WO2016142159A1 - Sicherheitsrelevantes computersystem - Google Patents
Sicherheitsrelevantes computersystem Download PDFInfo
- Publication number
- WO2016142159A1 WO2016142159A1 PCT/EP2016/053647 EP2016053647W WO2016142159A1 WO 2016142159 A1 WO2016142159 A1 WO 2016142159A1 EP 2016053647 W EP2016053647 W EP 2016053647W WO 2016142159 A1 WO2016142159 A1 WO 2016142159A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- channels
- test results
- channel
- memory test
- compiler
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
Definitions
- the invention relates to a security-relevant computer system, in particular a railway safety system, having at least two hardware channels, wherein memory test results of the channels are supplied to at least one comparator, which triggers an error reaction in the event of inequality of the memory test results.
- Security level SIL4 is specified.
- the safety levels are defined in the CENELEC standard EN50129 by SILO - not technically safe - up to SIL4 - highly safe signaling - defined.
- Under security-relevant computer system also subsystems are subsumed, whose fault behavior can be considered separately. For example, the control of a single light signal on a railway line can be a safety-relevant system.
- the security concept of computer systems belongs to the
- Standard CENELEC EN50128 in addition to the multichannel nature of the hardware, also includes a memory check, whereby either the memory contents directly, ie the relevant code and data area, including the stack, or checksums formed above them, form the memory test results of the individual channels being compared and at Inequality trigger an error reaction.
- the comparability of memory test results requires the same software running on all channels. To be sure To verify that software equality actually exists, the corresponding compilers of the individual channels must be validated. Validating a new compiler is extremely time-consuming and costly. Added to this are annual care costs during the innovation cycle for new compilers. The use of diverse compilers is not yet possible because diverse compiler generate different memory layouts, so that memory test results of the channels are not comparable.
- the invention is therefore an object of the invention to enter a security-related computer system generic type, which allows the use of diverse compiler.
- the object is achieved in that each channel has at least two compiler-created diverse software programs, the memory test results are fed to the comparator, the memory test results of the first software program of the first and the second channel are compared with each other and the memory test results of the second software program of the first and second channels.
- each channel and each software program have exactly one common output module, wherein the output modules of all channels are connected to an output comparator.
- the first channel only outputs the data translated by the first compiler and the second channel only outputs the data translated with the second compiler.
- the data translated on the first channel by the second compiler and the data translated on the second channel by the first compiler are not connected to any output module. Instead, this data is suppressed with a dummy function to ensure that no output can be generated from a single channel that could be safely interpreted as being technically safe.
- the output modules do not have to be checked separately because these modules only have an output function and do not generate any safety-relevant data whose distortion could be dangerous.
- the invention will be explained in more detail with reference to an embodiment shown figuratively.
- the figure shows schematically the most important components of a security-relevant computer system.
- the input data 1 can be, for example, the element state of field elements, such as switches, signals, level crossings, etc. of a railway safety system, which in the two channels A and B in output data 2 for displaying the element states on a monitor with safety signal, ie SIL4, compiled become.
- each channel A and B is equipped with diverse software programs that are created by a compiler X and a second compiler Y.
- the compiler generate X and Y in both channels A and B Speicherprüfgate X A, Y A and Y B, XB the Speicherprüfgate X A, Y A, Y and X B, for example checksums are supplied to an SIL4 -Vertician. 3 This compares the memory test results X A and X B with respect to the first software program from the compiler X and compares the memory test results Y A and Y B with respect to the second software program from the compiler Y.
- the comparator 3 detects an error-free data processing on the two channels A and B, generate an output module ⁇ 0 ⁇ of the first generated by the compiler X software program of the first channel A and an output module ⁇ the second, generated by the compiler Y soft - Program of the second channel B would each be outputs which are supplied to an output comparator 5 and form the output data 2 if they match.
- the other two software programs namely that of the second compiler Y on the first channel A and that of the first compiler X on the second channel B, do not produce output data, but merely serve to compare the memory test results Y A and X B with those of the each other channel B and A generated memory test results X A and Y B. In this way, it is possible to use diverse software programs on compilers X and Y, whereby an extremely complex compiler validation can be omitted.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft ein sicherheitsrelevantes Computersystem, insbesondere Eisenbahnsicherungssystem, mit mindestens zwei Hardware-Kanälen (A; B), wobei Speicherprüfergebnisse der Kanäle (A; B) mindestens einem Vergleicher (3) zugeführt sind, der bei Ungleichheit der Speicherprüfergebnisse eine Fehlerreaktion (4) auslöst. Um diversitäre, von Compilern (X, Y) erstellte Software-Programme verwenden zu können, werden Speicherprüfergebnisse (XA, YA; XB, YB) der diversitären Software-Programme jedes Kanals (A; B) dem Vergleicher (3) zugeführt, wobei die Speicherprüfergebnisse (XA; XB) des ersten Software-Programms des ersten und des zweiten Kanals (A; B) miteinander verglichen werden und die Speicherprüfergebnisse (YA; YB) des zweiten Software-Programms des ersten und des zweiten Kanals (A; B) miteinander verglichen werden.
