Способ сохранения состояния безопасности электронного оборудования при отказе, основанный на принципе комплексной безопасности при отказе

012194 Область техники, к которой относится изобретение Настоящее изобретение относится к способу сохранения состояния безопасности электронного оборудования, связанного с обеспечением безопасности, в частности, для железнодорожного сигнализационного оборудования, основанному на принципе комплексной безопасности при отказе, т.е. электронного оборудования, относящегося к безопасности, в котором используют технологию с резервированием безопасности с целью обеспечения безопасности при отказе. Предпосылки к созданию изобретения При применении электронного оборудования, связанного с обеспечением безопасности, в частности, для железнодорожного сигнализационного оборудования, для работы которого используют принцип комплексной безопасности, необходимо выполнить запрос для перехода в состояние безопасности (videNorm IEC 61508-4) после обнаружения первого отказа, который мог бы представлять опасность для других элементов при возникновении следующего отказа. На используемом в настоящее время оборудовании данный запрос обычно выполняется либо (i) путем отключения электропитания всего электронного оборудования, связанного с обеспечением безопасности, или только его части,либо (ii) путем контролируемого завершения соответствующей операции электронного оборудования, связанного с обеспечением безопасности, либо путем контролируемого завершения безопасной операции, по меньшей мере, тех резервных процессоров электронного оборудования, связанного с обеспечением безопасности, которые, продолжая работать в безопасном режиме, могли бы представлять опасность при возникновении следующих отказов в электронном оборудовании, связанном с обеспечением безопасности. Недостатки существующих электронных систем, связанных с обеспечением безопасности, в которых запрос для перехода в состояние безопасности после отказа осуществляется в соответствии с вышеупомянутым пунктом (i) и который реализуется с помощью аппаратных ресурсов, заключаются в случае прекращения и последующего восстановления электропитания в том, что исключается возможность автоматического возобновления безопасной работы безотказного оборудования без вмешательства компетентного лица. Недостатки существующих электронных систем, связанных с обеспечением безопасности, в которых запрос для перехода в состояние безопасности после отказа осуществляется в соответствии с вышеупомянутым пунктом (ii) и который реализуется в основном с помощью программных ресурсов, заключаются в том, что существует риск несанкционированного завершения состояния безопасности в случае перехода оборудования в состояние безопасности после отказа и последующей повторной инициализации по любой причине (отключение и внезапное возобновление электропитания, электромагнитные помехи, электростатические разряды и т.д.). Недостатки существующих электронных систем, связанных с обеспечением безопасности, в которых запрос для перехода в состояние безопасности после отказа осуществляется в соответствии с вышеупомянутым пунктом (ii) и который реализуется в основном с помощью программных ресурсов, заключаются в том, что существует риск несанкционированного завершения состояния безопасности при возникновении дальнейших отказов. Сохранение состояния безопасности электронных систем, связанных с обеспечением безопасности для сигнализации, требуется в соответствии со стандартом EN 50129. Краткое изложение существа изобретения Вышеуказанные до сих пор известные недостатки решений устраняются или в основном ограничиваются способом сохранения состояния безопасности электронного оборудования, в частности, для железнодорожного сигнализационного оборудования, путем использования принципа комплексной безопасности при отказе, в соответствии с настоящим изобретением, сущность которого заключается в безопасной информации, необходимой для осуществления безопасных процессов резервного процессора электронного оборудования, хранящейся в энергонезависимой памяти, находящейся в резервном процессоре электронного оборудования. При запуске безопасной операции связанную с обеспечением безопасности информацию направляют в энергозависимую операционную память резервного процессора электронного оборудования и уничтожают в энергонезависимой памяти, находящейся в резервном процессоре электронного оборудования. При переходе резервного процессора электронного оборудования в состояние безопасности после отказа соответствующая связанная с обеспечением безопасности информация, хранящаяся в энергозависимой операционной памяти резервного процессора электронного оборудования, уничтожается. Благодаря этому исключается восстановление указанной связанной с обеспечением безопасности информации, и, таким образом, сохраняется такое состояние электронного оборудования. Сохраняется состояние безопасности электронного оборудования. Состояние безопасности электронного оборудования сохраняется даже во всех случаях повторной инициализации резервного процессора электронного оборудования, и такое состояние безопасности можно отменить исключительно путем проведения предписанных операций операторами или обслуживающим персоналом. Основное преимущество способа сохранения состояния безопасности электронного оборудования,связанного с обеспечением безопасности, в частности для железнодорожного сигнализационного обору-1 012194 дования, при использовании принципа комплексной безопасности в соответствии с настоящим изобретением, при сравнении с вышеуказанным известным