Устройство с системой безопасности и способ защищенной эксплуатации указанного устройства посредством удаленного запроса

Изобретение относится к средствам защиты от манипуляций устройством управления извне. В техническом решении к устройству (20) управления подключено интерфейсное устройство (30), которое образует внешний интерфейс для подключения к внешнему устройству (40) удаленного запроса, причем интерфейсное устройство (30) содержит устройство контроля (31), выполненное таким образом, что оно проверяет принятый сигнал (FAS(AB)) удаленного запроса на наличие команды (АВ) запроса, хранящейся в качестве разрешенной в интерфейсном устройстве (30), и в случае разрешения подает на устройство управления (20) только команду (АВ) запроса и блокирует подачу сигнала (FAS(AB)) удаленного запроса как такового или всех других управляющих команд, не являющихся хранящимися в качестве разрешенных команд (АВ) запроса. Достигается повышение защиты от манипуляций устройством управления извне. 2 н. и 13 з.п. ф-ы, 8 ил.

 

Изобретение относится к устройству с технической системой, в частности системой безопасности, и управляющему устройству для управления системой посредством управляющих команд для изменения технического состояния системы.

В основе изобретения лежит задача создания устройства, которое обеспечивало бы запрос данных из устройства управления посредством внешнего устройства удаленного запроса, однако надежным образом препятствовало бы манипулированию извне устройством управления.

Эта задача решается, согласно изобретению, посредством устройства с признаками п. 1 формулы. Предпочтительные варианты устройства охарактеризованы в зависимых пунктах формулы.

Согласно изобретению, предусмотрено, что к устройству управления подключено интерфейсное устройство, которое образует внешний интерфейс для подключения к внешнему устройству удаленного запроса, причем интерфейсное устройство содержит устройство контроля, выполненное таким образом, что оно проверяет принятый сигнал удаленного запроса на наличие команды запроса, хранящейся как разрешенная в интерфейсном устройстве, и в случае разрешения подает на устройство управления только команду запроса и блокирует подачу сигнала удаленного запроса как такового или всех других управляющих команд, которые не являются хранящимися как разрешенные команды запроса.

Существенное преимущество предложенного устройства следует усматривать в том, что интерфейсное устройство обеспечивает удаленный запрос данных о системе из устройства управления и, тем самым, всей технической системе, не нарушая при этом безопасность ее эксплуатации, поскольку интерфейсное устройство предотвращает непосредственную подачу управляющих сигналов или управляющих команд в устройство управления или техническую систему. Согласно изобретению, после приема сигнала удаленного запроса происходит проверка на наличие хранящейся как разрешенная команды запроса, и только в случае обнаружения таковой интерфейсным устройством происходит косвенная подача на устройство управления только соответствующей команды запроса. Следовательно, сигнал удаленного запроса как таковой не доходит до устройства управления.

В частности, в области железнодорожной техники должны выполняться высокие требования к безопасности; в соответствии с этим рассматривается как предпочтительное, если система обеспечения безопасности является железнодорожной системой, а управляющие команды, которые изменяли бы техническое состояние системы, являются такими, которые изменяли бы эксплуатационное состояние железнодорожной системы.

В отношении особенно хорошего развязывания между устройством управления и внешним устройством удаленного запроса рассматривается как предпочтительное, если интерфейсное устройство выполнено двух- или многоступенчатым и содержит два или более интерфейсных модулей, которые через интерфейсы каскадом включены друг за другом, причем между, по меньшей мере, двумя из интерфейсных модулей передача сигналов происходит по другому стандарту передачи или на основе иного пакетного протокола, нежели связь между интерфейсным устройством и устройством удаленного запроса.

Предпочтительно, если первый в каскаде интерфейсный модуль, связанный с внешним устройством удаленного запроса, выполнен таким образом, что он при наличии сигнала удаленного запроса, содержащего признанную как разрешенную команду запроса, подает на следующий в каскаде интерфейсный модуль исключительно команду запроса, а именно с изменением пакетного протокола или на основе беспакетной передачи сигналов (т.е. при полном отсутствии пакетного протокола).

В рассматриваемом как особенно предпочтительное выполнении устройства предусмотрено, что интерфейсное устройство содержит внутренний и внешний интерфейсные модули, содержащие соответственно внутренний и внешний интерфейсы, внутренний интерфейсный модуль посредством своего внутреннего интерфейса, называемого далее первым интерфейсом, соединен с устройством управления, а посредством своего внешнего интерфейса, называемого далее вторым интерфейсом, - с вышестоящим интерфейсным модулем модульного каскада, в случае двух интерфейсных модулей - с внешним интерфейсным модулем, внешний интерфейсный модуль посредством своего внутреннего интерфейса, называемого далее третьим интерфейсом, соединен с интерфейсом нижестоящего интерфейсного модуля, в случае двух интерфейсных модулей - с внутренним интерфейсным модулем, посредством своего внешнего интерфейса, называемого далее четвертым интерфейсом, - с устройством удаленного запроса, а устройство контроля содержится во внешнем интерфейсном модуле.

Устройство контроля содержится преимущественно во внешнем интерфейсном модуле.