Description
Beschreibung
Sicherheitsrelevantes ComputerSystem Die Erfindung betrifft ein sicherheitsrelevantes Computersystem, insbesondere Eisenbahnsicherungssystem, mit mindestens zwei Hardware-Kanälen, wobei Speicherprüfergebnisse der Kanäle mindestens einem Vergleicher zugeführt sind, der bei Ungleichheit der Speicherprüfergebnisse eine Fehlerreaktion auslöst.
Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist. Vielmehr kann die Erfindung bei verschiedensten sicherheitsrelevanten Computersystemen, beispielsweise für industrielle Fertigungsprozesse oder Fahrzeuge aller Art, eingesetzt werden.
Eisenbahnsicherungssysteme müssen sehr hohen sicherheitstech- nisehen Anforderungen genügen, wobei zunehmend die höchste
Sicherheitsstufe SIL4 vorgegeben ist. Die Sicherheitsstufen sind in der CENELEC-Norm EN50129 von SILO - signaltechnisch nicht sicher - bis SIL4 - signaltechnisch hochgradig sicher - definiert. Unter sicherheitsrelevantes Computersystem sind hier auch Teilsysteme subsummiert, deren Fehlerverhalten separat betrachtet werden kann. Beispielsweise kann die An- steuerung eines einzelnen Lichtsignals an einer Eisenbahnstrecke ein sicherheitsrelevantes System darstellen. Zum Sicherheitskonzept von Computersystemen gehört nach der
Norm CENELEC EN50128 neben der Mehrkanaligkeit der Hardware auch eine Speicherprüfung, wobei entweder der Speicherinhalt direkt, d.h. der relevante Code- und Data-Bereich, inklusive Stack, oder darüber gebildete Prüfsummen, die Speicherprüfer- gebnisse der einzelnen Kanäle bilden, welche verglichen werden und bei Ungleichheit eine Fehlerreaktion auslösen. Die Vergleichbarkeit der Speicherprüfergebnisse setzt voraus, dass auf allen Kanälen die gleiche Software läuft. Um sicher-
zustellen, dass tatsächlich Softwaregleichheit besteht, müssen die entsprechenden Compiler der einzelnen Kanäle validiert werden. Die Validierung eines neuen Compilers ist extrem zeit- und kostenaufwändig . Hinzu kommen jährliche Pflege- kosten während des Innovationszykluses für neue Compiler. Der Einsatz diversitärer Compiler ist bisher nicht möglich, da diversitäre Compiler unterschiedliche Speicherlayouts erzeugen, so dass Speicherprüfergebnisse der Kanäle nicht miteinander vergleichbar sind.
Der Erfindung liegt demgemäß die Aufgabe zugrunde, ein sicherheitsrelevantes Computersystem gattungsgemäßer Art einzugeben, das die Verwendung diversitärer Compiler ermöglicht. Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass jeder Kanal mindestens zwei durch Compiler erstellte diversitäre Software-Programme aufweist, deren Speicherprüfergebnisse dem Vergleicher zugeführt sind, wobei die Speicherprüfergebnisse des ersten Software-Programms des ersten und des zweiten Ka- nals miteinander verglichen werden und die Speicherprüfergebnisse des zweiten Software-Programms des ersten und des zweiten Kanals miteinander vergleichen werden.
Auf diese Weise ergeben sich vergleichbare Speicherprüfergeb- nisse auf den mindestens zwei Kanälen des sicherheitsrelevanten Computersystems auch bei der Verwendung von durch mindestens zwei Compilern erstellten diversitären Software- Programmen. Die Validierungszeiten und -kosten zur Sicherstellung, dass die Software-Programme der Compiler absolut identisch sind, entfallen. Bei einem zweikanaligen System sind beispielsweise zwei von diversitären Compilern erstellte Software-Programme vorgesehen, deren Speicherprüfergebnisse quasi über Kreuz miteinander verglichen werden. Dabei werden die Speicherprüfergebnisse des ersten Software-Programms , das auf dem ersten Kanal läuft, mit den Speicherprüfergebnissen des ersten Software-Programms , das auf dem zweiten Kanal läuft, verglichen und die Speicherprüfergebnisse des zweiten Software-Programms , das auf dem ersten Kanal läuft, werden
mit den Speicherprüfergebnissen des zweiten Software- Programms, das auf dem zweiten Kanal läuft, verglichen.