решением, приведенным в пункте (ii) известного уровня техники, заключается в ограничении риска несанкционированного завершения состояния безопасности после повторной инициализации. Преимущество также заключается в том, что связанная с обеспечением безопасности информация,необходимая для выполнения безопасной операции резервного процессора электронного оборудования,взаимно проверяется отдельными процессорами электронного оборудования при инициировании или выполнении операции, связанной с обеспечением безопасности. Для проверки точности информации необходимо согласовать значение соответствующей связанной с обеспечением безопасности информации, полученной в минимально определенном количестве резервных процессоров электронного оборудования. Проверка точности связанной с обеспечением безопасности информации отдельных резервных процессоров электронного оборудования повышает вероятность обнаружения отказов и, таким образом,также обеспечивает повышение безопасности. Кроме того, преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, защищена путем кодирования с целью защиты против ее нежелательного несанкционированного использования процессором электронного оборудования, который не выполнил все необходимые условия для выполнения безопасной операции. Ключ, необходимый для декодирования закодированной таким образом информации, связанной с обеспечением безопасности, выдается предварительно определенным взаимодействующим и проверяющим резервным процессором электронного оборудования после проверки целостности данного процессора электронного оборудования. Взаимодействующий и проверяющий резервный процессор электронного оборудования позволяет предотвратить нежелательное несанкционированное использование связанной с обеспечением безопасности информации, не предоставляя ключа. Дополнительное преимущество также заключается в том, что часть обеспечивающей безопасность информации, необходимой для выполнения обеспечивающей безопасность операции резервного процессора электронного оборудования, обеспечивающего безопасность, также является аутентификационной информацией, необходимой для создания и проверки аутентичных сообщений, обеспечивающих безопасность. При проведении обеспечивающей безопасность работы данного резервного процессора электронного оборудования, обеспечивающего безопасность, с помощью аутентификационной информации осуществляется создание и проверка аутентичных сообщений, обеспечивающих безопасность, переданных между соединенным электронным оборудованием, обеспечивающим безопасность. За счет расширения обеспечивающей безопасность информации с помощью аутентификационной информации способ сохранения безопасного состояния в соответствии с настоящим изобретением также предусматривает создание и проверку аутентичных сообщений, обеспечивающих безопасность. Еще одно преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, передается из энергозависимой операционной памяти в энергонезависимую память, находящуюся в резервном процессоре электронного оборудования в случае контролируемого завершения работы резервного процессора электронного оборудования ввиду отключения электропитания или начальной стадии обслуживания в течение безотказной работы. Благодаря этому обеспечивается повторное использование информации после восстановления электропитания оборудования, обеспечивающего безопасность,одновременно восстанавливая безопасную работу резервного процессора электронного оборудования. Таким образом, в противоположность известному решению, приведенному в пункте (i), существующего уровня техники, обеспечивается автоматическое восстановление безопасной работы, безотказного оборудования после возобновления подачи электропитания. Дополнительное преимущество также заключается в том, что после запуска в работу резервного процессора электронного оборудования обеспечивающая безопасность информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, уничтожается путем кодирования в энергонезависимой памяти, относящейся к резервному процессору электронного оборудования. Ключ, необходимый для декодирования закодированной таким образом обеспечивающей безопасность информации, хранящейся в энергозависимой операционной памяти резервного процессора электронного оборудования, хранится в энергонезависимой памяти, относящейся к данному резервному процессору электронного оборудования в момент контролируемого завершения работы резервного процессора электронного оборудования. При переходе резервного процессора электронного оборудования в состояние безопасности после отказа соответствующий ключ, хранящийся в энергозависимой операционной памяти данного резервного процессора электронного оборудования, уничтожается. В случае контролируемого завершения безопасной работы происходит сохранение только того ключа, который может быть существенно короче, чем вся обеспечивающая безопасность информация. Еще одно преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудо-2 012194 вания, заменяется в энергозависимой операционной памяти резервного процессора электронного оборудования обеспечивающей безопасность информацией, необходимой для осуществления безопасной работы резервного процессора электронного оборудования в различных замедленных функциональных режимах с функциональными ограничениями при обнаружении отказа, в зависимости от характера, серьезности и степени обнаруженного отказа или обнаруженных отказов отдельных резервных процессоров электронного оборудования. В зависимости от характера и серьезности обнаруженного отказа электронное оборудование запускается для осуществления