DE102010022066A1 - Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal - Google Patents

Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal Download PDF

Info

Publication number
DE102010022066A1
DE102010022066A1 DE102010022066A DE102010022066A DE102010022066A1 DE 102010022066 A1 DE102010022066 A1 DE 102010022066A1 DE 102010022066 A DE102010022066 A DE 102010022066A DE 102010022066 A DE102010022066 A DE 102010022066A DE 102010022066 A1 DE102010022066 A1 DE 102010022066A1
Authority
DE
Germany
Prior art keywords
safety
relevance
transmission paths
technical
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102010022066A
Other languages
German (de)
Inventor
Matthias Grimm
Dr.-Ing. Meyer zu Hörste Michael
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsches Zentrum fuer Luft und Raumfahrt eV
Original Assignee
Deutsches Zentrum fuer Luft und Raumfahrt eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsches Zentrum fuer Luft und Raumfahrt eV filed Critical Deutsches Zentrum fuer Luft und Raumfahrt eV
Priority to DE102010022066A priority Critical patent/DE102010022066A1/en
Publication of DE102010022066A1 publication Critical patent/DE102010022066A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

The method involves examining the safety relevance of outgoing signals of technical function units (11-13) and storing safety relevance data for outgoing signals. The transmission paths (U11-U13) on which the outgoing signal is transferred are identified, and the outgoing signal is assigned to the identified transmission paths. The safety relevance of the identified transmission paths is determined based on the stored safety relevance data corresponding to assigned outgoing signal. The safety of the identified transmission path is tested based on the determined safety relevance. An independent claim is included for device for testing of safety of transmission paths within technical device.

Description

Die Erfindung betrifft ein Verfahren zur Untersuchung der Sicherheit der Übertragungswege innerhalb einer technischen Einrichtung, die eine Vielzahl von technischen Funktionseinheiten aufweist, die miteinander zwecks Austausch von Informationen vernetzt sind und Informationen mit mindestens einer für die technische Funktionseinheit spezifizierten Funktionen verarbeiten.The invention relates to a method for investigating the security of the transmission paths within a technical device having a plurality of technical functional units, which are networked together for the purpose of exchanging information and process information with at least one specified for the technical functional unit functions.

Die Erfindung betrifft auch eine Einrichtung zur Durchführung des Verfahrens hierzu.The invention also relates to a device for carrying out the method for this purpose.

Stand der TechnikState of the art

Moderne komplexe Einrichtungen, wie verfahrenstechnische Anlagen, Kraftfahrzeuge, programmierbare Steuerungen, informationstechnische Anlagen und Eisenbahnfahrzeuge weisen durch das Zusammenspiel miteinander vernetzter Funktionseinheiten ein nicht unerhebliches Risikopotential auf. Bei der Konstruktion und im Betrieb solcher technischer Einrichtungen ist es daher notwendig, das potentielle Risiko für Personen, Umwelt und Sachwerte bei Ausfallen und Fehlerfunktion anhand einer technischen Risikoanalyse zu bewerten. In Abhängigkeit vom resultierenden Risiko sind dann Maßnahmen zur Risikoreduzierung durch Fehlervermeidung, Fehlererkennung und Fehlerbeherrschung abzuleiten, beziehungsweise durch „Redesign” der entsprechenden technischen Einrichtung sicherzustellen, dass ein potentielles Risiko minimiert wird. Damit soll sichergestellt werden, dass Anlagen und Maschinen sicher betrieben werden können.Modern complex facilities, such as process systems, motor vehicles, programmable controllers, information technology systems and railway vehicles have the interaction of networked functional units to a considerable risk potential. In the design and operation of such technical facilities, it is therefore necessary to assess the potential risk to persons, the environment and property in the event of failure and fault function by means of a technical risk analysis. Depending on the resulting risk, measures for risk reduction by error prevention, error detection and error control are derived, or by "redesigning" the corresponding technical device to ensure that a potential risk is minimized. This is to ensure that systems and machines can be operated safely.

In dem internationalen Standard IEC 61508 sind allgemeine Vorgaben für die Vermeidung und Beherrschung von Ausfällen in elektrischen, elektronischen oder programmierbaren elektronischen Geräten enthalten. Die Norm gibt organisatorische und technische Anforderungen sowohl für die Geräteentwicklung als auch für den Gerätebetrieb vor. Für Anlagen und risikoreduzierende Maßnahmen sind vier Sicherheitsstufen (Safety Integrity Level-SIL) mit SIL I für ein geringes Risiko bis SIL IV für ein sehr hohes Risiko definiert. Je höher das Risiko beziehungsweise der Sicherheitsintegritätslevel SIL ist, umso zuverlässiger müssen die Maßnahmen zur Risikoreduzierung durchgeführt werden. Im gleichen Maße steigen die Anforderungen an die in der technischen Einrichtung verwendeten Systemkomponenten.In the international Standard IEC 61508 are general requirements for the prevention and control of failures in electrical, electronic or programmable electronic devices. The standard specifies organizational and technical requirements for both device development and device operation. For systems and risk-reducing measures, four safety levels (SIL) with SIL I for a low risk up to SIL IV for a very high risk are defined. The higher the risk or the safety integrity level SIL, the more reliably the risk reduction measures must be carried out. To the same extent, the demands on the system components used in the technical equipment are increasing.

Zur Beurteilung der funktionalen Sicherheit als Teil der Gesamtanlagensicherheit, der von der konkreten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt, sind auf Nachweise gestützte Untersuchungen vorgeschrieben, die sicherstellen, dass die funktionale Sicherheit erreicht wurde. Bei einem funktional sicheren System müssen die Funktionseinheiten ihre bestimmungsgemäße Funktion unter definierten Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausführen.To assess functional safety as part of overall plant safety, which depends on the specific function of safety-related risk reduction systems, evidence-based testing is required to ensure that functional safety has been achieved. In a functionally safe system, the functional units must perform their intended function under defined error conditions and with a defined high probability.

So ist beispielsweise aus der DE 10 2005 040 977 A1 beziehungsweise EP 1 760 558 A1 ein Verfahren bekannt, mit dem die Beurteilung der funktionalen Sicherheit als Teil der Gesamtanlagensicherheit von komplexen technischen Einrichtungen sicher durchgeführt werden kann. Dazu wird dort vorgeschlagen, dass die Sicherheitsrelevanz eingehender Informationen hinsichtlich ihrer verarbeitenden oder erzeugenden Funktion untersucht wird und diese so ermittelte Sicherheitsrelevanz der eingehenden Informationen in eine Funktionseinheit dann auch die ausgehende Information der vorherigen Informationseinheit übertragen wird, so dass sich so rekursiv die Sicherheitsrelevanz der gesamten Anlage ermitteln lässt. Als Ergebnis lassen sich dann entsprechende Risikomaßnahmen für die technische Einrichtung ableiten.For example, from the DE 10 2005 040 977 A1 respectively EP 1 760 558 A1 a method is known with which the assessment of functional safety as part of the overall plant safety of complex technical equipment can be safely carried out. For this purpose, it is proposed that the security relevance of incoming information is examined in terms of their processing or generating function and this determined safety relevance of the incoming information in a functional unit then the outgoing information of the previous information unit is transferred so that so recursively the safety relevance of the entire system can be determined. As a result, appropriate risk measures for the technical equipment can then be derived.