В отношении эффективного развязывания между устройством управления и внешним устройством запроса рассматривается как предпочтительное, если четвертый интерфейс является пакетно-ориентированным интерфейсом, который осуществляет основанную на протоколе связь с устройством удаленного запроса на основе заданного внешнего пакетного протокола, а передача данных между, по меньшей мере, двумя из интерфейсных модулей, в случае двух интерфейсных модулей между вторым и третьим интерфейсами, основана на внутренней беспакетной передаче сигналов или на внутреннем пакетном протоколе, отличающемся от внешнего пакетного протокола.

Внутренний интерфейсный модуль выполнен преимущественно таким образом, что он при наличии команды запроса на своем втором интерфейсе подает команду запроса на первый интерфейс и, тем самым, на устройство управления, а именно на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола и/или от внешнего пакетного протокола, или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.

При наличии команды запроса устройство управления может передавать запрошенные данные через интерфейсное устройство на внешнее устройство удаленного запроса.

В одном особенно предпочтительном варианте предусмотрено, что параллельно, по меньшей мере, последнему в каскаде интерфейсному модулю, если смотреть от устройства удаленного запроса, т.е. тому, который связан с устройством управления, в частности внутреннему интерфейсному модулю в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству включен диод данных, а при наличии команды запроса устройство управления передает запрошенные данные через диод данных и, тем самым, мимо связанного с устройством управления интерфейсного модуля, в частности внутреннего интерфейсного модуля в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства на внешнее устройство удаленного запроса. За счет передачи данных мимо, в целом, интерфейсного устройства или мимо, по меньшей мере, одного из интерфейсных модулей предпочтительным образом достигается высокая скорость передачи данных, поскольку имеющиеся в продаже диоды данных обычно рассчитаны на высокие скорости их передачи.

В отношении проведения удаленного обновления рассматривается как предпочтительное, если интерфейсное устройство содержит память для хранения одной или нескольких, рассматриваемых как действительные подписей и выполнено таким образом, что оно проверяет принятое на своем внешнем интерфейсе обновление программного обеспечения на наличие одной или нескольких, хранящихся как действительные подписей, при успешной проверке подписей выполняет обновление программного обеспечения, а при неудавшейся не выполняет.

Кроме того, изобретение относится к способу эксплуатации устройства, содержащего техническую систему, в частности систему обеспечения безопасности, и управляющее системой устройство управления, которое посредством управляющих команд может изменять техническое состояние системы.

В части такого способа, согласно изобретению, предусмотрено, что посредством внешнего устройства удаленного запроса на предвключенное устройству управления интерфейсное устройство подается сигнал удаленного запроса, интерфейсное устройство проверяет, содержит ли сигнал удаленного запроса хранящуюся в интерфейсном устройстве как разрешенная команду запроса данных о системе, в случае, если хранящаяся как разрешенная команда запроса содержится в сигнале удаленного запроса, эта команда запроса подается на устройство управления, а в противном случае не подается, а в случае разрешенной команды запроса запрошенные данные передаются на внешнее устройство удаленного запроса.

В отношении преимуществ предложенного способа следует сослаться на приведенные выше рассуждения в связи с предложенным устройством.

Предпочтительно, если перед подачей команды запроса на устройство управления она подается внешним интерфейсным модулем интерфейсного устройства сначала на внутренний интерфейсный модуль интерфейсного устройства, а именно с изменением пакетного протокола или на основе беспакетной передачи сигналов, а затем - внутренним интерфейсным модулем интерфейсного устройства на устройство управления.

Внутренний интерфейсный модуль осуществляет подачу команды запроса на устройство управления преимущественно на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола и/или от внешнего пакетного протокола, или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.

Предпочтительно, если параллельно, по меньшей мере, последнему в каскаде интерфейсному модулю, если смотреть от устройства удаленного запроса, т.е. тому, который связан с устройством управления, в частности, следовательно, внутреннему интерфейсному модулю в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству включен диод данных, поляризованный таким образом, что данные могут передаваться в направлении внешнего устройства удаленного запроса, а при наличии команды запроса запрошенные данные передаются через диод данных и, тем самым, мимо связанного с устройством управления интерфейсного модуля, в частности внутреннего интерфейсного модуля в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства на внешнее устройство удаленного запроса.

Для выполнения обновления программного обеспечения подписывается преимущественно файл обновления программного обеспечения, а именно на основе одной или нескольких хранящихся в интерфейсном устройстве как действительные подписей. Подписанный файл обновления программного обеспечения передается преимущественно на интерфейсное устройство, которое проверяет этот файл на наличие одной или нескольких хранящихся как действительные подписей. При успешной проверке подписей выполняется содержащееся в файле обновление программного обеспечения, а при неудавшейся не выполняется.

