-
Die Erfindung betrifft ein Verfahren und eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk.
-
Sicherheitskritische Netzwerke werden für sicherheitsrelevante Einrichtungen, wie beispielsweise eine eisenbahntechnische Anlage, eingesetzt, um eine Kommunikation zwischen sicherheitskritischen Komponenten, wie beispielsweise Gleiskreisen, Achszählern etc., welche als Teilnehmer im sicherheitskritischen Netzwerk ausgebildet sind, zu gewährleisten. Sie sind beispielsweise nach dem Sicherheitsintegritätslevel SIL3 oder SIL4 ausgeführt. Über diese sicherheitskritischen Netzwerke werden Informationen zwischen den Komponenten und übergeordneten Systemen, wie beispielsweise Stellwerken, ausgetauscht. Bei eisenbahntechnischen Anlagen werden über ein solches sicherheitskritisches Netzwerk beispielsweise betriebliche Informationen zwischen den Teilnehmern übermittelt. Da sicherheitskritische Netzwerke sehr aufwendig sind, werden sie nur eingerichtet, wenn dies absolut notwendig ist.
-
Weiterhin gibt es in den genannten Einrichtungen, wie beispielsweise einer eisenbahntechnischen Anlage, auch nicht sicherheitskritische Bereiche und Netzwerke, in denen beispielsweise Diagnosedaten in einem Diagnosesystem verarbeitet werden. Da ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosesystem, unsicher ist und nur SIL0 oder auch gar keine SIL-Zuordnung aufweist, darf es nicht mit dem sicherheitskritischen Netzwerk verbunden werden. Es könnte nämlich nicht garantiert werden, dass das Diagnosesystem die Sicherheit des sicherheitskritischen Netzwerks nicht negativ beeinflusst. Solche Einflüsse können beispielsweise eine Erzeugung von störender Last auf das sicherheitskritische Netzwerk oder Beeinflussungen der sicheren Teilnehmer sein, die die Sicherheit der eisenbahntechnischen Anlage gefährden könnten.
-
Um trotzdem ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosenetzwerk, mit den nötigen Informationen wie Diagnoseinformationen und Diagnosedaten zu versorgen, weisen beispielsweise Komponenten einer eisenbahntechnischen Anlage teilweise Diagnoseschnittstellen auf, die speziell zur Verbindung mit dem nicht sicherheitskritischen Netzwerk ausgebildet sind. Diese Diagnoseschnittstellen sind intern so ausgestaltet, dass von ihnen keine Gefährdung für das sicherheitskritische Netzwerk ausgeht und sie insbesondere nicht direkt mit dem sicherheitskritischen Netzwerk verbunden sind. Über die Diagnoseschnittstellen können rückwirkungsfrei Diagnoseinformationen ausgelesen werden.
-
Allerdings erhöhen sich die Kosten der Komponenten durch die zusätzliche Diagnoseschnittstelle. Außerdem sind insbesondere ältere Komponenten einer eisenbahntechnischen Anlage häufig nicht oder noch nicht mit solchen Diagnoseschnittstellen ausgestattet, so dass solche Komponenten nicht in ein modernes Diagnosesystem eingebunden werden können.
-
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, durch die die Kosten reduziert werden können und auch eine Einbindung von älteren Komponenten möglich ist.
-
Erfindungsgemäß wird die Aufgabe gelöst durch ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk, bei dem die Informationen von dem Teilnehmer in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk verbundenen Leseeinrichtung rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk eingespeist werden.
-
Weiterhin wird die Erfindung gelöst durch eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk, mit wenigstens einer mit dem sicherheitskritischen und dem nicht sicherheitskritischen Netzwerk verbindbaren Leseeinrichtung, die zum rückwirkungsfreien Lesen der vom Teilnehmer in das sicherheitskritische Netzwerk eingespeisten Informationen und zum Einspeisen der gelesenen Information in das sicherheitskritische Netzwerk ausgebildet ist.
