DE102010052486A1 - Steuerung des Betriebes eines spurgebundenen Fahrzeugs - Google Patents

Steuerung des Betriebes eines spurgebundenen Fahrzeugs Download PDF

Info

Publication number
DE102010052486A1
DE102010052486A1 DE102010052486A DE102010052486A DE102010052486A1 DE 102010052486 A1 DE102010052486 A1 DE 102010052486A1 DE 102010052486 A DE102010052486 A DE 102010052486A DE 102010052486 A DE102010052486 A DE 102010052486A DE 102010052486 A1 DE102010052486 A1 DE 102010052486A1
Authority
DE
Germany
Prior art keywords
data
computer
connection
data memory
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102010052486A
Other languages
English (en)
Other versions
DE102010052486B4 (de
Inventor
Peter Heidrich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alstom Transportation Germany GmbH
Original Assignee
Bombardier Transportation GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bombardier Transportation GmbH filed Critical Bombardier Transportation GmbH
Priority to DE102010052486.7A priority Critical patent/DE102010052486B4/de
Publication of DE102010052486A1 publication Critical patent/DE102010052486A1/de
Application granted granted Critical
Publication of DE102010052486B4 publication Critical patent/DE102010052486B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft eine Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wobei die Anordnung aufweist: • zumindest einen ersten Steuerrechner (1) zur Steuerung des Betriebs, • einen zweiten Rechner (3) zur Steuerung einer Passagier Informationseinrichtung, die Informationen an Passagiere des Fahrzeugs ausgibt, und/oder zur Kommunikation mit Passagieren und/oder Fahrzeug-externen Kommunikationsteilnehmern, wobei der erste Steuerrechner (1) direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner (2) mit dem zweiten Rechner (3) verbunden ist und wobei über die Verbindung (18) Daten von dem zweiten Rechner (3) zu dem Verbindungsrechner (2) übertragbar sind, • die Verbindung (18) ausschließlich über einen Datenspeicher (15) mit zwei Anschlüssen hergestellt ist, wobei der erste Anschluss mit dem zweiten Rechner (3) und der zweite Anschluss mit dem Verbindungsrechner (2) verbunden ist, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er zum Lesen von Daten in dem Datenspeicher (15) ausschließlich auf vorgegebene Speicherplätze des Datenspeichers (15) zugreifen kann.