Des Weiteren ist in Matthias Grimm, Michael Meyer zu Hörste, Stefanie Schwarz, Karsten Lemmer: „Methodischer Ansatz für die Sicherheitsbetrachtung von Eisenbahnsystemen am Beispiel eines Bahnüberganges”, in: ZILINA (SK), 24. bis 25. Mai 2005 ZEL. 2005, 12. internationales Symposium ein Verfahren zur Identifikation sicherheitsrelevanter Funktionen und Teilsysteme beschrieben, das beispielsweise bei dem Entwurf und Betrieb von Eisenbahnanlagen eingesetzt werden kann. Bei dem Verfahren wird das Gesamtsystem in Teilsysteme zerlegt, die funktionale Einheiten für das Gesamtsystem bilden. Dabei wird die Kommunikation der Teilsysteme untereinander sowie die nach außen sichtbaren Aktionen untersucht. Anschließend werden die Sicherheitsanforderungen an die Teilsysteme bewertet und eine Analyse der sicherheitsrelevanten Teilsysteme durchgeführt. Nach einer Analyse der Sicherheit von den softwareausgeführten Teilsystemen erfolgt eine Klassifizierung des Sicherheitsniveaus.Furthermore, in Matthias Grimm, Michael Meyer zu Hörste, Stefanie Schwarz, Karsten Lemmer: "Methodical Approach for the Safety Consideration of Railway Systems Using the Example of a Railroad Crossing", in: ZILINA (SK), 24 to 25 May 2005 ZEL. 2005, 12th International Symposium a method for the identification of safety-related functions and subsystems described, which can be used for example in the design and operation of railway facilities. In the method, the entire system is decomposed into subsystems that form functional units for the entire system. The communication of the subsystems with each other as well as the externally visible actions are examined. Subsequently, the safety requirements for the subsystems are assessed and an analysis of the safety-relevant subsystems is carried out. After an analysis of the security of the software-executed subsystems, a classification of the security level takes place.

Bei diesen aus dem Stand der Technik bekannten Verfahren zur Beurteilung der funktionalen Sicherheit technischer Einrichtungen werden lediglich die Informationen berücksichtigt, die mit Hilfe der in den technischen Funktionseinheiten spezifizierten Funktionen erzeugt beziehungsweise verarbeitet werden. Eine Beurteilung hinsichtlich der Übertragungsmittel, mit denen diese Informationen dann von einer technischen Funktionseinheit zu einer nächsten technischen Funktionseinheit übertragen werden, ist nicht Bestandteil dieser Betrachtung. Da jedoch heutige technische Einrichtungen einen hohen Grad an Komplexität aufweisen und die Menge an Informationen, die die Vielzahl von technischen Funktionseinheiten gegenseitig austauschen enorm groß ist, stellt sich hier die Anforderung der Beurteilung der Sicherheit dieser Übertragungswege, auf denen die Informationen mittels technisch verarbeitbarer Signale ausgetauscht werden.In these methods known from the prior art for assessing the functional safety of technical equipment, only the information which is generated or processed with the aid of the functions specified in the technical functional units is considered. An assessment as to the means of transmission with which this information is then transferred from a technical Function unit to be transferred to a next technical functional unit is not part of this consideration. However, since today's technical facilities have a high degree of complexity and the amount of information exchanging the plurality of technical functional units is extremely large, here is the requirement of assessing the security of these transmission paths on which the information is exchanged by means of technically processable signals become.

Aufgabetask

Es ist daher Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren bereitzustellen, mit dem auch eine Sicherheitsbewertung der Übertragungswege in vernetzten technischen Einrichtungen durchgeführt werden kann.It is therefore an object of the present invention to provide an improved method, with which a safety assessment of the transmission paths in networked technical facilities can be performed.

Lösungsolution

Diese Aufgabe wird mit dem Verfahren der eingangs genannten Art erfindungsgemäß gelöst durch die Schritte:

  • a) Untersuchen der Sicherheitsrelevanz von ausgehenden Signalen mindestens einer technischen Funktionseinheit und Abspeichern von Sicherheitsrelevanzdaten für die ausgehenden Signale in Abhängigkeit ihrer Sicherheitsrelevanz,
  • b) Identifizieren von Übertragungswegen innerhalb der technischen Einrichtung und Zuordnen der ausgehenden Signale zu den betreffenden Übertragungswegen, mittels derer die ausgehenden Signale an andere technische Funktionseinheiten übertragen werden,
  • c) Ermitteln der Sicherheitsrelevanz der identifizierten Übertragungswege in Abhängigkeit der Sicherheitsrelevanzdaten der dem jeweiligen Übertragungsweg zugeordneten Signale, und
  • d) Untersuchen der Sicherheit der Übertragungswege in Abhängigkeit der ermittelten Sicherheitsrelevanz des jeweiligen Übertragungsweges.
This object is achieved by the method of the type mentioned in the present invention by the steps:
  • a) examining the safety relevance of outgoing signals of at least one technical functional unit and storing safety relevance data for the outgoing signals depending on their safety relevance,
  • b) identifying transmission paths within the technical device and assigning the outgoing signals to the respective transmission paths, by means of which the outgoing signals are transmitted to other technical functional units,
  • c) determining the security relevance of the identified transmission paths as a function of the security relevance data of the signals assigned to the respective transmission path, and
  • d) Examination of the security of the transmission paths depending on the ascertained security relevance of the respective transmission path.

Der Erfindung liegt die Idee zugrunde, dass ausgehend von der Sicherheitsrelevanz ausgehender Signale die Sicherheitsrelevanz des zugehörigen Übertragungsweges beurteilt wird, um so feststellen zu können, ob der Übertragungsweg hinsichtlich seiner Signale, die auf ihn übertragen werden sollen, der notwendigen Sicherheitsanforderungen genügt oder nicht. Mit anderen Worten, es wird die Sicherheitsrelevanz der Übertragungswege in Bezug auf die auf den jeweiligen Übertragungsweg ausgesendeten Signale untersucht.The invention is based on the idea that, starting from the safety relevance of outgoing signals, the safety relevance of the associated transmission path is assessed in order to be able to determine whether or not the transmission path satisfies the necessary safety requirements with regard to its signals to be transmitted to it. In other words, the security relevance of the transmission paths with respect to the signals transmitted on the respective transmission path is examined.