-
Die erfindungsgemäße Lösung hat den Vorteil, dass keine zusätzliche Diagnoseschnittstelle an Teilnehmern zur Verbindung mit dem nicht sicherheitsrelevanten Netzwerk nötig ist und dadurch die Kosten reduziert werden können. Die Informationen, die für das nicht sicherheitsrelevante Netzwerk bestimmt sind, können vom Teilnehmer einfach über das sicherheitskritische Netzwerk versendet werden, in das der Teilnehmer bereits eingebunden ist. Die Einspeisung der Informationen in das nicht sicherheitskritische Netzwerk wird zentral von der Leseeinrichtung übernommen. So können auch bestehende Systeme sehr einfach umgerüstet werden und mit einem modernen Diagnosesystem verbunden werden.
-
Die erfindungsgemäße Lösung kann durch vorteilhafte Ausgestaltungen weiter entwickelt werden, die im Folgenden beschrieben sind.
-
So kann bei dem erfindungsgemäßen Verfahren wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk eingespeist werden und aufgrund des Aufforderungssignals ein Einspeisen der Informationen in das sicherheitskritische Netzwerk durchgeführt werden. Dies hat den Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen abgeben und einspeisen können, in beispielsweise ein Diagnosesystem eingebunden werden können. Das Aufforderungssignal kann von einem anderen Teilnehmer des sicherheitskritischen Netzwerks erzeugt werden. So kann das Aufforderungssignal zentral von einem Teilnehmer kostengünstig erzeugt werden, der beispielsweise ein einfacher Rechner ist.
-
Um nicht alle Teilnehmer gleichzeitig zum Senden der Informationen aufzufordern, kann das Aufforderungssignal an wenigstens einen bestimmten Teilnehmer des sicherheitskritischen Netzwerks adressiert werden. Das gleichzeitige Einspeisen der Informationen von allen Teilnehmern in das sicherheitskritische Netzwerk könnte nämlich negative Auswirkungen für den Zustand des sicherheitskritischen Netzwerks haben.
-
Ferner kann das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist werden. In Abhängigkeit von den Komponenteneigenschaften der Teilnehmer kann so ein Zeitintervall gewählt werden, in dem der Teilnehmer besonders gut in der Lage ist, Informationen zu senden und in seiner normalen Funktion nicht gestört wird. Ferner können mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden.
-
Um eine Überlastung des sicherheitskritischen Netzwerks in jedem Fall zu vermeiden, kann wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers erfasst und das Aufforderungssignal in Abhängigkeit von der wenigstens einen Eigenschaft gesendet werden. So ist jederzeit sichergestellt, dass keine Überlastung des sicherheitskritischen Netzwerks durch die eingespeisten Informationen geschieht.
-
In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung kann die Anordnung wenigstens eine Aufforderungseinrichtung aufweisen, die mit dem sicherheitskritischen Netzwerk verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer zur Einspeisung der Information in das sicherheitskritische Netzwerk veranlasst. Dies hat den oben bereits beschriebenen Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen aussenden können, sehr leicht eingebunden werden können.
-
In einer vorteilhaften Ausgestaltung kann die Aufforderungseinrichtung wenigstens eine Schnittstelle zum nicht sicherheitskritischen Netzwerk aufweisen und so ausgebildet sein, dass das sicherheitskritische Netzwerk von dem nicht sicherheitskritischen Netzwerk getrennt ist. Dies hat den Vorteil, dass gegebenenfalls konkrete Kommandos aus dem nicht sicherheitskritischen Netzwerk an die Aufforderungseinrichtung übertragen werden können. Die Kommandos können beispielweise von einem Diagnosesystem kommen.
-
Ferner kann die Anordnung wenigstens ein Erfassungsmittel aufweisen, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers ausgebildet ist. Dies hat den oben bereits beschriebenen Vorteil, dass ein Zustand des Netzwerks bzw. der Teilnehmer erfasst werden kann und die Anordnung das Aufforderungssignal in einem für das sicherheitskritische Netzwerk oder die Teilnehmer günstigen Moment abgeben kann. Dies stellt sicher, dass keine negativen Beeinträchtigungen vom Senden des Aufforderungssignals und den anschließenden einspeisenden Informationen ausgeht.
