[发明专利]双重安全关键的分布式系统中的非关键部件的软件更新

说明书

背景技术

被证实为是极其困难或几乎不可行的是：运行数据装置、例如个人计算机，使得所述数据装置可以在无法确定安全隐患的情况下运行。由此当数据装置属于安全关键的、配设有安全相关的和非安全相关的软件的系统时，产生特殊问题，所述系统在其使用之前必须进行类型检查并且(例如在联锁系统的操作装置或列车安全系统中)必须以耗费的程序来许可。此后不再允许改变软件。这根据现有技术甚至自动地被监控并且这种系统在确定变化之后自动地停止。如果在检查和许可这种系统之后产生通过升级或补丁将非安全相关的软件引入到这种系统中的必要性，那么要么必须使用已许可的、可明确识别的软件要么必须执行用于许可的重新的检查。

发明内容

本发明基于如下目的：提出一种用于运行安全关键的系统的方法，借助所述方法能够以相对小的耗费更新系统。

为了实现该目的，根据本发明，适合的是一种用于运行安全关键的系统的方法，所述系统具有至少一个第一数据装置和至少一个参考数据装置，所述第一数据装置具有已许可的、安全相关的软件，所述参考数据装置具有相同的已许可的安全相关的软件，其中在对系统进行类型检查之后，为至少一个第一数据装置配设至少一个非安全相关的附加软件并且禁止至少一个参考数据装置的软件修改；在输出安全技术方面的数据信息之前，借助于比较装置检查至少一个第一数据装置和至少一个参考数据装置的输出信息的关于安全相关的软件的一致性，并且仅在一致的情况下输出安全技术方面的数据信息。

根据本发明的方法的一个主要优点在于：提供如下可行性：后续地、即在许可之后将非安全相关的软件更新或补充到安全关键的系统中，而不必随后与重新许可一起重新进行类型检查。

为了确保安全性，在具有多个第一数据装置和多个参考数据装置的系统中尤其有利的是，仅当关于安全相关的软件检查第一数据装置和参考数据装置的输出信息得出分别关于第一数据装置和参考数据装置的特定多数存在一致性时，才输出安全技术方面的数据信息。

根据本发明的方法提供有利的可行性：使用数据保护软件作为附加软件，其中所述数据保护软件尤其能够是病毒防护软件或通常能够是恶意软件防护软件。

此外，根据本发明的方法有利地允许：使用外部软件作为附加软件，将外部软件理解为例如商业软件、而非由安全关键的系统的研发人员亲自研发的软件或未经检查的软件。

由此，根据本发明的方法关于非安全相关的软件的类型方面不受限制。

在根据本发明的方法的一个尤其有利的实施方式中，在进行类型检查之前以如下方式为至少一个第一数据装置配设至少一个非安全相关的附加软件：将程序与数据彼此分开，其中使用具有代码的测试数据作为数据；在进行类型检查之后，在使用代码的条件下在检查当前数据的有效性之后为至少一个第一数据装置在同一程序中提供当前的数据。代码能够是签名。根据本发明的方法的该实施方式的特征在于，通过更新附加软件以大的安全性避免安全关键的系统的故障。

根据本发明的该实施方式也能够与如下安全关键的系统分开使用，所述安全关键的系统具有至少一个第一数据装置和至少一个参考数据装置，所述第一数据装置具有已许可的安全相关的软件，所述参考数据装置具有相同的已许可的安全相关的软件，即也能够在具有就上述第一数据装置而言的一个数据装置或多个数据装置的安全关键的系统中使用。

当在作为附加软件的数据保护软件中保证程序的功能性不能够由数据影响时，也有利地有助于无干扰地更新附加软件。

在本文中有利的是：在使用附加软件时借助于安全相关的软件检查该附加软件的数据的代码的有效性。

安全关键的系统能够是类型完全不同的系统，此外能够是用于联锁机构的操作系统或列车安全系统。当使用列车安全系统作为安全关键的系统并且使用运行计算机作为至少一个第一数据装置以及使用联锁机构作为比较装置时，显得是尤其有利的。

附图说明

为了进一步阐述本发明，在附图中示意地示出具有第一数据装置和参考数据装置的设置。

具体实施方式

附图示出第一数据装置1，所述第一数据装置能够是列车安全系统的运行计算机。第一数据装置1包含已许可的、安全相关的软件2。参考数据装置4经由数据连接3与第一数据装置1连接，所述参考数据装置同样配设有已许可的、安全相关的软件2。

第一数据装置1经由一个数据通道5并且参考数据装置4经由另一数据通道6与比较装置7连接，所述比较装置的功能在列车安全系统中由未示出的联锁机构或另一安全导向的比较器承担。