Verfahren und Einrichtung zur Sicherung von Zugriffen auf co- dierte Variablen in einem Computerprogramm

Die Erfindung betrifft ein Verfahren zur Sicherung von Zu- griffen auf codierte Variablen in einem Computerprogramm ge- mäß dem Oberbegriff des Patentanspruchs 1, eine Einrichtung zur Sicherung von Zugriffen auf codierte Variablen in einem Computerprogramm gemäß dem Oberbegriff des Patentanspruchs 11, und ein Computerprogrammprodukt zur Sicherung von Zugrif- fen auf codierte Variablen in einem Computerprogramm gemäß dem Oberbegriff des Patentanspruchs 12.

In sicherheitsgerichteten Programmen für industrielle Anwen- dungen, die typischerweise auf eingebetteter Hardware wie z.B. Speicherprogrammierbaren Steuerungen (SPS) oder anderen industriellen Automatisierungskomponenten ablaufen, muss si- chergestellt werden, dass Bitfehler in Variablen erkannt wer- den und dass zur Abarbeitung in einem Zyklus vorgesehene Pro- grammteile auch tatsächlich vollständig durchlaufen werden.

Bei der Verarbeitung funktional sicherer Daten müssen interne Fehler der Sicherheitsfunktion erkannt werden und eine Si- cherheitsreaktion (z.B. Ausgabe sicherer Ersatzwerte oder ei- ner Warnmeldung) zur Folge haben. Dies wird klassischerweise durch Hardware-Replikation und Ergebnisvergleich erreicht. Eine Alternative ist die Kodierung der Sicherheitsfunktion mittels arithmetischen Kodes. Einfache arithmetische Kodes erkennen nicht alle Fehler und müssen geeignet ergänzt wer- den. Dies führt typischerweise zu erheblichem Aufwand und/oder schränkt die Verwendung ein.

In fortgeschritteneren sicherheitsgerichteten Lösungen wird eine Hardware-unabhängige Variante von Coded-Processing ver- wendet. In Coded-Processing erfolgt die Erfassung und Propa- gation von Fehlerinformation in jeder Variablen. Dies führt bisher dazu, dass komplexe Anwendungen oft nicht angemessen abgebildet werden können.

Es besteht also ein Bedarf für ein Verfahren mit linearer Komplexität zur Erfassung und Propagation von Fehlern in kom- plexen Softwaresystemen für die sicherheitsgerichtete Pro- grammierung mittels arithmetischer Codes.

Beispiele für komplexe Anwendungen:

• Asynchrone Änderung von Daten (z.B. Bedienungen durch HMI - Human Machine Interface)

• Remanente Daten

• Verschachtelte Programme (IF-THEN-ELSE, LOOP, ...)

• Globale Daten

• CIR (Change in Run - Programm- oder Ablaufänderungen zur Laufzeit)

Cloud-basierte Safety-Anwendungen

Nach dem gegenwärtigen Stand der Technik gibt es folgende Lö- sungsstrategien:

• Redundanz/Diversität: Das Sicherheitsprogramm wird mehr- fach unabhängig ausgeführt, so dass „Common Causes" (gleiche Fehlerursachen) ausgeschlossen werden können. Dieser Ansatz erfordert abhängig von der Komplexität der Anwendung einen erheblichen Aufwand für die Synchronisa- tion der Abläufe und für die sichere Erfassung der Feh- ler.

• Bei „Distributed Safety" wird auf Basis des HW-Modells zu den CPUs, auf denen das Sicherheitsprogramm abläuft, die tatsächlich zu erwartende Fehlerrate abgeschätzt. Die Abschätzung und die Festlegung des Modells müssen für jede HW gesondert erfolgen.

• Dynamische Signatur für jede Variable: Jede Variable er- hält eine dynamische Signatur. Diese Signatur wird bei jeder Änderung der Variable geändert. Der Aufwand für die Verwaltung der dynamischen Signatur wächst mit der Komplexität des Anwenderprogramms. Breits bei einzelnen Anwendungen hat sich der Aufwand für die Verwaltung durch kleine Änderungen in der Kontrollstruktur verdop- pelt.