-
Die Erfindung betrifft weiterhin ein sicherheitskritisches Netzwerk, insbesondere einer eisenbahntechnischen Anlage, mit wenigstens einem Teilnehmer, der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk ausgebildet ist. Um die Kosten einer sicherheitskritischen Anlage zu senken, ist erfindungsgemäß vorgesehen, dass das sicherheitskritische Netzwerk wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen aufweist.
-
Im Folgenden wird die Erfindung mit Bezug auf die beispielhaften Ausführungsformen in den beigefügten Zeichnungen beschrieben.
-
Es zeigen:
- 1 eine schematische Darstellung einer beispielhaften Ausführungsform einer erfindungsgemäßen Anordnung in einer eisenbahntechnischen Anlage;
- 2 eine schematische Darstellung einer weiteren Ausführungsform einer erfindungsgemäßen Anordnung.
-
Die in 1 schematisch dargestellte beispielhafte Ausführung der Erfindung zeigt eine eisenbahntechnische Anlage 1, die mehrere Komponenten 2, ein sicherheitskritisches Netzwerk 3, ein nicht sicherheitskritisches Netzwerk 4 und ein Diagnosesystem 5 aufweist. Die eisenbahntechnische Anlage 1 umfasst weiterhin eine erfindungsgemäße Anordnung 6, die wiederum eine Leseeinrichtung 7 und eine Aufforderungseinrichtung 8 aufweist.
-
Die Komponenten 2 der eisenbahntechnischen Anlage 1 sind beispielsweise Gleiskreise, Achszähler, Weichen, Lichtsignale oder auch Stellwerke, die den Betrieb der eisenbahntechnischen Anlage 1 steuern. Dies sind alles sicherheitskritische Komponenten 2, die daher zur Kommunikation untereinander in das sicherheitskritische Netzwerk 3 als Teilnehmer 9 eingebunden sind. Weitere Teilnehmer 9 des sicherheitskritischen Netzwerks 3 sind Router 10 und die Aufforderungseinrichtung 8 der Anordnung 6. Die Komponenten 2 tauschen über das sicherheitskritische Netzwerk 3 betriebliche Informationen aus, wie beispielsweise Gleisfreimeldungen, Meldungen zum Erreichen von Endlagen, Bestätigungen eines Lichtzeichens und ähnliches betreffen. Die Komponenten 2 geben aber erfindungsgemäß auch Diagnoseinformationen, beispielsweise über ihren Betriebszustand oder andere von dem Diagnosesystem 5 auswertbare Informationen, über das sicherheitskritische Netzwerk 3 ab. Dies wird im Folgenden noch genauer erläutert.
-
Die Router 10 sind in an sich bekannter Weise ausgebildet, können allerdings ebenfalls Diagnoseinformationen, wie beispielsweise Eigendiagnoseinformation, in das sicherheitskritische Netzwerk 3 einspeisen und damit zum Diagnosesystem 5 übertragen.
-
Die Leseeinrichtung 7 ist kein Teilnehmer des sicherheitskritischen Netzwerks 3, aber so mit ihm verbunden, dass der Datenverkehr im sicherheitskritischen Netzwerk 3 von ihm gelesen werden kann. Die Leseeinrichtung 7 ist beispielsweise als ein Netzwerktap ausgebildet, der den Datenverkehr des sicherheitskritischen Netzwerks 3 rückwirkungsfrei, also ohne Auswirkungen auf das sicherheitskritische Netzwerk 3 und seine Teilnehmer 9, mitschreiben und mitlesen kann. Erfindungsgemäß ist die Leseeinrichtung 7 in ihrer Hardwarekonstruktion so ausgestaltet, dass ein Rückwirken auf das sicherheitskritische Netzwerk 3 ausgeschlossen ist.