Description

  • Die Erfindung betrifft eine Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs. Bei dem Fahrzeug handelt es sich insbesondere um ein Fahrzeug für den öffentlichen Personenverkehr. Ein spezielles Anwendungsgebiet ist der Fernverkehr mit Schienenfahrzeugen, z. B. mit Hochgeschwindigkeitszügen.
  • Es ist bekannt, dass in einem Schienenfahrzeug eine zentrale Fahrzeugsteuerung mit zumindest einem Steuerrechner den Betrieb des Fahrzeugs steuert. Zum Betrieb gehört insbesondere die Traktion, das Bremssystem und so genannte Nebenbetriebe wie Beleuchtung, Heizung und Klimatisierung, die nicht unmittelbar mit der Fortbewegung des Fahrzeugs zutun haben. Passagiere haben keine Möglichkeit, direkt auf die zentrale Fahrzeugsteuerung Einfluss zu nehmen.
  • Wenn die Fahrzeugsteuerung mehrere Steuerrechner aufweist und somit ein verteiltes Steuerungssystem ist, kommunizieren die verschiedenen Steuerrechner üblicherweise über einen Datenbus miteinander. An den Datenbus kann auch die Steuereinrichtung angeschlossen sein, mit der der Fahrer das Fahrzeug steuert.
  • Die Erfindung betrifft insbesondere Steuerungsanordnungen der zuvor beschriebenen Arten.
  • Zur Information von Passagieren sind bereits Systeme vorgeschlagen worden, die zumindest einen weiteren Steuerrechner aufweisen, der die Darstellung und Ausgabe von Informationen an die Passagiere steuert. Zu diesen Informationen gehören insbesondere das Fahrziel, die nächste Haltestelle, Fahrgeschwindigkeit, Fahrdauer, verbleibende Fahrdauer bis zu einer Haltestelle oder die Uhrzeit. Z. B. befinden sich in Großraumwagen über den Ausgängen des Großraumes, in dem die Passagiere transportiert werden, entsprechende Displays. Auch Lautsprecher können benutzt werden, um vorgefertigte Sprachnachrichten auszugeben oder Ansagen des Fahrzeugpersonals auszugeben. Diese Fahrgastinformationssysteme können insbesondere über eine Datenschnittstelle mit der zentralen oder verteilten Fahrzeugsteuerung verbunden sein. In jedem Fall jedoch haben die Passagiere (d. h. die Fahrgäste) keine Möglichkeit, das Fahrgastinformationssystem zu beeinflussen, indem sie Daten in das System eingeben, um damit unerwünschte (z. B. falsche) Informationen darstellen zu lassen oder das System in sonstiger Weise zu manipulieren. Insbesondere besteht für die Passagiere auch kein indirekter Zugriff über das Fahrgastinformationssystem auf die Fahrzeugsteuerung.
  • In zunehmendem Maße sollen den Passagieren aber zusätzliche Informationen übermittelt werden, die über die oben genannten Informationen hinausgehen, besonders aktuell sind, aus einer Informationsquelle stammen, die außerhalb des Fahrzeugs liegt, und/oder der Unterhaltung des jeweiligen Passagiers dienen. Z. B. können in den Fahrgasträumen Bildschirme vorgesehen werden und zusätzlich Anschlüsse für Kopfhörer vorgesehen werden, um diese zusätzlichen Informationen an die Passagiere auszugeben. Insbesondere die Forderung, dass die Informationen besonders aktuell sind und von einer Informationsquelle außerhalb des Fahrzeugs stammen, führt dazu, dass das fahrzeuginterne Informationssystem nicht mehr so sicher ist, dass es dem System erlaubt werden kann, andere Systeme in dem Fahrzeug zu beeinflussen oder sogar zu steuern. Eine direkte Ankopplung des Reisendeninformationssystems, welches die zusätzlichen Informationen ausgibt, zu der Fahrzeugsteuerung und/oder zu dem o. g. Fahrgastinformationssystem kann daher nicht zugelassen werden. Andererseits wäre eine solche Verbindung wünschenswert, damit die Fahrzeugsteuerung über die Kommunikationsschnittstelle des Reisendeninformationssystems Informationen von außen erhalten kann. Auch könnten Vorteile erzielt werden, wenn zusätzlich zu einem konventionellen Fahrgastinformationssystem ein Reisendeninformationssystem zur Vermittlung zusätzlicher Informationen vorhanden ist. Weist das konventionelle Fahrgastinformationssystem z. B. keine Displays zum Darstellen visuell wahrnehmbarer Informationen auf, könnten die Bildschirme des Reisendeninformationssystems für die visuelle Ausgabe genutzt werden.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine Lösung der zuvor genannten Problematik bereitzustellen. Insbesondere soll es möglich sein, Daten zwischen einem für die Sicherheit des Fahrzeugs und seiner Passagiere relevanten System (insbesondere die Fahrzeugsteuerung) und einem fahrzeugextern ansteuerbaren Reisendeninformationssystem zu ermöglichen, ohne die Sicherheit zu gefährden.
  • Gemäß einem Grundgedanken der vorliegenden Erfindung wird eine Verbindung zwischen dem sicherheitsrelevanten System und dem nicht sicheren (bzw. gefährdeten) System hergestellt, indem ein Datenspeicher (z. B. ein RAM, Random Access Memory, also ein flüchtiger Speicher) mit zwei Anschlüssen verwendet wird. Der Datenspeicher ist über den einen Anschluss mit dem sicheren System und über den anderen Anschluss mit dem nicht sicheren System verbunden. Sollen nun Daten von einem Rechner (im Folgenden Quellrechner) eines der Systeme zu einem Rechner (im Folgenden Zielrechner) des anderen Systems übertragen werden, schreibt der Quellrechner die zu übertragenden Daten in den Datenspeicher. Der Zielrechner liest die Daten aus dem Datenspeicher aus, womit die Daten von dem einen System auf das andere System übertragen worden sind.
  • Bereits mit diesem Grundkonzept ist Sicherheit gegenüber einer direkten Datenübertragungsverbindung verbessert, da Daten nur in dem Umfang und in der Weise übertragbar sind, wie sie in den Datenspeicher geschrieben werden können und aus dem Datenspeicher ausgelesen werden können. Allein durch die Kapazität des Datenspeichers und die Art seiner Datenspeicherstruktur kann verhindert werden, dass beliebige schädliche Daten in beliebiger Menge, z. B. Computerprogramme, in das Zielsystem übertragen werden. Insbesondere wird daher vorgeschlagen, den Zielrechner so zu konfigurieren, dass er zum Lesen der Daten in dem Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann. Dies begrenzt die Kapazität des Datenspeichers oder des Teils des Datenspeichers, der für die Datenübertragung nutzbar ist. Für eine Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wird daher vorgeschlagen, dass die Anordnung aufweist:
    • • zumindest einen ersten Steuerrechner zur Steuerung des Betriebs,