Изобретение более подробно поясняется ниже на примерах его осуществления; при этом на чертежах схематично изображают:

- фиг. 1: пример выполнения устройства с технической системой и управляющим системой устройством управления, причем в целях удаленного запроса устройство управления связано с интерфейсным устройством;

- фиг. 2: пример выполнения устройства, у которого параллельно интерфейсному устройству включен диод данных;

- фиг. 3: пример выполнения устройства, у которого интерфейсное устройство содержит память для хранения подписей;

- фиг. 4: пример выполнения устройства, у которого интерфейсное устройство образовано каскадом включенных друг за другом интерфейсных модулей;

- фиг. 5: пример выполнения устройства, у которого интерфейсное устройство содержит каскад интерфейсных модулей, а параллельно каскаду включен диод данных;

- фиг. 6: устройство из фиг. 5, причем в которого интерфейсном устройстве дополнительно предусмотрена память подписей;

- фиг. 7: пример выполнения устройства, у которого интерфейсное устройство образовано каскадом включенных друг за другом интерфейсных модулей, и имеется диод данных, который обеспечивает поток данных от устройства управления в один из интерфейсных модулей интерфейсного устройства;

- фиг. 8: пример выполнения устройства, соответствующего по конструкции устройству из фиг. 7, причем в интерфейсном устройстве дополнительно предусмотрена память подписей.

Для наглядности на чертежах идентичные или сопоставимые компоненты обозначены одинаковыми ссылочными позициями.

На фиг. 1 изображено устройство с технической системой 10, у которой речь идет, например, о железнодорожной системе. Техническая система 10 связана с устройством управления 20, которая может управлять технической системой 10 и изменять ее состояние посредством управляющих команд SB. У устройства управления 20 речь может идти, например, о компьютере поста централизации стрелок и сигналов или о компьютере поста управления.

С устройством управления 20 связано интерфейсное устройство 30, которое образует внешний интерфейс для подключения к внешнему устройству 40 удаленного запроса. Интерфейсное устройство 30 позволяет посредством устройства 40 удаленного запроса подавать через интерфейсное устройство 30 на устройство управления 20 команды удаленного запроса, чтобы инициировать передачу запрошенных данных D.

Интерфейсное устройство 30 содержит устройство контроля 31, которое обрабатывает входящие сигналы FAS(AB) удаленного запроса, обнаруживает содержащиеся в них команды АВ запроса и, в случае если они разрешены или обнаруживаются как разрешенные, подает их на устройство управления 20, чтобы запрошенные посредством команды АВ запроса данные D могли передаваться устройством управления 20 через интерфейсное устройство 30 на устройство 40 удаленного запроса. Для проверки команд АВ запроса устройство контроля 31 содержит память 32, в которой хранятся все рассматриваемые как разрешенные команды запроса.

Устройство на фиг. 1 может эксплуатироваться, например, следующим образом.

Для запроса данных D из устройства управления 20 во внешний интерфейс 30ех интерфейсного устройства 30 посредством устройства 40 удаленного запроса подается сигнал FAS(AB) удаленного запроса. Этот сигнал FAS(AB) поступает в устройство контроля 31, которое проверяет сигнал FAS(AB) на наличие в нем команды АВ запроса. Если такая команда АВ запроса идентифицирована, то проверяется, рассматривается ли такая команда АВ запроса как разрешенная. Для этого устройство контроля 31 обращается к памяти 32, в которой хранятся все рассматриваемые как разрешенные команды запроса. Другими словами, устройство контроля 31 сравнивает содержащаяся в сигнале FAS(AB) удаленного запроса команда АВ запроса с хранящимися в памяти 32 командами запроса и подает соответствующую команду АВ запроса через внутренний интерфейс 30in на устройство управления 20, если команда запроса была обнаружена в памяти 32 и в соответствии с этим является разрешенной. Если в памяти 32 не найдено никакой соответствующей записи, то устройство контроля 31 делает из этого вывод о том, что команда АВ запроса недействительна и не может быть подана.

Если в устройство управления 20 от интерфейсного устройства 30 поступит команда АВ запроса, то устройство управления передаст запрошенные данные D через интерфейсное устройство 30 на устройство 40 удаленного запроса. Интерфейсное устройство 30 на фиг. 1 обеспечивает, тем самым, удаленный запрос данных D технической системы 10 посредством устройства 40 удаленного запроса, если в рамках удаленного запроса передаются разрешенные команды запроса, однако оно блокирует любую непосредственную передачу управляющих команд или команд АВ запроса на устройство управления 20. Последнее, тем самым, защищено интерфейсным устройством 30 от непосредственного или прямого доступа со стороны устройства 40 удаленного запроса.

На фиг. 2 изображен пример выполнения системы, у которой диод 50 данных включен параллельно интерфейсному устройству 30. Диод 50 данных обеспечивает однонаправленную передачу данных от устройства управления 20 в направлении устройства 40 удаленного запроса, однако блокирует любую передачу сигналов или данных в обратном направлении, т.е. здесь от устройства 40 удаленного запроса к устройству управления 20. Таким образом, последнее защищено диодом 50 данных от непосредственного доступа со стороны устройства 40 удаленного запроса.

Если посредством устройства 40 удаленного запроса на интерфейсное устройство 30 посредством сигнала FAS(AB) удаленного запроса передается команда АВ запроса, то интерфейсное устройство 30 направит команду АВ запроса на устройство управления 20. Последнее передаст запрошенные данные D через диод 50 данных на устройство 40 удаленного запроса.