Zusammenfassend kann man sagen, dass die Lösungsansätze nach dem Stand der Technik mit der aktuell stark wachsenden Kom- plexität der Anforderungen immer weniger als alleinige Lösung für neue Lösungen geeignet sind. Sie müssen um Maßnahmen zur Beherrschung der Komplexität ergänzt werden, die es ermögli- chen, dass sich die Komplexität des Sicherheitsprogramms nur unwesentlich von der Komplexität des entsprechenden Standard- programms unterscheidet.

Die Erfindung ist insbesondere für Coded Processing geeignet.

In Coded Processing sind die Variablen codiert. Dazu werden Werte (xf) in Variablen mittels AN-, ANB- (AN+B), ANBD- Codes oder durch artverwandte Codes (Mischverfahren) codiert, also auf codierte Werte abgebildet. Im Beispiel der ANBD-Codierung werden alle numerischen Variablen nach einer Vorschrift der Form: x _c := Xf*A + B _x + D _x codiert, und die arithmetischen Operationen (+,-,*,/, usw.) werden so angepasst, dass die Verarbeitung im codierten Be- reich (xc) konsistente Ergebnisse zum Ur-Bereich (xf) lie- fert. Dabei ist:

• A ist eine Systemkonstante, die für alle kodierten Werte gleich ist.

• B _x ist statische Signatur von x. Das bedeutet, dass jedes x eine eigenes B _x besitzt und dass B _x konstant ist.

• D _x ist die dynamische Signatur von x. D _x ändert sich in regelmäßigen oder unregelmäßigen Abständen, bei- spielsweise in jedem Zyklus eines Programms oder zeitgesteuert.

Mittels der codierten Variablen ist es möglich, Fehler fest- zustellen, die beispielsweise durch eine zufällige Änderung bzw. Verfälschung einzelner Bits entstehen. Dies bedeutet, dass die zu codierenden Werte so auf codierte Werte abgebil- det werden, dass Abweichung einzelner Bits erkannt werden können, indem Fehler in einzelnen Bits beispielsweise auf- grund des Hamming-Abstandes zulässiger codierter Werte ungül- tige Werte im codierten Raum entstehen lassen.

Die Komplexität des Sicherheitsprogramms ist insbesondere ab- hängig von der Art der Verwaltung von D _x . Die Komplexität bleibt beherrschbar, wenn D _x gespeichert wird. Dies erfor- dert, dass D _x analog zu x _c abgesichert wird.

Eine gesicherte Speicherung jedes D _x in einer gesicherten Va- riablen erhöht jedoch die Komplexität und den Ressourcenbe- darf der gesicherten Softwaresysteme erheblich.

Es ist also eine Aufgabe der vorliegenden Erfindung, die Ver- waltung dynamischer Signaturen im Coded Processing zu verein- fachen, so dass dies mit geringer Komplexität ohne Verzicht auf Sicherheit möglich ist. Es ist eine weitere Aufgabe der Erfindung, mit einfachen Mitteln sicherzustellen oder festzu- stellen, ob die zur Abarbeitung vorgesehenen Programmteile (z.B. „Basisblöcke") tatsächlich abgearbeitet wurden.

Die wesentliche Idee zur Lösung der Aufgaben ist die unabhän- gige Berechnung der Signaturen von kodierten Variablen in 2 Kanälen. Dabei wird die Summe aller dynamischer Signaturen in einer einzigen kodierten Variablen, der sog. Tracer- Variablen, kombiniert mit der diversitären Berechnung ihrer Signatur.

Die Aufgabe wird insbesondere durch ein Verfahren nach Pa- tentanspruch 1, eine Einrichtung nach Patentanspruch 11 und ein Computerprogrammprodukt nach Patentanspruch 12 gelöst.

Dabei wird ein Verfahren zur Sicherung von Zugriffen auf zu- mindest eine codierte Variable in einem Computerprogramm mit einer Vielzahl codierter Variablen vorgeschlagen, wobei vor- zugsweise jede codierte Variable eine eigene dynamische Sig- natur aufweist. Dabei wird bei einem Zugriff auf solch eine codierte Variable deren dynamische Signatur in einer vorge- schriebenen Weise verändert. In einer codierten Tracer- Variable wird ein Summenwert für alle dynamischen Signaturen aller anderen codierten Variablen geführt, wobei bei einer Änderung einer dynamischen Signatur einer der codierten Vari- ablen der in der Tracer-Variablen geführte Summenwert analog angepasst wird, und wobei zur Kontrolle die Summe der dynami- schen Signaturen der codierten Variablen mit dem in der co- dierten Tracer-Variablen gespeicherten Summenwert verglichen wird, wobei im Falle einer Diskrepanz eine Fehlerbehandlung ausgelöst wird. Dies ermöglicht eine performante Verwaltung aller Signaturen in einem arithmetisch kodierten Programm un- abhängig von dessen Komplexität.