    • • einen zweiten Rechner zur Steuerung einer Passagier-Informationseinrichtung, die Informationen an Passagiere des Fahrzeugs ausgibt, und/oder zur Kommunikation mit Passagieren und/oder Fahrzeug-externen Kommunikationsteilnehmern, wobei der erste Steuerrechner direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner mit dem zweiten Rechner verbunden ist und wobei über die Verbindung Daten von dem zweiten Rechner zu dem Verbindungsrechner übertragbar sind,
    • • die Verbindung ausschließlich über einen Datenspeicher mit zwei Anschlüssen hergestellt ist, wobei der erste Anschluss mit dem zweiten Rechner und der zweite Anschluss mit dem Verbindungsrechner verbunden ist, wobei der Verbindungsrechner derart konfiguriert ist, dass er zum Lesen von Daten in dem Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann.
  • Insbesondere kann die entsprechende Konfiguration des Verbindungsrechners, d. h. des Zielrechners, derart sein, dass eine oder mehrere Adressen des Datenspeichers vorgegeben sind und nur die Daten in den Speicherplätzen von dem Zielrechner gelesen werden können, die der Adresse oder den Adressen entsprechen. Bei einer Variante kann der Verbindungsrechner der Quellrechner sein und der zweite Rechner der Zielrechner, d. h. die Datenübertragung findet in umgekehrte Richtung statt. In jedem Fall wird bevorzugt, dass ein gleichzeitiger Zugriff der beiden Rechner auf den Datenspeicher oder auf dieselben Speicherplätze gesperrt ist, z. B. mittels einer Schaltungslogik, die den Zugriff freigibt und sperrt.
  • Damit ist es möglich, dass der zweite Rechner zur Steuerung einer Passagier-Informationseinrichtung für eine Kommunikation mit fahrzeugexternen Kommunikationspartnern (z. B. über eine Funkstrecke oder ein Datenübertragungsnetz, wie ein WLAN oder das Internet) offen ist. Auch kann der zweite Rechner direkt oder indirekt mit einer Schnittstelle verbunden sein, über die Passagiere Daten in das System eingeben können, z. B. Videodaten zum Darstellen eines Kinofilms. Sollte das Reisendeninformationssystem dabei so manipuliert werden, dass versucht wird, auf ein sicheres System des Fahrzeug zuzugreifen (um Daten aus dem sicheren System abzurufen und/oder den Betrieb des sicheren Systems zu beeinflussen), kann dies unter anderem wirksam durch die Begrenzung der für die Datenübertragung zur Verfügung stehenden Speicherkapazität verhindert werden.
  • Vorzugsweise werden alternative oder zusätzliche Maßnahmen ergriffen. Alle diese Maßnahmen und Ausgestaltungen betreffen jedoch einen Datenspeicher mit zwei Anschlüssen, über die die Verbindung zwischen Quellsystem und Zielsystem hergestellt wird.
  • Insbesondere kann der Zielrechner (z. B. der o. g. Verbindungsrechner) derart konfiguriert sein, dass er ausschließlich zum Lesen von Daten auf den Datenspeicher zugreifen kann, nicht aber zum Schreiben. Dies kann bei einer anderen Ausgestaltung auch den umgekehrten Fall betreffen, bei dem der Zielrechner der zweite Rechner ist, der der Steuerung der Passagier-Informationseinrichtung dient. Auch in dem o. g. Fall, in dem der Zielrechner derart konfiguriert ist, dass er zum Lesen von Daten in dem Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann, kann der Quellrechner der so genannte Verbindungsrechner des sicheren Systems sein und der Zielrechner der zweite Rechner des Reisendeninformationssystems. Statt einem Reisendeninformationssystem kann es sich auch um ein anderes nicht sicheres System handeln.
  • Die Begrenzung des Zugriffs eines der Rechner auf das Lesen von Daten aus dem Datenspeicher verhindert einen unkontrollierten Datenfluss in die andere Richtung, der beispielsweise das Ergebnis einer Manipulation des Zielrechners ist. Alternativ oder zusätzlich kann der gemäß der beabsichtigten Ausgestaltung als Quellrechner ausgestaltete Rechner so konfiguriert sein, dass er keine Daten aus dem Datenspeicher ausliest. Er benutzt den Datenspeicher nur zum Schreiben.
  • Wenn für die umgekehrte Richtung der Datenübertragung auch eine Verbindung vorgesehen sein soll, kann ein weiterer Datenspeicher verwendet werden, der gemäß einer der o. g. Ausgestaltungen konfiguriert ist und/oder betrieben wird.
  • Zwei Datenspeicher können auch durch zwei Teilbereiche desselben Datenspeicher-Bauteils realisiert werden. Dies wird jedoch nicht bevorzugt. Vielmehr sind bevorzugt zwei Datenspeicher-Bauteile vorhanden oder Datenspeicher-Teilbereiche verschiedener Datenspeicher. Der eine Datenspeicher oder Datenspeicher-Teilbereich ist dem Quellrechner und der andere Datenspeicher oder Datenspeicher-Teilbereich ist dem Zielrechner zugeordnet, beispielsweise in den Rechner eingebaut oder als periphere Komponente an den Rechner angeschlossen. Im Fall des Einbaus kann es sich z. B. um eine Einsteckkarte handeln, so dass eine Nachrüstung eines existierenden Rechners für die Zwecke der vorliegenden Erfindung möglich ist.
  • Wenn ein zweiter Datenspeicher mit zwei Anschlüssen vorgesehen ist, kann der erste Anschluss mit dem zweiten Rechner und der zweite Anschluss mit dem Verbindungsrechner verbunden sein, wobei der Verbindungsrechner derart konfiguriert ist, dass er zum Schreiben von Daten in den Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann. Allgemeiner formuliert kann der Quellrechner derart konfiguriert sein, dass er zum Schreiben von Daten in den Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann, wobei der erste Anschluss des Datenspeichers mit dem Zielrechner verbunden ist. Dies stellt eine Variante der oben genannten Ausgestaltung dar, bei der der Zielrechner zum Lesen von Daten ausschließlich in vorgegebenen Speicherplätzen des Datenspeichers konfiguriert ist. Diese Variante kann auch gewählt werden, wenn lediglich ein Datenspeicher vorhanden ist.