Преимущество устройства на фиг. 2 заключается в том, что при соответствующем выполнении диода данных может быть достигнута более высокая скорость передачи данных, чем у устройства на фиг. 1, у которого данные D передаются через двунаправленно работающее интерфейсное устройство 30.

В остальном рассуждения в связи с фиг. 1 относятся к примеру на фиг. 2.

На фиг. 3 изображен пример устройства, у которого интерфейсное устройство 30 дополнительно выполнено с памятью 33. В ней хранятся рассматриваемые как действительные подписи.

С помощью хранящихся в памяти 33 подписей устройство контроля 31 может установить, правильно ли подписан поступивший на внешнем интерфейсе 30ех интерфейсного устройства 30, подписанный файл обновления программного обеспечения и можно ли выполнить содержащееся в этом файле обновление программного обеспечения.

Устройство на фиг. 3 может эксплуатироваться, например, следующим образом.

Если должно быть обновлено интерфейсное устройство 30 и/или устройство управления 20, то создается файл обновления программного обеспечения, содержащий соответствующее обновление программного обеспечения интерфейсного устройства 30 и устройства управления 20. Затем файл обновления программного обеспечения подписывается, причем создается подписанный файл обновления программного обеспечения. Подписанный файл обновления программного обеспечения обозначен на фиг. 3 SUD(sig).

Устройство контроля 31 проверит поступивший на внешнем интерфейсе 30ех, подписанный файл SUD(sig) обновления программного обеспечения на наличие правильной подписи, причем оно учитывает хранящиеся в памяти 33 подписи. Если оно установит, что файл SUD(sig) обновления программного обеспечения подписан хранящейся в памяти 33 подписью или правильно подписан, то оно разрешит выполнение обновления программного обеспечения и, если обновление программного обеспечения относится к интерфейсному устройству 30, само выполнит обновление программного обеспечения, или, если обновление программного обеспечения относится к устройству управления 20, то передаст обновление программного обеспечения на устройство управления 20 для выполнения.

Подписание и контроль подписей могут быть основаны, например, на ключевой паре с открытым и закрытым ключами, как это известно, например, в шифровании PGP или S/MIME.

В остальном рассуждения в связи с фиг. 1, 2 относятся к устройству на фиг. 3. Передача данных D в направлении устройства 40 удаленного запроса может осуществляться через интерфейсное устройство 30 (фиг. 1, 3) или через диод 50 данных (фиг. 2).

На фиг. 4 изображен пример интерфейсного устройства 30, включающего в себя каскад из двух включенных друг за другом интерфейсных модулей. Так, на фиг. 4 видны внутренний 300 и внешний 350 интерфейсные модули, содержащие соответственно внутренний и внешний интерфейсы.

Внутренний интерфейсный модуль 300 связан посредством своего внутреннего интерфейса, называемого далее первым интерфейсом S1, с внутренним интерфейсом 30in интерфейсного устройства 30 и, тем самым, с устройством управления 20. Своим внешним интерфейсом, называемым далее вторым интерфейсом S2, внутренний интерфейсный модуль 300 связан с предвключенным внешним интерфейсным модулем 350.

Внешний интерфейсный модуль 350 связан посредством своего внутреннего интерфейса, называемого далее третьим интерфейсом S3, со вторым интерфейсом S2, а посредством своего внешнего интерфейса, называемого далее четвертым интерфейсом S4, - с внешним интерфейсом 30ех интерфейсного устройства 30 и, тем самым, с устройством 40 удаленного запроса.

Устройство контроля 31 интерфейсного устройства 30 расположено преимущественно во внешнем интерфейсном модуле 350, поскольку последний образует первый интерфейсный модуль, если смотреть от устройства 40 удаленного запроса.

Устройство на фиг. 4 может эксплуатироваться, например, следующим образом.

Если на внешнем интерфейсе 30ех интерфейсного устройства 30 или на четвертом интерфейсе S4 внешнего интерфейсного модуля 350 поступает сигнал FAS(AB) удаленного запроса устройства 40 удаленного запроса, то расположенное во внешнем интерфейсном модуле 350 устройство контроля 31 проверит, содержится ли в сигнале FAS(AB) удаленного запроса разрешенная команда АВ запроса. Для этой цели оно запросит память 32, в которой хранятся как разрешенные команды запроса, и проведет соответствующее сравнение. Память 32, содержащая разрешенные команды запроса, является преимущественно составной частью внешнего интерфейсного модуля 350.

Если внешний интерфейсный модуль 350 установит, что команда АВ запроса действительна, то она передается через третий интерфейс S3 на второй интерфейс S2. В отношении оптимального развязывания внутреннего интерфейсного модуля 300 от устройства 40 удаленного запроса, т.е. в отношении максимально хорошей защиты от хакерской атаки, рассматривается предпочтительным, если передача данных между вторым S2 и третьим S3 интерфейсами происходит беспакетно или на основе иной пакетно-ориентированной передачи сигналов, нежели передача данных между устройством 40 удаленного запроса и четвертым интерфейсом S4. Другими словами, должно возникнуть нарушение или нарушение протокола в передаче сигналов, за счет которого внутренний интерфейсный модуль 300 наилучшим образом развязан от устройства 40 удаленного запроса.

