Broadcom Corporation | System utilizing a secure element |
| US8874922B2 (en) * | 2012-01-17 | 2014-10-28 | Dell Products L.P. | Systems and methods for multi-layered authentication/verification of trusted platform updates |
| US9460077B1 (en) * | 2012-06-29 | 2016-10-04 | Mckesson Corporation | Data validation |
| US9842502B2 (en) * | 2013-06-10 | 2017-12-12 | Alstom Transport Technologies | Systems and methods for maintaining interlockings of transportation networks |
-
2013
- 2013-09-19 DE DE102013218814.5A patent/DE102013218814A1/de not_active Withdrawn
-
2014
- 2014-09-04 DK DK14761976.1T patent/DK3027483T3/da active
- 2014-09-04 EP EP14761976.1A patent/EP3027483B1/de active Active
- 2014-09-04 CN CN201480051903.0A patent/CN105555638B/zh active Active
- 2014-09-04 ES ES14761976T patent/ES2807605T3/es active Active
- 2014-09-04 WO PCT/EP2014/068843 patent/WO2015039878A1/de active Application Filing
- 2014-09-04 US US15/023,459 patent/US10229036B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| DK3027483T3 (da) | 2020-08-03 |
| US20160232076A1 (en) | 2016-08-11 |
| CN105555638A (zh) | 2016-05-04 |
| DE102013218814A1 (de) | 2015-03-19 |
| CN105555638B (zh) | 2017-07-11 |
| US10229036B2 (en) | 2019-03-12 |
| EP3027483A1 (de) | 2016-06-08 |
| WO2015039878A1 (de) | 2015-03-26 |
| EP3027483B1 (de) | 2020-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2807605T3 (es) | Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual | |
| US10839080B2 (en) | Hardware-enforced firmware security | |
| US11568088B2 (en) | Method, processor and device for checking the integrity of user data | |
| US8935530B2 (en) | Control device and computer readable medium | |
| ES2866885T3 (es) | Sistema y procedimiento para la vigilancia protegida criptográficamente de al menos un componente de un aparato o de una instalación | |
| US11301347B2 (en) | Software update mechanism for safety critical systems | |
| US20210349443A1 (en) | Method and apparatus for the computer-aided creation and execution of a control function | |
| US10824765B2 (en) | Electronic control units for vehicles | |
| CN102486755A (zh) | 存储器保护单元和用于控制对存储设备的访问的方法 | |
| US11513698B2 (en) | Root of trust assisted access control of secure encrypted drives | |
| CN105094082A (zh) | 用于执行在控制设备之间的通信的方法 | |
| ES2351259T3 (es) | Dispositivo de protección para una unidad programable de proceso de datos. | |
| US20200233676A1 (en) | Bios management device, bios management system, bios management method, and bios management program-stored recording medium | |
| US10204228B2 (en) | Device and method for safely operating the device | |
| ES2894890T3 (es) | Verificación de secuencias | |
| CN112219186B (zh) | 用于将程序代码包安装到设备中的方法以及设备和机动车 | |
| KR20170073669A (ko) | 자율 제어 시스템 및 방법 | |
| EP3920063B1 (en) | Safety system and maintenance method | |
| US12008099B2 (en) | Method for safety responses to security policy violations | |
| EP3486832B1 (en) | Semiconductor device, authentication system, and authentication method | |
| Eckel et al. | Implementing a security architecture for safety-critical railway infrastructure | |
| ES2739153T3 (es) | Procedimiento para monitorizar un componente de red así como disposición con un componente de red y un dispositivo de monitorización | |
| USRE49043E1 (en) | Apparatus and method for communications in a safety critical system | |
| US20220067217A1 (en) | Information processing apparatus, computer-readable recording medium storing program, and information processing method | |
| KR20170078734A (ko) | 인프라스트럭쳐 보호 자율 제어 시스템 및 방법 |