ES2926684T3

ES2926684T3 - Sistema de monitorización de un dispositivo de protección y dispositivo de protección

Info

Publication number: ES2926684T3
Application number: ES19706269T
Authority: ES
Inventors: Jens Kötting; André Wardaschka
Original assignee: Dekra eV; Dekra Testing and Certification GmbH
Current assignee: Dekra eV; Dekra Testing and Certification GmbH
Priority date: 2018-02-20
Filing date: 2019-02-20
Publication date: 2022-10-27
Anticipated expiration: 2039-02-20
Also published as: WO2019162290A1; EP3756052B1; DK3756052T3; DE102018103772A1; TW201941005A; EP3756052B8; EP3756052A1

Abstract

La invención se refiere a un sistema de monitoreo para un dispositivo de protección relacionado con la seguridad (10) que comprende al menos un componente de seguridad, en el que el componente de seguridad comprende al menos un sensor de monitoreo (12) y un controlador de seguridad (14) conectado al al menos un detector de monitoreo Según la invención, el sistema de monitorización comprende al menos una unidad de monitorización (30), que está configurada para monitorizar un estado del componente de seguridad, y una unidad central (32) como componentes, donde al menos una unidad de monitorización y la central están conectadas entre sí por medio de una red de comunicación para intercambiar mensajes, en donde la red de comunicación está configurada para proporcionar un protocolo de monitoreo y en donde, por medio del protocolo de monitoreo, al menos un estado respectivo de un componente de seguridad y/o un El componente del sistema de monitoreo se puede verificar para verificar si está de acuerdo o se desvía de un estado objetivo asociado y/o una identidad libre de fraude. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Sistema de monitorización de un dispositivo de protección y dispositivo de protección

La presente invención se refiere a un sistema de monitorización para un dispositivo de protección orientado a la segu ridad que comprende al menos uno, preferiblemente varios, componentes de seguridad, donde los componentes de seguridad comprenden al menos un sensor de monitorización diseñado para generar las respectivas señales de los sensores y un control de seguridad conectado al menos un sensor de monitorización, donde el control de seguridad está diseñado para recibir y evaluar las señales de los sensores y para generar y emitir órdenes de conmutación de seguridad a partir de las señales de los sensores.

ESTADO DE LA TÉCNICA

Especialmente a raíz de la creciente automatización de los procesos de fabricación, los dispositivos de protección basados en los principios de seguridad funcional son cada vez más importantes. Los sistemas, instalaciones, máqui nas o robots que intervienen en la realización de estos procesos suelen suponer un riesgo potencial importante para los operarios, por lo que debe garantizarse que, por ejemplo, las personas no puedan entrar en una zona de peligro definida por el área de trabajo de una máquina o un robot sin que se active una función de seguridad, por ejemplo, una parada de seguridad de la máquina o del robot, o que se produzca un comportamiento descontrolado de un vehículo debido a la activación involuntaria de los frenos o a un comportamiento descontrolado de la aceleración o la dirección.

Un dispositivo de protección que debe considerarse aquí en el sentido de la invención sirve para proteger a las perso nas, el medio ambiente o como control de seguridad de un sistema, una instalación o una máquina y puede compren der, por ejemplo, sensores ópticos como barreras de luz, sensores de proximidad, sensores de velocidad o acelera ción, interruptores de puerta, sensores de posición o similares. Estos dispositivos de protección son certificados o aprobados regularmente por proveedores de servicios de verificación en relación con el aspecto de la seguridad fun cional, que se contempla, por ejemplo, en los requisitos de asociaciones profesionales, en normas como la ISO 26262, la IEC 61508, la DIN Eⁿ62061, la DIN EN ISO 13849 o, por ejemplo, en la Directiva sobre Máquinas 2006/42/CE de la UE en su versión de enero de 2019.

Los dispositivos de protección basados en los principios de la seguridad funcional (SF) protegen a las personas y al medio ambiente de los fallos de funcionamiento de las instalaciones, máquinas o sistemas críticos de seguridad, y suelen incluir componentes de seguridad como sensores de monitorización, un control de seguridad y, si es necesario, actuadores. También son concebibles los dispositivos de protección en los que se puede prescindir de un control de seguridad o un actuador explícitos, por ejemplo, los dispositivos de alarma acústica de un sistema de alarma de in cendios con detectores de humo. Estos se dividen, según el nivel de abstracción, en entrada-lógica-salida.

Así, un dispositivo de protección suele tener al menos un sensor de monitorización que informa a un control de segu ridad central, que a su vez conmuta un actuador. Sin embargo, el propio sensor de monitorización tiene una entrada (elemento sensor), una lógica (procesamiento de la señal del sensor) y una salida (mensaje al control de seguridad a través, por ejemplo, de una salida PNP). Esto resulta interesante, por ejemplo, cuando se prueban los componentes de seguridad, como el sensor de monitorización. El control de seguridad y los actuadores también pueden dividirse en subelementos de entrada-lógica-salida.

Es necesario definir un nivel de abstracción que debe ser considerado: si se comprueba un componente de seguridad, se divide en entrada-lógica-salida. Cuando se comprueba un sistema completo, se suele considerar un componente de seguridad para la entrada (sensor)-lógica (control)-salida (actuador). Debido a estas numerosas interfaces parcia les, el mal funcionamiento de una sola parte puede repercutir en el conjunto de orden superior. La seguridad funcional se ocupa de los fallos accidentales (por ejemplo, el fallo de un componente debido al envejecimiento) y sistemáticos (por ejemplo, fallos de diseño) que se producen involuntariamente en un dispositivo de protección o en un sistema, instalación o máquina protegidos por el dispositivo de protección. El principio de la seguridad funcional monitoriza y protege el sistema contra, por así decirlo, los fallos que se producen en el interior del sistema, así como en el caso de un uso indebido previsible.

La manipulación deliberada o un ataque dirigido desde el exterior no suelen estar incluidos en el ámbito de aplicación de la seguridad funcional y, por lo tanto, no son tratados por esta, o en todo caso de forma superficial. Hay especifica ciones que exigen tener en cuenta la «acción maliciosa o no autorizada», lo que suele limitarse a dotar de una contra seña al dispositivo de protección o a un control de seguridad incluido en este. Para todas las demás medidas de seguridad contra las acciones no autorizadas, especialmente las relacionadas con la tecnología de la información, se remite a la ciberseguridad.

Si se detecta un fallo en el dispositivo de protección o en el sistema/instalación/máquina protegidos por este, se esta blece un estado de seguridad previamente definido. Esto puede consistir, por ejemplo, en la desconexión de un accio namiento.

Para la monitorización de zonas peligrosas o vigiladas, se utilizan, por ejemplo, sensores optoelectrónicos como sen sores de monitorización. Si uno o varios sensores de monitorización detectan una intrusión crítica de seguridad en la zona peligrosa o vigilada, se transmiten las correspondientes señales de los sensores al control de seguridad. El control de seguridad evalúa estas instrucciones y genera una o varias órdenes de conmutación de seguridad adecua das que se emiten en las salidas de órdenes del control de seguridad. Estas órdenes de conmutación de seguridad pueden ser recibidas por actuadores que están conectados al control de seguridad. Un ejemplo de este tipo de señal de sensor es la llamada salida OSSD (Output Signal Switching Device) que, en términos sencillos, es un dispositivo de conmutación de potencia como un relé, un contactor o un interruptor semiconductor de potencia, que está destinado a apagar o desactivar una máquina conectada a él. A menudo, estas salidas, especialmente las salidas OSSD, ya están integradas en los sensores de seguridad.

Además, también pueden utilizarse dispositivos de protección similares en muchas otras aplicaciones, por ejemplo, para monitorizar procesos termodinámicos en los que, por ejemplo, deben controlarse magnitudes como temperaturas, presiones o concentraciones de determinadas sustancias en las mezclas de sustancias, para que se respeten deter minados valores límite con el fin de garantizar el buen funcionamiento de los procesos y, en particular, evitar que una desviación de los parámetros a controlar respecto de los valores permitidos provoque accidentes que podrían conllevar un riesgo potencial considerable de daños o peligros. Algunos ejemplos son las plantas de la industria química, las centrales eléctricas convencionales y las centrales nucleares.

Los dispositivos de protección utilizados en los sistemas de seguridad crítica están sometidos a grandes exigencias de seguridad y disponibilidad. Esto se refiere tanto a la garantía de la seguridad del sistema supervisado por el dispo sitivo de protección contra fallos o defectos de cada uno de los componentes de seguridad como a la seguridad contra la manipulación. Mientras que, por ejemplo, la monitorización del funcionamiento de los sensores de monitorización también puede ser llevado a cabo hasta cierto punto por el control de seguridad, por ejemplo, mediante la monitoriza ción de una tensión o una corriente proporcionada por el sensor, la monitorización del dispositivo de protección frente a una posible manipulación intencional por parte de los operarios suele ser mucho más compleja.

Por ejemplo, las máquinas herramientas suelen tener cubiertas que solo permiten el funcionamiento de la máquina herramienta protegida cuando está cerrada. No obstante, en caso de avería o de trabajos de mantenimiento, los ope rarios suelen intentar manipular el efecto del dispositivo de protección para que la máquina herramienta pueda funcio nar incluso con la cubierta abierta, con el fin, supuestamente, de facilitar el trabajo. Por ejemplo, un sensor de moni torización magnético, que se proporciona para monitorizar la posición cerrada de la cubierta, se desconecta del control de seguridad y en lugar del sensor de monitorización se conecta una señal continua al control de seguridad que simula la posición cerrada correcta de la cubierta con independencia de su posición real. Dado que entonces también es posible manejar la máquina herramienta con la cubierta abierta, el usuario u otras personas, en particular, también personal externo que no tiene conocimiento de la manipulación, pueden estar expuestos a riesgos considerables. Otros componentes de seguridad también pueden ser objeto de intentos de manipulación o de sustitución por falsifi caciones.

En el caso de un mayor desarrollo hacia la interacción máquina-hombre, como se pretende en particular en el concepto de la industria 4.0, se proporciona una amplia gama de sensores de distancia y de control para la seguridad de las personas durante el trabajo conjunto coordinado con una máquina, en particular, un robot, cuyo funcionamiento co rrecto y fiable es un requisito previo para una cooperación sin problemas y sin accidentes y para la validación desde un punto de vista técnico de tales situaciones de trabajo.

De acuerdo con el principio de seguridad funcional, existen diferentes arquitecturas para cumplir la tarea de seguridad. Normalmente, se utiliza un sistema monocanal con diagnóstico, denominado sistema 1oo1D, que puede incluir un sensor de monitorización, un control de seguridad y un actuador. En este caso, un sistema de diagnóstico suele estar únicamente al servicio de la seguridad funcional (SF) y monitoriza el uso previsto, así como el mal uso previsible del sistema/instalación/máquina. Una manipulación del sensor de monitorización para que emita valores falsos, una ma nipulación de la transmisión del valor del sensor al control de seguridad, una intervención en el control de seguridad, por ejemplo, mediante la manipulación del contenido de la memoria, o una corrupción (manipulación, cambio no deseado, uso indebido) del control del actuador, por ejemplo, la fijación de contactores o relés, pueden poner fuera de servicio muy fácilmente la seguridad funcional de un sistema 1oo1D de este tipo. Además, se conocen sistemas 1 oo2D de dos canales con sensores de monitorización y controladores de seguridad redundantes y paralelos, en los que un ataque informático puede tener lugar en ambos canales de forma paralela o secuencial, de modo que aquí también se puede anular una seguridad funcional en caso de manipulación desde el exterior.

Un ataque informático o hackeo significa una intrusión no autorizada en un dispositivo de protección de una instalación, sistema o máquina críticos de seguridad, por ejemplo, mediante un acceso a los datos de un componente de seguri dad, de la red de datos que interconecta el componente de seguridad y el control de seguridad o del propio control de seguridad, por lo general aprovechando brechas de ciberseguridad.

La ciberseguridad (CS) es la seguridad contra el acceso no autorizado a los servicios o la información de un compo nente o sistema a través de una interfaz de comunicación. El acceso suele producirse aprovechando los puntos débiles del hardware o del software. Dado que el intento de acceso es una acción dirigida que va más allá del nivel de un mal uso previsible, también se denomina ataque. A diferencia de la seguridad funcional, la ciberseguridad se centra en la protección frente a la elusión deliberada de los mecanismos de autorización para acceder o manipular información o servicios. Entre otras cosas, los procedimientos criptográficos se utilizan como medida técnica para proteger, por ejemplo, la comunicación frente a manipulaciones no autorizadas o violaciones de la confidencialidad. La ciberseguri dad protege el sistema de las personas (que lo atacan); la seguridad funcional, en cambio, protege a las personas del sistema técnico.

La Fig. 1 muestra de forma abstracta la interacción entre la seguridad funcional (SF), que protege la función de trabajo prevista («modo operativo») de un dispositivo de protección frente a errores y fallos desde el interior, y una capa de monitorización de la ciberseguridad, cuyo objetivo es evitar un ataque al modo operativo del dispositivo de protección desde el exterior, por ejemplo, mediante la seguridad con contraseña, el cifrado de datos, la firma o medios similares. Sin embargo, la ciberseguridad no puede acceder a la función del dispositivo de protección ni verificar su integridad (que esté intacta, sea pura y evite la modificación no autorizada de la información) contra los ataques externos. Una vez que un ataque consigue su propósito, ni la ciberseguridad ni la seguridad funcional pueden garantizar el manteni miento del modo operativo desde el punto de vista de la seguridad.

Siempre es posible que un ataque informático a un sistema de seguridad funcional consiga su propósito. Una de las principales razones es que la Cs , a diferencia de la SF, requiere una actualización periódica de los sistemas. Sin embargo, la actualización no siempre es posible. Las razones pueden ser que los parches (utilizados para arreglar los agujeros de seguridad) tienen que ser proporcionados y revisados constantemente. Especialmente en lo que respecta a los teléfonos inteligentes, tabletas y los wearables (o tecnología ponible) actuales, los fabricantes no siempre están dispuestos a hacer un esfuerzo económico y de tiempo para el mantenimiento de los parches. Además, hay que aplicar los parches existentes; la falta de conexión a Internet o la ignorancia de los usuarios pueden, en ocasiones, retrasarlo o impedirlo por completo. Además, en algunos casos se omite deliberadamente una actualización, por ejemplo, para no poner en peligro la disponibilidad en los sistemas de producción en funcionamiento e introducir nuevos errores. Los parches también pueden provocar pérdidas de rendimiento con el hardware más antiguo. Asimismo, a veces los par ches pueden no estar disponibles en absoluto o solo de forma insuficiente. Esto ocurre, sobre todo, cuando la CS se ha implementado en hardware; por ejemplo, en el caso del pP (Spectre, Meltdown) o ASICs.