безопасной работы в различных замедленных функциональных режимах с функциональными ограничениями и, в конечном счете, сохраняется после повторной инициализации. Кроме того, преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, постоянно модифицируется в энергозависимой операционной памяти данного резервного процессора электронного оборудования в процессе безопасной работы резервного процессора электронного оборудования на основе проверенной целостности взаимодействующего предварительно определенного резервного процессора электронного оборудования. Таким образом, при восстановлении безопасной работы запускается резервный процессор электронного оборудования для проверки состояния, в котором были обнаружены взаимодействующие предварительно определенные резервные процессоры электронного оборудования до проведения повторной инициализации. Кроме того, преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, кодируется с помощью ключа при каждой модификации в энергозависимой операционной памяти данного резервного процессора электронного оборудования. Закодированная таким образом обеспечивающая безопасность информация хранится в энергонезависимой памяти резервного процессора электронного оборудования. Таким образом, также обеспечивается хранение ключа, который может быть существенно короче,чем вся обеспечивающая безопасность информация в случае контролируемого завершения безопасной работы, для измененной обеспечивающей безопасность информации. Дополнительное преимущество заключается в том, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования кодируется с помощью многокомпонентного ключа в процессе каждой модификации в энергозависимой операционной памяти данного резервного процессора электронного оборудования во взаимодействии с предварительно определенным резервным процессором данного электронного оборудования. Закодированная таким образом связанная с обеспечением безопасности информация хранится в энергонезависимой памяти резервного процессора электронного оборудования. В момент контролируемого завершения работы резервного процессора электронного оборудования соответствующая часть многокомпонентного ключа, необходимого для декодирования связанной с обеспечением безопасности закодированной информации, хранится в энергонезависимой памяти резервного процессора электронного оборудования. При запуске безопасной работы связанная с обеспечением безопасности информация, закодированная таким образом и хранящаяся в энергонезависимой памяти резервного процессора электронного оборудования, декодируется на основе проверенной целостности взаимодействующих предварительно определенных резервных процессоров электронного оборудования путем совместного использования всех компонентов ключей. Взаимодействующие и проверяющие резервные процессоры электронного оборудования позволяют предотвратить нежелательное несанкционированное использование связанной с обеспечением безопасности информации, не предоставляя ключа. Подробное описание предпочтительного примера осуществления настоящего изобретения Электронное оборудование, связанное с обеспечением безопасности, в частности железнодорожное сигнализационное оборудование, с системой, основанной на принципе комплексной безопасности в соответствии с EN 50129, включает резервные процессоры, каждый из которых имеет соответствующую энергонезависимую память, предназначенную для хранения связанной с обеспечением безопасности информации, состоящей из наборов данных. При запуске безопасной работы предварительно определенный взаимодействующий и проверяющий резервный процессор электронного оборудования предоставляет ключ, необходимый для декодирования связанной с обеспечением безопасности информации, после проверки целостности резервного процессора электронного оборудования. Закодированная, связанная с обеспечением безопасности информация, передается из энергонезависимой памяти в энергозависимую операционную память, в которой информация декодируется с помощью предоставленного ключа и проводится взаимная проверка ее точности с помощью отдельных резервных процессоров электронного оборудования. Далее связанная с обеспечением безопасности информация уничтожается в соответствующей энергонезависимой памяти путем кодирования.-3 012194 В процессе безопасной работы резервного процессора электронного оборудования связанная с обеспечением безопасности информация, хранящаяся в энергозависимой операционной памяти резервного процессора электронного оборудования, постоянно модифицируется путем проверки целостности взаимодействующих предварительно определенных резервных процессоров электронного оборудования. Связанная с обеспечением безопасности информация также модифицируется в случае обнаружения отказа, когда в зависимости от характера, серьезности и степени обнаруженного отказа связанная с обеспечением безопасности информация, хранящаяся в энергозависимой операционной памяти резервного процессора электронного оборудования, заменяется на связанную с обеспечением безопасности информацию, необходимую для выполнения безопасной работы процессора электронного оборудования в различных замедленных функциональных режимах с функциональными ограничениями. Модифицированная связанная с обеспечением безопасности информация кодируется с помощью ключа, и закодированная таким образом связанная с обеспечением безопасности информация хранится в энергонезависимой памяти резервного процессора электронного оборудования. При необходимости модифицированная связанная с обеспечением безопасности информация кодируется с помощью многокомпонентного