  • Eine weitere alternative oder zusätzliche Maßnahme zur Erhöhung der Sicherheit besteht darin, dass der Zielrechner derart konfiguriert ist, dass er aus dem Datenspeicher ausgelesene Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und alle von ihm aus dem Datenspeicher ausgelesenen Daten als nicht verwendbare Daten behandelt, wenn die ausgelesenen Daten oder ein Teil der ausgelesenen Daten nicht der erwarteten Datenart entsprechen/entspricht. Unter einer Datenart kann insbesondere verstanden werden, dass nur eine von mehreren vorgegebenen Kombinationen von Datenwerten (z. B. 0101 und 1010) vorkommen kann oder in einem bestimmten, vorgegebenen Speicherplatz vorkommen kann. Alternativ oder zusätzlich kann eine erwartete Datenart einen vorgegebenen Code enthalten, d. h. z. B. bestimmte Datenwerte. Lediglich die zusätzlichen, nicht durch den Code belegten Datenwerte können variieren und die eigentliche zu übertragende Information enthalten.
  • Wenn der Zielrechner eine nicht erwartete Datenart ausgelesen hat und festgestellt hat, dass die Datenart nicht erwartet ist, kann er insbesondere bereits aus dem Datenspeicher ausgelesene Daten verwerfen (z. B. löschen). Er kann zwar gemäß einer weiteren Ausgestaltung fortfahren, aus dem Datenspeicher Daten auszulesen, diese Daten aber solange als nicht verwendbare Daten behandeln, wie sich unter den ausgelesenen Daten noch Daten einer nicht erwarteten Datenart befinden. Soll noch eine höhere Sicherheit gewährleistet werden, kann der Zielrechner bei Erkennung einer nicht erwarteten Datenart die Datenkommunikation solange unterbrechen, bis er ein Rücksetzsignal erhalten hat, das beispielsweise vom Fahrer des Fahrzeugs oder auf andere Weise erzeugt wurde.
  • In Analogie zu der oben beschriebenen Konfiguration des Zielrechners, ausgelesene Daten auf Übereinstimmung mit einer erwarteten Datenart zu überprüfen, kann alternativ oder zusätzlich der Quellrechner derart konfiguriert sein, dass er in den Datenspeicher zu schreibende Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und die von ihm in den Datenspeicher zu schreibenden Daten nicht in den Datenspeicher schreibt, wenn die zu schreibenden Daten oder ein Teil der zu schreibenden Daten nicht der erwarteten Datenart entsprechen/entspricht. Zwar würde es sich bei dem Quellrechner um denjenigen Rechner handeln, der unmittelbar von einer Manipulation betroffen wäre, jedoch kann auch in diesem Fall eine Überprüfung der Datenart verhindern, dass nicht erwünschte Daten übertragen werden. Durch die Manipulation müsste auch die Überprüfung der Datenart manipuliert werden, um die Übertragung der unerwünschten Daten zu erreichen.
  • Gemäß einem weiteren Gedanken, der mit der zuvor beschriebenen Lösung kombinierbar ist, aber auch allein realisiert werden kann, ist zwischen dem Quellrechner und dem Zielrechner eine unidirektionale oder bidirektionale Verbindung zur Übertragung von Daten vorhanden, wobei eine Steuereinrichtung zur Steuerung der Verbindung ausgestaltet ist, abhängig von der Verwendung eines vordefinierten Schlüssels eine Datenübertragung über die Verbindung freizugeben oder zu sperren. Dadurch ist es z. B. zusätzlich zu der hinsichtlich der Datenspeicherkapazität und damit der übertragbaren Datenmenge begrenzten Verbindung möglich, bei Einsatz des Schlüssels eine größere Datenmenge vom Quellrechner auf den Zielrechner zu übertragen. Bei dem Schlüssel kann es sich um einen Hardware-Schlüssel handeln (z. B. einen klassischen Schlüssel, der in ein Schloss gesteckt werden muss und betätigt werden muss) oder um einen digitalen Schlüssel handeln (z. B. einen von einer Zertifizierungsstelle zertifizierten digitalen Schlüssel). Ein digitaler Schlüssel muss z. B. dem Quellrechner und/oder dem Zielrechner übermittelt werden, um die Datenübertragung über diese Verbindung zu ermöglichen. Auf diese Weise ist es z. B. möglich, über das Reisendeninformationssystem von außerhalb des Fahrzeugs oder durch direkte Eingabe der Daten in das Reisendeninformationssystem neue oder aktualisierte Informationen (z. B. Haltestellenlisten, Ansagetexte, Fahrplaninformationen, Umsteigeinformationen) über die schlüsselgesicherte Verbindung zu dem sicheren System, insbesondere dem o. g. Fahrgastinformationssystem, zu übertragen.
  • Zum Umfang der Erfindung gehört ferner ein Verfahren zum Herstellen einer Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wobei
    • • zumindest ein erster Steuerrechner zur Steuerung des Betriebs vorgesehen wird,
    • • ein zweiter Rechner vorgesehen wird, zur Steuerung einer Passagier-Informationseinrichtung, die Informationen an Passagiere des Fahrzeugs ausgibt, und/oder zur Kommunikation mit Passagieren und/oder Fahrzeug-externen Kommunikationsteilnehmern,
    • • der erste Steuerrechner direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner mit dem zweiten Rechner verbunden wird und wobei über die Verbindung Daten von dem zweiten Rechner zu dem Verbindungsrechner übertragbar sind,
    • • die Verbindung ausschließlich über einen Datenspeicher mit zwei Anschlüssen hergestellt wird, wobei der erste Anschluss mit dem zweiten Rechner und der zweite Anschluss mit dem Verbindungsrechner verbunden wird,
    • • der Verbindungsrechner derart konfiguriert wird, dass er zum Lesen von Daten in dem Datenspeicher ausschließlich auf vorgegebene Speicherplätze des Datenspeichers zugreifen kann.
  • Ausgestaltungen und Weiterbildungen des Verfahrens entsprechen den Ausgestaltungen und Weiterbildungen der Steuerungsanordnung.
  • Ferner gehört zum Umfang der Erfindung ein Verfahren zum Betreiben eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wobei:
    • • ein Steuerrechner zur Steuerung des Betriebs direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner Daten von einem zweiten Rechner empfängt und/oder Daten zu diesem zweiten Rechner überträgt,
    • • der zweite Rechner eine Passagier-Informationseinrichtung steuert, die Informationen an Passagiere des Fahrzeugs ausgibt und/oder eine Kommunikation mit Passagieren und/oder fahrzeugexternen Kommunikationsteilnehmern steuert,
    • • die Datenübertragung über einen Datenspeicher mit zwei Anschlüssen erfolgt, wobei der erste Anschluss des Datenspeichers mit dem zweiten Rechner verbunden ist und der zweite Anschluss des Datenspeichers mit dem Verbindungsrechner verbunden ist,
    • • der Quellrechner (d. h. der Verbindungsrechner oder der zweite Rechner, je nach Richtung der Datenübertragung) zur Übertragung der Daten diese in den Datenspeicher vorzugsweise ausschließlich auf vorgegebene Speicherplätze des Datenspeichers schreibt und der Zielrechner die Daten vorzugsweise ausschließlich aus vorgegebenen Speicherplätzen des Datenspeichers ausliest, um die Daten zu empfangen.