Die Aufgabe wird außerdem durch eine Einrichtung zur Siche- rung von Zugriffen auf zumindest eine codierte Variable in einem Computerprogramm, insbesondere eine sicherheitsgerich- tete Automatisierungsanwendung, mit einer Vielzahl codierter Variablen gelöst, wobei das Computerprogramm auf der Einrich- tung, insbesondere auf einem Computer oder auf einer indust- riellen Automatisierungskomponente, abläuft, und wobei jede codierte Variable eine eigene dynamische Signatur aufweist. Dabei ist die Einrichtung zur Durchführung des Verfahrens ge- mäß Patentanspruch 1 eingerichtet. Durch diese Einrichtung können die bereits anhand des Verfahrens diskutierten Vortei- le realisiert werden.

Die Aufgabe wird außerdem durch ein Computerprogrammprodukt zur Sicherung von Zugriffen auf zumindest eine codierte Vari- able in einem Computerprogramm, insbesondere eine sicher- heitsgerichtete Automatisierungsanwendung, mit einer Vielzahl codierter Variablen gelöst, wobei das Computerprogrammprodukt derart eingerichtet ist, dass bei einer Ausführung auf einer Einrichtung, insbesondere auf einem Computer oder auf einer industriellen Automatisierungskomponente, das Verfahren gemäß Patentanspruch 1 ausgeführt wird. Durch dieses Computerpro- grammprodukt können die bereits anhand des Verfahrens disku- tierten Vorteile realisiert werden.

Vorteilhafte Varianten des erfindungsgemäßen Verfahrens sind in den abhängigen Patentansprüchen angegeben, deren Merkmale und Vorteile sinngemäß auch für die erfindungsgemäße Einrich- tung und das Computerprogrammprodukt gelten.

In einer vorteilhaften Variante des erfindungsgemäßen Verfah- rens wird zur Codierung der codierten Variablen eine AN-, ANB-, oder ANBD-Codierung verwendet. Diese Codierungen sind in sicherheitsgerichteten Computerprogrammen, insbesondere in solchen der Automatisierungstechnik, erfolgreich eingeführt.

Vorteilhaft wird bei jedem schreibenden Zugriff auf eine co- dierte Variable für diese Variable eine neue oder geänderte dynamische Signatur festgelegt, so dass die Anzahl der beson- ders kritischen Schreibzugriffe anhand der Signatursumme nachvollzogen werden kann. Besonders vorteilhaft wird auch bei jedem lesenden Zugriff auf eine codierte Variable für diese Variable eine neue oder geänderte dynamische Signatur festgelegt.

Dadurch, dass jede codierte Variable eine eigene dynamische Signatur aufweist, muss bei einer Änderung dieser Signatur, also bei jedem Zugriff, nur die Signatur dieser Variablen an- gepasst werden und der Wert der Tracer-Variablen analog dazu geändert werden, während bei einer im Stand der Technik oft üblichen gemeinsamen dynamischen Signatur vieler oder aller Variablen dann auch jede codierte Variable geändert werden muss.

Vorteilhaft besteht die vorgeschriebene Weise der Änderung der dynamischen Signatur darin, dass entweder stets durch Ad- dition oder stets durch Subtraktion eines festgelegten Wer- tes, des sog. Offsets, ungleich Null zu oder von der bisheri- gen dynamischen Signatur der jeweiligen codierten Variablen erfolgt. Somit können einander folgende Änderungen einander nicht ungewollt kompensieren.