En caso de que se produjera ahora un ataque con éxito contra un sistema de seguridad funcional, no se podría de mostrar un fallo de la CS ni de la SF. Por lo tanto, debido al mencionado mantenimiento insuficiente de los parches, la CS no puede evitar la manipulación, y la SF no conoce ningún mecanismo para detectar la corrupción derivada de un ataque informático o la manipulación.

El documento WO2018/011802 describe un sistema de monitorización de datos de seguridad para una fábrica o ins talación. El sistema incluye varios «hosts colectores» que están conectados a fuentes de datos externas. Además, se proporciona un gran número de «hosts inspectores» que monitorizan los «clusters colectores» y transmiten los datos obtenidos en el proceso a otros «hosts inspectores» para su posterior análisis. La comunicación y, en particular, la protocolización, se lleva a cabo con la ayuda de una estructura de datos de cadena de bloques distribuida, en la que se utilizan valores hash para comprobar la integridad de los datos. La cadena de bloques o blockchain también se denomina base de conocimientos. A este respecto, se describe una protocolización de un estado y de los cambios de estado de una instalación, de manera que es posible una protocolización de los procesos y estados internos de una instalación industrial. Sin embargo, no existe ninguna protección por parte de un sistema de monitorización de la seguridad contra la manipulación dirigida, y no se adopta ninguna medida para defenderse de un ataque contra com ponentes relevantes para la seguridad ni para proteger a las personas y al medio ambiente. El aspecto de un disposi tivo de protección orientado a la seguridad funcional está totalmente ausente, y tampoco se incluyen propuestas para la monitorización consistente de un dispositivo de protección y el traslado de la instalación en caso de fallo en el sentido del contexto de la invención.

El documento EP 3252550 A1 describe un sistema de control con un controlador interno para controlar un sistema que está conectado al controlador a través de un bus de campo. El controlador está conectado a un módulo de segu ridad a través de un bus de datos de seguridad, que puede contener, por ejemplo, una clave que se envía a través del bus de datos de seguridad para ser utilizada en el módulo de seguridad para cifrar los datos enviados al sistema. Alternativamente, todo el cifrado puede hacerse en el módulo de seguridad.

El documento US 2004/243260 A1 describe un sistema de control de procesos para una planta de procesado en el que se proporcionan dos nodos de forma redundante, que comprenden tanto dos sistemas de control de procesos como dos sistemas de seguridad, que se montan con un hardware diferente. Este sistema está diseñado para evitar que una modificación accidental o no autorizada del software de control provoque estados de funcionamiento no deseados del sistema.

El documento WO 2014/124683 A1 describe un sistema de monitorización de las condiciones de funcionamiento en una red de dispositivos distribuidos, en particular, una red de aerogeneradores. Mediante un dispositivo de comunica ción móvil (tableta, teléfono inteligente o portátil), un técnico de mantenimiento puede comunicarse con una unidad de monitorización instalada en la góndola del motor. Varios aerogeneradores están conectados en red a través de un servidor central para que un técnico de mantenimiento pueda acceder a la información de mantenimiento tras escanear un código de barras.

Por lo tanto, el objetivo de la presente invención es proporcionar un sistema de monitorización, así como un dispositivo de protección con un sistema de monitorización, que garanticen un alto nivel de seguridad contra los fallos o la mani pulación de uno o más componentes de seguridad del dispositivo de protección.

DESCRIPCIÓN DE LA INVENCIÓN

El objetivo se consigue mediante un sistema de monitorización y un dispositivo de protección con las características de las reivindicaciones independientes. Realizaciones ventajosas de la invención son objeto de las reivindicaciones dependientes. Este concepto se denominará en lo sucesivo concepto FCS (ciberseguridad funcional o functional cyber safety), según el cual se utiliza un sistema de monitorización f Cs para verificar la integridad de un dispositivo de protección FCS.

Se propone que el sistema de monitorización comprenda al menos como componentes una unidad de monitorización, que está conectada a al menos un componente de seguridad respectivo y está dispuesta para monitorizar un estado del componente de seguridad, y una unidad central, donde la al menos una unidad de monitorización y la unidad central están interconectadas mediante una red de comunicación para intercambiar mensajes, la denominada red FCS, donde la red de comunicación está configurada para proporcionar un protocolo de monitorización, y donde me diante el protocolo de monitorización, y sobre la base de los diagnósticos de FCS incluidos en los mensajes intercam biados, puede verificarse al menos un estado respectivo de un componente de seguridad y/o de un componente del sistema de monitorización para comprobar su conformidad o desviación respecto a un estado deseado asignado y/o su identidad a prueba de falsificaciones.

En otras palabras, todos o al menos algunos de los componentes de seguridad del dispositivo de protección están conectados a una unidad de monitorización respectiva. De este modo, mediante la interacción de los componentes del sistema de monitorización, se pueden comprobar uno o varios estados de los componentes de seguridad acopla dos o de los componentes del sistema de monitorización. En este contexto, el término «estado» se entiende, en par ticular, como uno o más parámetros y/o propiedades que son característicos de un componente de seguridad respec tivo o de un componente respectivo del sistema de monitorización. Por lo tanto, la comprobación de los estados puede referirse, en particular, a los estados de un componente de seguridad conectado a una unidad de monitorización respectiva, a los estados de la unidad de monitorización conectada a un componente de seguridad y también a los estados de la unidad central. Para los componentes de seguridad, las unidades de monitorización o las unidades centrales que deben comprobarse o monitorizarse, se utilizará en lo sucesivo también como sinónimo el término ge neral «componente».

Naturalmente, dentro del dispositivo de protección, deben entenderse como componentes funcionales el sensor o los sensores de monitorización, el control de seguridad y uno o varios actuadores con posibilidad de conmutar, de modo que estos pueden combinarse, estructuralmente (al menos parcialmente) y desde un punto de vista técnico, en un componente.

Un estado puede ser, por ejemplo, un estado de señalización de un componente, como el estado de un sensor de monitorización representado por una señal de sensor de salida o un estado de conmutación del control de seguridad representado por una orden de conmutación de seguridad de salida. Además, un estado puede representar la operatividad de un componente de seguridad, basándose para ello en un autodiagnóstico disponible del componente de seguridad en cuestión, o la unidad de monitorización puede tener sus propios medios de diagnóstico para comprobar la operatividad del componente de seguridad conectado.

Otro ejemplo de estado a comprobar puede referirse a la integridad de un componente monitorizado. Por ejemplo, una comprobación de integridad puede referirse a una identificación única de un componente, como un número de serie único del componente en cuestión. Como estado adicional, también se puede comprobar la autenticidad de un com ponente, por ejemplo, para poder determinar si el componente en cuestión es un componente original del fabricante o una falsificación de producto. Otro ejemplo de estado que puede comprobarse es la pertenencia del componente al sistema, es decir, en particular, si el componente de seguridad o la unidad de monitorización conectada al componente de seguridad pueden identificarse como un componente admisible del sistema de monitorización.

Los mensajes que se intercambian en la red de comunicación y los diagnósticos de FCS que contienen son diferentes de la señalización relevante para la seguridad, como las señales de los sensores o los comandos de conmutación de seguridad, que se transmite entre los sensores de monitorización, el control de seguridad y los actuadores que puedan estar presentes.

Además del control de seguridad y del al menos un sensor de monitorización, un dispositivo de protección que debe monitorizarse puede comprender al menos un actuador conectado al control de seguridad y configurado para recibir las órdenes de conmutación de seguridad, por ejemplo, un contactor o un relé para encender o apagar una máquina conectada al dispositivo de protección, o un dispositivo de control que pueda, en particular, controlar los procesos relevantes para la seguridad, en particular, iniciar, continuar o finalizar estos procesos.

Los componentes del dispositivo de protección pueden estar directamente cableados entre sí, pero también conecta dos de forma inalámbrica a través de una interfaz aérea, como una red inalámbrica, o de forma óptica, o conectados entre sí a través de una red de comunicación, como un sistema de bus, por ejemplo, un sistema de bus de campo, como un bus CAN, un bus I2C o similares.

La red de comunicación puede ser, por ejemplo, un sistema de bus o una red entre pares, donde las unidades de monitorización pueden comunicarse bidireccionalmente con la unidad central y, en particular, también entre sí.

Dicha red de comunicación puede ser una red independiente o dedicada, por ejemplo, una red Ethernet o también uno de los sistemas de bus antes mencionados. Alternativamente, también es posible que la red de comunicación utilice un sistema de bus que conecte los componentes del dispositivo de protección, de manera que la diferenciación entre los mensajes de los diagnósticos de FCS que deben transmitirse según la invención y la señalización relevante para la seguridad antes mencionada puede lograrse utilizando diferentes protocolos de red.

La monitorización de los respectivos estados puede ser realizada por la unidad central. Alternativa o adicionalmente, también es posible que las distintas unidades de monitorización se controlen entre sí, lo que se explicará con más detalle a continuación.

Dentro del ámbito de la invención, se propone una combinación sinérgica de los principios de la SF y la CS, que en lo sucesivo puede denominarse FCS (ciberseguridad funcional o functional cyber safety). La FCS combina los dos ám bitos de la SF y la CS en una unidad global. No hay capas de cebolla exclusivamente autosuficientes, como se muestra en la Fig. 1, sino que se proporciona una intersección común de SF y CS, de manera que en la interacción entre SF y CS se puede detectar una manipulación o un ataque informático y establecer un estado seguro (ampliado) de un sistema/máquina/instalación críticos de seguridad. La FCS evita o al menos dificulta los problemas derivados de ata ques informáticos, manipulación y errores de mantenimiento que se producen hoy en día (instalación incorrecta de componentes, parametrización olvidada o incorrecta).

Para ilustrar el sistema de monitorización propuesto, presentamos una realización ilustrativa del sector del automóvil: Los componentes individuales del sistema de monitorización no tienen por qué estar todos localizados en un mismo lugar (es decir, en el mismo vehículo). Así, es concebible que partes individuales, como la unidad central, se distribuyan adicionalmente a otros sistemas o estén integrados en ellos. De esta manera, otras unidades de monitorización que participan en el sistema de monitorización también pueden estar ubicadas en otros vehículos de una flota o en otros vehículos en un entorno local definido. También sería concebible deslocalizar uno o más de estos componentes a un entorno centralizado, como un servicio en la nube, al que pueda tener acceso la unidad central del sistema de monitorización.

Un ataque concebible en este caso es, por ejemplo, la manipulación selectiva de partes individuales del software, de la configuración o de los identificadores de dispositivos de los componentes de seguridad del dispositivo de protección. Es irrelevante que la manipulación se realice a distancia a través de una interfaz de Internet o localmente en el vehículo. Además de un ataque a distancia por parte de un pirata informático, un escenario concebible es, por ejemplo, la manipulación por parte del propietario con el fin de ajustar el motor (chip tuning) para controlar el rendimiento no autorizado de un vehículo. Un atacante técnicamente hábil podría, al acceder a un componente de seguridad (local) como el dispositivo de limitación de velocidad y/o del par de una unidad de control del motor, no solo llevar a cabo la manipulación de funciones de seguridad individuales, como las de limitación de velocidad o potencia, sino también, en determinadas circunstancias, impedir que el dispositivo de protección adopte medidas (como una alarma).

La integración de más unidades de monitorización de diferentes vehículos del mismo tipo en una red de comunicación que abarque varios dispositivos de protección, por ejemplo, como parte de una solución en red en la nube de una serie de vehículos, dificultaría la manipulación a medida que aumenta el número. Por ejemplo, las unidades de monitoriza ción de otros vehículos podrían registrar activamente los datos de los sensores de los componentes de seguridad del vehículo que se va a supervisar como parte del sistema de monitorización y sincronizarlos en la red de comunicación distribuida. Esto podría llevarse a cabo mediante mensajes que incluyan diagnósticos de FCS de velocidad, acelera ción o mediciones del nivel de ruido, o mediante el análisis de las firmas de software transmitidas de los mensajes a través de un enlace de radio de campo cercano seguro. Una comparación de la identificación del vehículo o del tipo de vehículo con los datos recopilados y transmitidos por la unidad central podría provocar que el vehículo que se va a monitorizar reciba instrucciones, a través de una comunicación segura de la red de comunicación, para entrar en un estado de FCS seguro (por ejemplo, para reducir la velocidad del motor o impedir el proceso de arranque por com pleto).

Otras realizaciones ilustrativas similares también pueden trasladarse a otros ámbitos, como el de los electrodomésti cos, que pueden estar conectados en red y, en algunos casos, también pueden ser accesibles a través de internet. Por ejemplo, en los frigoríficos, un dispositivo de protección podría proteger contra el sobrecalentamiento o la capaci dad de refrigeración insuficiente mediante la monitorización del compresor. Un sistema de monitorización puede pro vocar, a partir de un diagnóstico de FCS, una desconexión del compresor como componente de seguridad en caso de manipulación del dispositivo de protección o de sobrecalentamiento en caso de fallo de un sensor de control de la temperatura, de manera que un diagnóstico de FCS señala un posible ataque a una unidad de monitorización asignada a un compresor, un sensor de medición de potencia o un sensor de temperatura como componente de seguridad. El ataque puede producirse, por ejemplo, por la instalación de componentes no aprobados por el fabricante, por la ma nipulación del software o de la configuración, por un fallo de funcionamiento, por un acceso no autorizado (pirata informático) o por una desviación en el comportamiento funcional en comparación con otro frigorífico del mismo tipo/versión con parámetros de componentes permitidos que está conectado en red mediante una conexión segura. Esto podría detectarse, por ejemplo, mediante una firma del software/hardware no coincidente, la configuración o los datos de los sensores por parte de la unidad central del sistema de monitorización, que se encuentra o bien localmente en el frigorífico y está conectada a la unidad de monitorización del compresor o a una unidad de monitorización del sensor de temperatura a través de una red de comunicación, o bien accede a un almacenamiento de datos distribuido de una aplicación en la nube de forma descentralizada, a la que las unidades de monitorización de una pluralidad de frigoríficos envían sus mensajes. De este modo, la unidad central puede detectar, al menos indirectamente, un fallo del sensor de temperatura del dispositivo de protección, según el cual los diagnósticos de FCS de las unidades de monitorización de varios sensores de medición de potencia de los frigoríficos distribuidos detectan un consumo de energía muy desviado de un frigorífico cuyo sensor de temperatura defectuoso ha fallado y emite permanentemente un valor demasiado alto, de modo que su consumo de energía de refrigeración aumenta relativamente de forma muy elevada en comparación con otros frigoríficos conectados en la red de comunicación.