-
Die Aufforderungseinrichtung 8 ist im Gegensatz zur Leseeinrichtung 7 als ein Teilnehmer 9 des sicherheitskritischen Netzwerks 3 ausgebildet, so dass sie aktiv sicherheitskritischen Netzwerk 3 agieren kann und Kommandos und Nachrichten einspeisen kann. Die Aufforderungseinrichtung 8 ist zum Erzeugen eines Aufforderungssignals ausgebildet, das sie in das sicherheitskritische Netzwerk 3 einspeist. Das Aufforderungssignal, das auch als Polling-Signal bezeichnet werden könnte, stößt ein Senden von Informationen bei den Teilnehmern 9 an. Das Aufforderungssignal kann entweder an einen oder mehrere bestimmte Teilnehmer 9 adressiert sein oder auch an alle Teilnehmer 9 des sicherheitskritischen Netzwerks 3. Die Aufforderungseinrichtung 8 weist ein Erfassungsmittel 11 auf, das Eigenschaften des sicherheitskritischen Netzwerks 3 erfasst, wie z. B. eine aktuelle Belastung. In Abhängigkeit von den durch das Erfassungsmittel 11 erfassten Eigenschaften des sicherheitskritischen Netzwerks 3 sendet die Aufforderungseinrichtung 8 das Aufforderungssignal aus, wenn der Zustand des sicherheitskritischen Netzwerks 3 geeignet ist, also ein besonders günstiger Zeitpunkt vorliegt. Dadurch ist sichergestellt, dass das sicherheitskritische Netzwerk 3 durch das Einspeisen von Informationen von den Teilnehmern 9 nicht negativ belastet wird. Die Aufforderungseinrichtung 8 ist in der in 1 dargestellten beispielhaften Ausführungsform nicht mit dem nicht sicherheitskritischen Netzwerk 4 verbunden, sondern nur mit dem sicherheitskritischen Netzwerk 3.
-
Die Leseeinrichtung 7 ist als ein Teilnehmer 12 des nicht sicherheitskritischen Netzwerks 4 ausgebildet und kann daher Informationen, die im sicherheitskritischen Netzwerk 3 gelesen wurden, in das nicht sicherheitskritische Netzwerk 4 einspeisen.
-
Das Diagnosesystem 5 ist in an sich bekannter Weise ausgebildet und verarbeitet Diagnoseinformationen und gegebenenfalls auch andere Informationen der eisenbahntechnischen Anlage 1 zu Diagnosezwecken. Um die Diagnosequalität zu erhöhen, kann das Diagnosesystem 5 neben den Diagnoseinformationen beispielsweise auch die betrieblichen Informationen aus dem sicherheitskritischen Netzwerk 3 auswerten. So lassen sich beispielsweise Funktionen wie Root Cause Analysis, die einen für eine Störung ursächlichen Fehler identifiziert, sowie Predictive Maintenance, die einen Fehler erkennt bevor er passiert, realisieren. Da das Diagnosesystem 5 als ein sicherheitstechnisch nicht sicheres System, beispielsweise nach Sicherheitslevel SILO, ausgebildet ist, darf es keine Verbindung zum sicherheitskritischen Netzwerk 3, das z. B. SIL3 oder SIL4 ist, aufweisen. Das Diagnosesystem 5 erhält erfindungsgemäß die nötigen Informationen durch die erfindungsgemäße Anordnung 6 und insbesondere die Leseeinrichtung 7 über das nicht sicherheitskritische Netzwerk 4. Anstatt des Diagnosesystems 5 kann auch ein beliebiges anderes System eingesetzt werden, das die Informationen verarbeitet, wie z.B. ein Reporting System oder ein System für Datenanalyse.
