PROCEDIMIENTO Y SISTEMA ORDENADOR PARA HACER FUNCIONAR UNA INSTALACIÓN TÉCNICA DE SEGURIDAD.
- Procedimiento para hacer funcionar una instalación técnica de seguridad (1),
en el que - se ponen a disposición un primer (3) y un segundo (4) canal de ordenador, que con independencia entre ellos valoran datos de la instalación técnica de seguridad (1) y de aquí emiten señales, - un dispositivo comparador (5) compara entre sí las señales del primer (3) y del segundo (4) canal de cálculo y, dependiendo del resultado de la comparación, hace funcionar la instalación técnica de seguridad (1), en donde - se entrega una consulta (6) predefinida al primer (3) y al segundo (4) canal de ordenador, en el caso de que el dispositivo comparador (5) determine una diferencia de las señales entre el primer (3) y el segundo (4) canal de ordenador, - las respuestas (7) reenviadas tras la consulta (6) predefinida desde el primer (3) y el segundo (4) canal de ordenador son comparadas por el dispositivo comparador (5) con un resultado a esperar y - la instalación técnica de seguridad (1) se sigue haciendo funcionar sólo con el canal de ordenador (3, 4), que ha reenviado el resultado a esperar, caracterizado porque como consulta (6) predefinida se usa una función criptográfica, que se aplica al software de aplicación disponible en ambos canales de ordenador (3, 4) y/o a los datos proyectados disponibles en los dos canales de ordenador (3, 4), en donde la función criptográfica reenvía un valor, que también es diferente en el caso de códigos diferentes del software de aplicación o de diferentes datos proyectados
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E04090220.
Solicitante: SIEMENS AKTIENGESELLSCHAFT.
Nacionalidad solicitante: Alemania.
Dirección: WITTELSBACHERPLATZ 2 80333 MUNCHEN ALEMANIA.
Inventor/es: Braband,Jens .
Fecha de Publicación: .
Fecha Solicitud PCT: 7 de Junio de 2004.
Clasificación Internacional de Patentes:
- G06F11/16C8
Clasificación PCT:
- G06F11/07 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 11/00 Detección de errores; Corrección de errores; Monitorización (detección, corrección o monitorización de errores en el almacenamiento de información basado en el movimiento relativo entre el soporte de registro y el transductor G11B 20/18; monitorización, es decir, supervisión del progreso del registro o reproducción G11B 27/36; en memorias estáticas G11C 29/00). › Respuesta ante la aparición de un defecto, p. ej. tolerancia ante fallos.
- G06F11/16 G06F 11/00 […] › Detección o corrección de errores en un dato por redundancia en el hardware.
Clasificación antigua:
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia, Ex República Yugoslava de Macedonia, Albania.
Fragmento de la descripción:
La invención se refiere a un procedimiento para hacer funcionar una instalación técnica de 5 seguridad conforme al preámbulo de la reivindicación 1, así como un sistema de ordenador para hacer funcionar una instalación técnica de seguridad conforme al preámbulo de la reivindicación 6.
En muchos procesos técnicos modernos, por ejemplo para el control de reactores nucleares o en el caso de instalaciones de seguridad ferroviaria, desde hace muchos años se trabaja según un principio técnico de seguridad reconocido, con lo que en el caso de cualquier tipo de fallo técnico el 10 proceso a controlar se traslada a un estado inimaginable para las personas y para el material.
Del documento EP 0 281 890 se conoce para esto por ejemplo un mecanismo de trinquete de seguridad 2V2 de dos canales, el cual utiliza dos micro-ordenadores que tratan las mismas informaciones en paralelo, en donde un dispositivo comparador desconecta la instalación después de una desigualdad determinada de ambos canales. 15
La desconexión de la instalación de seguridad conduce a continuación, sin embargo, a que una continuación del funcionamiento sólo es posible con el apoyo de la fiabilidad humana.
Del documento GB 2 122 393 A se conoce además un procedimiento o un sistema de ordenador conforme al preámbulo de las reivindicaciones 1 a 6. Aquí se impulsa un tratamiento de datos de comprobación, para el caso de que se determine una diferencia entre dos canales de 20 ordenador, y se reconoce un canal de ordenador defectuoso con base en el resultado enviado por el mismo.