  • Ausgestaltungen und Weiterbildungen des Verfahrens ergeben sich aus Ausgestaltungen und Weiterbildungen der Steuerungsanordnung und des Herstellungsverfahrens.
  • Ausführungsbeispiele der Erfindung werden nun unter Bezugnahme auf die beigefügte Zeichnung beschrieben. Die einzelnen Figuren der Zeichnung zeigen:
  • 1 schematisch die Verschaltung von verschiedenen Systemen in einem Schienenfahrzeug,
  • 2 schematisch Verbindungen zwischen einem Quellrechner und einem Zielrechner.
  • 1 zeigt einen Steuerrechner 1 zur Steuerung des Betriebs des Fahrzeugs, der optional über einen Datenbus f mit anderen Einrichtungen und insbesondere anderen Steuerungseinrichtungen zum Steuern des Betriebes des Fahrzeugs verbunden sein kann. Ferner ist der Steuerrechner 1 über einen Datenbus a mit einem Rechner 2 verbunden, der Teil eines klassischen Fahrgastinformationssystems FIS ist. Der Rechner 2 weist eine Einrichtung zur Ausgabe akustischer Signale an die Fahrgäste auf oder ist mit einer solchen Einrichtung verbunden, um gesteuert von dem Rechner 2 solche akustischen Signale über Lautsprecher L an die Fahrgäste auszugeben.
  • Außerdem ist der Rechner 2 über einen weiteren Datenbus c mit zumindest einer Anzeigeeinrichtung 4, 5 zum Anzeigen visuell wahrnehmbarer Informationen verbunden. In 1 sind beispielsweise Anzeigeeinrichtungen 4 im Inneren des Fahrzeugs und von außerhalb des Fahrzeugs sichtbare äußere Anzeigeeinrichtungen 5 dargestellt. Die äußeren Anzeigeeinrichtungen 5 dienen z. B. der Anzeige des Reiseziels mit einem Display an einem stirnseitigen Ende des Schienenfahrzeugs. Die Anzeigeeinrichtungen 4, 5, der Datenbus c, der Rechner 2 und die Lautsprecher L (sowie die nicht dargestellte Einrichtung zur Erzeugung der akustischen Signale) sind Teile eines klassischen Fahrgastinformationssystems, auf das Passagiere keinen manipulativen Zugriff haben. Allenfalls können vorbereitete Informationen von den Passagieren über Bedieneinrichtungen abgerufen werden.
  • Der Rechner 2 ist über eine erste Verbindung 8 und eine zweite Verbindung 9 mit einem weiteren Rechner 3 verbunden, der dem o. g. zweiten Rechner entspricht. Der Rechner 3 ist Teil eines Reisendeninformationssystems, das dazu dient, zusätzliche, über die Informationen des FIS hinausgehende Informationen an die Passagiere auszugeben. Optional kann dieses Reisendeninformationssystem (kurz: RIS) auch eine Datenschnittstelle aufweisen, über die Passagiere Informationen in Form von Daten in das RIS eingeben können. Zu dem RIS können weitere Einrichtungen und Komponenten gehören, insbesondere Bildschirme 6 zur visuellen Darstellung von Informationen und (nicht dargestellt) Schnittstellen zur Ausgabe von akustischen Informationen oder Signalen zur Erzeugung akustischer Informationen.
  • Optional, wie durch gestrichelte Linien in 1 dargestellt ist, ist der Rechner 3 mit den Anzeigeeinrichtungen 4, 5 verbunden, insbesondere über den Datenbus c. Dabei nutzt der Rechner 3 vorzugsweise nur dann denselben Datenbus c für die Datenübertragung zu den Anzeigeeinrichtungen 4, 5 wie der Rechner 2, wenn über den Datenbus c keine direkte oder indirekte Kommunikation zwischen den Rechnern 2 und 3 möglich ist.
  • Die gestrichelte Darstellung des Datenbusses c in 1 dient hauptsächlich dazu anzudeuten, dass entweder der Rechner 2 oder der Rechner 3 über einen Datenbus c mit den Anzeigeeinrichtungen 4, 5 verbunden ist. Dies bedeutet, dass der Rechner 2 und damit auch das gesamte klassische Fahrgastinformationssystem entfallen kann, wenn dessen Aufgaben von dem Rechner 3 und dessen Reisendeninformationssystem übernommen werden. In diesem Fall können z. B. auch die Lautsprecher L gesteuert durch den Rechner 3 betrieben werden. Ferner bestehen die Verbindungen 8, 9 in diesem Fall nicht wie in 1 dargestellt zwischen dem Rechner 2 und dem Rechner 3, sondern zwischen dem Rechner 1 und dem Rechner 3. In der oben verwendeten Terminologie ist daher der Rechner 1 der Verbindungsrechner, wenn das klassische Fahrgastinformationssystem nicht vorhanden ist.
  • Da es möglich ist, dass die Anzeigeeinrichtungen 4, 5 und die Lautsprecher L von dem Rechner 3 angesteuert werden und damit an das nicht sichere Reisendeninformationssystem angeschlossen sind, können auch Fahrzeuge, die bisher über keine solchen Anzeigesysteme verfügt haben, auf einfache Weise nachgerüstet werden, indem ein Reisendeninformationssystem vorgesehen wird und in erfindungsgemäßer Weise mit der Fahrzeugsteuerung verbunden wird. Eine solche Verbindung sollte generell vorhanden sein, damit zumindest einige wenige Informationen (z. B. über die Fahrgeschwindigkeit, Temperaturen, die zurückgelegte Wegstrecke usw.) nicht separat von dem Reisendeninformationssystem ermittelt werden müssen. Solche Informationen stehen der Fahrzeugsteuerung ohnehin zur Verfügung.
  • Der Rechner 3 ist über eine Antenne e in der Lage, über eine Funkverbindung Daten zu empfangen und/oder zu senden. Z. B. werden über die Antenne e aktuelle Informationen über geänderte Fahrpläne und insbesondere Anschlusszüge an den nächsten Haltestellen empfangen. Z. B. ist es auch externen Kommunikationspartnern möglich, über die Antenne e Daten zu dem Rechner 3 zu übertragen, um das Reisendeninformationssystem zu steuern.
  • Über die Verbindung 9 können Daten von dem Verbindungsrechner 1 oder 2 zu dem Rechner 3 des RIS übertragen werden. Allerdings soll es nicht möglich sein, beliebige Daten von dem Verbindungsrechner 1 oder 2 zu dem Rechner 3 zu übertragen. Die Datenübertragung über die Verbindung 9 ist daher gemäß zumindest einer der Ausgestaltungen der vorliegenden Erfindung (insbesondere wie oben beschrieben) begrenzt. Die Verbindung 9 ist über eine nicht in 1 dargestellten Datenspeicher hergestellt, der zwei Anschlüsse aufweist, wobei der erste Anschluss mit dem Verbindungsrechner und der zweite Anschluss mit dem Rechner 3 verbunden ist. Der Verbindungsrechner 1 oder 2 schreibt die Daten in den Datenspeicher und der Rechner 3 liest die Daten aus dem Datenspeicher aus. Z. B. durch Begrenzung der Größe des Datenspeichers oder des Teils des Datenspeichers, in den der Verbindungsrechner 1 oder 2 Daten schreiben kann und/oder aus dem der Rechner 3 Daten auslesen kann, z. B. Begrenzung auf wenige Speicherplätze mit wenigen Byte Speicherplatzgröße, kann wirksam verhindert werden, dass beliebige Datenmengen aus dem Steuerrechner 1 oder dem gesamten Steuersystem zur Steuerung des Betriebes des Fahrzeugs ausgelesen werden können. Mit den über die Verbindung 9 übertragenen Daten können z. B. Informationen über die zurückgelegte Wegstecke des Fahrzeugs, die Fahrgeschwindigkeit usw. übertragen werden. Bereits aus diesen wenigen Informationen kann der Rechner 3 für die Passagiere interessante Informationen über die Reise und insbesondere über Verspätungen berechnen und ausgeben.