Ventajosamente, las unidades de monitorización pueden estar distribuidas en varios dispositivos de protección, prefe riblemente comparables, y estar conectadas a una unidad central a través de una red de comunicación que conecte los dispositivos de protección, en particular, mediante una solución en la nube basada en red. De este modo, es concebible un sistema de monitorización basado en modelos para dispositivos de protección de modelos o series de instalaciones/sistemas/máquinas similares, como vehículos, electrodomésticos o similares, de manera que es posible un comportamiento desviado o una corrupción de los dispositivos de protección individuales mediante la comparación a través de la serie de dispositivos de protección. A modo de ejemplo, se hace referencia más adelante a la realización ilustrativa «vehículos» o «frigorífico».

Según una realización ventajosa de la invención, se prevé que el protocolo de monitorización comprenda un código de programa respectivo ejecutable dentro de la al menos una unidad de monitorización y la unidad central, el cual comprende medios de cifrado y descifrado o medios de firma o medios de verificación para generar, transmitir, recibir, evaluar y/o almacenar los mensajes o diagnósticos de FCS. El código del programa puede ser idéntico o al menos similar en las distintas unidades, de modo que se garantice que el intercambio y la evaluación de los mensajes o los diagnósticos de FCS se realicen de forma similar. La utilización de medios de cifrado, descifrado, firma o verificación que hacen uso de métodos criptográficos garantiza, entre otras cosas, que los mensajes solo puedan ser enviados o recibidos por componentes autorizados, y que cualquier manipulación a través del intercambio de componentes indi viduales pueda ser detectada por la unidad central u otras unidades de monitorización. Los medios de cifrado y des cifrado garantizan que los mensajes se envíen cifrados y solo puedan ser leídos por los componentes debidamente autorizados que dispongan de los correspondientes medios de descifrado. Por medios de firma se entiende, en parti cular, los medios que permiten comprobar la autoría de un mensaje, donde la comprobación puede realizarse, por ejemplo, mediante los medios de verificación.

Según la invención, un mensaje transmitido por una unidad de monitorización que incluya el diagnóstico de FCS comprende información sobre una identidad de la unidad de monitorización o un componente de seguridad conectado a la unidad de monitorización o sobre una señal de monitorización o un comando de conmutación de seguridad, ge neradas por un componente de seguridad conectado a la unidad de monitorización.

Alternativa o adicionalmente, un mensaje enviado por la unidad central comprende una prueba de identidad a prueba de falsificaciones en una unidad de monitorización en forma de un certificado almacenable, el cual identifica esta unidad de monitorización como un componente autorizado del sistema de monitorización. La identidad de una unidad de monitorización o de un componente de seguridad conectado a la unidad de monitorización se define, por ejemplo, como un número de serie individual de la unidad de monitorización o del componente de seguridad, que puede leerse en el componente de seguridad, por ejemplo, mediante la unidad de monitorización. En particular, la información sobre la identidad de una unidad puede ser también el certificado almacenado en dicha unidad. La característica de que el mensaje incluya información sobre una identidad no significa que deba transmitirse la propia identidad, es decir, el número de serie o el certificado. Por el contrario, también es suficiente, por ejemplo, transmitir un valor hash de esta identidad generada a partir de la identidad como información de identidad, que luego puede ser evaluada y/o verificada, por ejemplo, por la unidad central.

Mediante la transmisión de una prueba de identidad a prueba de falsificaciones, por ejemplo, en forma de certificado, firma digital, codificación de hardware, etc., desde la unidad central a una de las unidades de monitorización, se puede confirmar, en particular, la pertenencia de un componente específico al sistema de monitorización, por ejemplo, uno nuevo o sustituido. De esta manera, se puede garantizar que solo se permite la comunicación dentro de la red de comunicación o dentro del sistema de monitorización a aquellos componentes que tienen una prueba de identidad válida. Si un componente no tiene una prueba de identidad o esta no es válida, los mensajes procedentes de este componente pueden interpretarse como un indicio de manipulación y se pueden aplicar las medidas de seguridad correspondientes.

Ventajosamente, al menos una parte de los mensajes puede transmitirse de forma cifrada y, en particular, adicional mente firmada, donde el cifrado de los mensajes se realiza preferentemente mediante un método de cifrado asimétrico. En particular, se puede utilizar un método de cifrado de clave pública para que los componentes que se comunican no necesiten conocer una clave secreta común. La clave pública permite a un componente cifrar, verificar firmas digitales o autenticar mensajes para otro componente que posee la clave privada asociada a esa clave pública. La clave privada permite al componente propietario descifrar los mensajes cifrados con la clave pública, generar firmas digitales o autenticarse. Los procedimientos de cifrado o criptografía correspondientes son generalmente conocidos.

La clave privada puede, por ejemplo, almacenarse en una memoria especialmente protegida de una unidad de monitorización o de la unidad central. Un ejemplo de este tipo de memoria es el llamado TPM (módulo de plataforma de confianza o Trusted Platform Module).

Con la ayuda de la clave pública, se puede comprobar si los componentes individuales del sistema de monitorización están autorizados, es decir, si pertenecen al sistema. Por ejemplo, el llamado protocolo de desafío-respuesta puede utilizarse para determinar si un componente que tiene una clave pública también posee la clave privada asociada.

Según la invención, el protocolo de monitorización comprende una cadena de bloques, de manera que todos o parte de los mensajes transmitidos en el sistema de monitorización se almacenan en la cadena de bloques. Se entiende por cadena de bloques una lista continuamente ampliable de registros de datos conocidos como bloques, que están vin culados entre sí mediante procedimientos criptográficos. Cada bloque puede incluir típicamente un valor hash cripto gráficamente seguro del bloque anterior, una marca de tiempo y datos de estado. Aquí, la unidad central puede asumir la función de un maestro de cadena de bloques, mientras que las una o más unidades de monitorización ejercen la función de los respectivos clientes de cadena de bloques. La unidad central, en su función de maestro de cadena de bloques, puede añadir nuevos componentes al sistema de monitorización, es decir, autorizar su pertenencia al sistema de monitorización o su eliminación o sustitución. Cualquiera de estos cambios en la composición del sistema de mo nitorización puede registrarse en la cadena de bloques. Para mantener el espacio de almacenamiento necesario para la cadena de bloques dentro de unos límites, se puede prever que no se almacenen todos los mensajes, sino solo algunos especialmente relevantes, para lo cual se pueden definir criterios individuales y/o niveles de relevancia para cada tipo de mensaje y/o el componente emisor del mensaje.

Según la invención, la cadena de bloques o las instancias adicionales de la cadena de bloques se almacenan en la unidad central y, además, en al menos algunas de las unidades de monitorización. Ventajosamente, la cadena de bloques se almacena en todas las unidades del sistema de monitorización.

Preferiblemente, la cadena de bloques almacenada en una unidad respectiva también es generada por esa misma unidad. Dado que los mensajes distribuidos dentro de un sistema de monitorización diseñado como un sistema de cadena de bloques se transmiten preferentemente a todos los componentes del sistema de monitorización, los men sajes o al menos la parte de los mensajes destinados a ser almacenados en la cadena de bloques pueden ser incor porados a esta. Gracias al almacenamiento descentralizado de varias instancias de la cadena de bloques, se pueden detectar fácilmente los intentos de manipular componentes individuales, en particular la unidad central, por ejemplo, su sustitución no autorizada, lo cual se explicará con más detalle a continuación con referencia a otra realización.

La adición de nuevas entradas a la cadena de bloques puede, por ejemplo, ser firmada por la clave privada del com ponente que entra.

Se puede prever que, para el registro de un mensaje o de un grupo de mensajes, la unidad almacenadora tenga que proporcionar una denominada prueba de trabajo (Proof-of-Work) para dificultar una posible manipulación o corrupción de la cadena de bloques. Una prueba de trabajo puede ser proporcionada por la resolución de una tarea moderada mente difícil por parte de la unidad que quiere añadir un mensaje a la cadena de bloques. El resultado puede ser verificado sin mucho esfuerzo por una o más unidades, especialmente la unidad central.

Según otra realización ventajosa de la invención, se prevé que una cadena de bloques almacenada en un componente del sistema de monitorización o un valor hash criptográfico de esta cadena de bloques se transmita a al menos un componente del sistema de monitorización de manera controlada por tiempo, controlada por eventos o a petición de otro componente del sistema de monitorización, donde, en particular, una cadena de bloques recibida por un compo nente o un valor hash criptográfico recibido de esta cadena de bloques se compara con la cadena de bloques alma cenada en el componente receptor con o un valor hash criptográfico de la cadena de bloques almacenada. Esta com paración la realiza preferentemente la unidad central, que solicita las cadenas de bloques almacenadas o sus valores hash a las unidades de monitorización seleccionadas o a todas ellas y las compara entre sí o con su propia cadena de bloques o su valor hash. Si se encuentra una coincidencia en esta comparación, el sistema de monitorización se encuentra en un estado íntegro. Sin embargo, si se detectan desviaciones, esto debe tomarse como un indicio de que puede haber un intento de manipulación o incluso un mal funcionamiento de los componentes individuales.

Ventajosamente, la unidad central y/o la al menos una unidad de monitorización están diseñadas para, en caso de que se detecte una desviación de al menos un estado respecto al estado deseado asignado, en particular, en el caso de una desviación detectada entre diferentes instancias (en particular, un número configurable de instancias) de la cadena de bloques, controlar un sensor de monitorización conectado a la unidad de monitorización de manera que el sensor de monitorización genere una señal de sensor de alarma predefinida en lugar de una señal de sensor normal, y/o envíe un mensaje que señale la desviación detectada de al menos un estado respecto al estado deseado asignado, y/o transfiera el control de seguridad y/o el sistema crítico de seguridad provisto de él a un estado seguro predefinido. Una desviación del estado deseado también puede consistir en un cambio de una identidad a prueba de falsificaciones que puede probarse, por ejemplo, mediante un certificado de datos o una codificación de hardware. En caso de susti tución no autorizada de un componente, puede producirse una desviación no autorizada del estado deseado, de modo que se envía una alarma, un mensaje de señalización y/o el control de seguridad o el sistema, la máquina o la insta lación provistos de él pasan a un estado seguro.

Por ejemplo, los sensores de monitorización, como los sensores (de seguridad), suelen estar configurados para emitir una señal de sensor que está fuera de un rango de valores regular en caso de mal funcionamiento. Esta señal de sensor, denominada aquí señal de sensor de alarma, puede ser interpretada por el sistema de control de seguridad como una indicación de un mal funcionamiento, de modo que se puedan iniciar las medidas adecuadas, por ejemplo, la transferencia de una máquina/instalación/sistema monitorizados a un estado seguro.

Una desviación puede ser, por ejemplo, una señal de salida designada incorrectamente para un sensor de monitori zación que se va a monitorizar, por ejemplo, una señal de salida en un rango que técnicamente no es posible para este sensor de monitorización.

Alternativa o adicionalmente, puede transmitirse un mensaje de señalización correspondiente que puede ser recibido por otras unidades de monitorización o la unidad central y, en caso necesario, puede activar medidas en ellas que den lugar a que el dispositivo de protección monitorizado o el sistema, la máquina o la instalación equipados con él pasen a un estado seguro. El mensaje de señalización puede ser, por ejemplo, un mensaje de estado que represente una manipulación detectada de un sensor de monitorización. Este mensaje de estado puede ser transmitido por una unidad de monitorización a la cadena de bloques o a la unidad central o a todas las unidades de monitorización. Esto se establece al inicio. A continuación, la unidad central o las unidades de monitorización llevan a cabo las medidas que se determinaron al iniciar el proceso y deciden qué medidas deben tomarse, las cuales pueden incluir únicamente, por ejemplo, la documentación o, alternativa o adicionalmente, también la transferencia del control de seguridad al estado seguro, pudiendo preverse también un retardo de tiempo si es necesario.

Por último, alternativa o adicionalmente, el control de seguridad o el sistema, la máquina o la instalación que lo incluyen también pueden ser transferidos directamente a un estado seguro especificado. Esto puede ser realizado, por ejemplo, por la unidad central, que puede estar conectada al control de seguridad a través de un canal de control correspon diente. Por ejemplo, esta entrada de control puede conducir a una entrada de sensor del control de seguridad. En principio, no obstante, la transferencia a un estado seguro también puede ser realizada por una de las unidades de monitorización. Por transferencia del control de seguridad a un estado seguro se entiende, en particular, hacer que el control de seguridad emita órdenes de conmutación de seguridad que transfieran una máquina protegida por el dispo sitivo de protección a un modo de funcionamiento en el que el peligro para las personas o el medio ambiente se vea al menos reducido, si no descartado por completo, por ejemplo, deteniendo las piezas móviles, interrumpiendo el suministro de energía o iniciando un procedimiento de parada, por ejemplo, en el caso de sistemas más complejos en los que la parada inmediata no es posible de manera sencilla, como en las centrales nucleares.

Según otra realización ventajosa de la invención, se prevé que la al menos una unidad de monitorización esté confi gurada para transmitir mensajes cíclicamente o a petición de la unidad central, y que la unidad central esté configurada para recibir estos mensajes, determinar el número o la secuencia de los mensajes recibidos al menos para un ciclo respectivo o dentro de un período de tiempo predeterminado después de la petición y compararlos con un número deseado predeterminado o una secuencia deseada predeterminada, en el caso de una desviación detectada, transmitir un mensaje que señale la desviación detectada y, en particular, almacenar este mensaje preferentemente en la cadena de bloques, o en el caso de una desviación detectada, transferir el control de seguridad a un estado seguro predeter minado. Otros componentes también pueden almacenar los mensajes en sus respectivas cadenas de bloques. Por ejemplo, una unidad de monitorización puede transmitir con la transmisión del mensaje de consulta que la unidad de monitorización o el sensor supervisado por esta unidad de monitorización está presente o listo para funcionar y, al mismo tiempo, transmitir también la señal de monitorización actual del sensor.

Además, ventajosamente, al menos una o un número parametrizable de unidades de monitorización también pueden recibir y comprobar los mensajes y, si es necesario, iniciar una desconexión. Esto permite una monitorización redun dante de los mensajes para que, por ejemplo, en caso de ataque o intento de hackeo en la unidad central, el sistema de seguridad no pueda ser anulado. De este modo, al menos las unidades de monitorización individuales también pueden asumir parte de las tareas de monitorización de la unidad central.

Si, por ejemplo, uno de los mensajes solicitados no apareciera, por ejemplo, porque el componente de seguridad en cuestión, incluida la unidad de monitorización, se hubiera extraído de forma no autorizada, este cambio no autorizado se introduciría en la cadena de bloques. Tras la correspondiente evaluación de la cadena de bloques, la unidad central o una unidad de monitorización autorizada pueden iniciar las medidas de seguridad adecuadas.

Como ya se ha explicado anteriormente, la red de comunicación puede comprender un sistema de bus, en particular un sistema de bus de campo, donde, en particular, la red de comunicación comprende al menos una parte de un sistema de bus del dispositivo de protección que conecta los componentes de seguridad entre sí. De este modo, un sistema de bus existente, previsto para la comunicación de los componentes de seguridad del dispositivo de protec ción, puede utilizarse al mismo tiempo como red de comunicación para el sistema de monitorización. Como alternativa, para la red de comunicación también se puede utilizar un sistema de bus independiente u otras topologías de red.

Según una realización ventajosa de la invención, está previsto que el sistema de monitorización, además de un modo de monitorización en el que se realiza una comprobación de un estado respectivo para el cumplimiento o la desviación de un estado deseado asignado, puede funcionar en un modo de comunicación en el que se añade al sistema de monitorización al menos un componente, se retira del sistema de monitorización o se configura o parametriza al menos una funcionalidad del componente. En el modo de configuración, por ejemplo, se pueden añadir, eliminar o sustituir nuevas unidades de monitorización o sensores. Esto puede hacerse, por ejemplo, mediante una unidad de monitori zación recién instalada por un usuario que se conecta a la unidad central con su identificador único o número de identificación y la unidad central —si es necesario, tras la confirmación del usuario— transmite un mensaje con una prueba de identidad a prueba de falsificaciones que está vinculado criptográficamente, por ejemplo, con el identificador de la unidad de monitorización, a la unidad de monitorización solicitante recién instalada. Al mismo tiempo, otros componentes también reciben este mensaje y pueden incorporarlo a su respectiva cadena de bloques si es necesario, de modo que, en el futuro, los mensajes de esta nueva unidad de monitorización puedan ser clasificados como íntegros o válidos. La configuración o parametrización de al menos una funcionalidad de un componente puede incluir, en particular, especificaciones temporales o funcionales para el envío de un mensaje (por ejemplo, mensaje de estado cada diez segundos, comportamiento en caso de desviación de estado detectada), una reacción a los mensajes de otros componentes, especificaciones para la inclusión de los mensajes recibidos en la cadena de bloques y similares.

Preferiblemente, solo la unidad central está preparada para poner el sistema de monitorización en el modo de confi guración y/o para hacerlo funcionar en el modo de configuración, donde, en particular, la unidad central está diseñada para permitir que el sistema de monitorización se ponga en el modo de configuración solo después de una comproba ción positiva de la presencia de al menos una característica de seguridad. La característica de seguridad puede ser, por ejemplo, una contraseña de usuario, un dongle de hardware o una identidad digital a prueba de falsificaciones, como un certificado de clave única, por ejemplo, una clave almacenada en un medio de almacenamiento. La invención se refiere además a un dispositivo de protección orientado a la seguridad que tiene una pluralidad de componentes de seguridad, donde los componentes de seguridad comprenden al menos un sensor de monitorización configurado para generar las respectivas señales de los sensores y un control de seguridad conectado al al menos un sensor de monitorización, donde el control de seguridad está configurado para recibir y evaluar las señales de los sensores y para generar y emitir órdenes de conmutación de seguridad sobre la base de las señales de los sensores, y que tiene un sistema de monitorización según al menos una de las realizaciones descritas anteriormente, donde al menos algu nos de los componentes de seguridad están conectados a una unidad de monitorización asociada o a la unidad central.

Preferiblemente, todos los componentes de seguridad del dispositivo de protección están conectados a una unidad de monitorización o a la unidad central.

Se puede prever que uno o más componentes de seguridad estén conectados a una unidad de monitorización o unidad central, es decir, que una unidad de monitorización supervise varios componentes de seguridad simultáneamente.

Según una realización ventajosa, está previsto que un componente de seguridad respectivo y la unidad de monitori zación o unidad central asociadas estén integrados en una unidad constructiva común. Esto garantiza un nivel de seguridad aún mayor contra la manipulación. Al mismo tiempo, se simplifica el esfuerzo de instalación.

Alternativamente, los componentes de seguridad y las unidades de monitorización o la unidad central pueden dise ñarse como grupos constructivos separados que simplemente se conectan entre sí de forma adecuada. Este diseño es especialmente adecuado como solución de reequipamiento o como sistema modular. Aquí, por ejemplo, las salidas de los sensores de monitorización pueden pasar por la unidad de monitorización, que también puede detectar en qué momento se intenta desconectar un sensor de la unidad de monitorización.

Durante el funcionamiento, pueden producirse defectos o una manipulación deliberada del dispositivo de protección, por ejemplo, si un sensor se estropea, queda fuera de servicio, se sustituye de forma no autorizada o emite una señal que no concuerda con el estado de funcionamiento de la máquina. Esto conduce a una corrupción no deseable y difícil de detectar de la seguridad funcional de la instalación, sistema o máquina críticos para la seguridad.

En esencia, la invención propone superponer a este dispositivo de protección un sistema de monitorización utilizando técnicas de seguridad de datos, en particular del ámbito de la ciberseguridad, por lo que el comportamiento del sistema de monitorización puede determinarse mediante un protocolo de monitorización y eventualmente utilizando una es tructura de datos de cadena de bloques. El sistema de monitorización comprueba de forma independiente y continua el funcionamiento y la integridad del sistema de seguridad o de los sensores individuales, el procesamiento de control y la influencia del actuador y comprende su propia red de comunicación (autosuficiente en el caso ideal) y una unidad central a través de la cual se monitorizan los sensores de monitorización individuales del sistema de seguridad y se protocolizan sus actividades. El protocolo de monitorización puede, por ejemplo, utilizar un archivo de datos de cadena de bloques a prueba de falsificaciones que, en el ámbito de la industria 4.0, permite pensar en la protocolización y el seguimiento sin fisuras del comportamiento de la seguridad funcional de la instalación. En este sentido, se propone una comprobación de un dispositivo de protección funcional mediante un sistema de monitorización basado en con ceptos de ciberseguridad. El sistema de monitorización puede instalarse en dispositivos de protección de nueva im plantación, pero también en otros ya existentes, y protocoliza y evita la manipulación, el mal funcionamiento y el fallo del dispositivo de protección.

A modo de ejemplo, la función del dispositivo de monitorización de un dispositivo de protección se ilustrará a conti nuación con el ejemplo de un control automático de la distancia en vehículos. A estos efectos, la función de seguridad funcional del sistema de control automático de la distancia de un vehículo se considera un dispositivo de protección que, para no poner en peligro a las personas, se basa en el principio de garantizar una distancia suficiente mediante el control automático de la distancia respecto a los vehículos que circulan por delante y, en su caso, por detrás. Invo lucrar a los sensores de monitorización, el control de seguridad y los actuadores como componentes de seguridad del dispositivo de protección que participan en la función de seguridad: sensor de radar delantero, velocímetro, control de seguridad, motor, actuadores de freno y frenos. El estado seguro de la seguridad funcional, si hay un problema con los componentes de seguridad en el dispositivo de protección, reza: frenada controlada para evitar colisiones frontales y traseras.

Para ello, el sensor de radar mide la distancia hasta el siguiente obstáculo/vehículo que le precede y, si es necesario, también hasta el vehículo que le sigue. Este valor se transfiere al control de seguridad. Este calcula, a partir de la distancia al obstáculo, el cambio de posición respecto al obstáculo, la velocidad del propio vehículo, así como la velo cidad máxima establecida si se debe frenar o acelerar. En este ejemplo, el vehículo tiene sensores de presión de los neumáticos que no forman parte de la función de seguridad. Sin embargo, esto se convierte en una puerta de entrada para los piratas informáticos, ya que está conectado al bus CAN del coche a través de una interfaz Bluetooth (inalám brica). Por ejemplo, es concebible que un valor del sensor de presión de los neumáticos pueda incluirse en la deter minación de la velocidad del vehículo, ya que el diámetro de la rueda se determina sobre la base de la presión de los neumáticos y un valor de velocidad puede derivarse teniendo en cuenta el número de revoluciones de un sensor de velocidad. La manipulación del valor de salida del sensor de presión de los neumáticos, que es por tanto un sensor de monitorización, puede así influir directamente en su propia estimación de la velocidad en el dispositivo de protección.

Un posible ataque puede representarse de la siguiente manera: El atacante podría acceder al bus CAN a través de la interfaz inalámbrica y, por ejemplo, falsificar el valor transmitido del sensor de radar o atacar el sensor transmitiendo de forma independiente un valor de distancia falso, haciéndose pasar por el sensor de radar real (caso 1). Además, o como complemento, el atacante puede provocar una falsificación (sobrescritura) del valor transmitido instantánea mente por el sensor de radar (caso 2). También sería posible que el atacante señalara el sensor de radar como defectuoso, lo que obligaría a un conductor eventualmente cansado a volver a asumir él mismo una tarea de control de la dirección y la distancia (caso 3). Por último, puede producirse un hackeo del sensor de radar para que se trans mita cualquier valor desde el sensor de radar (caso 4).

Los casos mencionados 1,2 y 4 no serían reconocidos por el control de seguridad y el sistema global del estado de la técnica. Como consecuencia, el atacante podría dejar que el vehículo colisionara con el obstáculo (información de distancia del sensor de radar demasiado grande, información de velocidad demasiado baja) o forzar un frenado de emergencia (información de distancia del sensor de radar demasiado grande. Indicación de velocidad demasiado alta). Las posibles consecuencias serían, por ejemplo, una colisión a alta velocidad en autopista, con posibles consecuen cias mortales. En el mencionado caso 3, la desactivación de un sistema de asistencia al conductor podría provocar un accidente si el estilo de conducción y el estado del conductor son deficientes. Este caso sería peor si la conducción es autónoma.

En consecuencia, se puede afirmar que un fallo de un subsistema de la CS (en este caso una interfaz inalámbrica) provoca un ataque con éxito en el sistema global del dispositivo de protección del control automático de la distancia, que normalmente ya no puede ser detenido por la SF. En determinadas circunstancias, no se puede responsabilizar a la CS de haber fracasado, ya que una actualización del software de la interfaz inalámbrica del sensor de presión de los neumáticos podría haber evitado un hackeo, en este caso un acceso al bus CAN. Ni siquiera la SF puede evitar la corrupción, ya que una comprobación del funcionamiento del sensor de presión de los neumáticos y del dispositivo de protección no revelaría ninguna corrupción. El sensor de radar ha notificado una distancia suficiente, se ha producido la aceleración, se han ajustado correctamente los parámetros de distancia necesarios y no se ha detectado ningún fallo o problema de los componentes.

La invención propone, por tanto, un sistema de monitorización de un dispositivo de protección de SF según los princi pios de la ciberseguridad funcional (FCS), que puede utilizarse en diversas aplicaciones críticas para la seguridad (véanse los ejemplos más adelante), donde el dispositivo de protección cuenta con sensores de monitorización, un control de seguridad y actuadores y, por tanto, representa una totalidad de componentes de seguridad, interfaces, software y parametrizaciones. El sistema de monitorización de FCS que supervisa el dispositivo de protección de SF, que es capaz de comprobar al menos algunos de los componentes de seguridad del dispositivo de protección mediante una unidad de monitorización de FCS, realiza el denominado diagnóstico de FCS mediante una unidad de monitoriza ción asignada a un componente de seguridad. Para ello, una unidad de monitorización del sistema de monitorización de FCS registra, por lo general pero no exclusivamente, información pasiva del componente de seguridad y la transmite a la unidad central del sistema de monitorización a través de una red de comunicación, por lo general un sistema de bus propio (independiente), pero también integrado físicamente en un bus de datos ya existente del dispositivo de protección, y eventualmente cifrado o sin cifrar. El diagnóstico de FCS suele funcionar en segundo plano e, idealmente, no es detectado por el dispositivo de protección ni por el usuario. En cuanto al hardware, el sistema de monitorización o la unidad de monitorización pueden ser un componente independiente o integrado (sistema en chip). A este respecto, una unidad de monitorización del sistema de monitorización de FCS puede superponerse a un componente de segu ridad del dispositivo de protección de SF o un componente de seguridad que implemente la CS. La unidad de monito rización puede tener medios para controlar o destruir el componente de seguridad.

La unidad de monitorización de FCS evalúa los mensajes de diagnóstico de FCS de las unidades de monitorización y determina los comportamientos de ciertos eventos mediante parámetros de FCS almacenados en su protocolo de monitorización, que son, por ejemplo, predecibles de forma inmutable por una estructura de datos difícil de corromper, como una cadena de bloques. Lo ideal es que estas especificaciones de los parámetros de FCS se almacenen de forma distribuida en todo el sistema de monitorización de FCS. La red de comunicación de FCS puede ser un bus de datos dedicado y cerrado dentro del sistema de monitorización de FCS, o aprovechar un bus de datos existente del dispositivo de protección de la SF. Los parámetros de FCS que determinan el comportamiento del sistema de monito rización son especificaciones modificables o no modificables de la unidad central de FCS. Es preferible que el cambio solo sea posible a través de la unidad central.

En el ejemplo mencionado, un diagnóstico de FCS puede ser generado periódica o aperiódicamente por una unidad de monitorización respectiva con respecto a un componente de seguridad, como un sensor de radar, un velocímetro, actuadores de freno y frenos o un dispositivo de protección de control automático de la distancia. La unidad central puede provocar la activación inmediata de un estado de FCS seguro sobre la base de un parámetro de FCS en res puesta a un mensaje de ataque de un diagnóstico de FCS de una unidad de monitorización. En este caso, un estado de FCS podría consistir en reducir lentamente la velocidad, activar las luces de emergencia, llevar el vehículo hasta el arcén y desconectar el motor.