Por ello la tarea de la invención consiste en indicar un procedimiento y un sistema de ordenador para hacer funcionar una instalación técnica de seguridad, que permitan una comprobación especialmente amplia de las funciones de los canales de ordenador. 25
La tarea es resulta conforme a la invención mediante un procedimiento de la clase citada al comienzo con las particularidades características de la reivindicación 1, así como un sistema de ordenador de la clase citada al comienzo con las particularidades características de la reivindicación 6.
Con ello se entrega una consulta predefinida al primer y al segundo canal de ordenador, en 30 el caso de que el dispositivo comparador, que compara entre sí las señales emitidas por el primer y el segundo canal de ordenador, determine una diferencia entre las señales. A esta consulta predefinida responden el primer y el segundo canal de ordenador y el dispositivo comparador, y el dispositivo comparador valora la respuesta reenviada. Si esta valoración concluye que una de las respuestas reenviadas por ambos canales de ordenador se corresponde con la respuesta esperada, la 35 instalación técnica de seguridad se sigue haciendo funcionar solamente con el canal de ordenador, que ha reenviado la respuesta esperada. Por medio de esto se sigue haciendo funcionar una instalación técnica de seguridad con un canal. La influencia del hombre, que es propensa a los fallos, queda de este modo desactivada y en su lugar se sigue trabajando con un canal de ordenador, que es más fiable que el hombre. Debido a que normalmente mediante el funcionamiento con un canal 40 puede trabajarse más rápidamente que mediante el hombre solamente, de este modo aumenta también la disponibilidad de la instalación técnica de seguridad.
Como consulta predefinida se usa aquí una función criptográfica, que se aplica al software de aplicación disponible en ambos canales de ordenador. La función criptográfica reenvía un valor, que también es diferente en el caso de códigos diferentes del software de aplicación. De este modo 45 puede comprobarse en cual de los dos canales de ordenador el código del software de aplicación coincide todavía con el código esperado del software de aplicación.
Alternativa- o adicionalmente a la utilización de una función criptográfica, que se aplica al software de aplicación disponible en los dos canales de ordenador, como consulta predefinida se usa una función criptográfica, que se aplica a los datos proyectados disponibles en los dos canales de 50 ordenador. Los datos proyectados están archivados fijamente en los canales de ordenador y no varían durante el funcionamiento de la instalación técnica de seguridad. Mediante la función criptográfica puede determinarse en cual de los dos canales de ordenador se han modificado los datos proyectados con relación a los datos proyectados esperados.
Si el dispositivo comparador ya conoce antes de la ejecución de la consulta, de forma ventajosa conforme a la reivindicación 2, lo que debe esperarse como resultado de la consulta predefinida, para esto se necesita menos capacidad de cálculo en el dispositivo comparador.
Si ambos canales de ordenador reenvían el resultado conforme a la reivindicación 3, debe partirse ciertamente de un error temporal, de tal modo que se activa un reinicio de ambos canales de 5 ordenador, tras lo cual la instalación se hace funcionar de nuevo con dos canales.
Si por el contrario ambos canales de ordenador reenvían conforme a la reivindicación 4 un resultado no esperado, debe partirse de la base de que ambos canales de ordenador son defectuosos y la instalación se desconecta de nuevo.
El procedimiento conforme a la reivindicación 5 puede utilizarse de forma especialmente 10 ventajosa para instalaciones de seguridad de señales ferroviarias.
Con base en la única figura del dibujo, la invención se explica con más detalle con ayuda de un ejemplo de ejecución. Con ello la figura muestra una disposición de conmutación esquemática de un sistema de ordenador, conforme a la invención, para controlar una instalación técnica de seguridad. 15
En la figura se ha representado cómo una instalación técnica de seguridad, por ejemplo una instalación de seguridad de señales de un ferrocarril, se hace funcionar mediante un sistema de ordenador 2. Con ello están previstos en el sistema de ordenador 2 un primer canal de ordenador 3 y un segundo canal de ordenador 4, que obtienen datos de desarrollo de la instalación técnica de seguridad 1. Datos de desarrollo de una instalación técnica de seguridad ferroviaria pueden ser por 20 ejemplo informaciones sobre ajustes de señales, ajustes de vías y ocupaciones de tramos de redes. Los datos de desarrollo son tratados por el primer canal de ordenador 3 y por el segundo canal de ordenador 4 y se generan señales correspondientes, que se transfieren tanto desde el primer canal de cálculo 3 y desde el segundo canal de cálculo 4 a un dispositivo comparador 5 (watchdog). Todos los canales de ordenador disponen de la posibilidad de identificarse claramente, por ejemplo a través 25 de una ID de canal. El dispositivo comparador 5 comprueba a continuación, si las señales del primer canal de ordenador 3 y del segundo canal de ordenador 4 coinciden y usa las señales en el caso de coincidencia, para hacer funcionar la instalación técnica de seguridad 1, es decir, cambiar por ejemplo señales o vías. Debido a que de dos canales de ordenador (3, 4) tienen que obtenerse dos señales iguales, este procedimiento recibe el nombre de procedimiento de seguridad 2V2(2de2). 30
Si a continuación el dispositivo comparador 5 determina durante el funcionamiento de la instalación técnica de seguridad 1 que las señales del primer canal de ordenador 3 se diferencian de las del segundo canal de ordenador 4, las señales de aquí resultantes no se transfieren a la instalación técnica de seguridad 1, sino que se entrega primero una consulta 6 predefinida (challenge) al primer canal de ordenador 3 y al segundo canal de ordenador 4. La consulta 6 35 predefinida debe elegirse con ello de tal modo, que en la respuesta se incluya todo lo posible las funciones de los canales de ordenador 3, 4. Como consulta 6 predefinida son adecuadas con ello en especial funciones criptográficas, por ejemplo las llamadas funciones Hash, que se aplican al software de aplicación o a los datos proyectados en el primer canal de ordenador 3 y en el segundo canal de ordenador 4. El software de aplicación y los datos proyectados en el primer canal de 40 ordenador 3 y en el segundo canal de ordenador 4 no deberían diferenciarse, es decir, que la función Hash en un caso no perturbadora debería entregar el mismo resultado para el primer canal de ordenador 3 y para el segundo canal de ordenador 4.
Las funciones criptográficas son con ello funciones marcadamente no lineales, de tal modo que incluso pequeñas variaciones en el software de...
Reivindicaciones:
1. Procedimiento para hacer funcionar una instalación técnica de seguridad (1), en el que
- se ponen a disposición un primer (3) y un segundo (4) canal de ordenador, que con independencia entre ellos valoran datos de la instalación técnica de seguridad (1) y de aquí emiten señales, 5
- un dispositivo comparador (5) compara entre sí las señales del primer (3) y del segundo (4) canal de cálculo y, dependiendo del resultado de la comparación, hace funcionar la instalación técnica de seguridad (1), en donde
- se entrega una consulta (6) predefinida al primer (3) y al segundo (4) canal de ordenador, en el caso de que el dispositivo comparador (5) determine una diferencia de las señales 10 entre el primer (3) y el segundo (4) canal de ordenador,
- las respuestas (7) reenviadas tras la consulta (6) predefinida desde el primer (3) y el segundo (4) canal de ordenador son comparadas por el dispositivo comparador (5) con un resultado a esperar y
- la instalación técnica de seguridad (1) se sigue haciendo funcionar sólo con el canal de 15 ordenador (3, 4), que ha reenviado el resultado a esperar,
caracterizado porque como consulta (6) predefinida se usa una función criptográfica, que se aplica al software de aplicación disponible en ambos canales de ordenador (3, 4) y/o a los datos proyectados disponibles en los dos canales de ordenador (3, 4), en donde la función criptográfica reenvía un valor, que también es diferente en el caso de códigos diferentes del software de aplicación o de diferentes 20 datos proyectados.
2. Procedimiento para hacer funcionar una instalación técnica de seguridad (1) según la reivindicación 1, caracterizado porque la consulta (6) predefinida se configura de tal modo que su respuesta es ya conocida antes de llevarse a cabo la consulta (6) por el dispositivo comparador (5).
3. Procedimiento para hacer funcionar una instalación técnica de seguridad (1) según una 25 de las reivindicaciones 1 a 2, caracterizado porque en el caso de que ambos canales de ordenador (3, 4) reenvíen el resultado (7) esperado se activa un reinicio de ambos canales de ordenador (3, 4).