  • 1 zeigt die bereits genannte Verbindung 8 zur Übertragung von Daten von dem Rechner 3, der Teil eines nicht sicheren Systems ist, zu dem Verbindungsrechner 1 oder 2. Diese Verbindung 8 ist besonders sicherheitskritisch, da ohne Schutzmaßnahmen z. B. manipulative Daten zu dem Verbindungsrechner 1 oder 2 übertragen werden können. Dadurch könnte z. B. in die Traktionssteuerung oder die Funktion des Bremssystems eingegriffen werden.
  • Die Verbindung 8 weist einen Schalter S auf, der gesteuert von einer Steuerung 7 geöffnet und geschlossen werden kann. Im geöffneten Zustand des Schalters S können von dem Rechner 3 keine Daten über die Verbindung 8 zu dem Verbindungsrechner 1 oder 2 übertragen werden, da die Verbindung 8 unterbrochen ist. Optional kann noch eine weitere Verbindung zwischen dem Verbindungsrechnung 1 oder 2 und dem Rechner 3 vorhanden sein oder kann nur eine solche Verbindung vorhanden sein, die nicht gesteuert durch eine Steuerung unterbrochen oder geschlossen ist. Eine solche Verbindung kann wie die Verbindung 9 ausgestaltet sein, jedoch der Übertragung von Daten von dem Rechner 3 als Quellrechner zu dem Verbindungsrechner 1 oder 2 als Zielrechner dienen. Eine solche Konfiguration mit zwei nicht unterbrechbaren Verbindungen für bidirektionale Datenübertragung wird noch anhand von 2 beschrieben, allerdings für einen speziellen Ausführungsfall.
  • Die in 1 dargestellte Verbindung 8 ist solange geöffnet, bis ein Schlüssel (insbesondere ein digitaler Schlüssel oder ein Hardware-Schlüssel) so verwendet wird, dass die Steuerung 7 den Schlüssel erkennt und den Schalter S schließt. Der Schlüssel wird z. B. von dem Fahrer des Fahrzeugs oder von einem anderen Mitglied des Personals verwendet, um größere Datenmengen als sonst zu dem Verbindungsrechner 1 oder 2 zu übertragen, z. B. eine aktualisierte Version von Software, die von dem System des Verbindungsrechners 1 oder 2 abgearbeitet wird.
  • Alternativ zu einem Schalter S, der die Verbindung 8 in 1 unterbricht, kann die Steuerung 7 erst bei Verwendung des Schlüssels eine elektrische Energieversorgung einschalten, die eine Datenübertragung über die Verbindung 8 ermöglicht. Die Verwendung eines Schalters und/oder einer auf diese Weise abschaltbaren und einschaltbaren elektrischen Energieversorgung ist nicht nur auf das hier beschriebene Ausführungsbeispiel beschränkt, sondern kann auch bei anderen Ausgestaltungen einer schlüsselgesicherten Verbindung zur Anwendung kommen.
  • 2 zeigt zwei Rechner 12, 13, die zumindest über eine erste Verbindung 18 miteinander verbunden sind. Die erste Verbindung 18 dient einer unidirektionalen Datenübertragung von dem Rechner 13 auf den Rechner 12.
  • Optional ist eine zweite unidirektionale Verbindung 19 für die Datenübertragung in umgekehrte Richtung vorhanden. Da die Verbindung 19 optional ist, ist sie gestrichelt dargestellt. Auch der entsprechende Ausgangspunkt der Verbindung 19, eine Einrichtung 11 in dem Rechner 12 und dessen Verbindung 14 zu einer weiteren Einrichtung 10 in dem Rechner 12, sind optional und daher gestrichelt dargestellt.
  • Bei dem Rechner 13 kann es sich z. B. um den Verbindungsrechner 1 oder 2 aus 1 handeln. Bei dem Rechner 12 handelt es sich z. B. um den Rechner 3 aus 1.
  • Allgemeiner formuliert kann es sich bei dem Rechner 13 z. B. um einen Quellrechner handeln, der Teil eines sicheren Systems ist, auf den Unbefugte, insbesondere Passagiere, keinen direkten Zugriff haben. Bei dem Rechner 12 kann es sich daher um einen Zielrechner eines nicht sicheren Systems handeln, auf das fahrzeugexterne Einrichtungen und/oder Passagiere des Fahrzeugs Zugriff haben können.
  • Der Quellrechner 13 weist einen Datenspeicher 15 (z. B. einen so genannten Dual-Port-RAM) auf, der zwei Anschlüsse hat. Der erste Anschluss ist über die rechnerinterne Verbindung 20 mit einem Prozessor 16 des Rechners 13 verbunden. Der zweite Anschluss ist über die Verbindung 18 mit einem Prozessor 10 des anderen Rechners 12 verbunden. Dabei ist der Prozessor 16 so konfiguriert, dass er über die Verbindung 20 lediglich Daten in den Datenspeicher 15 schreiben kann, nicht aber lesenden Zugriff auf den Datenspeicher 15 hat. Ferner ist der Prozessor 10 des Zielrechners 12 so konfiguriert, dass er ausschließlich lesenden Zugriff auf dieselben Speicherbereiche oder den gesamten Datenspeicher 15 hat wie der Prozessor 16. Zur Datenübertragung von dem Quellrechner 13 auf den Zielrechner 12 schreibt daher der Prozessor 16 die zu übertragenden Daten in vorgegebene Speicherbereiche des Datenspeichers 15 und liest der Prozessor 10 diese Speicherbereiche aus. Vorzugsweise prüft der Prozessor 16 des Quellrechners 13 die zu schreibenden Daten vor dem Schreiben auf Vorliegen einer erwarteten Datenart (siehe oben). Alternativ oder zusätzlich prüft der Prozessor 10 die aus dem Datenspeicher 15 ausgelesenen Daten auf Vorliegen einer erwarteten Datenart.
  • Falls die zweite Verbindung 19 vorhanden ist, ist die Funktion entsprechend, jedoch für die Datenübertragung von dem Rechner 12 auf den Rechner 13. Insbesondere kann daher der Prozessor 10 (oder optional ein anderer Prozessor des Rechners 12) über die Verbindung 14 Daten in den Datenspeicher 11 schreiben und werden die Daten von dem Prozessor 16 des Rechners 13 oder von einem anderen Prozessor des Rechners 13 aus dem Datenspeicher 11 ausgelesen. Auch die im Zusammenhang mit der Verbindung 18 bereits beschriebenen Schritte können bei der Datenübertragung über die Verbindung 19 ausgeführt werden. Ferner können die bereits oben, vor der Figurenbeschreibung beschriebenen Varianten und Ausgestaltungen der Datenübertragung beim Betrieb der Verbindung 18 oder 19 ausgeführt werden.