При поступлении команды АВ запроса во внутренний интерфейсный модуль 300 он передаст ее на устройство управления 20. Последнее передаст запрошенные данные D затем через интерфейсное устройство 30 на устройство 40 удаленного запроса, как это уже пояснялось в связи с фиг. 1.

На фиг. 5 изображен пример устройства, в основном, соответствующего устройству на фиг. 1, за исключением того, что передача данных D от устройства управления 20 на устройство 40 удаленного запроса происходит не через интерфейсное устройство 30, а через параллельно включенный диод 50 данных, как это уже пояснялось в связи с примером на фиг. 2. В этом отношении следует сослаться на вышеприведенные рассуждения в связи с фиг. 2.

На фиг. 6 изображен пример устройства, соответствующего устройству на фиг. 5, причем во внешнем интерфейсном модуле 350 дополнительно к устройству контроля 31 и памяти 32 имеется еще память 33 подписей. В ней хранятся подписи, которые рассматриваются как действительные и привлекаются для проверки поступающих подписанных файлов SUD(sig) обновления программного обеспечения, как это уже пояснялось выше в связи с фиг. 3.

На фиг. 7 изображен пример устройства, содержащего диод 50 данных, как это предусмотрено также в примерах на фиг. 5 и 6. В отличие от них, диод 50 данных включен иначе. Так, видно, что выход А50 данных диода 50 данных соединен с устройством 40 удаленного запроса не непосредственно, а подключен к внешнему интерфейсному модулю 350, будь то к его третьему интерфейсу S3 или, как на фиг. 7, - к его другому интерфейсу (называемому далее пятым интерфейсом S5). Запрошенные устройством управления 20 данные D передаются, тем самым, от диода 50 данных не непосредственно на устройство 40 удаленного запроса, а сначала на внешний интерфейсный модуль 350, которые передает запрошенные данные затем на устройство 40 удаленного запроса.

За счет расположения диода 50 данных внутри каскада интерфейсных модулей 300, 350 достигается особенно хорошее развязывание между устройством управления 20 и устройством 40 удаленного запроса также в направлении запроса данных D, поскольку диод 50 данных поддерживается внешним интерфейсным модулем 350 при развязывании устройства управления 20 от устройства 40 удаленного запроса.

На фиг. 8 изображено устройство, в основном, соответствующее устройству на фиг. 7; дополнительно предусмотрено, что внешний интерфейсный модуль 350 снабжен памятью 33 подписей, которая для проверки подписанных файлов SUD(sig) обновления программного обеспечения содержит рассматриваемые как разрешенные подписи. В отношении проверки подписанных файлов SUD(sig) обновления программного обеспечения следует сослаться на вышеприведенные рассуждения в связи с фиг. 3 и 6.

Хотя изобретение было подробно проиллюстрировано и описано предпочтительными раскрытыми примерами его осуществления, оно не ограничено ими, и специалист может вывести из них другие варианты, не выходят за объем охраны изобретения.

1. Устройство с технической системой (10), в частности системой (10) обеспечения безопасности, и устройством (20) управления, выполненным с возможностью изменения технического состояния системы (10) посредством управляющих команд (SB), в котором:

к устройству (20) управления подключено интерфейсное устройство (30), образующее внешний интерфейс для подключения к внешнему устройству (40) удаленного запроса,

причем интерфейсное устройство (30) содержит устройство (31) контроля, выполненное с возможностью проверки принятого сигнала (FAS(AB)) удаленного запроса на наличие команды (АВ) запроса, хранящейся в качестве разрешенной в интерфейсном устройстве (30), при этом, когда команда является разрешенной, на устройство (20) управления подается только команда (АВ) запроса, содержащаяся в сигнале удаленного запроса, а подача сигнала (FAS(AB)) удаленного запроса как такового блокируется или блокируется подача всех других управляющих команд, не являющихся хранящимися в качестве разрешенных команд (АВ) запроса.

2. Устройство по п.1, характеризующееся тем, что система (10) обеспечения безопасности является железнодорожной системой, а управляющие команды, изменяющие техническое состояние системы (10), являются командами, изменяющими эксплуатационное состояние железнодорожной системы.

3. Устройство по п.1 или 2, в котором

интерфейсное устройство (30) выполнено двух- или многоступенчатым и содержит два или более интерфейсных модулей (300, 350), подключенных последовательным каскадом, посредством интерфейсов,

причем передача сигналов, между по меньшей мере двумя из интерфейсных модулей (300, 350), происходит по другому стандарту передачи или на основе иного пакетного протокола, нежели связь между интерфейсным устройством (30) и устройством (40) удаленного запроса.

4. Устройство по п.1, в котором первый в каскаде интерфейсный модуль (350), соединенный с внешним устройством (40) удаленного запроса, выполнен с возможностью подачи, при наличии сигнала (FAS(AB)) удаленного запроса, содержащего команду (АВ) запроса, признанную в качестве разрешенной, на следующий в каскаде интерфейсный модуль (300), исключительно команды (АВ) запроса, с изменением пакетного протокола или на основе беспакетной передачи сигналов.