-
Die Aufforderungseinrichtung 8 kann beispielsweise als ein separater Rechner im sicherheitskritischen Netzwerk 3 ausgebildet sein und könnte auch als Polling Trigger bezeichnet werden. Die Aufforderungseinrichtung 8 kennt die IP-Adressen der einzelnen Teilnehmer 9 und kann so auch bestimmte Teilnehmer 9 mit individuellen Aufforderungssignalen gezielt zum Senden von Diagnoseinformationen auffordern. Die Aufforderungssignale können in bestimmten Zeitintervallen ausgesendet werden, die auch für einzelne Teilnehmer 9 konfigurierbar sind. Die Zeitintervalle hängen beispielsweise von bestimmten Eigenschaften der Komponenten 2 ab. Beispielsweise kann eine Komponente 2 nicht in der Lage sein, parallel zu ihrer Funktion auch noch Diagnosedaten zu senden. Die Aufforderungseinrichtung 8 sendet die Aufforderungssignale so aus, dass die Netzwerkeigenschaften des sicherheitskritischen Netzwerks 3 nicht negativ beeinflusst werden. Zu den Netzwerkeigenschaften gehören eine maximale Last sowie ein möglichst effektives Nutzen der Netzwerkressourcen. Das Aufforderungssignal wird von der Aufforderungseinrichtung 8 an wenigstens einen Teilnehmer 9, insbesondere an die Komponenten 2, gesendet. Die Komponenten 2 oder Teilnehmer 9 registrieren das Aufforderungssignal und speisen als Reaktion auf das Aufforderungssignal die angefragten Diagnosedaten bzw. Diagnoseinformationen in das sicherheitskritische Netzwerk 3 ein. Die durch das Aufforderungssignal angeforderten Informationen können anschließend von der Leseeinrichtung 7 mitgelesen werden und so an das Diagnosesystem 5 über das nicht sicherheitskritische Netzwerk 4 übertragen werden.
-
Die betrieblichen Informationen der Komponenten 2, die ohne Aufforderungssignal von den Komponenten 2 gesendet werden, werden durch die Leseeinrichtung 7 ebenfalls mitgelesen und an das Diagnosesystem 5 übertragen. Um die Sicherheitseigenschaften des sicherheitskritischen Netzwerks 3 zu erfüllen, ist die Aufforderungseinrichtung 8 auf einer geeigneten Rechnerplattform realisiert, die die notwendigen Sicherheitsbedingungen erfüllt.
-
Durch die erfindungsgemäße Lösung erhält das Diagnosesystem 5, das nicht sicher ausgeführt ist, trotzdem alle erforderlichen Informationen aus dem sicherheitskritischen Netzwerk 3. So ist die Diagnosequalität der erfindungsgemäßen eisenbahntechnischen Anlage 1 besonders hoch, ohne dass Komponenten 2 eingesetzt werden müssen, die spezielle Diagnoseschnittstellen aufweisen.
-
Im Folgenden wird die weitere beispielhafte Ausführungsform der Erfindung mit Bezug auf 2 beschrieben. Der Einfachheit halber wird lediglich auf die Unterschiede zu der Ausführungsform in 1 eingegangen.
-
Im Gegensatz zu der Ausführungsform in 1 weist die Aufforderungseinrichtung 8 der erfindungsgemäßen Anordnung 6 bei der beispielhaften Ausführungsform in 2 eine zusätzliche Schnittstelle 13 auf. Die Schnittstelle 13 ist mit dem nicht sicherheitskritischen Netzwerk 4 verbunden. Durch die Verbindung des Diagnosesystems 5 mit der Aufforderungseinrichtung 8 über die Schnittstelle 13 und das nicht sicherheitskritische Netzwerk 4 können Konfigurationsdaten und gegebenenfalls konkrete Kommandos von dem Diagnosesystem 5 an die Aufforderungseinrichtung 8 übertragen werden. Auch ist ein Setzen von Parametern durch das Diagnosesystem 5 möglich. Solche Parameter können z.B. die Häufigkeit des Aufforderungssignals für einen Teilnehmer 9 oder eine maximal zulässige Netzlast durch die Aufforderungssignale auf dem sicherheitskritischen Netz 3 sein. So können bestimmte Informationen gezielt vom Diagnosesystem 5 angefordert werden. Um die Sicherheit des sicherheitskritischen Netzwerks 3 nicht zu gefährden, ist die Aufforderungseinrichtung 8 intern mit einer Netzwerktrennung versehen, die eine Trennung zwischen dem nicht sicherheitskritischen Netzwerk 4 und dem sicherheitskritischen Netzwerk 3 garantiert.
-
In beiden Ausführungsformen der 1 und 2 ist das sicherheitskritische Netzwerk 3 mit einem hohen Sicherheitslevel ausgestattet, beispielsweise nach SIL3 oder SIL4.