In einer vorteilhaften Ausgestaltung wird der Summenwert über alle dynamischen Signaturen im Zuge der Kontrolle gebildet, wobei in einer Variante davon ausgegangen ist, dass zu jeder codierten Variablen eine (vorzugsweise uncodierte) mit dieser verknüpften Variable oder Register oder dgl. mit dem jeweils gültigen (also zuletzt geänderten und aktuell in der zuordne- ten codierten Variablen verwendete) Wert der dynamischen Sig- natur geführt wird. In einer Variante sind die dynamischen Signaturwerte in einem Array gespeichert. Das vereinfacht die Summenbildung im Kontrollschritt. Es ist aber alternativ auch möglich, den codierten Variablen jeweils den Wert der dynami- schen Signatur zu entnehmen, indem jeweils vom Wert der co- dierten Variablen die statische Signatur abgezogen wird und das Ergebnis in einer Modulo-Operation mit der Systemkonstan- te „A" verknüpft wird. Diese Alternative ist in ihrer Ausfüh- rung aufwendiger (Rechenzeit), kommt aber ohne das separate Speichern der dynamischen Signaturen aus. Vorteilhaft wird vor dem Vergleich auf die Summe der dynami- schen Signaturen und auf den in der Tracer-Variablen geführte Summenwert jeweils und ggf. auch mehrfach eine Modulo- Operation mit der für die Codierung aller codierten Variablen und für die Codierung der Tracer-Variablen verwendeten Sys- temvariablen („A") angewendet, so dass etwaige Überläufe bei sehr großen Offset-Werten für die zugriffsbedingten Änderun- gen der dynamischen Signaturen vermieden werden.

Vorteilhaft ergeben die Summen aller Signaturen, also die Summe aller statischen Signaturen und die Summe aller dynami- schen Signaturen, jeweils einen korrekt codierten Wert gemäß der gewählten Codierung. Das vereinfacht die Berechnungen mit den Summenwerten und ermöglicht überdies weitere Kontrollen hinsichtlich von Bitfehlern und dgl. in den Signaturen.

Die Vorteile des Verfahrens sind insbesondere gegeben, wenn das Computerprogramm ein Automatisierungsprogramm einer in- dustriellen Automatisierungskomponente ist, und wenn die Kon- trolle zumindest einmal in einem Zyklus des Automatisierungs- programms, vorzugsweise zum Ende des Zyklus, ausgeführt wird. Zyklische Automatisierungsprogramme werden zum einen oft in sicherheitskritischen Bereichen eingesetzt, eignen sich ande- rerseits aber auch wegen ihrer zyklischen Ausführungsstruktur gut dazu, in ihrer Ausführung mittels der Signaturen der co- dierten Variablen kontrolliert zu werden. Dabei wird vorteil- haft als die Sicherung der Zugriffe mittels der Signaturände- rungen die vollständige Abarbeitung aller zur Abarbeitung vorgesehener Programmteile in einem jeweiligen Zyklus des Computerprogramms festgestellt. Das kann dadurch geschehen, dass die in der Tracer-Variablen codierte Summe der dynami- schen Signaturen mit einem Erwartungswert verglichen wird, wobei der Erwartungswert dem Produkt des Offsets mit der An- zahl der erwarteten Zugriffe auf die codierten Variablen ent- spricht.

Ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens wird nachfolgend anhand der Zeichnung erläutert. Es dient gleich- zeitig zur Erläuterung eines Ausführungsbeispiels einer er- findungsgemäßen Einrichtung und eines ebensolchen Computer- programmproduktes .

Dabei zeigt die einzige Figur die Sicherung einer Addition zu einer codierten Variablen.

Zur Kontrolle eines Programmlaufes werden im Stand der Tech- nik Laufvariablen, sog. Tracer-Variablen oder kurz "Tracer", eingesetzt, mit deren Inhalt der durchlaufene Programmpfad protokolliert und somit überprüft werden kann. Im vorliegen- den Beispiel wird die Tracer-Variable Tracer _c für die Kon- trolle der dynamischen Signaturen aller codierten Variablen eines Computerprogramms und die Zugriffe auf alle codierten Variablen des Computerprogramms verwendet. Das vorliegende Beispiel zeigt dazu die codierte Variable x _c .

Im vorliegenden Beispiel ist ohne Beschränkung der Allgemein- heit die Variable x _c nach einer Vorschrift ANBD-codiert in der Form: x _c := X _f *A + B _x + D _x codiert.