5. Устройство по пп.1-4, в котором

интерфейсное устройство (30) содержит внутренний интерфейсный модуль (300) и внешний интерфейсный модуль (350), содержащие соответственно внутренний интерфейс и внешний интерфейс, при этом

внутренний интерфейсный модуль (300) посредством своего внутреннего интерфейса, называемого далее первым интерфейсом (S1), соединен с устройством управления (20), а посредством своего внешнего интерфейса, называемого далее вторым интерфейсом (S2), с вышестоящим интерфейсным модулем (350) модульного каскада, в случае двух интерфейсных модулей (300, 350), с внешним интерфейсным модулем (350), а

внешний интерфейсный модуль (350) посредством своего внутреннего интерфейса, называемого далее третьим интерфейсом (S3), соединен с интерфейсом нижестоящего интерфейсного модуля (300), в случае двух интерфейсных модулей (300, 350), с внутренним интерфейсным модулем (300), а посредством своего внешнего интерфейса, называемого далее четвертым интерфейсом (S4), с устройством (40) удаленного запроса, при этом

устройство контроля (31) содержится во внешнем интерфейсном модуле (350).

6. Устройство по п.5, в котором

четвертый интерфейс (S4) является пакетно-ориентированным интерфейсом, выполненным с возможностью осуществления основанной на протоколе связи с устройством (40) удаленного запроса на основе заданного внешнего пакетного протокола, а

передача данных между по меньшей мере двумя из интерфейсных модулей (300, 350), в случае двух интерфейсных модулей (300, 350), между вторым и третьим интерфейсами (S2, S3), основана на внутренней беспакетной передаче сигналов или на внутреннем пакетном протоколе, отличающемся от внешнего пакетного протокола.

7. Устройство по любому из пп.1-6, в котором

внутренний интерфейсный модуль (300) выполнен с возможностью подачи при наличии команды (АВ) запроса по своему второму интерфейсу (S2) команды (АВ) запроса на первый интерфейс (S1) и тем самым на устройство управления (20),

а именно на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола и/или от внешнего пакетного протокола, или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.

8. Устройство по любому из пп.1-7, в котором, при наличии команды (АВ) запроса, устройство управления (20) выполнено с возможностью передачи запрошенных данных (D), через интерфейсное устройство (30), на внешнее устройство (40) удаленного запроса.

9. Устройство по любому из пп.1-8, в котором

по меньшей мере последнему в каскаде интерфейсному модулю (300), от устройства (40) удаленного запроса, т.е. модулю, соединенному с устройством управления (20), в частности внутреннему интерфейсному модулю (300), в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству (30) подключен диод (50) данных, при этом

при наличии команды (АВ) запроса устройство управления (20) выполнено с возможностью передачи запрошенных данных (D) через диод (50) данных и тем самым мимо связанного с устройством управления (20) интерфейсного модуля (300), в частности внутреннего интерфейсного модуля (300) в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства (30) на внешнее устройство (40) удаленного запроса.

10. Устройство по любому из пп.1-9, в котором

интерфейсное устройство (30) содержит память (33) для хранения одной или более подписей, рассматриваемых в качестве действительных, а

интерфейсное устройство (30) выполнено с возможностью проверки принятого на внешнем интерфейсе обновления программного обеспечения на наличие одной или более подписей, хранящихся в качестве действительных, и выполнения, при успешной проверке подписей, обновления программного обеспечения и невыполнения обновления программного обеспечения, при неудачной проверке подписей.

11. Способ функционирования устройства, содержащего техническую систему (10), в частности систему (10) обеспечения безопасности, и устройство (20) управления системой (10), выполненное с возможностью изменения технического состояния системы (10) посредством управляющих команд (SB), содержащий этапы, на которых:

подают, посредством внешнего устройства (40) удаленного запроса, на интерфейсное устройство (30), включенное перед устройством (20) управления, сигнал (FAS(AB)) удаленного запроса,

проверяют, с помощью интерфейсного устройства (30), содержит ли сигнал (FAS(AB)) удаленного запроса, хранящуюся в интерфейсном устройстве (30) в качестве разрешенной, команду (АВ) запроса данных о системе,

подают, когда хранящаяся в качестве разрешенной команда (АВ) запроса содержится в сигнале (FAS(AB)) удаленного запроса, указанную команду (АВ) запроса, содержащуюся в сигнале удаленного запроса, на устройство управления (20), в противном случае не подают, при этом

передают, когда команда (АВ) запроса является разрешенной, запрошенные данные на внешнее устройство (40) удаленного запроса.

12. Способ по п.11, дополнительно содержащий этап, на котором

подают, перед подачей команды (АВ) запроса на устройство управления (20), команду (АВ) запроса с внешнего интерфейсного модуля (350) интерфейсного устройства (30) сначала на внутренний интерфейсный модуль (300) интерфейсного устройства (30), с изменением пакетного протокола или на основе беспакетной передачи сигналов, и

подают команду (АВ) запроса с внутреннего интерфейсного модуля (300) интерфейсного устройства (30) на устройство управления (20).