Dazu wird zunächst die Sicherheitsrelevanz der ausgehenden Signale mindestens einer technischen Funktionseinheit untersucht, wobei geeignete Sicherheitsrelevanzdaten, die mit der untersuchten Sicherheitsrelevanz im Zusammenhang stehen, für die ausgehenden Signale abgespeichert werden. Solche Sicherheitsrelevanzdaten können beispielsweise das definierte Sicherheitsintegritätslevel (Safety Integrity Level-SIL) oder Sicherheitsanforderungsklassen (AK) sein. Ausgehend von diesen Signalen werden dann die entsprechenden Übertragungswege innerhalb der technischen Einrichtung identifiziert, auf denen die Signale an andere technische Funktionseinheiten übertragen werden sollen. Jedem so identifizierten Übertragungsweg werden dann eine oder mehrere den Übertragungsweg betreffende Signale zugeordnet, so dass sich für jeden Übertragungsweg feststellen lässt, welche Signale auf den jeweiligen Übertragungsweg übertragen werden sollen. Anschließend wird die Sicherheitsrelevanz jedes so identifizierten Übertragungsweges ermittelt, indem die Sicherheitsrelevanzdaten der den jeweiligen Übertragungsweg zugeordneten ausgehenden Signale untersucht wird. In Abhängigkeit dieser Sicherheitsrelevanzdaten der entsprechenden ausgehenden Signale lässt sich dann die Sicherheitsrelevanz des jeweiligen Übertragungsweges ermitteln. Auf dieser Basis lässt sich nun die Sicherheit der Übertragungswege in Abhängigkeit der ermittelten Sicherheitsrelevanz des jeweiligen Übertragungsweges untersuchen. Diese Untersuchung kann beispielsweise derart erfolgen, dass die Art des Übertragungsweges (beispielsweise CAN-Bus) in Verbindung mit der Sicherheitsrelevanz des identifizierten Übertragungsweges untersucht wird, so dass sich beispielsweise feststellen lässt, ob die Art des Übertragungsweges der ermittelten Sicherheitsrelevanz dieses Übertragungsweges entspricht. Dadurch kann verhindert werden, dass in technischen Einrichtungen Übertragungswege eingesetzt werden, die den Sicherheitsanforderungen der auf diesen Übertragungsweg zu übertragenden Signale nicht entspricht.For this purpose, the safety relevance of the outgoing signals of at least one technical functional unit is first of all examined, suitable safety relevance data which are related to the examined safety relevance being stored for the outgoing signals. Such safety relevance data can be, for example, the defined safety integrity level (Safety Integrity Level-SIL) or safety requirement classes (AK). Based on these signals, the corresponding transmission paths within the technical device are then identified, on which the signals are to be transmitted to other technical functional units. Each thus identified transmission path then one or more signals relating to the transmission path are assigned, so that it can be determined for each transmission path, which signals are to be transmitted to the respective transmission path. Subsequently, the safety relevance of each so identified transmission path is determined by the security relevance data of the respective transmission path associated outgoing signals is examined. Depending on this security relevance data of the corresponding outgoing signals, the security relevance of the respective transmission path can then be determined. On this basis, the security of the transmission paths can now be examined as a function of the ascertained safety relevance of the respective transmission path. This investigation can be carried out, for example, such that the type of transmission path (for example CAN bus) is examined in conjunction with the security relevance of the identified transmission path, so that it can be determined, for example, whether the type of transmission path corresponds to the determined security relevance of this transmission path. As a result, transmission paths can be prevented from being used in technical facilities that do not meet the security requirements of the signals to be transmitted on this transmission path.

Um bei einer großen technischen Einrichtung, wie beispielsweise einem Eisenbahn-Triebfahrzeug, das eine sehr große Anzahl von technischen Funktionseinheiten aufweist und somit eine erhebliche Vernetzungskomplexität hat, ist es besonders vorteilhaft, wenn zunächst die einzelnen Funktionseinheiten hinsichtlich ihrer Sicherheitsrelevanz beurteilt werden, um bereits im Vorfeld jene Funktionseinheiten ausschließen zu können, die keine Sicherheitsrelevanz haben und denen beispielsweise das SIL-Level 0 zugeordnet wurde. Erst wenn die Funktion einer technischen Funktionseinheit selber sicherheitsrelevant ist, so werden es auch die ausgehenden Signale dieser technischen Funktionseinheit, so dass nur diese ausgehenden Signale in die Betrachtung der Sicherheitsrelevanz ihrer Übertragungswege miteinbezogen werden brauchen. Somit lässt sich die Komplexität der Vernetzung und die Anzahl der zu untersuchenden Signale reduzieren, ohne dass Risikopotential zu erhöhen.In order for a large technical device, such as a railway locomotive, which has a very large number of technical functional units and thus has a considerable networking complexity, it is particularly advantageous if first the individual functional units are assessed in terms of their safety relevance, in advance to exclude those functional units that have no safety relevance and to which, for example, the SIL level 0 has been assigned. Only when the function of a technical functional unit itself is relevant to safety, it will be the outgoing signals of this technical functional unit, so that only these outgoing signals need to be included in the consideration of the safety relevance of their transmission paths. Thus, the complexity of networking and the number of signals to be examined can be reduced without increasing the risk potential.

Vorteilhafterweise wird die Sicherheitsrelevanz eines ausgehenden Signals in Bezug zu der spezifizierten Funktion der technischen Funktionseinheit, die das entsprechende Signal aussendet, untersucht. Denn ist die spezifizierte Funktion der technischen Funktionseinheit selber sicherheitsrelevant, so ist es auch das ausgehende Signal, da dieses Signal als Eingang einer weiteren technischen Funktionseinheit dient, die von dem ausgesendeten Signal abhängig ist. Dementsprechend kann von der Sicherheitsrelevanz der spezifizierten Funktion einer technischen Funktionseinheit auf die Sicherheitsrelevanz des entsprechenden Signals geschlossen werden.Advantageously, the security relevance of an outgoing signal is examined in relation to the specified function of the technical functional unit which transmits the corresponding signal. For if the specified function of the technical functional unit itself is safety-relevant, then it is also the outgoing signal, since this signal serves as the input of another technical functional unit, which depends on the emitted signal. Accordingly, from the safety relevance of the specified function of a technical functional unit on the safety relevance of the corresponding signal can be concluded.

Des Weiteren ist es in diesem Zusammenhang ganz besonders vorteilhaft, wenn die Sicherheitsrelevanz des ausgehenden Signals anhand der Informationen, die von der technischen Funktionseinheit verarbeitet, beziehungsweise erzeugt werden, beurteilt wird. Denn handelt es sich bei der erzeugten oder verarbeiteten Information selber um eine sicherheitsrelevante Information in Bezug auf die technische Einrichtung, so ist auch das ausgehende Signal, welches diese Information über einen Übertragungsweg an eine andere technische Funktionseinheit überträgt, ebenfalls sicherheitsrelevant.Furthermore, it is particularly advantageous in this context if the security relevance of the outgoing signal is assessed on the basis of the information processed or generated by the technical functional unit. For if the information generated or processed itself is security-relevant information with regard to the technical device, then the outgoing signal, which transmits this information over a transmission path to another technical functional unit, is also security-relevant.

Bei großen technischen Einrichtungen mit einer Vielzahl von technischen Funktionseinheiten, die untereinander vernetzt sind, kommt es nicht selten vor, dass die einzelnen technischen Funktionseinheiten eine Vielzahl von spezifizierten Funktionen derart abbilden, dass eine technische Funktionseinheit in eine oder mehrere Sub-Funktionen beziehungsweise Sub-Funktionseinheiten unterteilt werden kann. Ist die technische Funktionseinheit in ihrer Gesamtheit sicherheitsrelevant, so muss dementsprechend auch überprüft werden, ob die Übertragungswege innerhalb der technischen Funktionseinheit, wie beispielsweise eine Blackbox mit Ein- und Ausgängen sein kann, ebenfalls sicherheitsrelevant sind und auf diese Übertragungswege der oder den entsprechenden Sicherheitsrelevanzanforderungen entspricht.In large technical facilities with a variety of technical functional units that are networked with each other, it is not uncommon that the individual technical functional units represent a variety of specified functions such that a technical functional unit in one or more sub-functions or sub-functional units can be divided. If the technical functional unit in its entirety is relevant to safety, it must accordingly also be checked whether the transmission paths within the technical functional unit, such as a black box with inputs and outputs, are also security-relevant and corresponds to these transmission paths of the corresponding safety relevance requirements.

Dazu wird die technische Funktionseinheit in die entsprechenden Sub-Funktionseinheiten unterteilt und ihre Übertragungswege nach dem vorangegangenen Verfahren entsprechend hinsichtlich ihrer Sicherheitsrelevanz untersucht.For this purpose, the technical functional unit is subdivided into the corresponding sub-functional units and their transmission paths are examined according to the previous method with regard to their safety relevance.