Dabei ist D _x ist die dynamische Signatur von x. D _x ändert sich in regelmäßigen oder unregelmäßigen Abständen, bei- spielsweise in jedem Zyklus eines Programms, oder zeitgesteu- ert. Die Änderung von D _x ist im Stand der Technik regelmäßig von außen vorgegeben, was bedeutet, dass die Änderung der dy- namischen Signatur im Stand der Technik asynchron zum Ablauf eines Computerprogramms, insbesondere eines Automatisierungs- programms, erfolgt. Im Stand der Technik ist die dynamische Signatur D _x während eines Zyklus regelmäßig konstant. Im vor- liegenden Ausführungsbeispiel ändert sich Dx jedoch bei jedem Zugriff (lesend oder schreibend) auf die codierte Variable xc; in anderen Varianten kann Dx sich beispielsweise nur bei schreibenden Zugriffen ändern. Dies bedeutet, dass anhand des Startwerts (Initialisierungswert o.ä.) von Dx und der bei je- dem Zugriff zur Änderung verwendeten Änderungswertes die An- zahl in einem Basisblock, also eines linear zu durchlaufenden Programmabschnittes eines Computerprogramms, Zugriffe aus dem aktuellen Dx errechnet und mit einem Erwartungswert vergli- chen werden kann, so dass die vollständige Abarbeitung eines Programmschrittes kontrolliert werden kann.

Erfindungsgemäß erfolgt nun die Vergabe der D-Signaturen so, dass die Summe aller Signaturen (B _x ; D _x ) immer einen korrekt codierten ANBD-kodierten Wert ergibt.

Es gilt also:

Es wird angenommen, dass zu jeder codierten Variablen in ei- ner separaten Variablen, Speicher, Register oder dafür reser- vierten Bitbereich der codierten Variablen die jeweils aktu- ell gültigen Werte der Signaturkonstanten Bx und Dx gespei- chert sind.

Die B-Signaturen sind konstant. Daher ist auch die Summe B _Su m- m _e konstant. Der Wert der Summe ist hierbei nicht von Bedeu- tung .

Diese Summe der dynamischen Signaturen D _Su mme wird mit einem kodierten Wert Tracer _c verglichen, dessen Signatur sich ent- weder nur um einen festen Wert von der Signatur der Summe un- terscheidet oder der die Signatur in kodierter Form korrekt speichert; die Varianten haben also die Form:

• Tracer _c = A*X + B _Tracer + D _Summ e oder • Tracer _c = A*D _summe + A ² *X + B _Tracer + D _Tracer

Der Wert von X hat in beiden Varianten für die erfinderische Idee keine Bedeutung. Er dient üblicher Weise dazu die Be- rechnung von Tracer _c zu vereinfachen. Mit ihm können auch zu- sätzliche Sicherheitsanforderungen erfüllt werden.

Erfindungsgemäß wird an einem Kontrollpunkt eines Computer- programms, beispielsweise am Ende eines Zyklus eines Automa- tisierungsprogramms, die Summe D _Su mme der D-Signaturen aller codierten Variablen errechet. D _Su mme wird zusätzlich diversi- tär aus dem Inhalt einer codierten Tracer-Variablen Tracer _c berechnet, wobei deren Wert bei jedem Zugriff auf xc, bei dem das zugehörige Dx geändert wird, in analoger weise geändert wird.

Ein hier betrachteter Basisblock besteht aus einer linearen Folge von Rechenschritten; im vorliegenden Beispiel aus der Figur ist auf der rechten Seite ein Basisblock gezeigt, der in codierter Arithmetik die Zahl „1" zu der codierten Variab- len xc addiert.

Jeder Rechenschritt eines Basisblocks hat eine feste Zahl von Zugriffen auf kodierte Werte. Daher ändert sich D _Su mme um ei- nen konstanten Wert. Daher ist auch die Änderung von D _Su mme für den gesamten Basisblock (in der Literatur auch als „Ba- sicblock" bezeichnet) konstant. Diese Änderung (evtl, mit A multipliziert) muss auch auf den Tracer, also die Tracer- Variable Tracer _c , addiert werden. Der Tracer wird damit so kodiert, dass er auf Korrektheit geprüft werden kann.

Im fehlerfreien Fall gilt, je nach gewählter Struktur der Tracer-Variablen :

• Tracer _c = A*X + B _Tracer + D _Summ e bzw. • Tracer _c = A*D _Sum e + A ² *X + B _Tracer + D _Tracer

Mit diesem Verfahren wird erreicht, dass nur noch Tracer _c mit den bisher üblichen Methoden abgesichert werden muss, also beispielsweise in codierter Form gespeichert und verarbeitet werden muss; bei geringeren Sicherheitsanforderungen kann Tracer _c auch uncodiert sein. Eine Aktion, die den Programm- lauf bzw. die Daten verändert, muss daher für die Absicherung nur für Tracer _c um eine feste Befehlsfolge ergänzt werden, damit die Anzahl der Zugriffe mit dem Erwartungswert konform bleibt. Bisher erfolgte die Ergänzung für jede betroffene ko- dierte Variable separat.

In einer vorteilhaften Variante erfolgt die Korrektur der D- Signaturen so, dass an einer klar definierten Stelle im Ba- sicblock (z.B. Ende des Basicblock) D _Su mme der ID des Ba- sicblock entspricht. Hierdurch ergibt sich eine einfache Prüfmöglichkeit. Da sich D _Su mme zyklisch wiederholt, ist diese Prüfung für höhere SIL (Sichrheitslevel) nicht geeignet.

Am Zyklus- oder Programmende erfolgt dann eine Konsistenzprü- fung mit 2 Kriterien:

1. Tracer _c ist korrekt kodiert und

Dabei wird davon ausgegangen, dass sich die B-Signatur ändern kann; bei der Konsistenzprüfung muss dann der letztgültige Wert für B, also B _TracerLast („letztgültiges B der Tracer- Variablen"), verwendet werden. Gleichfalls gilt in diesem Beispiel, das die D-Signatur in einem Zyklus konstant ist, daher wird hier D als D _zyk verwendet (D aus dem aktuellen Zyk- lus). Zur Vermeidung/Beherrschung von Überläufen kann der Wert der

Tracer-Variablen z.B. durch die Operation

Tracer _c := Tracer MOD A ² begrenzt werden, wenn

BfracerLast ^— D _zy k < A gilt.

Hinweis: Die übliche Art, die Signatur von kodierten Variab- len konsistent zu halten, ist die Addition einer Konstanten in leeren Pfaden von Verzweigungen bzw. Schleifen. Wenn dies ausschließlich für Tracer _c durchgeführt wird, dann bleibt die Komplexität der kodierten Verarbeitung linear zum Standard.

Die Absicherung der Berechnung von Tracer _c ist dabei von un- tergeordneter Bedeutung. Für niedrige Sicherheitslevel kann evtl, auf eine Absicherung verzichtet werden.

In der Figur ist Ablauf der kodierten Operation zu Xf := Xf+1 dargestellt.

Dabei ist im linken Teil der Figur der Einfluss der Additi- onsoperation auf die Tracer-Variable Tracer _c gezeigt, während im rechten Teil der Figur die Addition von 1 auf die Variable x _c im codierten Raum dargestellt ist.

Die Variable x _c ist definiert als codierte Variable, wobei die nicht codierte Variable Xfi bzw. deren Wert mit der Sys- temvariablen A multipliziert ist. Zusätzlich addieren sich zum Wert der kodierten Variablen x _c die Signaturen B _x und D _x .

Der zur Addition vorgesehene Wert 1 wird auch kodiert verar- beitet mit der codierten Operation + _c ; der codierte Wert l _c besteht ebenfalls aus der Systemkonstanten A multipliziert mit 1, einer Signatur BAD _D (statische Signatur) und der dyna- mischen Signatur D _x .

In diesem Beispiel ergibt sich die neue dynamische Signatur D _x aus der bisherigen dynamischen Signatur D _x plus BAD _D . Diese neue dynamische Signatur D _x wird zugeordnet zu der Variablen X _c im System gespeichert. In einer alternativen (jedoch weni- ger sicheren) Ausführungsform können alle codierten Variablen im System die gleiche dynamische Signatur D _x aufweisen.

Auf der linken Seite der Figur ist analog zu dem rechts dar- gestellten Additionsvorgang (Inkrement um 1) die Behandlung der kodierten Tracer-Variablen Tracer _c dargestellt. In der kodierten Tracer-Variablen Tracer _c findet sich die Summe al- ler bisherigen dynamischen Signaturen D _x in codierter Form, wobei durch die Modulo-A-Operation MOD A dafür gesorgt wird, dass durch die Summierung kein Überlauf stattfinden kann. Weiter umfasst die Tracer-Variable Tracer _c eine eigene stati- sche Signatur B _Traceri und die dynamische Signatur D _Zykius (kurz: D _zy k), wobei hier davon ausgegangen wird, dass in der System- variablen D _Zy kius stets die derzeitige dynamische Signatur der Tracer-Variablen Tracer _c gehalten wird.

In der zweiten Zeile der Figur ist nun die Erweiterung der Tracer-Variablen Tracer _c durch den Additionsvorgang gezeigt. Neben dem bisherigen Wert von Tracer _c wird zunächst A mal BAD _D addiert, weil in der kodierten Tracer-Variablen Tracer _c der „Nutzinhalt" (Summe der D _x ) mit der Systemvariablen A multi- pliziert gehalten wird. Zudem wird die bisherige statische Signatur B _Traceri der Tracer-Variablen Tracer _c abgezogen und eine neue, aktuelle statische Signatur B _Tracer 2 zum Wert der Tracer-Variablen Tracer _c addiert. Man sieht, dass in diesem Beispiel davon ausgegangen wird, dass die Tracer-Variable Tracer _c anstelle einer „herkömmlichen" statischen Signatur B eine sich ebenfalls ändernde „quasi-statische" Signatur BTraceri bzw. B _Tracer2 aufweist. Dies ist von Vorteil, weil zwar die übrigen kodierten Variablen im System nunmehr erfindungsgemäß über eine dynamische Signatur D _x verfügen, aber gerade die dynamische Signatur D _Zykius der Tracer-Variablen eben nicht mit dem Verfahren der Erfindung abgesichert werden kann. Aus die- sem Grund ist hier vorteilhaft aus der bislang absolut stati- schen Signatur B _Traceri eine sich ändernde, quasi-statische Signatur gemacht worden. In anderen Ausführungsbeispielen, insbesondere solchen, die einen niedrigeren SIL (Security In- tegrity Level - Sicherheitsstufe) benötigen, kann auf eine solche Dynamisierung der statischen Signatur der Tracer- Variablen Tracer _c auch verzichtet werden.

In der dritten, untersten Zeile der Figur ist der Kontroll- schritt in der Auswertung der Tracer-Variablen Tracer _c ge- zeigt. Dabei ist in der oberen Zeile der Vergleichsoperation („Modulo-Vergleich") gezeigt, wie der Wert der Tracer- Variablen Tracer _c dekodiert wird; dies entspricht dem Verfah- ren aus dem Stand der Technik. Das Ergebnis muss „modulo-" identisch sein zu dem Ergebnis der in der zweiten Zeile ge- zeigten Rechenoperationen. Dabei wird ein sogenannter Modulo- Vergleich zu der Summe der dynamischen Signaturen aller ko- dierten Variablen im System durchgeführt, wobei das Summen- Ergebnis zunächst mit einer Modulo A Operation verarbeitet wird, um den Effekt etwaiger Überlaufe über den Zahlenwert der Systemkonstanten A zu eliminieren. Für den Fall, für den die Vergleichsoperation nicht erfüllt ist, kann angenommen werden, dass ein Fehler vorliegt. In einem solchen Fall kön- nen verschiedene Maßnahmen vorgesehen sein, beispielsweise die Ausgabe einer Fehlermeldung oder die Verwendung von si- cheren Ersatzwerten für Systemparameter oder dergleichen.

Die in der Tracer-Variablen Tracer _c gehaltene Summe der dyna- mischen Signaturen D _x ist gleichzeitig ein Maß für die Anzahl der Zugriffe auf die kodierten Variablen. Zumindest für Ba- sisblöcke, also lineare Programmstrukturen, steht jeweils die Anzahl der Zugriffe auf codierte Variablen in einem Programm- zyklus fest. Diese Anzahl kann als ein Erwartungswert verwen- det werden, dessen Vergleich mit dem Inhalt der kodierten Tracer-Variablen Tracer _c Auskunft darüber gibt, ob der Pro- grammcode in vorgeschriebener Weise abgearbeitet wurde. Na- türlich muss der Wert der Tracer-Variablen dazu dekodiert werden (Zeile 1) und das Ergebnis durch BAD _D oder einen ande- ren regelmäßigen Offset dividiert werden; alternativ kann der Erwartungswert aus nicht die Anzahl der erwarteten Zugriffe sein, sondern der erwartete Summen-Signaturwert £D _X oder Im Falle einer Diskrepanz kann ebenfalls eine Fehlerbehandlung erfolgen, wie bereits an dem Fall disku- tiert, in dem es eine Diskrepanz in den dynamischen Signatu- ren als solche geben sollte.