13. Способ по п.12, дополнительно содержащий этап, на котором подают, посредством внутреннего интерфейсного модуля (300), команду (АВ) запроса на устройство управления (20) на основе третьего пакетного протокола, отличающегося от внутреннего пакетного протокола, между интерфейсным устройством (30) и устройством управления (20) или от внешнего пакетного протокола, между устройством (40) удаленного запроса и интерфейсным устройством (30), или на основе беспакетной передачи сигналов, отличающейся от внутренней беспакетной передачи сигналов.

14. Способ по любому из пп.11-13, в котором

интерфейсное устройство (30) содержит один или более интерфейсных модулей (300), расположенных, когда интерфейсных модулей (300) более одного, каскадом; при этом

параллельно, по меньшей мере, последнему в каскаде интерфейсному модулю (300), от устройства (40) удаленного запроса, т.е. интерфейсному модулю, соединенному с устройством управления (20), в частности, следовательно, внутреннему интерфейсному модулю (300) в случае двух интерфейсных модулей, или параллельно, в целом, интерфейсному устройству (30) включен диод (50) данных, поляризованный с возможностью передачи данных в направлении внешнего устройства (40) удаленного запроса, а

при наличии команды (АВ) запроса запрошенные данные (D) передают через диод (50) данных и тем самым мимо соединенного с устройством управления (20) интерфейсного модуля (300), в частности внутреннего интерфейсного модуля (300) в случае двух интерфейсных модулей, или мимо, в целом, интерфейсного устройства (30) на внешнее устройство (40) удаленного запроса.

15. Способ по любому из пп.11-14, дополнительно содержащий этапы, на которых:

подписывают, для выполнения обновления программного обеспечения, файл обновления программного обеспечения, а именно на основе одной или более подписей, хранящихся в интерфейсном устройстве (30) в качестве действительных,

передают подписанный файл (SUD(sig)) обновления программного обеспечения на интерфейсное устройство (30) и

проверяют, с помощью интерфейсного устройства (30), указанный файл (SUD(sig)) обновления программного обеспечения на наличие одной или более подписей, хранящихся в качестве действительных, и выполняют, при успешной проверке подписей, содержащееся в файле (SUD(sig)) обновления программного обеспечения обновление программного обеспечения, а при неудачной проверке подписей обновление программного обеспечения не выполняют.



 

Похожие патенты:

Изобретение относится к области железнодорожной автоматики для регулирования движения поездов. В способе на локомотивах устанавливают устройства приема и передачи информации на точечные напольные устройства, установленные на границах станций, которые передают на локомотивы информацию о времени приема и отправления поездов со станций и принимают информацию о номерах поездов, на локомотиве благодаря полученной информации о состоянии впередилежащих участков, информации, хранящейся в памяти локомотивной ЭВМ, о графике движения поезда и о параметрах пути и поезда, информации о месте нахождения поезда, определенной с помощью навигационных устройств, рассчитывают оптимальную и пониженную кривые скорости, позиции локомотивного контроллера и крана машиниста для каждой точки пути с учетом фактически сложившейся поездной ситуации, при этом информация о состоянии путевых участков превалирует над временными параметрами приема и отправления поезда.

Изобретение относится к области железнодорожной автоматики для регулирования движения поездов. Способ основан на контроле состояний путевых участков посредством рельсовых цепей и передачи информации на локомотив, на постах ЭВМ устанавливают радиостанции, работающие с локомотивными радиостанциями в режиме конференцсвязи, локомотивные радиостанции подключают к станционным при проходе локомотивом оси станции и отключают при удалении локомотива от станции за середину прилегающего к данной станций перегона, координаты точек подключения и отключения радиостанций определяют с участием приемников спутниковой системы навигации, которые установлены на каждом локомотиве, а определение длины свободного участка перед поездом осуществляют локомотивной ЭВМ, которая получает информацию по радиоканалу о состоянии рельсовых цепей перегона с впередилежащей и позадилежащей станций, а также информацию о времени приема и отправления поезда со станции, номере пути отправления.

Изобретение относится к железнодорожной автоматике для распознавания путевых сигналов. В способе, когда транспортные средства (BFZ, SFZ) движутся на участках (BST, SST) в железнодорожной сети (BNE, SNE), на основе а) запоминаемой в качестве опорных данных (RDA), измеренной вдоль участка (BST, SST) в железнодорожной сети относительно географического окружения и управления сигналами железнодорожного движения опорной информации в виде опорной информации (ROI) и опорной информации (RSZI) состояния сигналов места, полученной в контексте измерения контекстной и индикаторной информации (KHI) и дополнительной метаинформации (MI), а также (b) сравнения измеренной в режиме распознавания сигналов на основании данных (BOK, SOK) положения рабочей информации (BOI) места и рабочей информации (BSZI) состояния сигналов c находящимися в памяти опорными данными (RDA) распознавать сигнал (SI) и состояние (SZ) сигнала для управления железнодорожным движением (BVK, SVK) на железнодорожном участке (BST, SST), за счет оценки релевантности и содержания информации обеспечивается тогда, когда при сравнении найдена измеренная рабочая информация (BSZI) состояния сигналов для распознавания сигналов, которая относительно информации (BOI) и соответствующей ей опорной информации (ROI) места соответствует содержащейся в опорных данных (RDA) опорной информации (RSZI) состояния сигналов с учетом содержащейся в опорных данных контекстной и индикаторной информации (KHI), и имеющейся метаинформации (MI).