En una secuencia concreta de un hackeo del sistema de monitorización de FCS en cuestión, en el caso 1 mencionado puede consistir en una transmisión independiente de un valor de distancia falso, sobre el que el atacante hace creer que se trata realmente de un valor del sensor de radar. La unidad de monitorización del sensor de radar podría, mediante un diagnóstico de FCS, detectar un ataque comparando el contenido de la memoria del sensor de radar, sus valores de sensor y el hecho de que el sensor de radar no haya transmitido señales en ese momento. La unidad central de FCS, pero también todas las demás unidades de monitorización, serían informadas de este ataque al sensor de radar a través de la red de comunicación de FCS con la petición de establecer inmediatamente el estado de FCS, que podría desarrollarse como sigue: los diagnósticos de FCS provocarían un frenado lento y controlado mediante una unidad de monitorización asociada a los frenos y a los actuadores de los frenos. La unidad central de FCS obligaría al control de seguridad a encender las luces de emergencia. La unidad central de FCS obligaría al control de seguridad a indicar al conductor que se detenga inmediatamente o que tome el control de la dirección si es necesario. Después de apagar el motor, este permanecería apagado hasta que la unidad central de FCS volviera a liberar el vehículo (por ejemplo, después de un mantenimiento).

En el caso 2 mencionado anteriormente -una falsificación (sobrescritura) de un valor transmitido instantáneamente del sensor de radar- se detectaría comparando los valores correctos del sensor, así como el contenido de la memoria por parte de la unidad de monitorización asociada al sensor de radar, que generaría un diagnóstico de FCS. El procedi miento posterior sería idéntico al del caso 1.

En el caso 3 (marcar el sensor de radar como defectuoso), al igual que en el caso 1, se detectaría un diagnóstico de FCS de un defecto mediante la comparación de los valores correctos del sensor, así como del contenido de la memoria por parte de la unidad de monitorización del sensor de radar. Las reacciones también serían análogas al caso 1.

Un hackeo del sensor de radar (caso 4) se detectaría, por ejemplo, si se accede al sensor mientras se conduce. Dado que este acceso solo se permite en el taller, el estado seguro se activaría como en el caso 1. Otras posibilidades de diagnóstico de un hackeo serían, por ejemplo, las características de la carga del procesador o el acceso a los recursos. Las reacciones serían las mismas que en el caso 1.

Si se produjera un ataque de hardware en el sistema de monitorización de FCS, la red de comunicación lo detectaría, por ejemplo, por la ausencia de telegramas de sincronización. Los ataques de software se detectarían a través de los cambios y la comparación de los parámetros FCS no modificables del protocolo de monitorización (por ejemplo, como una cadena de bloques) o de, por ejemplo, los valores hash modificados del diagnóstico de FCS.

En resumen, utilizando el ejemplo de la FCS antes mencionado de un controlador automático de la distancia mediante un dispositivo de protección de un vehículo, se puede afirmar lo siguiente:

- Un sistema de monitorización de FCS según la invención puede minimizar o prevenir con éxito los efectos negativos en los cuatro escenarios de ataque presentados.

- El uso de varios componentes de seguridad (redundantes) de SF, por ejemplo, dos sensores de radar, no impediría un ataque informático, sino que simplemente lo ralentizaría.

- El aumento de las medidas de seguridad en el ámbito de la CS podría, en el mejor de los casos, posponer la posibilidad de un ataque a un futuro próximo, ya que cualquier sistema de CS será anulado con el tiempo. Y una vez que se ha vulnerado la primera barrera de seguridad de la CS, es solo cuestión de tiempo que la segunda caiga también.

- La fusión de la SF con la CS para formar la FCS también puede minimizar o prevenir el impacto de los ataques exitosos en sistemas que no han sido debidamente actualizados (parcheados), es decir, en sistemas anti cuados.

FIGURAS

De las figuras y de su descripción se derivan ventajas adicionales. Las figuras muestran realizaciones ilustrativas de la invención. Las figuras, la descripción y las reivindicaciones contienen numerosas características combinadas. El experto en la técnica también podrá considerar estas características de forma conveniente e individualizada y agru parlas en combinaciones adicionales útiles.

Estas muestran:

Fig. 1a, 1b diagramas abstractos de un dispositivo de protección en un estado de funcionamiento previsto, pro tegido desde el exterior con medios de ciberseguridad y desde el interior con medidas de seguridad funcional (a), monitorizadas por una realización ilustrativa de la invención (b);

Fig. 2 un diagrama de bloques de un sistema de monitorización vinculado a un dispositivo de protección según una primera realización ilustrativa;

Fig. 3 un diagrama de bloques de un sistema de monitorización integrado en un dispositivo de protección según una segunda realización ilustrativa; y

Fig. 4a, 4b un esquema de un vehículo con dispositivo de protección de control automático de la distancia (Fig. 4a), complementado con una realización ilustrativa de un sistema de monitorización (Fig. 4b).

La Fig. 1a muestra, a modo de representación esquemática abstracta en forma de rectángulos concéntricos, un modelo de piel de cebolla de un dispositivo de protección del estado de la técnica anterior. El dispositivo de protección com prende sensores de monitorización, un control de seguridad y actuadores como componentes de seguridad y se en cuentra en un «modo operativo», que representa un funcionamiento previsto del control de seguridad de una máquina, instalación o sistema. En el interior, en el control de seguridad se proporciona un sistema de seguridad para las per sonas y el medio ambiente contra los efectos nocivos en caso de errores accidentales y sistemáticos, así como de un mal uso previsible, de acuerdo con los principios de la seguridad funcional (SF) y con la interacción de los sensores de monitorización, el control de seguridad y los actuadores. A continuación se muestran ejemplos a modo ilustrativo, no limitativo. Externamente, por ejemplo, de cara a un entorno digital de una red o de Internet, pero también de cara a un entorno físico, la ciberseguridad (CS) intenta contrarrestar la manipulación externa, las alteraciones no autoriza das y los ataques informáticos, como la manipulación de datos, etc., mediante, por ejemplo, la transmisión de datos cifrados, la introducción de contraseñas, el reconocimiento facial, etc. Sin embargo, si el acceso no autorizado tiene éxito, ni la CS ni la SF pueden impedir una amenaza a la seguridad, ya que la CS y la SF no interactúan, ni existe ninguna monitorización de nivel superior para detectar la corrupción.

La Fig. 1b muestra un ejemplo abstracto de un sistema de monitorización FCS (sombreado) basado en los principios de la FCS, que protege tanto la envolvente CS frente a ataques desde el exterior como la envolvente SF, que propor ciona seguridad funcional en el interior como segunda «línea de defensa» y, al mismo tiempo, tiene acceso al funcio namiento previsto (modo operativo) del dispositivo de protección o incluso puede llevar a cabo un control de emergen cia. Por esta razón, la FCS cubre, es decir, penetra gráficamente, al menos en parte, la envolvente de la CS y la envolvente de la SF y cubre completamente el modo operativo del dispositivo de protección, ya que la FCS es capaz de controlar el modo operativo en un modo de control de emergencia. Para ello, a los componentes de seguridad se asignan unidades de monitorización del sistema de monitorización de FCS, que están conectadas a una unidad central a través de una red de comunicación. En caso de mal funcionamiento o de manipulación, de hackeo de la CS o de la SF, se puede detectar, mediante comprobaciones lógicas y utilizando el protocolo de monitorización especificado, la corrupción del dispositivo de protección y establecer un estado seguro, de modo que se mitigue o se evite un peligro para las personas y el medio ambiente, incluso en caso de fallos o manipulaciones que no puedan ser detectados o evitados por la CS o la SF.

Por ejemplo, en un dispositivo de protección se puede emitir un valor de sensor incorrecto debido a un fallo en un sensor de monitorización; se puede cambiar deliberadamente un valor en la memoria del sensor mediante una mani pulación del sensor de monitorización; se puede alterar o introducir incorrectamente un valor durante la transmisión del valor del sensor al control de seguridad, por ejemplo, a través de un bus de datos, o alterarse en una memoria del control de seguridad que recibe y procesa el valor del sensor. Todas estas distorsiones de los valores de los sensores pueden ser detectadas por el sistema de monitorización según la invención y difundidas mediante mensajes a través de la red de comunicación en forma de diagnósticos de FCS de las unidades de monitorización, por lo que el dispositivo de protección puede ser transferido a un estado de FCS seguro para el caso específico en cuestión. Estos casos, que pueden almacenarse en el protocolo de monitorización como parámetros de ^fC^s, pueden provocar reacciones esca ladas del sistema de monitorización. Estas pueden ir desde ignorar el valor del sensor o añadir información redundante sobre el valor del sensor (por ejemplo, fallo del sensor de revoluciones de las ruedas para determinar la velocidad y posterior acceso al sensor GPS para determinar la velocidad), hasta la desconexión de funciones operativas indivi duales (parada de un piloto automático o un control de conducción automático y solicitud de control manual), pasando por una parada de emergencia de la instalación/máquina/sistema críticos para la seguridad.

La Fig. 2 muestra un sistema de monitorización que está vinculado a un dispositivo 10 de protección orientado a la seguridad. En la realización ilustrativa, el dispositivo 10 de protección comprende dos sensores 12 de monitorización configurados para generar las respectivas señales de los sensores, que están conectados a un control 14 de seguri dad. El control 14 de seguridad está configurado para recibir y evaluar las señales de los sensores y para generar y emitir órdenes de conmutación de seguridad basadas en las señales de los sensores. Las órdenes de conmutación de seguridad pueden transmitirse a un actuador 16 conectado al control 14 de seguridad. El actuador 16, que puede estar configurado, por ejemplo, como un relé, está conectado a una máquina 20 que debe ser monitorizada por el dispositivo 10 de protección para provocar la desconexión o la puesta en marcha de la máquina 20.

Los sensores 12 de monitorización, el control 14 de seguridad y el actuador 16 también se denominan en general a continuación componentes de seguridad.

En el caso de las conexiones entre los sensores 12 de monitorización, el control 14 de seguridad y el actuador 16 puede tratarse, por ejemplo, de un cableado duro, en el que las señales se transmiten de acuerdo con el estándar OSSD (siglas en inglés de Output Signal Switching Device). Sin embargo, según una modificación, estas conexiones también pueden realizarse a través de un sistema de bus de campo como el bus CAN, el bus I2C, el SPI o similares.

Los sensores 12 de monitorización pueden ser, por ejemplo, sensores de monitorización optoelectrónicos que están configurados para supervisar una zona de riesgo de la máquina 20 sin contacto. Por ejemplo, si una persona entra en la zona de riesgo, uno o más sensores 12 de monitorización pueden generar una señal de detección correspondiente y transmitirla como señal de sensor al control 14 de seguridad. El control 14 de seguridad puede entonces, a su vez, transmitir una orden de conmutación de seguridad correspondiente al actuador 16, que a su vez provoca la descone xión de la máquina 20.

Se entiende que también puede haber un número menor o mayor de sensores 12 de monitorización. Por supuesto, también es posible un número mayor de actuadores 16. Además, también pueden utilizarse otros tipos de sensores 12 de monitorización, por ejemplo, sensores magnéticos, que controlan, por ejemplo, que las cubiertas relevantes para la seguridad o similares dispuestas en la máquina 20 estén cerradas, de modo que cuando la cubierta está abierta, el control 14 de seguridad garantiza que la máquina 20 se desconecta inmediatamente o no puede ponerse en funcio namiento en absoluto. Además, también es concebible el funcionamiento sin un sistema de control (de seguridad) estructuralmente independiente. Por ejemplo, los sensores inteligentes pueden controlar los actuadores de forma au tónoma, como un escáner láser o un sensor de proximidad que conmuta directamente un contactor de alimentación en cuanto las personas se encuentran cerca de una máquina en funcionamiento.

El sistema de monitorización según la invención comprende varias unidades 30 de monitorización, cada una de las cuales está conectada a un sensor 12 de monitorización o al control 14 de seguridad. En particular, las unidades 30 de monitorización están configuradas para supervisar la conexión con los sensores 12 de monitorización o con el control 14 de seguridad para monitorizar una interrupción, para determinar un estado de funcionamiento de los sen sores 12 de monitorización o del control 14 de seguridad y/o para detectar las señales de los sensores 12 de monitorización.

Según una modificación (no mostrada), la salida o las salidas de señal de un sensor 12 de monitorización, al que se emiten las señales para el control 14 de seguridad, pueden pasar en bucle a través de la unidad 30 de monitorización asociada, de modo que la unidad 30 de monitorización también es capaz de monitorizar el estado de la señal del sensor 12 de monitorización y, en particular, también detectar si se intenta desconectar el sensor 12 de monitorización de la unidad 30 de monitorización.

Las unidades 30 de monitorización y una unidad central 32 están conectadas entre sí a través de una red 34 de comunicación. La red 34 de comunicación puede, por ejemplo, ser alámbrica o inalámbrica. Por ejemplo, puede ser un sistema de bus, en el que la comunicación puede llevarse a cabo según los estándares Ethernet, CAN, I2C o similares.

En la red 34 de comunicación, los componentes del sistema de monitorización, es decir, en particular, las unidades 30 de monitorización y la unidad central 32, proporcionan un protocolo de monitorización que permite el intercambio de mensajes entre los componentes del sistema de monitorización. Mediante los mensajes intercambiados, para cada componente de seguridad conectado a una unidad 30 de monitorización o cada componente del sistema de monitori zación, se puede supervisar un estado respectivo o comprobar si se cumple o se desvía de un estado deseado asig nado a este componente de seguridad o a este componente.

En particular, el protocolo de monitorización está diseñado para detectar manipulaciones o fallos de funcionamiento de los distintos componentes del dispositivo 10 de protección o del sistema de monitorización y, si fuera necesario, para aplicar las medidas de seguridad adecuadas en caso de que se produzca la correspondiente relevancia crítica para la seguridad, de modo que pueda evitarse un peligro para las personas, los bienes o el medio ambiente. Además, el protocolo de monitorización también proporciona una protocolización preferentemente descentralizada, es decir, el registro de al menos los mensajes seleccionados, de modo que, en particular, los cambios, las manipulaciones o el mal funcionamiento de todo el sistema también pueden ser rastreados en un momento posterior.