Wird eine solche technische Einrichtung nun mit Hilfe des Verfahrens hinsichtlich der Übertragungswege untersucht, so kann beispielsweise festgestellt werden, ob die Übertragungswege den Sicherheitsanforderungen der auf ihnen übertragenen Signale entspricht. In Abhängigkeit dieser Untersuchung können dann beispielsweise die Übertragungswege optimiert werden, wenn beispielsweise festgestellt wurde, das ein hoch sicherheitsrelevanter Übertragungsweg zur Verbindung zweier Funktionseinheiten verwendet wird, auf denen jedoch keinerlei sicherheitsrelevante Signale übertragen werden. Auch kann eine quantitive Überprüfung erfolgen, indem beispielsweise festgestellt wird, dass 100 übertragene Signalen lediglich 1% der übertragenden Signale sicherheitsrelevant sind. In einem solchen Falle ist dann überlegungswert, dieses eine sicherheitsrelevante Signal über einen anderen Übertragungsweg umzuleiten und den Übertragungsweg für die restlichen 99 Signale kostengünstiger zu gestalten. Letztendlich lässt sich mit dem vorgenannten Verfahren auch feststellen, ob die Anlage hinsichtlich ihrer Übertragungswege den entsprechenden Sicherheitsanforderungen entspricht, so wie es bereits bei der funktionalen Betrachtung der technischen Einrichtungen erfolgt.If such a technical device is now examined by means of the method with regard to the transmission paths, it can be determined, for example, whether the transmission paths correspond to the safety requirements of the signals transmitted on them. Depending on this investigation, the transmission paths can then be optimized, for example, if it has been determined, for example, that a highly security-relevant transmission path is used to connect two functional units, but on which no security-relevant signals are transmitted. It is also possible to carry out a quantitative check, for example by determining that 100 transmitted signals are safety-relevant for only 1% of the transmitted signals. In such a case, it is then worth considering redirecting this one security-relevant signal over another transmission path and making the transmission path for the remaining 99 signals more cost-effective. Ultimately, it can also be determined with the aforementioned method, whether the system in terms of their transmission paths to the appropriate safety requirements, as it already takes place in the functional consideration of technical equipment.

Darüber hinaus betrifft die Erfindung ebenfalls eine Einrichtung zur Untersuchung der Sicherheit von Übertragungswegen innerhalb einer technischen Einrichtung, wobei die Einrichtung eine Bewertungseinheit und einen Datenspeicher aufweist, wobei die Bewertungseinheit zur Durchführung des vorgenannten Verfahrens eingerichtet ist.Moreover, the invention also relates to a device for investigating the security of transmission paths within a technical device, wherein the device has a rating unit and a data memory, wherein the rating unit is set up to carry out the aforementioned method.

Ausführungsbeispieleembodiments

Die vorliegende Erfindung wird anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen:The present invention will be described by way of example with reference to the accompanying drawings. Show it:

1 – schematische Darstellung einer technischen Einrichtung und den Funktionseinheiten; 1 - Schematic representation of a technical device and the functional units;

2 – schematische Darstellung einer technischen Funktionseinheit mit Subfunktionen; 2 - Schematic representation of a technical functional unit with sub-functions;

3 – Ablaufdiagramm der Analyse; 3 - flowchart of the analysis;

4 – schematische Darstellung einer nicht optimalen Vernetzung. 4 - Schematic representation of a non-optimal networking.

1 zeigt eine schematische Darstellung einer technischen Einrichtung 1, die drei technische Funktionseinheiten 11, 12 und 13 aufweist. Die technischen Funktionseinheiten 11, 12 und 13 sind mittels entsprechender Übertragungswege Ü11, Ü12 und Ü13 untereinander vernetzt und derart eingerichtet, dass sie empfangene Informationen verarbeiten beziehungsweise neue Informationen erzeugen. 1 shows a schematic representation of a technical device 1 , the three technical functional units 11 . 12 and 13 having. The technical functional units 11 . 12 and 13 are networked by means of appropriate transmission paths Ü11, Ü12 and Ü13 and set up such that they process received information or generate new information.

So werden beispielsweise von der technischen Funktionseinheit 11 Informationen erzeugt, die dann mittels entsprechender Signale auf dem Übertragungsweg Ü11 an die technische Funktionseinheit 12 übertragen werden sollen. In der technischen Funktionseinheit 12 werden dann die Signale vom Übertragungsweg Ü11 empfangen und entsprechend weiterverarbeitet, so dass sie an die technische Funktionseinheit 13 über den Übertragungsweg Ü12 gesendet werden können.For example, the technical functional unit 11 Information generated, which then by means of appropriate signals on the transmission path Ü11 to the technical functional unit 12 to be transferred. In the technical functional unit 12 Then, the signals from the transmission Ü11 received and further processed accordingly, so that they to the technical unit 13 can be sent over the transmission path Ü12.

Der vorliegenden Erfindung liegt somit die Idee zugrunde, nicht nur die funktionale Sicherheit der technischen Funktionseinheiten 11, 12 und 13 auf die Sicherheitsrelevanz hin zu überprüfen und somit die Sicherheitsrelevanz der gesamten technischen Einrichtung 1 abzuleiten, sondern die Sicherheitsrelevanz der einzelnen Übertragungswege Ü11, Ü12 und Ü13 hinsichtlich ihrer Sicherheitsrelevanz zu überprüfen und somit festzustellen, ob auch hinsichtlich dieser Anforderung die technische Einrichtung den jeweiligen Sicherheitsrelevanzanforderungen entspricht.The present invention is thus based on the idea, not only the functional safety of the technical functional units 11 . 12 and 13 to check the safety relevance and thus the safety relevance of the entire technical equipment 1 but to check the safety relevance of the individual transmission paths Ü11, Ü12 and Ü13 with regard to their safety relevance and thus to determine whether the technical equipment also meets the relevant safety relevance requirements with respect to this requirement.

2 zeigt die schematische Darstellung einer technischen Funktionseinheitseinheit 11, wie sie in der 1 dargestellt ist, mit ihren Subfunktionen. Denn häufig lassen sich die technischen Funktionseinheiten einer technischen Einrichtung ebenfalls wieder in ihre entsprechenden Subfunktionen unterteilen, so dass auch hier ein detaillierte Betrachtungsweise der Übertragungswege an den Tag gelegt werden muss. Die technische Funktionseinheit 11 weist dementsprechend einen Eingang auf, an dem der Übertragungsweg Ü13 angeschlossen wird. Wie aus der 1 bekannt, wird über den Übertragungsweg Ü13 ein Signal von der technischen Funktionseinheit 13 an die technische Funktionseinheit 11 übertragen. In Abhängigkeit der über den Übertragungsweg Ü13 empfangenen Signale werden dann entsprechende Funktionen aufgerufen, die die Information weiterverarbeiten und schließlich auf den Übertragungsweg Ü11 ausgebeten, damit die Informationen an die technische Funktionseinheit 12 weitergeleitet werden kann. 2 shows the schematic representation of a technical functional unit unit 11 as they are in the 1 is shown with their sub-functions. Because often the technical functional units of a technical device can also be divided back into their corresponding sub-functions, so that here too a detailed view of the transmission paths must be displayed. The technical functional unit 11 Accordingly, has an input to which the transmission path U13 is connected. Like from the 1 is known, via the transmission path Ü13 a signal from the technical functional unit 13 to the technical functional unit 11 transfer. Depending on the signals received via the transmission path U13, corresponding functions are then called, which further process the information and finally transmit it to the transmission path U11, thus transmitting the information to the technical functional unit 12 can be forwarded.