Gemäß Anspruch 2 ist vorgesehen, dass jeder Kanal und jedes Software-Programm genau ein gemeinsames Ausgabemodul aufweisen, wobei die Ausgabemodule aller Kanäle mit einem Ausgabevergleicher verbunden sind. Das bedeutet, dass der erste Kanal nur die von dem ersten Compiler übersetzten Daten ausgibt und der zweite Kanal nur die mit dem zweiten Compiler über- setzten Daten ausgibt. Die auf dem ersten Kanal von dem zweiten Compiler übersetzten Daten und die auf dem zweiten Kanal von dem ersten Compiler übersetzten Daten sind mit keinem Ausgabemodul verbunden. Stattdessen werden diese Daten mit einer Dummy-Funktion unterdrückt, so dass sichergestellt ist, dass mit einem einzigen Kanal keine Ausgabe generiert werden kann, die als signaltechnisch sicher interpretiert werden könnte. Die Ausgabemodule ihrerseits müssen nicht separat geprüft werden, da diese Module nur Ausgabefunktion haben und keine sicherheitsrelevanten Daten erzeugen, deren Verfäl- schung sich gefährlich auswirken könnte.
Die Erfindung wird nachfolgend anhand eines figürlich dargestellten Ausführungsbeispiels näher erläutert. Die Figur zeigt schematisch die wichtigsten Komponenten eines sicherheitsrelevanten Computersystems .
Dargestellt ist ein Computersystem mit zwei Kanälen A und B, welche jeweils eine Central Processing Unit CPU und ein Be- triebssystem Typ A beziehungsweise Typ B aufweisen. Beide Kanäle A und B verarbeiten die gleichen Eingabedaten 1 und kompilieren diese bei fehlerfreier Datenverarbeitung in identische Ausgabedaten 2. Bei den Eingabedaten 1 kann es sich beispielsweise um den Elementzustand von Feldelementen, wie Wei- chen, Signalen, Bahnübergängen usw. einer Eisenbahnsicherungsanlage handeln, welche in den beiden Kanälen A und B in Ausgabedaten 2 zur Anzeige der Elementzustände auf einem Monitor mit signaltechnischer Sicherheit, d.h. SIL4, kompiliert
werden. Dazu ist jeder Kanal A und B mit diversitären Software-Programmen, die von einem Compiler X und einem zweiten Compiler Y erstellt werden, ausgestattet. Die Compiler X und Y erzeugen in beiden Kanälen A und B Speicherprüfergebnisse XA, YA und YB, XB- Die Speicherprüfergebnisse XA, YA, YB und XB, beispielsweise Prüfsummen, sind einem SIL4 -Vergleicher 3 zugeführt. Dieser führt einen Vergleich der Speicherprüfergebnisse XA und XB bezüglich des ersten Software-Programms vom Compiler X und einen Vergleich der Speicherprüfergebnisse YA und YB bezüglich des zweiten Software-Programms vom Compiler Y durch. Bei Ungleichheit der Speicherprüfergebnisse XA und XB bezüglich des ersten, vom Compiler X erstellten Software-Programms und/oder der Speicherprüfergebnisse YA und YB bezüglich des zweiten, vom Compiler Y erstellten Software- Programms liegt ein Datenverarbeitungsfehler auf dem ersten Kanal A und/oder dem zweiten Kanal B vor, so dass der Vergleicher 3 durch Rückwirkung auf die beiden Kanäle A und B eine Fehlerreaktion 4, vorzugsweise eine signaltechnisch sichere Abschaltung, des sicherheitsrelevanten Computersystems bewirkt. Stellt der Vergleicher 3 eine fehlerfreie Datenverarbeitung auf den beiden Kanälen A und B fest, erzeugen ein Ausgabemodul Χ0υτ des ersten, mittels des Compilers X erzeugten Software-Programms des ersten Kanals A und ein Ausgabemodul Υουτ des zweiten, mittels des Compilers Y erzeugten Soft- wäre-Programms des zweiten Kanals B jeweils Ausgaben, die einem Ausgabevergleicher 5 zugeführt sind und bei Übereinstimmung die Ausgabedaten 2 bilden. Die beiden anderen Software- Programme, nämlich das des zweiten Compilers Y auf dem ersten Kanal A und das des ersten Compilers X auf dem zweiten Kanal B, erzeugen keine Ausgabedaten, sondern dienen lediglich der Vergleichbarkeit der Speicherprüfergebnisse YA und XB mit den von dem jeweils anderen Kanal B und A erzeugten Speicherprüfergebnissen XA und YB. Auf diese Weise ergibt sich die Möglichkeit, diversitäre Software-Programme auf Compilern X und Y zu verwenden, wodurch eine extrem aufwändige Compiler- Validierung entfallen kann.