En particular, para garantizar la integridad del sistema de monitorización y del dispositivo 10 de protección que se va a monitorizar, el protocolo de monitorización prevé diversos medios criptográficos. Por un lado, se puede prever que los mensajes se transmitan cifrados o firmados. Esto puede garantizar que solo los destinatarios autorizados puedan leer o evaluar un mensaje y, en particular, que el autor o remitente de un determinado mensaje también pueda ser claramente identificado.

La unidad central 32 desempeña aquí un papel esencial. Hace la función de maestro, por así decirlo, en la fase de inicialización, mientras que las unidades 30 de monitorización deben considerarse esclavas. La unidad central puede incluir además una unidad de monitorización. Después de la fase de inicialización, las unidades de monitorización y, si es necesario, la unidad central, pueden supervisar de forma autónoma las entradas en la cadena de bloques, así como cualquier otro mensaje de los componentes.

Después de la fase de inicialización, las unidades de monitorización y, si es necesario, la unidad central, supervisan de forma autónoma las entradas, preferiblemente en la cadena de bloques, así como cualquier otro mensaje de los componentes (de seguridad). Una consideración esencial para la seguridad es que solo los componentes autorizados puedan comunicarse en el sistema de monitorización. Por lo tanto, al establecer un sistema de monitorización recién configurado, todos los componentes deben primero acceder al sistema de monitorización y registrarse en él. Esto puede hacerse, por ejemplo, colocando primero la unidad central 32 en un modo de configuración. Esto puede ser llevado a cabo por un usuario que debe autenticarse para ello, lo que puede hacerse mediante métodos adecuados como contraseñas, dongles de hardware o, por ejemplo, pruebas de identidad digital a prueba de falsificaciones alma cenadas en un medio de almacenamiento portátil en forma de clave digital.

Cada unidad 30 de monitorización solicita en primer lugar su pertenencia al sistema dirigiendo la correspondiente solicitud a la unidad central 32 con un número de identificación que identifica de forma exclusiva a la respectiva unidad 30 de monitorización. La unidad central 32 puede emitir la correspondiente autorización en forma de prueba de iden tidad a prueba de falsificaciones, por ejemplo, en forma de certificado o clave, que se transmite a la unidad 30 de monitorización solicitante, para lo cual suele ser necesaria la colaboración del usuario. La identidad a prueba de falsi ficaciones, por ejemplo, en forma de certificado o clave, se almacena en la unidad 30 de monitorización solicitante y se utiliza para cifrar, firmar o descifrar los mensajes enviados por la unidad 30 de monitorización o los mensajes recibidos por la unidad 30 de monitorización. Los medios criptográficos para el cifrado o la autenticación incluyen, en particular, métodos criptográficos asimétricos en los que se utiliza una combinación de claves públicas y privadas de manera conocida. Estos métodos criptográficos son generalmente conocidos y no se explicarán aquí con más detalle.

Una vez finalizado el modo de configuración, es decir, cuando todos los componentes del sistema de monitorización han recibido su respectivo certificado o clave como identidad a prueba de falsificaciones y, en su caso, se ha realizado una distribución o difusión de las claves públicas presentes en el sistema de monitorización para todos los componen tes, el sistema de monitorización puede ponerse en modo de monitorización. En este modo de funcionamiento, se puede prever, en particular, que los componentes del sistema de monitorización, es decir, en particular las unidades 30 de monitorización, envíen mensajes de estado a determinados intervalos, que pueden ser recibidos por la unidad central 32, pero también por otras unidades 30 de monitorización. La transmisión de estos mensajes de estado puede, por ejemplo, tener lugar a intervalos de tiempo predeterminados, donde estos intervalos de tiempo han sido transmiti dos, por ejemplo, como parámetros de funcionamiento durante el modo de configuración desde la unidad central 32 a la respectiva unidad 30 de monitorización. Así, por ejemplo, se puede prever que, dependiendo de la función o de la importancia para la seguridad de un componente de seguridad concreto monitorizado por una unidad 30 de monitori zación, la frecuencia de estos mensajes de estado puede variar.

Alternativamente, la consulta de al menos una parte de las unidades 30 de monitorización también puede ser realizado, por ejemplo, por la unidad central 32 y/o por otra unidad 30 de monitorización, es decir, los mensajes correspondientes con un mensaje de estado se transmiten bajo petición.

Un mensaje de estado respectivo emitido por una unidad 30 de monitorización puede comprender, además de infor mación sobre la identidad de la unidad 30 de monitorización o del componente de seguridad monitorizado, un estado de señalización, que representa, en particular, la señal del sensor emitida por un sensor 12 de monitorización. Si la unidad 30 de monitorización conectada al control 14 de seguridad transmite mensajes que también contienen infor mación sobre las señales de los sensores recibidas, la unidad central puede llevar a cabo una comparación de estos mensajes para detectar cualquier discrepancia entre las señales de los sensores recibidas por el control 14 de segu ridad y las señales de los sensores supuestamente transmitidas, es decir, según el mensaje de estado, por las unida des 30 de monitorización e iniciar las medidas de seguridad adecuadas.

Si faltan uno o más mensajes esperados, también se puede tomar la correspondiente medida de seguridad.

Si la unidad central 32 o una o más unidades 30 de monitorización reciben uno o más mensajes de una unidad 30 de monitorización para los que la unidad central 32 no tiene una prueba de identidad válida, yo los mensajes tienen firmas inadmisibles, en particular, firmas no autorizadas por la unidad central 32, la unidad central 32 o cada unidad 30 de monitorización puede considerar esto como un intento de manipulación y también iniciar las medidas de seguridad adecuadas. Además, se pueden tomar medidas de seguridad si se detectan identidades no autorizadas.

Se pueden considerar varias opciones en relación con estas medidas de seguridad. Por ejemplo, si la unidad central 32 detecta una discrepancia en las señales de los sensores, o un mensaje de estado de un sensor 12 de monitorización concreto indica un mal funcionamiento del sensor 12 de monitorización, la unidad central 32 puede poner ese sensor 12 de monitorización, a través de la unidad 30 de monitorización asociada, en un estado en el que el sensor 12 de monitorización genera una señal predeterminada de sensor de alarma. Por ejemplo, si el sensor 12 de monitorización emite una señal de sensor en el rango de 4-20 mA en modo normal, la señal de sensor de alarma puede consistir en que el sensor transmita en lo sucesivo una señal de salida de 0 mA al control 14 de seguridad. En este caso, corres ponde al control 14 de seguridad tomar las medidas de seguridad adecuadas previstas y registradas para ello. Por ejemplo, se puede hacer primero una comparación con otros sensores 12 de monitorización. Alternativamente, la máquina 20 monitorizada puede ser desconectada de inmediato. Por lo tanto, no es necesario programar las medidas de seguridad necesarias en el sistema de monitorización. En este caso, se utilizan los mecanismos registrados en el dispositivo 10 de protección.

Alternativa o adicionalmente, la unidad central 32 u otra unidad 30 de monitorización que haya detectado un mal funcionamiento o discrepancia puede enviar un mensaje correspondiente señalando la desviación a uno o más com ponentes del sistema de monitorización. Este mensaje puede utilizarse para que una o varias unidades 30 de monito rización adopten las acciones adecuadas en los componentes de seguridad que están monitorizando.

Por último, la propia unidad central 32 también puede actuar sobre el control 14 de seguridad. Para ello, la unidad central 32 puede actuar sobre el control 14 de seguridad a través de una conexión directa con él, por ejemplo, a través de una entrada de sensor del control 14 de seguridad.

En un aspecto particular de la presente invención, todos o al menos una parte sustancial de los mensajes intercam biados en la red de comunicación se protocolizan o se almacenan. Esta protocolización o almacenamiento se realiza mediante una cadena de bloques. Una cadena de bloques es una lista continuamente ampliable de registros de datos conocidos como bloques, que están vinculados entre sí mediante procedimientos criptográficos. Cada bloque puede incluir típicamente un valor hash criptográficamente seguro del bloque anterior, una marca de tiempo y datos de es tado.

La cadena de bloques se almacena al menos en la unidad central, de manera que, preferiblemente, también otras instancias de la cadena de bloques se almacenan en al menos una parte de las unidades 30 de monitorización. Pre feriblemente, la cadena de bloques o las instancias de la cadena de bloques se almacenan en todos los componentes del sistema de monitorización.

Con la ayuda de este tipo de protocolización de cadena de bloques, se puede lograr un nivel de seguridad especial mente alto contra la manipulación. Si se produjera una sustitución o manipulación no autorizada de un componente de seguridad y su unidad 30 de monitorización asociada, la consecuencia sería que la instancia de cadena de bloques almacenada en esa unidad 30 de monitorización diferiría de las demás instancias de cadena de bloques del sistema de monitorización. Mediante la comparación regular de las instancias de cadena de bloques, que puede realizarse, por ejemplo, mediante el intercambio de valores hash, se puede detectar esta discrepancia e identificar el dispositivo de protección asociado como corrupto.

Un aspecto de seguridad esencial para un almacenamiento de las instancias de cadena de bloques en todos o al menos una gran parte de los componentes del sistema de monitorización consiste en que no solo la unidad central 32, sino también otras unidades 30 de monitorización, puedan detectar un posible intento de manipulación. Para manipular un sistema de monitorización tan seguro, no solo habría que manipular componentes individuales del sistema, sino todos los componentes, lo que supone un esfuerzo casi insuperable.

En particular, la cadena de bloques también contiene información sobre los componentes del sistema de monitoriza ción autorizados por la unidad central 32, por ejemplo, en forma de las claves públicas de todos los componentes autorizados en el sistema de monitorización.

El mencionado almacenamiento del certificado o de la clave, en particular, una clave privada, en las unidades 30 de monitorización o en la unidad central 32 puede llevarse a cabo, en particular, mediante un chip especialmente prote gido, por ejemplo, un TPM (por sus siglas en inglés Trusted Platform Module). Utilizando un procedimiento de auten ticación seguro adecuado, por ejemplo, mediante el llamado procedimiento de desafío-respuesta, un componente respectivo puede determinar si otro componente posee la clave privada coincidente que se asigna a la clave pública almacenada en el sistema de monitorización, en particular en la cadena de bloques, para el componente que debe comprobarse. En el procedimiento de desafío-respuesta, un componente solicitante presenta una tarea al componente que debe ser comprobado, que este debe resolver para demostrar que conoce una determinada información sin trans mitirla él mismo.

En principio, no es obligatorio que todos los mensajes intercambiados en la red 34 de comunicación se almacenen también en la cadena de bloques. De esta manera, se puede definir un nivel de prioridad de forma global o individual para cada componente del sistema de monitorización, a partir del cual se produce un almacenamiento en la cadena de bloques. Por ejemplo, podría establecerse un nivel más alto para los componentes de seguridad menos relevantes para la seguridad, de modo que solo se protocolicen los mensajes especialmente críticos. En el caso de otros compo nentes de seguridad cuya relevancia para la seguridad es muy alta, podría establecerse un nivel inferior para que también se protocolicen los mensajes menos críticos para la seguridad de la unidad 30 de monitorización asignada a este componente de seguridad.

El sistema de monitorización descrito en la Figura 2 también es especialmente adecuado para el reequipamiento de un dispositivo 10 de protección ya instalado. El sistema de monitorización es, por así decirlo, una cáscara que super visa la integridad del dispositivo 10 de protección existente, es decir, para comprobar si hay alguna manipulación o corrupción, y para protocolizar el estado y el historial. La funcionalidad real del dispositivo 10 de protección no se ve influida por el sistema de monitorización, o al menos solo en la medida en que, en caso de detectarse una desviación de un estado deseado, se inician medidas para garantizar la seguridad de un sistema o máquina 20 supervisados por el dispositivo 10 de protección.

Haciendo referencia a la Fig. 3, se explica otra realización ilustrativa de un sistema de monitorización según la inven ción. El sistema de monitorización allí mostrado y el dispositivo 110 de protección monitorizado con él corresponden esencialmente en su estructura y funcionalidad al sistema de monitorización o dispositivo 10 de protección de la Fig. 2. Por lo tanto, para elementos idénticos o similares se han asignado los mismos signos de referencia. A continuación, se explican las diferencias relevantes entre las dos realizaciones ilustrativas.

A diferencia de la primera realización ilustrativa, los componentes de seguridad, es decir, los sensores 12 de monito rización y el control 14 de seguridad, están conectados a una unidad 30 de monitorización respectiva para formar un componente integrado. Además, el actuador 16 está integrado también en el sistema de monitorización a través de una unidad 30 de monitorización, también integrada.

Otra diferencia es que la señalización entre los componentes de seguridad, es decir, la transmisión de las señales de sensor entre los sensores 12 de monitorización y el control 14 de seguridad, así como la transmisión de las órdenes de conmutación de seguridad entre el control 14 de seguridad y el actuador 16, así como el intercambio de los men sajes, tiene lugar a través de una red de comunicación compartida, por ejemplo, mediante un sistema de bus compar tido, es decir, la red 34 de comunicación forma parte del sistema de bus del dispositivo 110 de protección. La red de comunicación puede, por ejemplo, diseñarse como un sistema de bus de campo o cualquier otro sistema de bus.

Al integrar los componentes de seguridad en los componentes del sistema de monitorización se puede lograr un nivel aún mayor de seguridad frente a la manipulación. Al mismo tiempo, se simplifica el esfuerzo de instalación.

La Fig.4a muestra esquemáticamente un vehículo 60 que incluye un dispositivo 40 de protección de control automático de la distancia, es decir, un control de crucero adaptativo (ACC, Adaptative Cruise Control). El ACC es un sistema de monitorización de proximidad que regula la distancia entre un vehículo y el que le precede, evitando así una colisión. El dispositivo 40 de protección de control de la distancia mide la posición, la distancia y la velocidad de un vehículo que circula por delante mediante un sensor 42 de distancia basado en un radar, así como su propia velocidad mediante sensores 44 de revoluciones de las ruedas. La velocidad del vehículo 60 propio de tracción total con un tren 59 de transmisión que acciona todos los ejes del vehículo por medio de un motor 48 de accionamiento se ajusta entonces en consecuencia mediante la intervención en el motor 48 de accionamiento y en los actuadores 46 de freno para mantener una distancia constante o no descender de una distancia mínima. Para ello, el motor 48 de accionamiento y los actuadores 46 de freno, así como los sensores 44 de revoluciones de las ruedas y el sensor 42 de distancia están conectados a través de un bus CAN 52 a una unidad 50 de monitorización de seguridad (por ejemplo, ECU), que realiza un control de la distancia.