Hierfür weist die technische Funktionseinheit 11 drei Subfunktionseinheiten 21, 22 und 23, die über entsprechende Übertragungswege miteinander vernetzt sind. Beispielhaft sei hier angenommen, dass die Übertragungswege Ü13 und Ü11 Bussysteme sind, während die Übertragungswege innerhalb der technischen Funktionseinheit 11, die die jeweiligen Subfunktionseinheiten 21 bis 23 miteinander vernetzen (dargestellt als schmale Pfeile) einfache Verdrahtungen sind.This is indicated by the technical functional unit 11 three subfunction units 21 . 22 and 23 , which are networked via appropriate transmission paths. By way of example, it is assumed here that the transmission paths U13 and U11 are bus systems, while the transmission paths within the technical functional unit 11 containing the respective subfunction units 21 to 23 network with each other (shown as narrow arrows) are simple wirings.

Angenommen, über den Übertragungsweg Ü13 werden ausschließlich sicherheitsrelevante Signale übertragen, so muss die interne Verkabelung derart ausgelegt sein, dass von dem Eingang des Übertragungsweges Ü13 hin zu der Subfunktionseinheit 23 der Übertragungsweg ebenfalls sicherheitsrelevant ausgelegt ist. Wird bei einer eingehenden Untersuchung festgestellt, dass die Übertragung der Signale zwischen der Subfunktionseinheit 23 und 21 nicht sicherheitsrelevant ist, so kann hier auf eine sicherheitsrelevante Übertragung mittels eines entsprechenden sicherheitsrelevanten Übertragungsweges verzichtet werden. Es ist demnach zu überprüfen, ob ausgehend von den sicherheitsrelevanten Signalen an der Erzeugung der Signale andere Subfunktionen beteiligt sind, die ebenfalls sicherheitsrelevante Signale erzeugen. So kann eine sehr detaillierte Betrachtungsweise der Sicherheitsrelevanz der Übertragungswege auch innerhalb der technischen Funktionseinheiten erfolgen.Assuming that exclusively safety-relevant signals are transmitted via the transmission path U13, the internal wiring must be designed in such a way that from the input of the transmission path Ü13 to the subfunction unit 23 the transmission path is also designed security relevant. Is found during an in-depth investigation that the transmission of signals between the subfunctional unit 23 and 21 is not relevant to security, it can be dispensed with a security-relevant transmission by means of a corresponding security-relevant transmission path here. It is therefore necessary to check whether, starting from the safety-relevant signals, other subfunctions are involved in generating the signals, which likewise generate safety-relevant signals. Thus, a very detailed view of the security relevance of the transmission paths can also be made within the technical functional units.

3 zeigt beispielhaft den Ablauf der Analyse eines vollständigen Systems. Ausgehend von dem Gesamtsystem wird im Block 31 überprüft, ob das Gesamtsystem selber sicherheitsrelevant ist. Wenn nicht, hat sich eine weitere Analyse der zugrunde gelegten Funktionseinheiten erübrigt, da ein nicht sicherheitsrelevantes System keine sicherheitsrelevanten Funktionen beinhalten kann. 3 shows by way of example the sequence of analysis of a complete system. Starting from the overall system is in the block 31 Checks whether the entire system itself is security-relevant. If not, further analysis of the underlying functional units has become unnecessary since a non-safety-related system may not include security-related functions.

Handelt es sich bei dem System jedoch um ein sicherheitsrelevantes, so wird im nächsten Schritt überprüft, welche Funktionen dem System zugrunde liegen. Für jede einzelne Funktion, die beispielsweise in den technischen Funktionseinheiten 11 bis 13 der 1 implementiert sein können, wird nun im Block 32 überprüft, ob die jeweilige Funktion sicherheitsrelevant ist. Auch hier erübrigt sich eine weitere Analyse, wenn die Funktion selber schon nicht sicherheitsrelevant ist.However, if the system is a security-relevant one, the next step is to check which functions underlie the system. For each individual function, for example, in the technical functional units 11 to 13 of the 1 can now be implemented in the block 32 checks whether the respective function is safety-relevant. Here, too, a further analysis is unnecessary if the function itself is not security-relevant.

Ist die Funktion jedoch sicherheitsrelevant, so müssen alle Signale, die von dieser Funktion erzeugt werden, auf ihre Sicherheitsrelevanz hin untersucht werden. Dies kann beispielsweise anhand der Funktion selber oder auch anhand der den Funktionen zugrunde liegenden Informationen erfolgen. Im Block 33 erfolgt demnach die Überprüfung, und zwar für jedes ausgehende Signal der Funktion, ob es sich um ein sicherheitsrelevantes Signal handelt oder nicht. Wurde in Schritt 32 festgestellt, dass es sich um ein sicherheitsrelevantes Signal handelt, so wird der entsprechende Übertragungsweg, auf den das Signal übertragen wird, identifiziert und das Signal dann diesem Übertragungsweg zugeordnet. However, if the function is relevant to safety, all signals generated by this function must be examined for their safety relevance. This can be done, for example, based on the function itself or based on the information underlying the functions. In the block 33 Accordingly, the check is made, and for each outgoing signal of the function, whether it is a safety-related signal or not. Was in step 32 If it is determined that this is a safety-relevant signal, the corresponding transmission path to which the signal is transmitted is identified and the signal is then assigned to this transmission path.

Danach erfolgt eine rückwärtige Betrachtung derart, dass überprüft wird, ob die Funktion weitere Sub-Funktionen beinhaltet, die ebenfalls separat überprüft werden müssen. Wurde dies in Schritt 34 erkannt, so werden die Subfunktionen, welche die entsprechende übergeordnete Funktion betreffen, ermittelt und der weiteren Überprüfung zugrunde gelegt. In diesem Falle wiederholt sich nunmehr die Analyse und es wird untersucht, ob die Subfunktion selber sicherheitsrelevant ist. Wenn ja, werden die von der Subfunktion ausgehenden Signale identifiziert und hinsichtlich ihrer Sicherheitsrelevanz überprüft, wobei bei der Identifizierung von sicherheitsrelevanten Signalen die entsprechenden Übertragungswege ermittelt und entsprechend abgespeichert werden.Thereafter, a backward consideration is made such that it is checked whether the function contains further sub-functions, which also have to be checked separately. Was this in step 34 detected, the sub-functions, which relate to the corresponding parent function, determined and based on the further review. In this case, the analysis is repeated and it is examined whether the subfunction itself is security relevant. If so, the signals emanating from the subfunction are identified and checked for their safety relevance, wherein the identification of security-relevant signals, the corresponding transmission paths are determined and stored accordingly.

Nach dieser so vorgenommen detaillierten Analyse des Gesamtsystems liegen nunmehr für jeden Übertragungsweg die Zuordnungen vor, welches Signal über welchen Übertragungsweg übertragen wird, so dass sich hieraus ableiten lässt, ob der Übertragungsweg der Sicherheitsrelevanz der einzelnen Signale entspricht oder nicht. Wie bereits oben erwähnt, lassen sich nunmehr entsprechende Risikomaßnahmen zur Risikoreduzierung ableiten oder entsprechende Optimierungen vornehmen, um überdimensionierte Übertragungswege zu vermeiden.After this detailed analysis of the overall system so made, the assignments for each transmission path are now available, which signal is transmitted via which transmission path, so that it can be deduced from this whether the transmission path corresponds to the safety relevance of the individual signals or not. As already mentioned above, it is now possible to derive corresponding risk measures for risk reduction or to carry out corresponding optimizations in order to avoid oversized transmission paths.