ключа во взаимодействии с предварительно определенными резервными процессорами электронного оборудования. В случае контролируемого завершения работы резервного процессора электронного оборудования ввиду отключения электропитания или проведения обслуживания ключ, необходимый для декодирования связанной с обеспечением безопасности информации, передается из энергозависимой операционной памяти в энергонезависимую память резервного процессора электронного оборудования. Благодаря этому обеспечивается повторное использование связанной с обеспечением безопасности информации при восстановлении безопасной работы резервного процессора электронного оборудования после восстановления подачи электропитания на электронное оборудование. При переходе резервного процессора электронного оборудования в состояние безопасности после отказа связанная с обеспечением безопасности информация и ключ, необходимый для декодирования связанной с обеспечением безопасности информации, хранящейся в энергозависимой операционной памяти, уничтожаются, благодаря чему исключается в дальнейшем возможность восстановления указанной связанной с обеспечением безопасности информации, в результате чего обеспечивается продолжение безопасной работы даже в случае повторной инициализации резервного процессора электронного оборудования. Аутентификационная информация, необходимая для создания аутентичных относящихся к безопасности сообщений, является частью набора данных, включающего связанную с обеспечением безопасности информацию. Связанная с обеспечением безопасности информация может быть защищена с помощью кода детектирования, и ее целостность проверяется в резервном процессоре электронного оборудования с помощью кода детектирования до ее применения. При переходе резервного процессора электронного оборудования в состояние безопасности после отказа, при котором требуется завершение или ограничение работы процессора резервного процессора электронного оборудования, работа резервного процессора электронного оборудования завершается путем перехода процессора в состояние с пониженным потреблением электроэнергии, либо его работа полностью прекращается. Связанная с обеспечением безопасности информация хранится в энергонезависимой памяти резервного процессора электронного оборудования, либо она восстанавливается после проведения испытания резервного процессора, при этом информация в зависимости от конкретного способа ее создания и восстановления может являться частью указанной информации, связанной с обеспечением безопасности. Также существует возможность использовать вышеуказанные способы сохранения состояния безопасности при отказе в соответствии с настоящим изобретением для электронного оборудования с одной электронной структурой. Промышленная применимость Исходя из вышеприведенного описания, способ сохранения состояния безопасности электронного оборудования после отказа, в котором используют технологию резервной безопасности во время отказа в соответствии с настоящим изобретением с целью обеспечения безопасности, может быть использован как при создании железнодорожного сигнализационного оборудования, так и для усовершенствования существующего железнодорожного сигнализационного оборудования, в частности, путем использования данных безопасности, о которых идет речь. Последнее, но не менее важное заключается в том, что изобретение может быть использовано во всех иных областях, в которых используют системы, обеспечивающие безопасность, и в которых необходимо поддерживать состояние безопасности при отказе оборудования, например, на атомных электростанциях, в химической промышленности, в банковской отрасли и т. д.-4 012194 ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ сохранения состояния безопасности электронного оборудования при отказе, основанный на принципе комплексной безопасности при отказе, в частности, железнодорожного сигнализационного оборудования, т.е. электронного оборудования, относящегося к безопасности, в котором используется технология резервной безопасности с целью обеспечения безопасности при отказе и которое включает два или несколько резервных процессоров, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора, хранящаяся в энергонезависимой памяти, относящейся к резервным процессорам, передается в энергозависимую операционную память резервного процессора при инициации безопасной работы и уничтожается в энергонезависимой памяти, находящейся в резервном процессоре, при этом соответствующая связанная с обеспечением безопасности информация, хранящаяся в энергозависимой операционной памяти резервного процессора, уничтожается при переходе резервного процессора в состояние безопасности после отказа, при этом в дальнейшем исключается восстановление указанной связанной с обеспечением безопасности информации и таким образом, обеспечивается сохранение такого состояния безопасности электронного оборудования. 2. Способ по п.1, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования,взаимно проверяется отдельными процессорами электронного оборудования при инициировании или выполнении операции, связанной с обеспечением безопасности, при этом для проверки точности информации необходимо согласовать значение соответствующей связанной с обеспечением безопасности информации, полученной в минимально определенном количестве резервных процессоров из общего числа резервных процессоров электронного оборудования. 