Como se muestra en la Fig. 4b, el dispositivo 40 de protección de control de distancia mostrado en la Fig. 4a está subordinado a un sistema de monitorización que comprende una unidad central 54, una red 58 de comunicación (marcada con líneas de puntos) y una pluralidad de unidades 56 de monitorización. Los sensores 42, 44 y los actuadores 46, 48, así como el control 50 de seguridad, tienen asignada una unidad 56 de monitorización cada uno. Las unidades 56 de monitorización están conectadas a la unidad central 54 a través de la red 58 de comunicación. Perió dicamente o aperiódicamente, las unidades 54 de monitorización informan del estado y la identidad de sus actuadores 46, 48 asociados, los sensores 42, 44 de monitorización y el control 50 de seguridad. Además, las unidades 56 de monitorización pueden influir en un estado interno de, por ejemplo, los actuadores 46, 48, por ejemplo, permitir la intervención de los actuadores 46 de freno o determinar la potencia del motor 48 de accionamiento. La red 58 de comunicación puede ser una red físicamente independiente, pero también puede basarse físicamente en el bus CAN 52 existente en el vehículo y transmitir mensajes, preferiblemente firmados o cifrados, a la unidad central 54.

Si, por ejemplo, los valores del sensor 42 de distancia son modificados deliberadamente por un ataque informático en el bus CAN 52, que de todos modos puede transmitir físicamente mensajes de la red 58 de comunicación, la unidad central 54 puede determinar que hay valores de distancia desviados de la unidad 56 de monitorización asignada al sensor 42 de distancia y de la unidad 56 de monitorización asignada al control 54 de seguridad. En este caso, el protocolo de monitorización presente en la unidad central 54 puede prever que se señale al conductor una desactiva ción inmediata del control automático de la distancia y que se desconecte el control 50 de seguridad del dispositivo 40 de protección del control de la distancia. Así se evita una colisión trasera involuntaria causada por la intervención de un pirata informático, por ejemplo, a través de una pasarela de Internet de un vehículo conectado en red (Connected Car, Car2Car Communication).

A continuación, se presentarán a modo de ejemplo, pero no de forma concluyente, otras realizaciones ilustrativas de un sistema de monitorización de FCS según la invención, que ilustran los ataques y su defensa sobre la base del sistema de monitorización de FCS derivados de hackeos y manipulaciones, así como del mantenimiento defectuoso de los dispositivos de protección de SF en cuestión o de la CS utilizada en ellos.

Realización ilustrativa: central nuclear

Una de las funciones de seguridad del dispositivo de protección consiste en bajar los elementos de combustible a la piscina de agua en caso de mal funcionamiento. Un estado seguro, eventualmente también un posible estado de FCS, es que los elementos de combustible estén completamente sumergidos en agua. Para ello, el dispositivo de protección se compone de sensores de monitorización, control de seguridad, actuadores y suele estar diseñado como un control SCADA. En lo sucesivo, se entiende que un control SCADA (Supervisory Control and Data Acquisition) es un disposi tivo de protección para monitorizar y controlar los procesos técnicos mediante un sistema informático.

Una manipulación o un ataque pueden consistir en que el control (SCADA) de la central nuclear sea controlado o corrompido por un atacante a través de una memoria USB infectada. El atacante saca los elementos de combustible del agua y luego borra todo el programa de control (SCADA), de modo que podría producirse una fusión del núcleo. Debido al fallo completo del control (SCADA), ya no resulta posible una intervención. En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que una manipulación o un hackeo de un componente de seguridad debe llevar inmediatamente a la activación del estado de FCS. El estado de FCS en caso de manipulación o fallo de un componente puede consistir en proporcionar un control de emergencia propio del dispositivo de protección a través de la red de comunicación de FCS y de las unidades de monitorización para garan tizar un suministro mínimo de energía.

Alternativamente, si se detecta un hackeo por parte de una unidad de monitorización o de la unidad central, que detecta un estado inusual de los componentes de seguridad, puede producirse la activación del estado seguro (por ejemplo, introducir los elementos de combustible completamente en el agua) y las acciones posteriores del estado de FCS (desactivación de todos los actuadores y, si es necesario, destrucción o aislamiento del componente hackeado) para evitar la propagación de un virus informático.

Por ejemplo, el sistema de monitorización de FCS puede detectar el ataque informático a través de una ampliación de los derechos del usuario actual o a través de cambios en la RAM y/o ROM del sistema de monitorización SCADA. Como se trata de un ataque informático, los elementos de combustible se introducen en la piscina de agua. Posterior mente, se desconecta un fusible de seguridad del sistema de monitorización (SCADA) para limitar o detener el ataque informático.

Realización ilustrativa: sector aeronáutico y otros medios de transporte

Una función de seguridad del dispositivo de protección consiste en un funcionamiento fiable del piloto automático. Un estado seguro y, eventualmente, un posible estado de FCS, es alertar a los pilotos y cambiar al control manual tan pronto como se detecte un fallo de fiabilidad del piloto automático.

Una manipulación o un ataque pueden consistir en que un pirata informático presente en el avión acceda a la red interna del mismo a través del sistema de infoentretenimiento y manipule, por ejemplo, el piloto automático u otros sistemas críticos de seguridad. En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que se active inmediatamente un estado de FCS si se hackea o manipula un componente de la cadena de seguridad. Un estado de FCS proporcionado a tal fin puede incluir la alerta a los pilotos y el cambio permanente al control manual, así como la alerta automática al control de tráfico aéreo.

Una fuga del sistema de infoentretenimiento es detectada por los diagnósticos de FCS directamente en el sistema de infoentretenimiento, ya que el sistema de infoentretenimiento realiza un intento de conexión a direcciones de destino que no están almacenadas como parámetros de FCS. La respuesta del sistema de monitorización de FCS es desac tivar inmediatamente la consola, informar al agente de seguridad aérea y pasar al estado de seguridad descrito ante riormente.

Este ejemplo es también aplicable a otros medios de transporte terrestres, acuáticos y aéreos que utilicen sistemas de navegación y control (autónomos), tales como coches, camiones, autobuses, trenes o barcos.

Realización ilustrativa: vehículos, especialmente bicicletas eléctricas/ciclomotores/tuneado de vehículos

Una función de seguridad del dispositivo de protección consiste en no superar la velocidad máxima. Un estado seguro, eventualmente también un posible estado de FCS, es que el motor se apague. Para ello, el dispositivo de protección incluye el velocímetro, el pP y el control del motor.

Una manipulación o un ataque pueden consistir en la sustitución de un componente estándar por otro tuneado o falsificado para poder conducir más rápido. En el sistema de monitorización, puede almacenarse como parámetro de FCS en el protocolo de monitorización que el estado de FCS se adopta en el caso de un diagnóstico de FCS de una unidad de monitorización. Un estado de FCS asociado a este diagnóstico de FCS por el parámetro de FCS puede incluir el encendido de las luces intermitentes de emergencia, la reducción lenta de la velocidad a cero o la parada permanente del motor.

Al instalar el componente falsificado, falta la firma de cifrado del diagnóstico de FCS asociado. El estado de FCS se adopta después de un intervalo de tiempo definido en el parámetro de FCS, que tiene efecto de forma óptima antes de que el vehículo pueda arrancar.

Realización ilustrativa: armas autónomas

Una función de seguridad del dispositivo de protección es evitar el fuego amigo y activarlo solo en la zona de combate. Un estado seguro, eventualmente también un posible estado de FCS, consiste en una desactivación completa de la función del arma. Para ello, el dispositivo de protección incluye el sensor GPS, el control de seguridad y la liberación del arma.

Una manipulación o un ataque pueden consistir en la falsificación de la señal GPS mediante el recableado, la sustitu ción o la derivación del antiguo sensor GPS para simular una localización falsa. En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que se adopta el siguiente estado de FCS en el caso de un diagnóstico de FCS de falsificación de datos GPS: desactivación completa y permanente de la función del arma, así como destrucción de los componentes internos (por ejemplo, el pP, la RAM, la ROM).

El puenteo del sensor GPS es detectado por la unidad de monitorización mediante la comparación del contenido de la RAM del sensor GPS original y el valor introducido en el control de seguridad o por un salto en los datos de posición en un intervalo de tiempo que hace imposible el traslado físico. En respuesta, el sistema de monitorización de FCS instala el estado de FCS predefinido del dispositivo de protección.

Realización ilustrativa: pistola

Una función de seguridad del dispositivo de protección consiste en la desactivación en caso de acceso no autorizado (por ejemplo, en función de la persona o del tiempo). Un estado seguro, eventualmente también un posible estado de FCS, es que el gatillo esté bloqueado y el disparo esté desactivado. El dispositivo de protección comprende para este fin: un sensor de huellas dactilares, un cliente NTP, un módulo GSM, el pP, un bloqueo.

Una manipulación o un ataque pueden consistir en manipular el sensor de huellas dactilares o fingir una hora inco rrecta. En el sistema de monitorización, puede almacenarse como un parámetro de FCS que, en caso de un diagnós tico de FCS correspondiente, en el que una unidad de monitorización compara, por ejemplo, su propio reloj interno, o detecta que durante un período de tiempo prolongado el sensor de huellas dactilares ha emitido siempre la misma señal de identificación, aunque pueda demostrarse que han sido diferentes personas las que han empuñado el arma, provoca la activación del siguiente estado de FCS: bloqueo del gatillo y desactivación hasta que se lleve a cabo una nueva parametrización de FCS del protocolo de monitorización.

De esta manera, se puede detectar un puente del sensor de huellas dactilares mediante una comparación de datos en la red de comunicación FCS (entrada del sensor de huellas dactilares frente a la transmisión al pP). Además, durante un intervalo de mantenimiento, por ejemplo, se puede determinar que el sensor de huellas dactilares sigue reconociendo la misma identificación, aunque se pueda comprobar que es otra persona la que empuña el arma. En este caso se adopta inmediatamente un estado de FCS.

En el caso de la comparación cronológica, la comparación no se realiza en la propia pistola, sino, por ejemplo, me diante la comparación con otras pistolas y/o el acceso a una nube de una red de comunicación superpuesta, a la que tienen acceso las unidades de monitorización de diferentes personas. Si se detecta una desviación de los diagnósticos de FCS de diferentes pistolas, se adopta el estado de FCS descrito anteriormente.

Realización ilustrativa: robot

Una función de seguridad del dispositivo de protección consiste en la limitación del rango de movimiento del robot, por ejemplo, que solo se permita una rotación en 270°. Un estado seguro, eventualmente también un posible estado de FCS, consiste en una parada inmediata de cada actuador. Para ello, el dispositivo de protección comprende un sensor de seguridad inductivo, un control de seguridad y un relé.

Una manipulación o un ataque pueden consistir en la sustitución del sensor de seguridad por un sensor estándar durante el mantenimiento. En el sistema de monitorización, puede almacenarse como parámetro de FCS que un diag nóstico de FCS correspondiente lleve al siguiente estado de FCS: parada inmediata de cualquier actuador y evitar un reinicio.

El sensor sustituido no es reconocido por el control de seguridad porque proporciona las mismas señales que el ante rior sensor de monitorización. Sin embargo, el nuevo sensor no emite ningún diagnóstico de FCS, por lo que no se puede enviar ningún mensaje cíclico a la red de comunicación FCS. Una vez transcurrido el tiempo máximo permitido para la transmisión del mensaje para el diagnóstico de FCS del sensor de seguridad ausente, se adopta el estado de FCS.

Ejemplo del ámbito de la tecnología médica: bomba de infusión

Una función de seguridad del dispositivo de protección es la aplicación del medicamento en una dosis exacta, que no debe ser ni demasiado alta ni demasiado baja. Un estado seguro, eventualmente también un posible estado de FCS, es que se active una alarma en caso de mal funcionamiento. Para ello, el dispositivo de protección comprende un sensor de rotación, un pP y un relé de bomba.

Una manipulación o un ataque pueden consistir en que un pirata informático hackee la bomba de infusión a través de la red del hospital y ajuste la cantidad de infusión a un valor diez veces mayor.

En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que se adopte el siguiente estado de ^fC^scuando se manipula un componente: control de emergencia de la bomba de infusión mediante la red de comunicación de FCS o el sistema de FCS utilizando el último parámetro válido de la cadena de bloques; alerta del personal de la clínica.

El ataque informático al pP se detecta, por ejemplo, mediante un análisis hash de la RAM o de la ROM por el respectivo diagnóstico de FCS de la unidad de monitorización de la unidad de monitorización de la bomba. Este intento de hackeo se comunica a la red de comunicación, por lo que, basándose en este diagnóstico de FCS, la unidad central toma indirectamente el control de los componentes de seguridad a través de la unidad de monitorización correspondiente. Los parámetros válidos (cantidad de infusión, periodo de tiempo, etc.) se toman de la cadena de bloques como pará metros de FCS. Además, el personal de la clínica es alertado sobre el ataque informático mediante una señal de aviso visual y acústica, así como mediante un mensaje de advertencia a través de una red de información interna de la clínica.

Realización ilustrativa: centro de mecanizado en ingeniería mecánica

Una función de seguridad del dispositivo de protección consiste en una desconexión en caso de presión negativa (1,1 bar) del agua de refrigeración. Un estado seguro, eventualmente también un posible estado de FCS, es que todos los actuadores se desconecten. Para ello, el dispositivo de protección comprende un sensor de presión, un control de seguridad y un actuador.

Una manipulación o un ataque pueden consistir en la sustitución de un sensor de presión defectuoso por otro idéntico y nuevo durante el mantenimiento. Sin embargo, se olvidó parametrizar el valor de conmutación del sensor de 10 bares (valor por defecto) a 1,1 bar. En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que un diagnóstico de FCS correspondiente provoque el siguiente estado de FCS: desconexión de cualquier actuador y evitar un reinicio.

El control de seguridad no puede detectar una programación incorrecta de la salida de conmutación PNP del sensor de presión. Al sustituir el sensor de presión, el nuevo diagnóstico de FCS del nuevo sensor de presión fue registrado por la red de comunicación de FCS después de comparar las claves criptográficas y el identificador en el sistema de monitorización y su red de comunicación, y la cadena de bloques fue transmitida. Ahora, el diagnóstico de FCS del nuevo sensor de presión detecta, por comparación con la cadena de bloques transmitida, que el valor de presión establecido (mediante la lectura de la RAM) no coincide con el valor de la cadena de bloques. Por lo tanto, se adopta el estado de FCS previsto para este fin.

Realización ilustrativa: planta química

Una de las funciones de seguridad del dispositivo de protección es proteger un depósito contra el sobrellenado. Un estado seguro, eventualmente también un posible estado de FCS, es que el proceso de llenado se detenga. Para ello, el dispositivo de protección comprende un sensor de nivel, un sistema de monitorización de procesos y un relé de bomba

Una manipulación o un ataque pueden consistir en intentar apoderarse de todos los componentes de seguridad del equipo de abastecimiento de combustible para desbordar el depósito, lo que podría provocar una explosión en la planta química. En el sistema de monitorización, se puede almacenar como parámetro de FCS que, si el proceso de llenado continúa cuando el depósito está lleno al máximo, un diagnóstico de FCS correspondiente lleva al siguiente estado de FCS: Desactivación del relé de la bomba hasta que se restablezca el sistema de monitorización de FCS, por ejemplo, mediante una reprogramación. Para excluir al máximo las falsas alarmas, debido a la correspondiente presión sobre los costes, deben ignorarse los ataques/manipulaciones a los componentes de seguridad individuales.

El sistema de monitorización detecta los ataques a los distintos componentes de seguridad y al control de seguridad. Sin embargo, debido a los parámetros de FCS establecidos, no se emprende ninguna acción. La razón es que los componentes de seguridad y el control de seguridad se modifican constantemente, incluso durante el funcionamiento normal, debido a los procesos de optimización, de modo que un «ataque» detectado erróneamente provocaría una paralización inaceptablemente frecuente de la producción.

Solo cuando se detecta que el sistema de sensores del sensor de nivel informa de que el depósito está lleno, pero el control de seguridad no quiere desconectar el sistema de actuadores, una unidad de monitorización asociada desco necta el relé de la bomba de la red eléctrica sobre la base de un diagnóstico de FCS correspondiente en un mensaje, y activa así el estado de seguridad. La unidad central también informa a todas las unidades de monitorización para que desconecten al menos todos los componentes de seguridad que contengan actuadores.

Realización ilustrativa: microondas, también aplicable a otros electrodomésticos como lavadoras, secadoras, etc.

Una de las funciones de seguridad del dispositivo de protección es apagar la radiación de microondas antes de abrir la puerta. Un estado seguro, eventualmente también un posible estado de FCS, es que el magnetrón se apague. El dispositivo de protección comprende para ello un sensor de puerta, un control de seguridad y un magnetrón.

La manipulación o un ataque pueden consistir en puentear el sensor de la puerta para que la puerta del microondas se detecte siempre como cerrada, es decir, incluso cuando está abierta. En el sistema de monitorización, se puede almacenar como parámetro de FCS en el protocolo de monitorización que, en caso de que se detecte una manipula ción del sensor de la puerta, un diagnóstico de FCS correspondiente lleve al siguiente estado de FCS: desconectar el magnetrón hasta que sea reparado por personal cualificado.

La salida del sensor de la puerta se ha sustituido mediante manipulación por un puente fijo después de la tensión de alimentación, de modo que el pP del control de seguridad asume que la puerta está cerrada y el magnetrón puede funcionar. Una unidad de monitorización del sensor de la puerta puede determinar la manipulación mediante la com paración de la entrada del sensor, la salida del sensor, así como la entrada pP o el estado de funcionamiento del magnetrón a más tardar después de una apertura de la puerta y entregar un diagnóstico de FCS correspondiente a la unidad central, que provoca el estado de FCS correspondiente.

Realización ilustrativa: máquina perforadora

Una función de seguridad del dispositivo de protección consiste en la protección frente a una puesta en marcha ines perada. Un estado seguro, eventualmente también un posible estado de FCS, es que el motor se apague. Para ello, el dispositivo de protección comprende elementos de accionamiento A+B (= de dos canales), el pP y el control del motor.

Una manipulación o un ataque pueden consistir en un puente permanente de un elemento de accionamiento. En el sistema de monitorización, puede almacenarse como parámetro de FCS en el protocolo de monitorización que, cuando se puentea un elemento de accionamiento, un diagnóstico de FCS correspondiente lleve al siguiente estado de FCS: apagado del motor.

Realización ilustrativa: sistema de infoentretenimiento en el coche

Una función de seguridad del dispositivo de protección consiste en: proteger frente a la distracción del conductor mediante la reproducción de vídeos en la zona delantera del coche. Un estado seguro, eventualmente también un posible estado de FCS, es detener la reproducción de vídeo en el campo de visión del conductor cuando se supera una determinada velocidad.

Una manipulación o un ataque pueden consistir en una falsa información de velocidad indicada en el sistema de infoentretenimiento. En este caso, si el diagnóstico de FCS transmitido, incluida la velocidad supuesta del sistema de infoentretenimiento, mostrara una discrepancia con el diagnóstico de FCS del velocímetro del coche, el estado de FCS podría activarse bloqueando una función de reproducción de vídeo en la zona del conductor cuando la velocidad sea demasiado elevada, lo que sería idéntico al estado de seguridad real de SF. En caso de que la unidad de monitorización del sistema de infoentretenimiento también sea atacada, lo que se detectaría por la ausencia de informes perió dicos de estado de la unidad de monitorización o por su incorrección, el estado de FCS podría ser un bloqueo perma nente de cualquier función de reproducción de vídeo, que solo podría ser desbloqueado por personal técnico autori zado (por ejemplo, en un taller especializado).

Realización ilustrativa: aplicación industrial con un sistema de control (SCADA)

Un ataque a un sistema de control (SCADA) podría llevarse a cabo mediante una memoria USB, como en el ejemplo de la central nuclear, pero también a través de Internet o de la red de administración. La detección y la activación del estado de FCS se realizarían con la ayuda del sistema de FCS y sería técnicamente comparable a la central nuclear.

Realización ilustrativa: drones

Una función de seguridad del dispositivo de protección es impedir la aproximación a un aeropuerto. Un estado de seguridad, eventualmente también un posible estado de FCS, consiste en una desconexión de la capacidad de vuelo o un cambio de rumbo al entrar en una distancia crítica de seguridad del espacio aéreo del aeropuerto.

Otros ejemplos de aplicación de la invención en dispositivos de protección pueden ir en el mismo sentido; así, puede mencionarse también como ejemplo el ámbito de la industria de la construcción, en el que se utiliza una gran variedad de dispositivos de protección para aumentar la seguridad laboral y operativa de cara a la construcción y monitorización de estructuras.

Otras realizaciones ilustrativas pueden servir para evitar ataques de piratas informáticos en presas con el objetivo de inundar pueblos o ciudades enteras; en sistemas de semáforos con el objetivo de paralizar el tráfico de la ciudad y provocar accidentes de tráfico (por ejemplo, mediante indicadores verdes en cada semáforo); o en el control de las agujas de los trenes con el objetivo de provocar su colisión.

Lista de referencias

10, 110 Dispositivo de protección

12 Sensor de monitorización

14 Control de seguridad

16 Actuador

20 Máquina

30 Unidad de monitorización

32 Unidad central

34 Red de comunicaciones

40 Dispositivo de protección de control automático de la distancia

42 Sensor de distancia como sensor de monitorización

44 Sensor de revoluciones de las ruedas como sensor de monitorización

46 Actuador de freno

48 Motor de accionamiento

50 Control de seguridad

52 Bus CAN

54 Unidad central

56 Unidad de monitorización

58 Red de comunicaciones

59 Tren de transmisión

60 Vehículo con dispositivo de protección de control automático de la distancia

REIVINDICACIONES

Claims

REIVINDICACIONES

1. Sistema de monitorización para un dispositivo de protección orientado a la seguridad que comprende varios componentes (10, 40, 110) de seguridad, donde los componentes de seguridad comprenden al menos un sen sor (12, 42, 44) de monitorización configurado para generar las respectivas señales de los sensores y un control (14, 50) de seguridad conectado al al menos un sensor (12, 42, 44) de monitorización, donde el control (14, 50) de seguridad está configurado para recibir y evaluar las señales de los sensores y generar y emitir órdenes de conmutación de seguridad en función de las señales de los sensores, donde el sistema de monitorización comprende al menos una unidad (30, 56) de monitorización que está conectada a al menos un componente de seguridad respectivo y está configurada para supervisar un estado del componente de seguridad, así como una unidad central (32, 54) como componentes, donde la al menos una unidad (30, 56) de monitorización y la unidad central (32, 54) están conectadas entre sí por medio de una red (34, 58) de comunicación para inter cambiar mensajes, donde la red (34, 58) de comunicación está configurada para proporcionar un protocolo de monitorización, caracterizado por que, mediante el protocolo de monitorización y en función de los mensajes intercambiados, puede verificarse al menos un estado respectivo de un componente de seguridad o de un componente del sistema de monitorización respecto a la conformidad o desviación de un estado deseado asig nado, donde un mensaje transmitido por una unidad (30, 56) de monitorización comprende información sobre una identidad de la unidad (30, 56) de monitorización o sobre un componente de seguridad conectado a la unidad (30, 56) de monitorización o sobre una señal de monitorización o una orden de conmutación de seguri dad generadas por un componente de seguridad conectado a la unidad (30, 56) de monitorización, o donde un mensaje enviado por la unidad central (32, 54) comprende un certificado almacenable en una unidad (30, 56) de monitorización, el cual identifica esta unidad (30, 56) de monitorización como un componente autorizado del sistema de monitorización, y por que el protocolo de monitorización comprende una cadena de bloques, donde todos o una parte de los mensajes transmitidos en el sistema de monitorización son almacenados en la cadena de bloques, y donde la cadena de bloques o instancias adicionales de la cadena de bloques son almacenadas en la unidad central (32, 54) y, adicionalmente, al menos en una parte de las unidades (30, 56) de monitorización.

2. Sistema de monitorización según la reivindicación 1, caracterizado por que el protocolo de monitorización comprende un código de programa ejecutable respectivo dentro de la al menos una unidad (30, 56) de monito rización y de la unidad central (32, 54), el cual incluye medios de cifrado y descifrado o medios de firma o medios de verificación para generar, transmitir, recibir, evaluar o almacenar los mensajes.

3. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que al menos una parte de los mensajes se transmite de forma cifrada y, en particular, firmada adicionalmente, donde los men sajes están cifrados preferentemente mediante un método de cifrado asimétrico.

4. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que una cadena de bloques almacenada en un componente del sistema de monitorización o un valor hash criptográfico de esta cadena de bloques se transmite a al menos un componente del sistema de monitorización de forma controlada por tiempo, controlada por eventos o a petición de otro componente del sistema de monitorización, donde, en particular una cadena de bloques recibida por un componente o un valor hash criptográfico recibido de esta cadena de bloques se compara con la cadena de bloques almacenada en el componente receptor o con un valor hash criptográfico de la cadena de bloques almacenada.

5. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que la unidad cen tral (32, 54) o la al menos una unidad (30, 56) de monitorización están configuradas para, en caso de que se detecte una desviación de al menos un estado respecto al estado deseado asignado,

- controlar un sensor (12, 42, 44) de monitorización conectado a la unidad (30, 56) de monitorización de tal manera que el sensor (12, 42, 44) de monitorización genere una señal de sensor de alarma prede terminada en lugar de una señal de sensor convencional, o

- transmitir un mensaje indicativo de la desviación detectada, o

- transferir el control (14, 50) de seguridad o el sistema equipado con él a un estado seguro predetermi nado.

6. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que la unidad cen tral (32, 54) o la al menos una unidad (30, 56) de monitorización están configuradas para, en caso de detectarse una desviación entre diferentes instancias de la cadena de bloques,

- transmitir un mensaje indicativo de la desviación detectada, o

7. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que la al menos una unidad (30, 56) de monitorización está configurada para enviar mensajes cíclicamente o a petición de la unidad central (32, 54), y por que la unidad central (32, 54) está configurada para recibir estos mensajes, determinar el número o la secuencia de los mensajes recibidos al menos para un ciclo respectivo o dentro de un período de tiempo predefinido tras la petición y compararlos con un número deseado predefinido o una secuencia deseada predefinida, así como para transmitir un mensaje que señale la desviación detectada y, en particular, para almacenar este mensaje en la cadena de bloques, o para transferir el control (14, 50) de segu ridad a un estado seguro predefinido en caso de desviación detectada.

8. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que la red (34, 58) de comunicación incluye un sistema de bus, en particular, un sistema de bus de campo, donde, en particular, la red (34, 58) de comunicación comprende al menos una parte de un sistema de bus del dispositivo (10, 40, 110) de protección, el cual interconecta los componentes de seguridad.

9. Sistema de monitorización según una de las reivindicaciones anteriores, caracterizado por que el sistema de monitorización, además de un modo de monitorización, en el que se lleva a cabo una comprobación de un estado respectivo en cuanto a su conformidad o desviación de un estado deseado asignado, puede funcionar en un modo de configuración, en el que puede añadirse al sistema de monitorización al menos un componente, retirarlo del sistema de monitorización o configurar o parametrizar al menos una funcionalidad del componente.

10. Sistema de monitorización según la reivindicación 9, caracterizado por que solo la unidad central (32, 54) está configurada para poner el sistema de monitorización en el modo operativo de configuración y/o para hacerlo funcionar en el modo de configuración, donde, en particular, la unidad central (32, 54) está configurada para permitir que el sistema de monitorización se ponga en el modo de configuración solo después de una compro bación positiva de la presencia de, al menos, una característica de seguridad.

11. Dispositivo (10, 40, 110) de protección orientado a la seguridad con una pluralidad de componentes de seguri dad, donde los componentes de seguridad comprenden al menos un sensor (12, 42, 44) de monitorización configurado para generar las respectivas señales de sensor y un control (14, 50) de seguridad conectado al al menos un sensor (12, 42, 44) de monitorización, donde el control (14, 50) de seguridad está configurado para recibir y evaluar las señales de los sensores y para generar y emitir órdenes de conmutación de seguridad en función de las señales de los sensores, y con un sistema de monitorización según una de las reivindicaciones anteriores, donde al menos una parte de los componentes de seguridad están conectados a una unidad (30, 56) de monitorización asociada o a la unidad central (32, 54).

12. Dispositivo (10, 40, 110) de protección orientado a la seguridad según la reivindicación 11, caracterizado por que un componente de seguridad respectivo y la unidad (30, 56) de monitorización asignada están integrados en una unidad constructiva común.