Claims (12)

  1. Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wobei die Anordnung aufweist: • zumindest einen ersten Steuerrechner (1) zur Steuerung des Betriebs, • einen zweiten Rechner (3) zur Steuerung einer Passagier-Informationseinrichtung, die Informationen an Passagiere des Fahrzeugs ausgibt, und/oder zur Kommunikation mit Passagieren und/oder Fahrzeugexternen Kommunikationsteilnehmern, wobei der erste Steuerrechner (1) direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner (2) mit dem zweiten Rechner (3) verbunden ist und wobei über die Verbindung (18) Daten von dem zweiten Rechner (3) zu dem Verbindungsrechner (2) übertragbar sind, • die Verbindung (18) ausschließlich über einen Datenspeicher (15) mit zwei Anschlüssen hergestellt ist, wobei der erste Anschluss mit dem zweiten Rechner (3) und der zweite Anschluss mit dem Verbindungsrechner (2) verbunden ist, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er zum Lesen von Daten in dem Datenspeicher (15) ausschließlich auf vorgegebene Speicherplätze des Datenspeichers (15) zugreifen kann.
  2. Anordnung nach dem vorhergehenden Anspruch, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er ausschließlich zum Lesen von Daten auf den Datenspeicher (15) zugreifen kann, nicht aber zum Schreiben.
  3. Anordnung nach einem der vorhergehenden Ansprüche, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er aus dem Datenspeicher (15) ausgelesene Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und alle von ihm aus dem Datenspeicher (15) ausgelesenen Daten als nicht verwendbare Daten behandelt, wenn die ausgelesenen Daten oder ein Teil der ausgelesenen Daten nicht der erwarteten Datenart entsprechen/entspricht.
  4. Anordnung nach einem der vorhergehenden Ansprüche, wobei ein zweiter Datenspeicher (11) mit zwei Anschlüssen vorgesehen ist, wobei der erste Anschluss mit dem zweiten Rechner (3) und der zweite Anschluss mit dem Verbindungsrechner (2) verbunden ist, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er zum Schreiben von Daten in den Datenspeicher (11) ausschließlich auf vorgegebene Speicherplätze des Datenspeichers (11) zugreifen kann.
  5. Anordnung nach einem der vorhergehenden Ansprüche, wobei der Verbindungsrechner (2) derart konfiguriert ist, dass er in den Datenspeicher (11) zu schreibende Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und die von ihm in den Datenspeicher (11) zu schreibenden Daten nicht in den Datenspeicher (11) schreibt, wenn die zu schreibenden Daten oder ein Teil der zu schreibenden Daten nicht der erwarteten Datenart entsprechen/entspricht.
  6. Anordnung nach einem der vorhergehenden Ansprüche, wobei eine zweite Verbindung (8) zwischen dem Verbindungsrechner (2) und dem zweiten Rechner (3) vorhanden ist, wobei eine Steuereinrichtung (7) zur Steuerung der Verbindung (8) ausgestaltet ist, abhängig von der Verwendung eines vordefinierten Schlüssels eine Datenübertragung über die zweite Verbindung (8) freizugeben oder zu sperren.
  7. Verfahren zum Herstellen einer Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs, insbesondere eines Schienenfahrzeugs, wobei: • zumindest ein erster Steuerrechner (1) zur Steuerung des Betriebs vorgesehen wird, • ein zweiter Rechner (3) vorgesehen wird, zur Steuerung einer Passagier-Informationseinrichtung, die Informationen an Passagiere des Fahrzeugs ausgibt, und/oder zur Kommunikation mit Passagieren und/oder Fahrzeugexternen Kommunikationsteilnehmern, • der erste Steuerrechner (1) direkt als Verbindungsrechner oder indirekt über einen optional zusätzlich vorhandenen Verbindungsrechner (2) mit dem zweiten Rechner (3) verbunden wird und wobei über die Verbindung (18) Daten von dem zweiten Rechner (3) zu dem Verbindungsrechner (2) übertragbar sind, • die Verbindung (18) ausschließlich über einen Datenspeicher (15) mit zwei Anschlüssen hergestellt wird, wobei der erste Anschluss mit dem zweiten Rechner (3) und der zweite Anschluss mit dem Verbindungsrechner (2) verbunden wird, • der Verbindungsrechner (2) derart konfiguriert wird, dass er zum Lesen von Daten in dem Datenspeicher (15) ausschließlich auf vorgegebene Speicherplätze des Datenspeichers (15) zugreifen kann.
  8. Verfahren nach Anspruch 7, wobei der Verbindungsrechner (2) derart konfiguriert wird, dass er ausschließlich zum Lesen von Daten auf den Datenspeicher (15) zugreifen kann, nicht aber zum Schreiben.
  9. Verfahren nach Anspruch 7 oder 8, wobei der Verbindungsrechner (2) derart konfiguriert wird, dass er aus dem Datenspeicher (15) ausgelesene Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und alle von ihm aus dem Datenspeicher (15) ausgelesenen Daten als nicht verwendbare Daten behandelt, wenn die ausgelesenen Daten oder Teil der ausgelesenen Daten nicht der erwarteten Datenart entsprechen/entspricht.
  10. Verfahren nach einem der Ansprüche 7–9, wobei ein zweiter Datenspeicher (11) mit zwei Anschlüssen vorgesehen wird, wobei der erste Anschluss mit dem zweiten Rechner (3) und der zweite Anschluss mit dem Verbindungsrechner (2) verbunden wird, wobei der Verbindungsrechner (2) derart konfiguriert wird, dass er zum Schreiben von Daten in den Datenspeicher (11) ausschließlich auf vorgegebene Speicherplätze des Datenspeichers (11) zugreifen kann.
  11. Verfahren nach dem vorhergehenden Anspruch, wobei der Verbindungsrechner (2) derart konfiguriert wird, dass er in den Datenspeicher (11) zu schreibende Daten gemäß einer vorgegebenen Vorschrift daraufhin überprüft, ob die Daten einer erwarteten Datenart entsprechen, und die von ihm in den Datenspeicher (11) zu schreibenden Daten nicht in den Datenspeicher (11) schreibt, wenn die zu schreibenden Daten oder Teil der zu schreibenden Daten nicht der erwarteten Datenart entsprechen/entspricht.
  12. Verfahren nach einem der Ansprüche 7–11, wobei eine zweite Verbindung (8) zwischen dem Verbindungsrechner (2) und dem zweiten Rechner (3) vorgesehen wird, wobei eine Steuereinrichtung (7) zur Steuerung der Verbindung (8) so ausgestaltet wird, dass sie abhängig von der Verwendung eines vordefinierten Schlüssels eine Datenübertragung über die zweite Verbindung (8) freigibt oder zu sperrt.
DE102010052486.7A 2010-11-26 2010-11-26 Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung Active DE102010052486B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010052486.7A DE102010052486B4 (de) 2010-11-26 2010-11-26 Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010052486.7A DE102010052486B4 (de) 2010-11-26 2010-11-26 Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung

Publications (2)

Publication Number Publication Date
DE102010052486A1 true DE102010052486A1 (de) 2012-05-31
DE102010052486B4 DE102010052486B4 (de) 2015-08-27

Family

ID=46049597

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010052486.7A Active DE102010052486B4 (de) 2010-11-26 2010-11-26 Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung

Country Status (1)

Country Link
DE (1) DE102010052486B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016016006A1 (de) * 2014-07-31 2016-02-04 Siemens Aktiengesellschaft Steuerung mindestens eines rechners eines schienenfahrzeugs
WO2022233584A1 (de) * 2021-05-06 2022-11-10 Siemens Mobility GmbH Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017203898A1 (de) 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Gateway-Vorrichtung, Kommunikationsverfahren und Kommunikationssystem für ein Fahrzeug, insbesondere ein Schienenfahrzeug
DE102017204475A1 (de) 2017-03-17 2018-09-20 Siemens Aktiengesellschaft Kommunikationsverfahren und Kommunikationssystem für ein Fahrzeug

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19811235A1 (de) * 1998-03-14 1999-09-16 Valeo Electronics Gmbh & Co Kg Computer-System für Kraftfahrzeuge
DE19851438A1 (de) * 1998-11-09 2000-05-11 Volkswagen Ag Rechnersystem für ein Kraftfahrzeug
JP3844904B2 (ja) * 1999-03-31 2006-11-15 三菱電機株式会社 車両制御通信システム
DE19949051A1 (de) * 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug
DE10304114A1 (de) * 2003-01-31 2004-08-05 Robert Bosch Gmbh Rechnersystem in einem Fahrzeug
KR100735612B1 (ko) * 2005-12-22 2007-07-04 삼성전자주식회사 멀티패쓰 억세스블 반도체 메모리 장치
KR100655081B1 (ko) * 2005-12-22 2006-12-08 삼성전자주식회사 가변적 액세스 경로를 가지는 멀티 포트 반도체 메모리장치 및 그에 따른 방법
KR20100085564A (ko) * 2009-01-21 2010-07-29 삼성전자주식회사 데이터 처리 시스템과 데이터 처리 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016016006A1 (de) * 2014-07-31 2016-02-04 Siemens Aktiengesellschaft Steuerung mindestens eines rechners eines schienenfahrzeugs
WO2022233584A1 (de) * 2021-05-06 2022-11-10 Siemens Mobility GmbH Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren

Also Published As

Publication number Publication date
DE102010052486B4 (de) 2015-08-27

Similar Documents

Publication Publication Date Title
DE10326287A1 (de) Fahrzeug-Kommunikationssystem, welches eine anormale Steuereinheit initialisiert
WO2019242975A1 (de) Verfahren und vorrichtung zum vereinbaren einer zusammenarbeit zwischen einem ersten system und einem zweiten system
DE102010052486B4 (de) Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung
DE102009027625A1 (de) Elektrische Schaltung zur Übertragung von Signalen zwischen zwei Mastern und einem oder mehreren Slaves
WO2012143260A1 (de) Verfahren und vorrichtung zur steuerungs-kommunikation zwischen gekoppelten zugteilen
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
WO2011124519A1 (de) Verfahren und vorrichtung zur bestimmung der zuglänge mehrerer gekuppelter triebfahrzeuge
WO2018095682A1 (de) Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
DE102005028772A1 (de) Verfahren zur Nutzungsberechtigungsfreigabe für ein Fahrzeug und zugehöriges Fahrberechtigungssystem
EP0970869A2 (de) Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage
EP4035970A1 (de) Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens
EP3246778A1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
EP3472022A1 (de) Datenübertragungsvorrichtung für schienenfahrzeuge
DE69912494T2 (de) Verfahren zur Überprüfung der Kohärenz von auf einen Rechner ferngeladener Information
DE19850698C1 (de) Bremsanlage
DE19939648C2 (de) Verfahren zum fahrzeugbewirkten Stellen von Weichen
DE102008039170A1 (de) Automatische Konfiguration von Teilsystemen und Kommunikation zwischen Systemen in Fahrzeugen
DE102023108550A1 (de) Entkuppelsystem, automatische Zugkupplung und Schienenfahrzeug mit einer automatischen Zugkupplung mit einem derartigen Entkuppelsystem und Verfahren zum Entkuppeln einer mechanisch mit einer Gegen-Zugkupplung gekoppelten automatischen Kupplung
EP3838709B1 (de) Verfahren zur übergabe von telegrammen von einer streckenzentrale an ein fahrzeug und streckenzentrale
DE102023201876A1 (de) Verfahren und Anordnung zum Schutz einer Versorgungsinfrastruktur für Elektrofahrzeuge vor missbräuchlicher Nutzung
DE102017211153A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten zwischen einem ersten Kommunikationsnetz einer ersten spurgebundenen Fahrzeugeinheit und einem zweiten Kommunikationsnetz einer zweiten spurgebundenen Fahrzeugeinheit
EP1010601B1 (de) Datenkommunikationssystem im Zug mit Masterbus
DE102022129992A1 (de) Signalverarbeitungsvorrichtung, CAN-Kommunikationssystem und Anhänger
EP3682618A1 (de) Steuervorrichtung für ein massentransportmittel und verfahren zum austauschen von daten darin
DE102020207074A1 (de) Steuerungsanordnung zum Betreiben einer Fahrzeugkomponente, Bremssystem und Fahrerassistenzsystem

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0015167000

Ipc: B60R0016020000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R006 Appeal filed
R007 Decision rectified on appeal
R018 Grant decision by examination section/examining division
R020 Patent grant now final