3. Способ по п.1 или 2, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, защищена путем кодирования с целью защиты против ее нежелательного несанкционированного использования процессором электронного оборудования, который не выполнил все необходимые условия для выполнения безопасной операции, при этом ключ, необходимый для декодирования закодированной таким образом информации, связанной с обеспечением безопасности, выдается предварительно определенным взаимодействующим и проверяющим резервным процессором электронного оборудования после проверки целостности данного процессора электронного оборудования. 4. Способ по пп.1, 2 или 3, отличающийся тем, что часть связанной с обеспечением безопасности информации, необходимой для выполнения обеспечивающей безопасность операции резервного процессора электронного оборудования, также является аутентификационной информацией, необходимой для создания и проверки аутентичных сообщений, обеспечивающих безопасность, при этом при проведении обеспечивающей безопасность работы данного резервного процессора электронного оборудования с помощью аутентификационной информации осуществляется создание и проверка аутентичных сообщений,обеспечивающих безопасность, переданных между соединенным электронным оборудованием. 5. Способ по пп.1, 2, 3 или 4, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, передается из энергозависимой операционной памяти в энергонезависимую память, находящуюся в резервном процессоре электронного оборудования в случае контролируемого завершения работы резервного процессора электронного оборудования ввиду отключения электропитания или начальной стадии обслуживания в течение безотказной работы, при этом обеспечивается повторное использование информации после восстановления подачи электропитания оборудования, обеспечивающего безопасность, одновременно восстанавливая безопасную работу резервного процессора электронного оборудования. 6. Способ по п.5, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования,уничтожается путем кодирования в энергонезависимой памяти, относящейся к резервному процессору электронного оборудования, после запуска в работу резервного процессора электронного оборудования,при этом ключ, необходимый для декодирования закодированной таким образом связанной с обеспечением безопасности информации, хранящейся в энергозависимой операционной памяти резервного процессора электронного оборудования, хранится в энергонезависимой памяти, относящейся к данному резервному процессору электронного оборудования, в момент контролируемого завершения работы резервного процессора электронного оборудования, таким образом, чтобы при переходе резервного процессора электронного оборудования в состояние безопасности после отказа обеспечивалось уничтожение соответствующего ключа, хранящегося в энергозависимой операционной памяти данного резервного процессора электронного оборудования. 7. Способ по пп.1, 2, 3, 4 или 5, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, заменяется в энергозависимой операционной памяти резервного процессора электронного-5 012194 оборудования связанной с обеспечением безопасности информацией, необходимой для осуществления безопасной работы резервного процессора электронного оборудования в различных замедленных функциональных режимах с функциональными ограничениями при обнаружении отказа, в зависимости от характера, серьезности и степени обнаруженного отказа или обнаруженных отказов отдельных резервных процессоров электронного оборудования. 8. Способ по пп.1, 2, 3, 4, 5 или 7, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, постоянно модифицируется в энергозависимой операционной памяти данного резервного процессора электронного оборудования в процессе безопасной работы резервного процессора электронного оборудования на основе проверенной целостности взаимодействующих предварительно определенных резервных процессоров электронного оборудования. 9. Способ по пп.5, 6, 7 или 8, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования, кодируется с помощью ключа при каждой модификации в энергозависимой операционной памяти данного резервного процессора электронного оборудования, и закодированная таким образом связанная с обеспечением безопасности информация хранится в энергонезависимой памяти резервного процессора электронного оборудования. 10. Способ по п.9, отличающийся тем, что связанная с обеспечением безопасности информация, необходимая для выполнения безопасной операции резервного процессора электронного оборудования,кодируется с помощью многокомпонентного ключа в процессе каждой модификации в энергозависимой операционной памяти данного резервного процессора электронного оборудования во взаимодействии с предварительно определенными резервными процессорами данного электронного оборудования, и закодированная таким образом связанная с обеспечением безопасности информация хранится в энергонезависимой памяти резервного процессора электронного оборудования, таким образом, чтобы в момент контролируемого завершения работы резервного процессора электронного оборудования соответствующая часть многокомпонентного ключа, необходимого для декодирования связанной с обеспечением безопасности закодированной информации, хранилась в энергонезависимой памяти резервного процессора электронного оборудования, таким образом, чтобы при запуске безопасной работы связанная с обеспечением безопасности информация, закодированная таким образом и хранящаяся в энергонезависимой памяти резервного процессора электронного оборудования, декодировалась на основе проверенной целостности взаимодействующих предварительно определенных резервных процессоров электронного оборудования путем совместного использования всех компонентов ключей.