Dieses Vorgehen sei beispielhaft in 4 schematisch dargestellt, bei dem wieder die technischen Funktionseinheiten 11 bis 13 und ihre Übertragungswege Ü11 bis Ü13 herangezogen werden. Die Funktionseinheiten sind dadurch wie in 4 dargestellt untereinander derart vernetzt, dass die technische Funktionseinheit 11 Informationen an die Funktionseinheit 12 senden kann, und die technische Funktionseinheit 12 Informationen an die Funktionseinheit 13 übertragen kann, wobei die technische Funktionseinheit 13 mit der technischen Funktionseinheit 11 verbunden und Daten zu der Funktionseinheit 11 übertragen kann.This procedure is exemplary in 4 shown schematically, in which again the technical functional units 11 to 13 and their transmission paths Ü11 to Ü13 are used. The functional units are characterized as in 4 represented interconnected with each other such that the technical functional unit 11 Information to the functional unit 12 can send, and the technical functional unit 12 Information to the functional unit 13 can transfer, the technical functional unit 13 with the technical functional unit 11 connected and data to the functional unit 11 can transfer.

Basierend auf der vorhergehend erklärten Analyse wurden die technischen Funktionseinheiten 11 bis 13 und ihre Übertragungswege Ü11 bis Ü13 entsprechend untersucht, so dass sich folgende Tabelle ergibt: Signalname Funktionseinheit Übertragungsweg Art S11.1 Funktion 11 Ü11 Wire S11.2-CAN Funktion 11 Ü11 Wire S12.x Funktion 12 Ü12 Wire S13.1-W Funktion 13 Ü13 CAN-Bus S13.2-W Funktion 13 Ü13 CAN-Bus S13.3-W Funktion 13 Ü13 CAN-Bus Based on the previously explained analysis were the technical functional units 11 to 13 and their transmission routes Ü11 to Ü13 are examined accordingly, so that the following table results: signal name functional unit transmission path kind S11.1 function 11 UE 11 Wire S11.2-CAN function 11 UE 11 Wire S12.x function 12 UE12 Wire S13.1-W function 13 UE13 CAN bus S13.2-W function 13 UE13 CAN bus S13.3-W function 13 UE13 CAN bus

Wie der Tabelle zu entnehmen ist, werden die Signale mit den Signalnamen S11.1 und S11.2-CAN von der technischen Funktionseinheit 11 generiert und über den Übertragungsweg 11 an die technische Funktionseinheit 12 übertragen. Bei dem Übertragungsweg Ü11 handelt es sich dabei um eine schlichte Verkabelung, die der Einfachheit halber mit „wired” gekennzeichnet wird. Diese simple Verkabelung erfüllt keinerlei Sicherheitsanforderungen, so dass sie nur für nicht sicherheitsrelevante Signale verwendet werden kann. Dementsprechend wird hier das SIL-Level 0 zugewiesen.As can be seen from the table, the signals with the signal names S11.1 and S11.2-CAN of the technical functional unit 11 generated and over the transmission path 11 to the technical functional unit 12 transfer. The transmission path Ü11 is a simple cabling, which for the sake of simplicity is labeled "wired". This simple wiring does not meet any safety requirements, so it can only be used for non-safety related signals. Accordingly, the SIL level 0 is assigned here.

Bei einer entsprechenden Analyse des Signalnamens wird jedoch dabei festgestellt, dass der Signalname „S11.2-CAN” im Namen bereits die gewünschte Übertragungsart beinhaltet. Nach eingehender Analyse kann somit festgestellt werden, dass das Signal mit dem Signalnamen S11.2-CAN ein sicherheitsrelevantes Signal ist, das einen entsprechenden sicherheitsrelevanten Übertragungsweg benötigt. Alternativ kann diese Information, dass es sich bei dem Signal S11.2-CAN um ein sicherheitsrelevantes Signal handelt, auch aus der Funktionseinheit 11 beziehungsweise der der Funktionseinheit 11 zugrunde liegenden spezifizierten Funktion ermittelt werden.However, a corresponding analysis of the signal name reveals that the signal name "S11.2-CAN" in the name already contains the desired transmission type. After detailed analysis, it can thus be determined that the signal with the signal name S11.2-CAN is a safety-relevant signal that requires a corresponding safety-relevant transmission path. Alternatively, this information, that the signal S11.2-CAN is a safety-relevant signal, also from the functional unit 11 or the functional unit 11 underlying specified function.

An dieser Stelle wird deutlich, dass der Fachmann anhand dieser Tabelle erkennen kann, dass das Signal S11.2-CAN über einen Übertragungsweg Ü11 übertragen wird, der den Sicherheitsanforderungen des ausgesendeten Signals nicht entspricht. Ein entsprechendes Risikopotential kann demnach an dieser Stelle abgeleitet werden, um entsprechende Maßnahmen zur Reduzierung des Risikos beziehungsweise Maßnahmen zur Umgestaltung des Designs abgeleitet werden können. It is clear at this point that the person skilled in the art can see from this table that the signal S11.2-CAN is transmitted via a transmission path Ü11 which does not correspond to the safety requirements of the transmitted signal. Accordingly, a corresponding risk potential can be derived at this point in order to be able to derive corresponding measures for reducing the risk or measures for redesign of the design.

Bei dem Signalnamen S12.X, das von der Funktionseinheit 12 über den Übertragungsweg Ü12 ausgesendet wird, ist festzustellen, dass hier alles in Ordnung ist, das Signal selber nicht sicherheitsrelevant ist und der verwendete Übertragungsweg dieser Sicherheitsrelevanz entspricht.For the signal name S12.X, that of the functional unit 12 is transmitted via the transmission path Ü12, it should be noted that everything is fine here, the signal itself is not security-relevant and the transmission path used corresponds to this safety relevance.

Kritisch muss jedoch die Vernetzung zwischen der technischen Funktionseinheit 13 und der technischen Funktionseinheit 11 betrachtet werden. Von der technischen Funktionseinheit 13 werden die Signale S13.1-W, S13.2-W und S13.3-W über den Übertragungsweg 13 an die technische Funktionseinheit 11 ausgesendet. Nach entsprechender Analyse des Signalnamens sowie der technischen Funktionseinheit 13 und deren spezifizierten Funktion ist festzustellen, dass es sich bei den Signalen, die von der Funktionseinheit 13 ausgesendet werden, um nicht sicherheitsrelevante Signale handelt. Bei dem Übertragungsweg Ü13, auf dem die Signale auf die Funktionseinheit 11 übertragen werden, handelt es sich jedoch um einen CAN-Bus, der zur Übertragung von Sicherheitsrelevanten Signalen eingerichtet ist. Ein solches Bussystem wird meistens verwendet, wenn eine Vielzahl von sicherheitsrelevanten Signalen übertragen werden muss.However, the networking between the technical functional unit must be critical 13 and the technical functional unit 11 to be viewed as. From the technical functional unit 13 The signals S13.1-W, S13.2-W and S13.3-W are transmitted over the transmission path 13 to the technical functional unit 11 sent out. After appropriate analysis of the signal name and the technical functional unit 13 and its specified function, it should be noted that the signals coming from the functional unit 13 sent out to be non-safety-related signals. In the transmission path Ü13, on which the signals to the functional unit 11 be transmitted, but it is a CAN bus, which is set up for the transmission of security-relevant signals. Such a bus system is mostly used when a large number of safety-relevant signals has to be transmitted.