4. Procedimiento para hacer funcionar una instalación técnica de seguridad (1) según una de las reivindicaciones 1 a 3, caracterizado porque en el caso de que ambos canales de ordenador (3, 4) reenvíen un resultado no esperado, la instalación (1) se desconecta. 30
5. Procedimiento para hacer funcionar una instalación técnica de seguridad (1) según una de las reivindicaciones 1 a 4, caracterizado porque como instalación técnica de seguridad (1) se utiliza una instalación de seguridad de señales de un ferrocarril.
6. Sistema de ordenador (2) para hacer funcionar una instalación técnica de seguridad (1) con 35
- un primer canal de ordenador (3) y un segundo canal de ordenador (4), que con independencia entre ellos valoran datos de la instalación técnica de seguridad (1) y de aquí emiten señales,
- un dispositivo comparador (5), que compara entre sí las señales del primer (3) y del segundo (4) canal de cálculo y, dependiendo del resultado de la comparación, hace 40 funcionar la instalación técnica de seguridad (1) o la desconecta, en donde el dispositivo comparador (5) está configurado de tal modo,
- que se entrega una consulta (6) predefinida al primer (3) y al segundo (4) canal de ordenador, en el caso de que el dispositivo comparador (5) determine una diferencia de las señales entre el primer (3) y el segundo (4) canal de ordenador, 45
- que las respuestas (7) reenviadas tras la consulta (6) predefinida desde el primer (3) y el segundo (4) canal de ordenador son comparadas por el dispositivo comparador (5) con un resultado a esperar y
- que la instalación técnica de seguridad (1) se sigue haciendo funcionar sólo con el canal de ordenador (3, 4), que ha reenviado el resultado esperado, 50
caracterizado porque el dispositivo comparador (5) está configurado de tal modo que como consulta (6) predefinida se usa una función criptográfica, que se aplica al software de aplicación disponible en ambos canales de ordenador (3, 4) y/o a los datos proyectados disponibles en los dos canales de ordenador (3, 4), en donde la función criptográfica reenvía un valor, que también es diferente en el caso de códigos diferentes del software de aplicación o de diferentes datos proyectados. 5
Sigue una hoja de dibujos.
Patentes similares o relacionadas:
Transmisión de datos entre unidades computacionales mediante tecnología de señales seguras, del 27 de Mayo de 2020, de Siemens Mobility GmbH: Módulo de entrada y salida para enviar y recibir datos a través de una línea de datos , caracterizado por las siguientes características:
- una máquina […]
Procedimiento de parada de emergencia y sistema de seguridad asociado, del 20 de Mayo de 2020, de CLEARSY: Procedimiento de parada de emergencia de un elemento de seguridad de un conjunto de seguridad , comprendiendo el conjunto de seguridad […]
Actualización de software de componentes no críticos en sistemas distribuidos críticos para la seguridad dual, del 13 de Mayo de 2020, de Siemens Mobility GmbH: Procedimiento para el funcionamiento de un sistema crítico para la seguridad con al menos un primer dispositivo de datos con un software aprobado y relevante […]
Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas, del 22 de Enero de 2020, de Siemens Mobility, Inc: Sistema de control para un sistema de aplicación crítico de seguridad ferroviaria, que comprende: al menos un controlador, que comprende un procesador […]
Circuito integrado digital protegido contra errores transitorios, del 9 de Octubre de 2019, de THALES: Circuito integrado digital que comprende un conjunto lógico que comprende un bloque lógico funcional, una unidad lógica de detección […]
Circuito de generación de reloj y procedimiento de generación de la señal de reloj, del 12 de Junio de 2019, de HUAWEI TECHNOLOGIES CO., LTD.: Un circuito de generación de reloj , que comprende una primera fuente de reloj , una segunda fuente de reloj y un circuito de puerta lógica , […]
Sistema informático de seguridad de tipo relevante, del 7 de Mayo de 2019, de Siemens Mobility GmbH: Sistema informático de seguridad de tipo relevante, particularmente un sistema de seguridad ferroviario, con al menos dos canales hardware (A; B), en donde los […]
Método, ordenador y aparato para migrar datos de memoria, del 6 de Marzo de 2019, de HUAWEI TECHNOLOGIES CO., LTD.: Un ordenador, que comprende: un procesador ; un sistema básico de entrada/salida ; una memoria principal , configurada para cargar […]