Claims
1. Sicherheitsrelevantes Computersystem, insbesondere Eisenbahnsicherungssystem, mit mindestens zwei Hardware -Kanälen (A; B) , wobei Speicherprüfergebnisse der Kanäle (A; B) mindestens einem Vergleicher (3) zugeführt sind, der bei Ungleichheit der Speicherprüfergebnisse eine Fehlerreaktion (4) auslöst ,
d a d u r c h g e k e n n z e i c h n e t, dass
jeder Kanal (A; B) mindestens zwei durch Compiler (X, Y) erstellte diversitäre Software -Programme aufweist, deren Speicherprüfergebnisse (XA, YA; XB, YB) dem Vergleicher (3) zugeführt sind, wobei die Speicherprüfergebnisse (XA; XB) des ersten Software -Programms des ersten und des zweiten Kanals (A; B) miteinander verglichen werden und die Speicherprüfergebnisse (YA; YB) des zweiten Software -Programms des ersten und des zweiten Kanals (A; B) miteinander verglichen werden.
2. Sicherheitsrelevantes Computersystem nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t, dass
jeder Kanal (A; B) und jedes Software -Programm genau ein gemeinsames Ausgabemodul (Χ0υτ; Υουτ) aufweisen, wobei die Ausgabemodule (XOUT; YOUT) aller Kanäle (A; B) mit einem Ausgabevergleicher (5) verbunden sind.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES16708372T ES2711726T3 (es) | 2015-03-11 | 2016-02-22 | Sistema informático de seguridad de tipo relevante |
EP16708372.4A EP3245591B1 (de) | 2015-03-11 | 2016-02-22 | Sicherheitsrelevantes computersystem |
CN201680014564.8A CN107430539B (zh) | 2015-03-11 | 2016-02-22 | 安全相关的计算机系统 |
US15/556,211 US10489228B2 (en) | 2015-03-11 | 2016-02-22 | Safety-relevant computer system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015204337.1 | 2015-03-11 | ||
DE102015204337.1A DE102015204337A1 (de) | 2015-03-11 | 2015-03-11 | Sicherheitsrelevantes Computersystem |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016142159A1 true WO2016142159A1 (de) | 2016-09-15 |
Family
ID=55484958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2016/053647 WO2016142159A1 (de) | 2015-03-11 | 2016-02-22 | Sicherheitsrelevantes computersystem |
Country Status (6)
Country | Link |
---|---|
US (1) | US10489228B2 (de) |
EP (1) | EP3245591B1 (de) |
CN (1) | CN107430539B (de) |
DE (1) | DE102015204337A1 (de) |
ES (1) | ES2711726T3 (de) |
WO (1) | WO2016142159A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3428037A1 (de) * | 2017-07-10 | 2019-01-16 | Vialis B.V. | Steuerungssystem für einen bahnübergang |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10558539B2 (en) * | 2017-09-28 | 2020-02-11 | GM Global Technology Operations LLC | Methods and systems for testing components of parallel computing devices |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007032805A1 (de) * | 2007-07-10 | 2009-01-15 | Siemens Ag | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
DE102008043374A1 (de) * | 2008-10-31 | 2010-05-06 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System |
DE102011053580A1 (de) * | 2011-09-14 | 2013-03-14 | Zf Lenksysteme Gmbh | Verfahren zum betrieb einer elektrischen hilfskraftlenkung |
FR2992749A1 (fr) * | 2012-06-29 | 2014-01-03 | Technicatome | Procede de traitement de donnees en securite, et calculateur associe |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3120387B2 (ja) * | 1992-08-04 | 2000-12-25 | ユニデン株式会社 | コードレス電話装置 |
US5551047A (en) | 1993-01-28 | 1996-08-27 | The Regents Of The Univeristy Of California | Method for distributed redundant execution of program modules |
DE102010031282B4 (de) * | 2010-07-13 | 2022-05-12 | Robert Bosch Gmbh | Verfahren zum Überwachen eines Datenspeichers |
DE102011108077A1 (de) * | 2010-08-13 | 2012-03-22 | Lfk-Lenkflugkörpersysteme Gmbh | Verfahren zur Speicherplatzverwaltung in einem multitaskingfähigen Datenverarbeitungssystem |
DE102011086530A1 (de) | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
US9221492B2 (en) | 2011-09-14 | 2015-12-29 | Robert Bosch Automotive Steering Gmbh | Method for operating an electrical power steering mechanism |
JP6044316B2 (ja) * | 2012-12-12 | 2016-12-14 | 株式会社デンソー | 車載電子制御装置 |