Изобретение относится к средствам обнаружения и оповещения машинистов поездов о наличии препятствий на пути следования. Комплекс содержит видеокамеры 1 и 2, основной вычислительный блок 3, дополнительный вычислительный блок 4, каждый вычислительный блок 3 (4) состоит из процессора 5 (6) с подключенными к нему модулем 7 (8) синхронизации и модулем 9 (10) обнаружения препятствий, соединенным с модулем 11 (12) обработки данных радара 13 и с модулем 14 (15) обработки данных видеокамер 1 и 2, которые подключены соответственно к выходу радара 13 и к выходам видеокамер 1 и 2, при этом в основной вычислительный блок 3 дополнительно введены и подключены к процессору 5 модуль 16 поездной ситуации, соединенный с модулем 17 оповещения, модуль 18 сравнения, выходом соединенный с модулем 17 оповещения, и устройство 19 шифрации и дешифрации, соединенное с радиомодемом 20, второй вход модуля 18 сравнения подключен к процессору 6 дополнительного вычислительного блока 4, модули 7 и 8 синхронизации основного и дополнительного вычислительных блоков 3 и 4 соединены с навигационным приемником 21, а с выходом модуля 17 оповещения соединен извещатель 22.

Изобретение относится к железнодорожной автоматике и связи для организации станционной парковой связи и оповещения работающих на железнодорожных путях. Система содержит станционный управляющий сервер (СУС 1), стационарную радиостанцию оповещения (СРО 2), коллективные переносные оповещатели (КПО 3), взаимодействующие с системой 4 спутниковой навигации ГЛОНАСС, речевой информатор (РИ 5) и коммутатор 6, стационарную радиостанцию парковой связи (СРП 7), носимые радиостанции (НРП 8) и приемники (НЛП 9) парковой связи, приемники носимых оповещателей (ПНО 18), активные громкоговорители 10, стационарные приемники парковой связи (СПП 11), блок 12 управления, блок 13 записи/воспроизведения, пульты 14 руководителей эксплуатационной работы станции, информационную панель 15 на АРМ дежурного.

Изобретение относится к области автоматики и телемеханики в системах управления железнодорожным транспортом. Модуль содержит два независимых микропроцессорных вычислителя, восемь каналов телесигнализации первых групп контактов реле и вторых групп контактов реле, транзисторные ключи сигналов 20 и 40 Гц, генератор тактовых импульсов и счетчик тактовых импульсов.

Способ и мобильное устройство контроля целостности рельсовых нитей осуществляется сравнением тяговых токов в рельсовых нитях между тележками локомотива. Над рельсами размещены приемные катушки с Г-образным сердечником на расстоянии 10-20 мм над головкой рельса.

Изобретение относится к железнодорожной автоматикe для управления транспортом. Контроллер содержит два (А, Б) микропроцессорных вычислителя, интерфейсы верхнего уровня CAN1А и CAN1Б, соединенные с драйверами CAN-сетей, интерфейсы нижнего уровня CAN2А и CAN2Б, соединенные с драйверами CAN-сетей, четыре универсальных асинхронных приемника-передатчика, соединенные с соответствующим из четырех драйверов последовательного интерфейса RS-422, два последовательных интерфейса SPI 1,2, два последовательных интерфейса SPI 3, безопасную асинхронную схему сравнения (БАСС).

Изобретение относится к железнодорожной автоматике для контроля целостности рельсовых нитей. В способе концы рельсовой линии соединяются шунтами, а питание осуществляется током тональной частоты.

Изобретение относится к области железнодорожной автоматики для оповещения работающих на перегоне. В способе задействуют коллективный переносной сигнализатор, подключенный через ближайший пункт доступа на перегоне к межстанционной линии связи централизованной системы автоблокировки, аппаратно-программный полукомплект микропроцессорной централизованной системы автоблокировки соседних станций, подключенный к АРМ дежурного по станции и к межстанционной линии связи, индивидуальные сигнализаторы работников и переносной пульт управления руководителя работ.

Изобретение относится к средствам защиты от манипуляций устройством управления извне. В техническом решении к устройству управления подключено интерфейсное устройство, которое образует внешний интерфейс для подключения к внешнему устройству удаленного запроса, причем интерфейсное устройство содержит устройство контроля, выполненное таким образом, что оно проверяет принятый сигнал ) удаленного запроса на наличие команды запроса, хранящейся в качестве разрешенной в интерфейсном устройстве, и в случае разрешения подает на устройство управления только команду запроса и блокирует подачу сигнала ) удаленного запроса как такового или всех других управляющих команд, не являющихся хранящимися в качестве разрешенных команд запроса. Достигается повышение защиты от манипуляций устройством управления извне. 2 н. и 13 з.п. ф-ы, 8 ил.

Наверх