Wie erkennbar, ist die Wahl des Übertragungsweges Ü13 als CAN-Bus an dieser Stelle überdimensioniert, da keines der auf diesem Übertragungsweg Ü13 übertragenen Signale eine entsprechende Sicherheitsrelevanz aufweist, damit ein solcher sicherheitsrelevanter Übertragungsweg beispielsweise kostentechnisch gerechtfertigt werden kann. Der Fachmann erkennt an dieser Stelle, dass der CAN-Bus zwischen der Funktionseinheit 13 und der Funktionseinheit 11 überdimensioniert ist, so dass an dieser Stelle eine Optimierung vorgenommen werden kann. Da keines der ausgesendeten Signale eine entsprechende Sicherheitsrelevanz fordert, reicht hier eine einfache Verkabelung aus.As can be seen, the choice of the transmission path Ü13 as a CAN bus is oversized at this point, since none of the signals transmitted on this transmission path Ü13 has a corresponding security relevance, so that such a security-relevant transmission path can be justified for cost reasons. The expert recognizes at this point that the CAN bus between the functional unit 13 and the functional unit 11 Is oversized, so that at this point an optimization can be made. Since none of the transmitted signals demands a corresponding safety relevance, simple wiring is sufficient here.

Die in Tabelle 1 vorgestellten Signale sind dabei nur beispielhaft erwähnt und sind hinsichtlich Komplexität und Anzahl zu Anschauungszwecken reduziert. Tatsächlich wird in der Praxis eine erhebliche Anzahl von Signalen aufzufinden sein, so dass die Tabelle um ein Vielfaches größer sein wird. Bei hoch komplex vernetzten technischen Einrichtungen ist dies die einzige Möglichkeit, um das Gesamtsystem hinsichtlich der Übertragungswege auf Sicherheitsrelevanz zu überprüfen. Das vorgestellte Verfahren kann demnach, sofern die entsprechenden Informationen automatisiert auswertbar sind, auch automatisiert ablaufen und somit eine hoch komplexe technische Einrichtung automatisiert zu überprüfen. Somit lassen sich in der Praxis erhebliche Kosten einsparen und Sicherheitslücken aufspüren.The signals presented in Table 1 are mentioned only as examples and are reduced in terms of complexity and number for illustrative purposes. In fact, in practice, a significant number of signals will be found so that the table will be many times larger. In the case of highly complex networked technical facilities, this is the only way to check the safety of the entire system with regard to the transmission paths. Accordingly, if the corresponding information can be evaluated automatically, the presented method can also be automated and thus automatically check a highly complex technical device. Thus, in practice, significant costs can be saved and security breaches can be traced.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102005040977 A1 [0006] DE 102005040977 A1 [0006]
  • EP 1760558 A1 [0006] EP 1760558 A1 [0006]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • Standard IEC 61508 [0004] Standard IEC 61508 [0004]
  • Matthias Grimm, Michael Meyer zu Hörste, Stefanie Schwarz, Karsten Lemmer: „Methodischer Ansatz für die Sicherheitsbetrachtung von Eisenbahnsystemen am Beispiel eines Bahnüberganges”, in: ZILINA (SK), 24. bis 25. Mai 2005 ZEL. 2005, 12. internationales Symposium ein Verfahren zur Identifikation sicherheitsrelevanter Funktionen und Teilsysteme [0007] Matthias Grimm, Michael Meyer zu Hörste, Stefanie Schwarz, Karsten Lemmer: "Methodical Approach for the Safety Consideration of Railway Systems Using the Example of a Railroad Crossing", in: ZILINA (SK), 24 to 25 May 2005 ZEL. 2005, 12th International Symposium on a method for the identification of safety-related functions and subsystems [0007]

Claims (9)