JP2015022516A (ja) * | 2013-07-19 | 2015-02-02 | ソニー株式会社 | 記憶制御装置、記憶装置、情報処理システムおよび記憶制御方法 |
-
2015
- 2015-03-11 DE DE102015204337.1A patent/DE102015204337A1/de not_active Withdrawn
-
2016
- 2016-02-22 CN CN201680014564.8A patent/CN107430539B/zh not_active Expired - Fee Related
- 2016-02-22 US US15/556,211 patent/US10489228B2/en active Active
- 2016-02-22 WO PCT/EP2016/053647 patent/WO2016142159A1/de active Application Filing
- 2016-02-22 EP EP16708372.4A patent/EP3245591B1/de active Active
- 2016-02-22 ES ES16708372T patent/ES2711726T3/es active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007032805A1 (de) * | 2007-07-10 | 2009-01-15 | Siemens Ag | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
DE102008043374A1 (de) * | 2008-10-31 | 2010-05-06 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System |
DE102011053580A1 (de) * | 2011-09-14 | 2013-03-14 | Zf Lenksysteme Gmbh | Verfahren zum betrieb einer elektrischen hilfskraftlenkung |
FR2992749A1 (fr) * | 2012-06-29 | 2014-01-03 | Technicatome | Procede de traitement de donnees en securite, et calculateur associe |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3428037A1 (de) * | 2017-07-10 | 2019-01-16 | Vialis B.V. | Steuerungssystem für einen bahnübergang |
NL2019206B1 (en) * | 2017-07-10 | 2019-01-16 | Vialis B V | Control system for a railway crossing |
Also Published As
Publication number | Publication date |
---|---|
EP3245591A1 (de) | 2017-11-22 |
US10489228B2 (en) | 2019-11-26 |
US20180046531A1 (en) | 2018-02-15 |
DE102015204337A1 (de) | 2016-09-15 |
CN107430539A (zh) | 2017-12-01 |
ES2711726T3 (es) | 2019-05-07 |
CN107430539B (zh) | 2020-09-25 |
EP3245591B1 (de) | 2018-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2550599B1 (de) | Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems | |
DE102009054157C5 (de) | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen | |
EP1738233B2 (de) | Sicherheitssteuerung | |
DE102007045398A1 (de) | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen | |
EP2852896B1 (de) | Anordnung mit einem mikroprozessorsystem | |
WO2018033344A1 (de) | Verfahren und vorrichtung zur redundanten datenverarbeitung | |
DE19509150A1 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen | |
EP3245591B1 (de) | Sicherheitsrelevantes computersystem | |
EP1043640A2 (de) | Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem | |
WO2017080793A2 (de) | Verfahren zum betrieb eines mehrkernprozessors | |
EP1615087A2 (de) | Steuer- und Regeleinheit | |
EP0996060A2 (de) | Einzelprozessorsystem | |
EP2228723B1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
WO2010049339A1 (de) | Vorrichtung und verfahren zur generierung redundanter, aber unterschiedlicher maschinencodes aus einem quellcode zur verifizierung für ein sicherheitskritisches system | |
DE102007014478A1 (de) | Sicherheitsgerichtete speicherprogrammierte Steuerung | |
EP3448735A1 (de) | Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems | |
DE10328059A1 (de) | Verfahren und Vorrichtung zur Überwachung eines verteilten Systems | |
DE102013223101A1 (de) | Bahnübergangssicherungssystem | |
DE102020209228A1 (de) | Verfahren zum Überwachen wenigstens einer Recheneinheit | |
DE102015218882A1 (de) | Verfahren und Vorrichtung zum Prüfen von Berechnungsergebnissen in einem System mit mehreren Recheneinheiten | |
WO2006087191A1 (de) | Maschinensteuerung mit sicherheitsfunktion | |
DE102018127568A1 (de) | Schaltungsmodul und Verfahren zur fehlertoleranten Beschaltung | |
DE10233879B4 (de) | Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens | |
EP1176508B1 (de) | Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems | |
WO2021219329A1 (de) | Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16708372 Country of ref document: EP Kind code of ref document: A1 |
|
REEP | Request for entry into the european phase |
Ref document number: 2016708372 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15556211 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |