-
Die Erfindung betrifft ein Steuernetzwerk für ein Schienenfahrzeug und ein Verfahren zur manipulationssicheren Daten übertragung zwischen Steuergeräten eines Schienenfahrzeuges, insbesondere eines Zuges.
-
Schienenfahrzeuge verfügen über eine Vielzahl von Steuergeräten zur Ansteuerung von Geräten, beispielsweise Bremseinrichtungen, Antriebseinrichtungen, Beleuchtungseinrichtungen, Türverschließungseinrichtungen sowie Klimaanlagen. Weiterhin können die Steuergeräte Fahrgastinformationseinheiten oder Einrichtungen zur Sitzplatzreservierung für Fahrgäste steuern. Fahrgastinformationseinrichtungen informieren beispielsweise die Fahrgäste über Umsteigemöglichkeiten zu anderen Zügen mittels akustischer Durchsagen oder optischer Anzeigen. Weiterhin können Steuergeräte Daten von Videoüberwachungseinrichtungen erhalten, welche beispielsweise an den Zugführer übertragen werden. Steuergeräte eines Schienenfahrzeuges tauschen untereinander Nutzdaten aus. Diese Nutzdaten können Fahrgastinformationsdaten oder Gerätesteuerdaten umfassen.
-
Steuergeräte von Schienenfahrzeugen werden zunehmend unter Verwendung standardisierter Protokolle wie Ethernet oder IP über Datennetzwerke untereinander vernetzt. Die Steuergeräte werden dabei häufig in einem für Dritte physikalisch schwer zugänglichen Bereich innerhalb eines Waggons oder eines Zugwagens des Schienenfahrzeuges untergebracht. Das Datenkommunikationsnetzwerk, über welches die Steuergeräte Nutzdaten zu anderen Steuergeräten übertragen, zieht sich demgegenüber über nicht oder über nur aufwändig physikalisch schützbare Abschnitte des Schienenfahrzeuges hin. Diese Datenkommunikationsnetzwerke sind insbesondere auch im Fahrgastbereich des Schienenfahrzeuges verlegt und somit für Dritte relativ einfach zugänglich. Daher besteht für Dritte prinzipiell die Möglichkeit, eine Datenleitung des Datenkommunikationsnetzwerkes anzuzapfen, um Manipulationen vorzunehmen, beispielsweise Datenpakete über das Datenkommunikationsnetzwerk einzuschleusen oder eine Datenübertragung abzuhören.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung ein Steuernetzwerk und ein Verfahren für Schienenfahrzeuge zu schaffen, die es erlauben, Manipulationen an der Verkabelung des Datenkommunikationsnetzwerkes des Schienenfahrzeuges zu erkennen.
-
Diese Aufgabe wird erfindungsgemäß durch ein Steuernetzwerk mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die Erfindung schafft ein Steuernetzwerk für ein Schienenfahrzeug, bei dem Steuergeräte des Schienenfahrzeuges über mindestens zwei Kommunikationspfade ringförmig miteinander verbunden sind,
wobei ein erstes Steuergerät Nutzdaten über einen Kommunikationspfad in einer ersten Richtung zu einem zweiten Steuergerät überträgt und zu den Nutzdaten zugehörige Prüfdaten zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät überträgt.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes werden die Prüfdaten von dem ersten Steuergerät in regelmäßigen Zeitabständen oder bei Wechsel eines Betriebszustandes des Schienenfahrzeuges gesendet.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes sind die Nutzdaten Fahrgastinformationsdaten.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes sind die übertragenen Nutzdaten Gerätesteuerdaten.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes werden die Nutzdaten in Datenpaketen über ein Datennetzwerk mit Ring-Topologie zwischen den Steuergeräten des Schienenfahrzeuges übertragen.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes handelt es sich bei diesem Datennetzwerk um ein Ethernet-Datennetzwerk, insbesondere ein Profinet.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk ein elektrisches Datennetzwerk mit Ring-Topologie, das in einem Waggon des Schienenfahrzeuges verlegt ist.
-
Bei einer alternativen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk ein optisches Datennetzwerk mit Ring-Topologie, das in einem Waggon des Schienenfahrzeuges verlegt ist.
-
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist in dem Datennetzwerk mit Ring-Topologie mindestens eine Überwachungseinheit vorgesehen, welche die Geschlossenheit der Ring-Topologie überwacht, wobei nach Unterbrechung der Ring-Topologie die Prüfdaten und die Nutzdaten über einen verbleibenden Kommunikationspfad von dem ersten Steuergerät zu dem zweiten Steuergerät übertragen werden.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes veranlasst das zweite Steuergerät Gegenmaßnahmen, sofern die Überprüfung der durch das zweite Steuergerät empfangenen Nutzdaten anhand der durch das zweite Steuergerät empfangenen Prüfdaten ergibt, dass die Nutzdaten nicht von dem ersten Steuergerät stammen.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die Gegenmaßnahmen das Senden einer Alarmmeldung durch das zweite Steuergerät an mindestens ein weiteres Steuergerät.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die Gegenmaßnahmen das Aktivieren einer eingeschränkten Betriebsart durch das zweite Steuergerät.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über ein übergeordnetes Datennetzwerk des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten des Schienenfahrzeuges verbunden.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes handelt es sich bei dem übergeordneten Datennetzwerk um einen Schienenfahrzeug-Datenbus.
-
Bei einer weiteren alternativen Ausführungsform des erfindungsgemäßen Steuernetzwerkes handelt es sich bei dem übergeordneten Datennetzwerk um ein Schienenfahrzeug-Datennetzwerk, das seinerseits eine Ring-Topologie aufweist.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über elektrisch leitfähige Schienen mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten des Schienenfahrzeuges verbunden.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über WLAN-Funkmodule mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen Steuergeräten des Schienenfahrzeuges verbunden.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über Spannungsversorgungsleitungen zur Spannungsversorgung des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen Steuergeräten des Schienenfahrzeuges verbunden.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Prüfsummen der Nutzdaten.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten kryptographische Schlüssel zur Entschlüsselung bzw. Prüfung einer kryptographisch verschlüsselten bzw. kryptographisch geschützten Prüfsumme der Nutzdaten.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Parameter zum Einrichten eines kryptographischen Schlüssels.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Datenpaketverwaltungsdaten bzw. Headerdaten der Datenpakete, in welchen die Nutzdaten übertragen werden.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes weisen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Hashwerte auf.
-
Bei einer möglichen Ausführungsform sind die Hashwerte Hashwerte der Nutzdaten.
-
Bei einer weiteren möglichen Ausführungsform sind die Hashwerte Hashwerte der Datenpaketverwaltungsdaten.
-
Bei einer weiteren möglichen Ausführungsform sind die Hashwerte Hashwerte des gesamten Datenpakets einschließlich Nutzdaten und Datenpaketverwaltungsdaten.
-
Die Erfindung schafft ferner ein Verfahren zur manipulationssicheren Datenübertragung zwischen Steuergeräten eines Schienenfahrzeuges, die über zwei Kommunikationspfade ringförmig miteinander verbunden sind,
wobei ein erstes Steuergerät Nutzdaten über einen Kommunikationspfad in einer ersten Richtung zu einem zweiten Steuergerät überträgt und zu den Nutzdaten zugehörige Prüfdaten zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät überträgt.
-
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Steuernetzwerkes und des erfindungsgemäßen Verfahrens zur manipulationssicheren Datenübertragung zwischen Steuergeräten eines Schienenfahrzeuges unter Bezugnahme auf die beigefügten Figuren beschrieben.
-
Es zeigen:
-
1 ein Diagramm zur Darstellung eines Ausführungsbeispieles des Steuernetzwerkes für ein Schienenfahrzeug mit mehreren ringförmigen Datennetzwerken, die in verschiedenen Waggons bzw. Wagen des Schienenfahrzeuges vorgesehen sind;
-
2A, 2B Diagramme zur Darstellung von Ausführungsbeispielen des erfindungsgemäßen Steuernetzwerkes für ein Schienenfahrzeug;
-
3A, 3B Diagramme zur Erläuterung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes;
-
4 ein weiteres Diagramm zur Darstellung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes;
-
5 ein weiteres Diagramm zur Darstellung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Steuernetzwerkes;
-
6 ein Diagramm zur Darstellung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Steuernetzwerkes;
-
7 ein Diagramm zur Darstellung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Steuernetzwerkes.
-
1 zeigt ein Ausführungsbeispiel des erfindungsgemäßen Steuernetzwerkes 1. Das Steuernetzwerk 1 befindet sich in einem Schienenfahrzeug, das sich auf Schienen bewegt, beispielsweise einem Zug. Dieser Zug umfasst bei dem in 1 dargestellten Beispiel einen Zugwagen 2-1 und drei daran gekoppelte Waggons bzw. Wagen 2-2, 2-3, 2-4. Die verschiedenen Wägen des Schienenfahrzeuges können, wie in 1 dargestellt, mechanisch miteinander verkoppelt sein. Jeder Wagen des Schienenfahrzeuges weist Steuergeräte SG auf, die über ein Datennetzwerk mit Ring-Topologie miteinander ringförmig verbunden sind. Bei diesen Steuergeräten SG kann es sich z. B. um Steuergeräte einer Bremsanlage, einer Antriebsanlage, einer Klimaanlage, einer Beleuchtungsanlage, einer Türverschlussanlage handeln, die untereinander über ein Datennetzwerk mit Ring-Topologie kommunizieren bzw. Daten austauschen. Die Daten werden dabei vorzugsweise als Nutzdaten in Datenpaketen in dem jeweiligen Datennetzwerk übertragen. Diese Datenpakete umfassen Datenpaketverwaltungsdaten sowie Nutzdaten. Nutzdaten können Steuerdaten zur Ansteuerung von Steuergeräten SG, beispielsweise von Brems- oder Antriebseinrichtungen, aber auch Informationsdaten, beispielsweise Fahrgastinformationsdaten oder Sitzplatzreservierungsdaten umfassen. Weiterhin können die Nutzdaten auch Sensordaten von Sensoren enthalten, die an Steuergeräte SG angeschlossen sind. Bei den Datennetzwerken mit Ring-Topologie, die in den verschiedenen Wagen 2-i des Schienenfahrzeuges verlegt sind, kann es sich jeweils um ein elektrisches Datennetzwerk mit Ring-Topologie oder um ein optisches Netzwerk mit Ring-Topologie handeln. Die Steuergeräte SG, die ringförmig miteinander sind, können über eine oder mehrere Leitungen aneinander angeschlossen werden. Die Leitungen umfassen beispielsweise elektrische Kabel. Alternativ können die Leitungen auch durch Lichtwellenleiter bzw. Glasfasern gebildet werden. Bei einer möglichen Ausführungsform ist das ringförmige Datennetzwerk ein Ethernet-Datennetzwerk, welches Datenpakete in Echtzeit überträgt, beispielsweise ein Profinet.
-
Bei dem erfindungsgemäßen Steuernetzwerk überträgt ein erstes Steuergerät SG1 Nutzdaten ND über einen Kommunikationspfad in einer ersten Richtung zu mindestens einem zweiten Steuergerät SG2 und gleichzeitig oder zeitversetzt zu den jeweiligen Nutzdaten ND zugehörige Prüfdaten PD zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten, zu der ersten Richtung gegenläufigen Richtung, zu dem zweiten Steuergerät SG2. Bei einer zeitversetzten Übertragung der Nutzdaten ND und der Prüfdaten PD können die Prüfdaten PD sowohl vor wie auch nach den Nutzdaten übertragen werden.
-
In dem in 1 dargestellten Beispiel überträgt ein erstes Steuergerät SG1 in dem letzten Wagen 2-4 des Schienenfahrzeuges Nutzdaten ND zu einem zweiten Steuergerät SG2 in einer ersten Richtung über den jeweiligen Ring und gleichzeitig zugehörige Prüfdaten PD zur Prüfung der Nutzdaten ND über einen anderen Kommunikationspfad in einer zweiten, zu der ersten Richtung gegenläufigen Richtung. Bei dem in 1 dargestellten Beispiel werden die Nutzdaten ND im Uhrzeigersinn über den dargestellten Ring von dem ersten Steuergerät SG1 zu dem zweiten Steuergerät SG2 übertragen bzw. transportiert und die zugehörigen Prüfdaten PD werden entgegen dem Uhrzeigersinn zu dem gleichen Steuergerät SG2 übertragen. Die Übertragung der Prüfdaten PD von dem ersten Steuergerät SG1 zu dem zweiten Steuergerät SG2 kann bei einer möglichen Ausführungsform in regelmäßigen Zeitabständen erfolgen, z. B. einmal pro Minute, einmal pro Stunde oder einmal pro Tag. Bei einer alternativen Ausführungsform werden die Prüfdaten PD von dem ersten Steuergerät SG1 bei Bedarf, insbesondere bei Wechsel eines Betriebszustandes einer Einheit des Schienenfahrzeuges, zu dem zweiten Steuergerät SG2 gesendet. Der Zustandswechsel kann beispielsweise durch Aktivieren einer Steuerfunktion bei einem Steuergerät SG eintreten, beispielsweise wenn eine Beleuchtungseinrichtung oder eine Klimaeinrichtung ein- bzw. ausgeschaltet wird. Weiterhin kann ein Zustandswechsel mittels Sensoren sensorisch erfasst werden. Beispielsweise sendet ein Steuergerät SG1 einem zweiten Steuergerät SG2 Nutzdaten ND, wenn das Schienenfahrzeug anfährt oder das Schienenfahrzeug in einen Wartungsbetriebsmodus überführt wird. Die Nutzdaten ND und die zugehörigen Prüfdaten PD können bei einer möglichen Ausführungsform von dem ersten Steuergerät SG1 zu dem zweiten Steuergerät SG2 in Echtzeit übertragen werden.
-
Bei einer möglichen Ausführungsform ist in jedem Datennetzwerk mit Ring-Topologie mindestens eine Überwachungseinheit vorgesehen, die die Geschlossenheit des jeweiligen Ringes bzw. der Ring-Topologie überwacht. Bei Unterbrechung der Ring-Topologie beispielsweise durch einen Brand in dem jeweiligen Wagen 2-i, können dann die Prüfdaten PD und die Nutzdaten ND von dem ersten Steuergerät SG1 über den verbleibenden Kommunikationspfad zu dem zweiten Steuergerät übertragen werden. Fällt bei dem in 1 dargestellten Beispiel der Kommunikationspfad, der im Uhrzeigersinn zwischen den beiden Steuergeräten SG im Wagen 2-4 besteht, aus, wird dies über die Überwachungseinheit des Datennetzwerkes des Wagens 2-4 erfasst. Die verschiedenen Steuergeräte SGi des Datennetzwerkes werden dann von der Überwachungseinheit angewiesen, sowohl die Nutzdaten ND als auch die zugehörigen Prüfdaten PD im Gegenuhrzeigersinn in dem betroffenen Netzwerk zu übertragen. Dies bietet den Vorteil, dass bei einer Unterbrechung eines Datenlinks zwischen Steuergeräten SG, beispielsweise aufgrund eines Kabelbrandes oder aufgrund sonstiger Beschädigungen der Datenverbindung das betroffene ringförmige Datennetzwerk noch funktionsfähig ist und zuverlässig Nutzdaten ND und zugehörige Prüfdaten PD zwischen den Steuergeräten SG überträgt.
-
Das zweite Steuergerät SG2 führt eine Überprüfung der durch das zweite Steuergerät SG2 empfangenen Nutzdaten ND anhand der von dem zweiten Steuergerät SG2 empfangenen Prüfdaten PD durch. Ergibt diese Überprüfung, dass die erhaltenen Nutzdaten ND nicht von dem ersten Steuergerät SG1 stammen, veranlasst das zweite Steuergerät SG2 bei einer bevorzugten Ausführungsform entsprechende Gegenmaßnahmen. Beispielsweise sendet das zweite Steuergerät SG2 eine Alarmmeldung an mindestens ein anderes Steuergerät, um den aufgetretenen Fehler zu melden. Weiterhin können auch Aktoren aktiviert werden, beispielsweise eine Warnlampe im Zugwagen 2-1 des Schienenfahrzeuges. Bei einer möglichen Ausführungsform wird ein Nothalt des Schienenfahrzeuges veranlasst. Weiterhin ist es möglich, dass bei einer Alarmmeldung ein entsprechender Eintrag in eine Logdatei bzw. in einem Fehlerspeicher erfolgt. In einer weiteren möglichen Variante wird als Gegenmaßnahme das zweite Steuergerät SG2 in einen eingeschränkten Betriebsmodus versetzt. Beispielsweise wird ein Wechsel in einem fehlersicheren Betriebsmodus veranlasst, in dem keine Gefährdung eines Fahrbetriebs des Schienenfahrzeugs von dem betroffenen zweiten Steuergerät SG2 ausgeht. In einer weiteren möglichen Ausführungsform veranlasst das zweite Steuergerät SG2 einen eingeschränkten Fahrbetrieb des Schienenfahrzeugs. Weiterhin ist es möglich, dass das betroffene Steuergerät SG2 einzelne empfangene Nachrichten verwirft bzw. nur einzelne Nachrichten akzeptiert und weiterverarbeitet.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 werden die zur Überprüfung der Nutzdaten ND eingesetzten Prüfdaten PD durch Prüfsummen der Nutzdaten ND gebildet. Beispielsweise kann es sich dabei um CRC-Prüfsummen oder CBC-MAC-Werte oder HMAC-Werte handeln. Die Prüfdaten PD können insbesondere auch Hashwerte der Nutzdaten ND oder Hashwerte der Header bzw. Datenpaketverwaltungsdaten der übertragenen Datenpakete umfassen. Zur Überprüfung können Prüfsummen einer oder mehrerer übertragener Nutzdatennachrichten bzw. Nutzdatendatenpakete verwendet werden.
-
Bei einer weiteren möglichen Ausführungsform sind die verwendeten Prüfdaten PD kryptographische Schlüssel zur Entschlüsselung einer kryptographisch verschlüsselten Prüfsumme der Nutzdaten ND, bzw. zum Prüfen einer kryptographisch geschützten Prüfsumme.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 werden als Prüfdaten PD Datenpaketverwaltungsdaten bzw. Headerdaten der übertragenen Datenpakete eingesetzt. Diese Datenpaketverwaltungsdaten umfassen beispielsweise die MAC-Adresse des empfangenden Steuergerätes. Weiterhin ist es möglich, dass es sich bei den verwendeten Prüfdaten PD um eine IP-Adresse des zu sendenden und empfangenden Steuergerätes handelt. Weiterhin eignen sich Portnummer oder Protokoll-IDs als Prüfdaten PD.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 sind die zur Überprüfung der Nutzdaten ND vorgesehenen Prüfdaten PD Parameter zum Einrichten bzw. Aktualisieren von kryptographischen Schlüsseln. Hierbei können Daten in einem von Schlüsselvereinbarungsprotokoll, z. B. IKE oder IEEE 802.1af, über einen Kommunikationspfad ausgetauscht werden, während die Nutzdaten über den anderen Kommunikationspfad ausgetauscht werden. Hierbei ist es auch möglich, eine Prüfsumme der bei dem Schlüsselvereinbarungsprotokoll benutzten Parameter über den zweiten Kommunikationspfad auszutauschen. Weiterhin ist es möglich, einen ersten Parameter zum Einrichten bzw. Aktualisieren eines kryptographischen Schlüssels über den ersten Kommunikationspfad und einem zweiten Parameter über den zweiten Kommunikationspfad zu übertragen und anschließend den kryptographischen Schlüssel basierend auf dem ersten und dem zweiten Parameter zu bestimmen.
-
Das zweite Steuergerät SG2 kann anhand der erhaltenen Sicherheitsinformationen bzw. Prüfdaten PD erkennen, ob die empfangenen Nutzdaten ND von einem Dritten eingeschleust wurden oder manipuliert sind. Somit ist es bei dem erfindungsgemäßen Steuernetzwerk 1 möglich, Manipulationen bei der Datenübertragung zu erkennen. Dies erlaubt die Datenübertragungskabel in dem Zug nicht oder nur geringfügig geschützt zu verlegen, so dass der Aufwand bei der Verkabelung reduziert werden kann, ohne an Sicherheit zu verlieren. Auch kann in manchen Realisierungen nur ein Teil der Verkabelung geschützt verlegt werden, z. B. im Unterbodenbereich, wogegen ein anderer Teil der Verkabelung in einem relativ einfach zugänglichen Bereich, z. B. im Passagierbereich, verlegt ist. Beim erfindungsgemäßen Steuernetzwerk ist es ausreichend, die verschiedenen Steuergeräte SG physikalisch geschützt in dem jeweiligen Wagen des Schienenfahrzeuges unterzubringen. Bei einem erfindungsgemäßen Steuernetzwerk 1 hat ein Angreifer, der nur an einem Punkt das des ringförmige Datennetzwerk anzapft bzw. manipuliert, keinen Zugriff auf die entsprechenden Prüfinformationen bzw. Prüfdaten, die über den anderen Kommunikationspfad übertragen werden. Daher sind vorgenommene Manipulationen für das empfangende zweite Steuergerät SG2 erkennbar. Bei dem erfindungsgemäßen Steuernetzwerk 1 ist es möglich, auch ohne Einsatz von aufwändigen kryptographischen Verfahren die Sicherheit bei der Datenkommunikation signifikant zu erhöhen. Bei dem erfindungsgemäßen Steuernetzwerk 1 und dem erfindungsgemäßen Verfahren kann man, insbesondere bei Verwendung von asymmetrischen Sicherheitsmechanismen, die auf öffentlichen und korrespondierenden privaten kryptographischen Schlüsseln basieren, durch ein Schlüsselvereinbarungsprotokoll die Überprüfung der öffentlichen Schlüssel ermöglichen. Dies ist insbesondere in Umgebungen wichtig, in denen kein zertifiziertes Schlüsselmaterial verwendet wird. Bei Verwendung eines symmetrischen kryptographischen Schlüssels kann dieser Über einen Pfad übertragen bzw. vereinbart werden, und über den zweiten Pfad in Gegenrichtung wird eine vom eingerichteten bzw. vereinbarten Schlüssel abhängige Prüfinformation übertragen, z. B. eine Prüfsumme oder ein Hash-Wert.
-
Die ringförmig verschalteten Steuergeräte SG verfügen vorzugsweise jeweils über mindestens zwei Netzwerkschnittstellen. Die Netzwerkschnittstellen können Sicherheitsfunktionen, beispielsweise Paketfilter zur Filterung von Datenpaketen, zur Verschlüsselung sowie Prüfsummenüberprüfung zugeordnet sein. Die verschiedenen Steuergeräte SG verfügen vorzugsweise über mindestens eine Datenverarbeitungseinheit bzw. einen Prozessor, welcher die empfangenen Nutzdaten ND verarbeitet oder an ein anderes Steuergerät SG weiterleitet. Die empfangenen Nutzdaten ND können Steuerdaten sein, die durch den Prozessor als Steuerkommandos interpretiert werden. Der Prozessor kann in Abhängigkeit der empfangenen Steuerdaten Aktoren des jeweiligen Steuergerätes SG entsprechend ansteuern. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD bzw. Prüfinformationen werden vorzugsweise durch das empfangende Steuergerät über eine andere Netzwerkschnittstelle empfangen. Die übertragenen Nutzdaten können auch Konfigurationsdaten der verschiedenen Steuergeräte SG beinhalten.
-
Die 2A, 2B zeigen verschiedene Ausführungsbeispiele des erfindungsgemäßen Steuernetzwerkes 1. In den dargestellten Ausführungsbeispielen sind die verschiedenen Datennetzwerke der Schienenfahrzeugwagen über ein übergeordnetes Datennetzwerk des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten SG des Schienenfahrzeuges verbunden. Die in den Zugwagen 2-1 sowie den Waggons 2-2, 2-3, 2-4 verlegten ringförmigen Datennetzwerke umfassen jeweils mehrere Steuergeräte SG, wobei jeder Ring über ein Gateway GW mit weiteren Datennetzwerken des Schienenfahrzeuges verbunden ist. Bei dem in 2A dargestellten Ausführungsbeispiel wird das übergeordnete Datennetzwerk durch einen Schienenfahrzeug-Datenbus gebildet. Bei dem in 2B dargestellten Ausführungsbeispiel wird das übergeordnete Datennetzwerk des Schienenfahrzeuges durch ein Datennetzwerk gebildet, das ebenfalls eine Ring-Topologie aufweist. Bei dem in 2B dargestellten Ausführungsbeispiel bilden die verschiedenen Gateways GW der in den verschiedenen Waggons verlegten Datennetzwerke ihrerseits ein Datennetzwerk mit Ring-Topologie. Bei dem in 2A dargestellten Beispiel sind die verschiedenen Gateways GW über einen Datenbus miteinander verbunden der als übergeordnetes Datennetzwerk beispielsweise über die mechanischen Kupplungseinrichtungen der verschiedenen Schienenfahrzeugwagen verlegt sein kann.
-
3A, 3B zeigen Diagramme zur Verdeutlichung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes. Bei dem in 3A dargestellten Beispiel überträgt ein erstes Steuergerät SG1 Nutzdaten zu einem in dem gleichen Ring befindlichen zweiten Steuergerät SG2. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden in gegenläufiger Richtung zu dem gleichen Steuergerät SG2 übertragen und dort mit den empfangenen Nutzdaten verglichen.
-
Bei dem in 3B dargestellten Beispiel überträgt ein erstes Steuergerät SG1, das in einem ersten ringförmigen Datennetzwerk befindet, Daten an ein zweites Steuergerät SG2, welches sich in einem anderen zweiten ringförmigen Datennetzwerk befindet. Die Datenübertragung erfolgt dabei über die Gateways sowie das übergeordnete Datennetzwerk, welches bei dem dargestellten Ausführungsbeispiel ein Datenbus ist. Wie man in 3B erkennen kann, werden die zugehörigen Prüfdaten in den jeweiligen Ringen in gegenläufiger Richtung zu dem zweiten Steuergerät SG2 übertragen. In dem übergeordneten Datenbus werden die Nutzdaten ND und die Prüfdaten PD in der gleichen Richtung übertragen. Die Übertragung der Prüfdaten PD und der Nutzdaten ND kann über verschiedene Datenleitungen des gemeinsamen Datenbusses erfolgen. Bei einer alternativen Ausführungsform werden die Nutzdaten ND und die Prüfdaten PD zeitlich versetzt über den Datenbus in der gleichen Richtung übertragen, insbesondere wenn der Datenbus nur über eine einzige Leitung verfügt.
-
4 zeigt ein weiteres Diagramm zur Darstellung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes 1. Bei dem in 4 dargestellten Beispiel ist das übergeordnete Datennetzwerk ebenfalls durch einen Ring gebildet. Bei dem dargestellten Beispiel überträgt ein Steuergerät SG1 in einem ersten Ring Nutzdaten ND über das ringförmige übergeordnete Datennetzwerk zu einem zweiten Steuergerät SG2, das sich in einem anderen ringförmigen Netzwerk befindet. Die beiden ringförmigen Datennetzwerke befinden sich beispielsweise in verschiedenen Waggons eines Schienenfahrzeuges. Wie man aus 4 erkennen kann, werden die Nutzdaten ND von dem ersten Steuergerät SG1 in den ringförmig verlegten Datennetzwerken der verschiedenen Waggons in gegenläufiger Richtung zu dem zweiten Steuergerät SG2 übertragen. Darüber hinaus erfolgt auch eine gegenläufige Übertragung der Nutzdaten ND und der Prüfdaten PD in dem ringförmigen Datennetzwerk des Schienenfahrzeuges, das heißt dem übergeordneten Datennetzwerk des gesamten Schienenfahrzeugs.
-
5 zeigt ein weiteres Ausführungsbeispiel des erfindungsgemäßen Steuernetzwerkes. Bei dem in 5 dargestellten Ausführungsbeispiel überträgt ein erstes Steuergerät SG1 in einem ersten Wagen 2-i Nutzdaten ND zunächst zu einem weiteren Steuergerät innerhalb des gleichen Rings, das eine elektrische Verbindung mit einer ersten Schiene S1 besitzt. Die Nutzdaten ND werden über die erste Schiene S1 zu einem anderen Wagen 2-j übertragen und gelangen von einem mit den Schienenrädern elektrisch verbundenen Gerät des zweiten ringförmigen Datennetzwerkes 2-j zu dem zweiten Steuergerät SG2. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden von dem ersten Steuergerät SG1 über eine zweite Schiene S2 zu dem in dem anderen Waggon 2-j befindlichen Steuergerät SG2 in gegenläufiger Richtung übertragen. Die Schienen S1, S2 sind elektrisch leitfähig und eignen sich bei dem dargestellten Ausführungsbeispiel zur Datenübertragung. Das in 5 dargestellte Ausführungsbeispiel hat den Vorteil, dass die beiden Wagen 2-i, 2-j mechanisch nicht miteinander gekoppelt sein müssen. Bei den beiden Wagen 2-i, 2-j kann es sich auch um Wagen unterschiedlicher Schienenfahrzeuge handeln. Bei einer möglichen Ausführungsform bildet jeder der beiden Wagen 2-i, 2-j ein eigenes Schienenfahrzeug, beispielsweise zum Transport von Passagieren von einem Flughafen.
-
Bei einer möglichen Ausführungsform sendet das zweite Steuergerät SG2 des Wagens 2-j bei Empfang von Nutzdaten ND seinerseits Daten zurück an das erste Steuergerät SG1 des anderen Wagens 2-i. Auf diese Weise können bidirektional Nutzdaten ND und zugehörige Prüfdaten PD zwischen den beiden Wagen 2-i, 2-j ausgetauscht werden. Bei einer möglichen Ausführungsform tauschen die beiden Steuergeräte SG1, SG2 Positionsdaten als Nutzdaten aus, beispielsweise um einen Mindestabstand zwischen den beiden Fahrzeugwagen 2-i, 2-j zu gewährleisten. Wird beispielsweise durch das zweite Steuergerät SG2 anhand der empfangenen Nutzdaten ND festgestellt, dass ein Mindestabstand zwischen den beiden Fahrzeugwagen 2-i, 2-j unterschritten wird, kann das zweite Steuergerät SG2 ein anderes Steuergerät in dem Wagen 2-j dazu veranlassen, den Wagen 2-j zu bremsen bzw. zu beschleunigen.
-
6 zeigt ein weiteres Ausführungsbeispiel des erfindungsgemäßen Steuernetzwerkes 1. Bei dem in 6 dargestellten Ausführungsbeispiel überträgt das erste Steuergerät SG1 Nutzdaten zu einem zweiten Steuergerät SG2 über eine Spannungsversorgungsleitung zur Spannungsversorgung des Schienenfahrzeuges. Die zugehörigen Prüfdaten PD werden über einen alternativen Kommunikationspfad zu dem zweiten Steuergerät SG2 übertragen. Bei dem in 6 dargestellten Beispiel werden die Prüfdaten PD von dem ersten Steuergerät SG1 über eine Schiene S zu dem ersten Waggon 2-2 hin von dem zweiten Waggon 2-3 gesendet und dort abgegriffen und an das zweite Steuergerät SG2 weitergeleitet. Bei der in 6 dargestellten Ausführungsform ist die dort angedeutete mechanische Kopplung zwischen den verschiedenen Wagen 2-i des Schienenfahrzeuges nicht zwingend erforderlich, um eine Datenkommunikation zwischen verschiedenen Wagen 2-i zu ermöglichen.
-
7 zeigt ein weiteres Ausführungsbeispiel des erfindungsgemäßen Steuernetzwerkes 1. In dem in 7 dargestellten Ausführungsbeispiel sendet ein Steuergerät SG1 in dem Wagen 2-2 Nutzdaten ND an ein Steuergerät SG2 in dem Wagen 2-3 des Schienenfahrzeuges. Die Nutzdaten ND werden mit Hilfe eines WLAN-Funkmoduls W von dem zweiten Wagen 2-2 zu dem dritten Wagen 2-3 über eine Luftschnittstelle übertragen. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden bei dem in 7 dargestellten Beispiel über eine Schiene S zu dem zweiten Steuergerät SG2 übertragen.
-
Verschiedene Kombinationen der in den 5, 6, 7 dargestellten Ausführungsbeispiele sind möglich. Zur Erhöhung der Manipulationssicherheit können die Prüfdaten PD und weitere Prüfdatenkopien auf verschiedenen Kommunikationspfaden von dem ersten Steuergerät SG1 zu dem zweiten Steuergerät SG2 gelangen. Beispielsweise werden die Prüfdaten PD nicht nur wie in 4 dargestellt über ein zugeordnetes ringförmiges Datennetzwerk des Schienenfahrzeuges gegenläufig zu den Nutzdaten ND zu einem anderen Wagen übertragen, sondern zusätzlich auch über eine Luftschnittstelle oder eine Schiene oder eine Spannungsversorgungsleitung. In diesem Ausführungsbeispiel erhält das zweite Steuergerät SG2 die Prüfdaten PD auf verschiedenen Signalwegen und kann sie untereinander vergleichen. Auch die Nutzdaten ND können auf mehreren Kommunikationspfaden bzw. Übertragungswegen in möglichen Ausführungsformen von dem ersten Steuergerät SG1 zu dem zweiten Steuergerät SG2 übertragen werden. Bei dem erfindungsgemäßen Steuernetzwerk 1 werden die Signalpfade bzw. Kommunikationspfade für die Nutzdaten ND und die zugehörigen Prüfdaten PD derart gewählt, dass die Überlappung zwischen den beiden Kommunikationspfaden möglichst gering ist. Im Idealfall weisen die beiden Kommunikationspfade keine Überlappung auf. Durch das erfindungsgemäße Steuernetzwerk wird die Redundanz in verschiedenen Kommunikationspfaden ausgenutzt, um die Manipulationssicherheit zu erhöhen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-