Verfahren zur Untersuchung der Sicherheit von Übertragungswegen (Ü11 bis Ü13) innerhalb einer technischen Einrichtung 1, die eine Vielzahl von technischen Funktionseinheiten (11 bis 13) aufweist, die miteinander zwecks Austausch von Informationen vernetzt sind und Informationen mit mindestens einer für die technische Funktionseinheit spezifizierten Funktion verarbeiten, mit den Schritten: a) Untersuchen der Sicherheitsrelevanz von ausgehenden Signalen mindestens einer technischen Funktionseinheit und Abspeichern von Sicherheitsrelevanzdaten für die ausgehenden Signale in Abhängigkeit ihrer Sicherheitsrelevanz, b) Identifizieren von Übertragungswegen innerhalb der technischen Einrichtung und Zuordnen der ausgehenden Signale zu den betreffenden Übertragungswegen, mittels derer die ausgehenden Signale an andere technische Funktionseinheiten übertragen werden, c) Ermitteln der Sicherheitsrelevanz der identifizierten Übertragungswege in Abhängigkeit der Sicherheitsrelevanzdaten der dem jeweiligen Übertragungsweg zugeordneten Signale, und d) Untersuchen der Sicherheit der Übertragungswege in Abhängigkeit der ermittelten Sicherheitsrelevanz des jeweiligen Übertragungsweges.Method for investigating the security of transmission routes (Ü11 to Ü13) within a technical facility 1 containing a variety of technical functional units ( 11 to 13 ), which are networked together for the purpose of exchanging information and process information with at least one function specified for the technical functional unit, comprising the steps of: a) examining the security relevance of outgoing signals of at least one technical functional unit and storing security relevance data for the outgoing signals in dependence their safety relevance, b) identifying transmission paths within the technical device and assigning the outgoing signals to the respective transmission paths, by means of which the outgoing signals are transmitted to other technical functional units, c) determining the security relevance of the identified transmission paths in dependence of the security relevance data of the respective transmission path associated signals, and d) examining the security of the transmission paths depending on the determined safety relevance of the respective Übert ragungsweges. Verfahren nach Anspruch 1, gekennzeichnet durch Untersuchen der Sicherheitsrelevanz von ausgehenden Signalen mindestens einer technischen Funktionseinheit in Bezug auf die Sicherheitsrelevanz der spezifizierten Funktion der technischen Funktionseinheit.A method according to claim 1, characterized by examining the security relevance of outgoing signals of at least one technical functional unit with respect to the safety relevance of the specified function of the technical functional unit. Verfahren nach Anspruch 1 oder 2, gekennzeichnet durch Untersuchen der Sicherheitsrelevanz von ausgehenden Signalen mindestens einer technischen Funktionseinheit in Bezug auf die Sicherheitsrelevanz der von der spezifizierten Funktion erzeugten Informationen, die mittels des Signals übertragen werden soll.Method according to Claim 1 or 2, characterized by examining the safety relevance of outgoing signals of at least one technical functional unit with regard to the safety relevance of the information generated by the specified function which is to be transmitted by means of the signal. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch Untersuchen jeder Funktion der technischen Einrichtung daraufhin, ob die Funktion sicherheitsrelevant ist, und Ermitteln für jede sicherheitsrelevante Funktion die ausgehenden Signale, die dann der Untersuchung in Schritt a) zugrunde gelegt werden.Method according to one of the preceding claims, characterized by examining each function of the technical device as to whether the function is security-relevant, and determining for each safety-relevant function the outgoing signals, which are then used as the basis for the investigation in step a). Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch Unterteilen einer technischen Funktionseinheit in eine oder mehrere Sub-Funktionseinheiten, die untereinander mittels Übertragungswege vernetzt sind und Durchführen der Schritte a) bis d) mit den ausgehenden Signalen der Sub-Funktionseinheiten.Method according to one of the preceding claims, characterized by subdividing a technical functional unit into one or more sub-functional units, which are networked together by means of transmission paths and performing steps a) to d) with the outgoing signals of the sub-functional units. Verfahren nach einem der vorhergehenden Ansprüche, gekennzeichnet durch Untersuchen der Sicherheit der Übertragungswege in Schritt d) weiterhin in Abhängigkeit der Art des Übertragungsweges.Method according to one of the preceding claims, characterized by examining the security of the transmission paths in step d) further depending on the type of transmission path. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Sicherheitsrelevanzdaten definierte Sicherheitsintegritätslevel (Safety Integrity Level – SIL) oder Sicherheitsanforderungsklassen (AK) sind.Method according to one of the preceding claims, wherein the safety relevance data are defined safety integrity levels (SIL) or safety requirement classes (AK). Einrichtung zur Untersuchung der Sicherheit von Übertragungswegen innerhalb einer technischen Einrichtung, die eine Vielzahl von technischen Funktionseinheiten aufweist, die miteinander zwecks Austausch von Informationen vernetzt sind und Informationen mit mindestens einer für die technischen Funktionseinheit spezifizierten Funktion verarbeiten, mit einer Bewertungseinheit und Datenspeicher, wobei die Bewertungseinheit zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche mit den Schritten: a) Untersuchen der Sicherheitsrelevanz von ausgehenden Signalen mindestens einer technischen Funktionseinheit und Abspeichern von Sicherheitsrelevanzdaten für die ausgehenden Signale in Abhängigkeit ihrer Sicherheitsrelevanz, b) Identifizieren von Übertragungswegen innerhalb der technischen Einrichtung und Zuordnen der ausgehenden Signale zu den betreffenden Übertragungswegen, mittels derer die ausgehenden Signale an andere technische Funktionseinheiten übertragen werden, c) Ermitteln der Sicherheitsrelevanz der identifizierten Übertragungswege in Abhängigkeit der Sicherheitsrelevanzdaten der dem jeweiligen Übertragungsweg zugeordneten Signale, und d) Untersuchen der Sicherheit der Übertragungswege in Abhängigkeit der ermittelten Sicherheitsrelevanz des jeweiligen Übertragungsweges, eingerichtet ist.Device for investigating the security of transmission paths within a technical device comprising a plurality of technical functional units that are networked together for the purpose of exchanging information and process information with at least one function specified for the functional unit, with a rating unit and data memory, wherein the rating unit for carrying out the method according to one of the preceding claims, comprising the steps: a) examining the safety relevance of outgoing signals of at least one technical functional unit and storing safety relevance data for the outgoing signals depending on their safety relevance, b) identifying transmission paths within the technical device and assigning the outgoing signals to the respective transmission paths, by means of which the outgoing signals are transmitted to other technical functional units, c) determining the security relevance of the identified transmission paths as a function of the security relevance data of the signals assigned to the respective transmission path, and d) investigating the security of the transmission paths as a function of the ascertained security relevance of the respective transmission path, is set up. Einrichtung nach Anspruch 8, wobei die Einrichtung zur Identifizierung der Übertragungswege in Abhängigkeit von Signalnamen der betreffenden ausgehenden Signale eingerichtet ist. Apparatus according to claim 8, wherein the means for identifying the transmission paths is arranged in response to signal names of the respective outgoing signals.
DE102010022066A 2010-05-31 2010-05-31 Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal Ceased DE102010022066A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010022066A DE102010022066A1 (en) 2010-05-31 2010-05-31 Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010022066A DE102010022066A1 (en) 2010-05-31 2010-05-31 Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal

Publications (1)

Publication Number Publication Date
DE102010022066A1 true DE102010022066A1 (en) 2011-12-01

Family

ID=44924555

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010022066A Ceased DE102010022066A1 (en) 2010-05-31 2010-05-31 Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal

Country Status (1)

Country Link
DE (1) DE102010022066A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2835699A1 (en) * 2013-08-09 2015-02-11 Sick Ag Method and device for configuring and/or programming a safety controller

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1760558A1 (en) 2005-08-29 2007-03-07 DLR Deutsches Zentrum für Luft- und Raumfahrt e.V. System and method for assessing the safety of a technical system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1760558A1 (en) 2005-08-29 2007-03-07 DLR Deutsches Zentrum für Luft- und Raumfahrt e.V. System and method for assessing the safety of a technical system
DE102005040977A1 (en) 2005-08-29 2007-03-15 Deutsches Zentrum für Luft- und Raumfahrt e.V. Device and method for investigating the safety of a technical device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Matthias Grimm, Michael Meyer zu Hörste, Stefanie Schwarz, Karsten Lemmer: "Methodischer Ansatz für die Sicherheitsbetrachtung von Eisenbahnsystemen am Beispiel eines Bahnüberganges", in: ZILINA (SK), 24. bis 25. Mai 2005 ZEL. 2005, 12. internationales Symposium ein Verfahren zur Identifikation sicherheitsrelevanter Funktionen und Teilsysteme
Standard IEC 61508

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2835699A1 (en) * 2013-08-09 2015-02-11 Sick Ag Method and device for configuring and/or programming a safety controller

Similar Documents

Publication Publication Date Title
DE112010001370B4 (en) Signal transmission device for an elevator
DE102008044018A1 (en) Method for determining a security level and security manager
DE102016206630A1 (en) Method and device for avoiding manipulation of a data transmission
WO2019072840A1 (en) Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle
DE102014111361A1 (en) Method for operating a safety control and automation network with such a safety control
WO2020025399A1 (en) Device and method for testing the contents of a switchgear cabinet following installation according to a plan
DE102011081477A1 (en) interlocking computers
DE102004022624A1 (en) Method for monitoring a system
DE102013017951A1 (en) Electronic control apparatus and method for checking a reset function
DE102010022066A1 (en) Method for testing of safety of transmission paths within technical device, involves determining safety relevance of transmission paths on which outgoing signal is transferred based on safety relevance data of assigned outgoing signal
EP3499324B1 (en) Method of modular verification of a configuration of a device
EP1733284B1 (en) Control system for operating functions on interacting appliances
EP2279480B1 (en) Method and system for monitoring a security-related system
DE10121061B4 (en) Monitoring device and monitoring method
EP1760558B1 (en) System and method for assessing the safety of a technical system
DE10252109B4 (en) Method for parameterization
DE102019211118A1 (en) Method for testing a motor vehicle
DE102011011224A1 (en) Control unit system
EP2849986B1 (en) Method and assembly for controlling a technical system
DE102021127310B4 (en) System and method for data transmission
DE102022213021B3 (en) Monitoring a switchgear
DE102020201603A1 (en) Method and device for qualifying a development process for a technical system
DE102021002498A1 (en) Method for data transmission in a motor vehicle
DE102021002221A1 (en) Method for recording a passenger's wish to stop in a means of transport
DE102015205607A1 (en) Method for monitoring a network component and arrangement with a network component and a monitoring device

Legal Events

Date Code Title Description
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R006 Appeal filed
R008 Case pending at federal patent court
R082 Change of representative

Representative=s name: GRAMM, LINS & PARTNER PATENT- UND RECHTSANWAEL, DE

R003 Refusal decision now final
R011 All appeals rejected, refused or otherwise settled