DE102017203590A1 - Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen - Google Patents

Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen Download PDF

Info

Publication number
DE102017203590A1
DE102017203590A1 DE102017203590.0A DE102017203590A DE102017203590A1 DE 102017203590 A1 DE102017203590 A1 DE 102017203590A1 DE 102017203590 A DE102017203590 A DE 102017203590A DE 102017203590 A1 DE102017203590 A1 DE 102017203590A1
Authority
DE
Germany
Prior art keywords
safety
critical network
information
critical
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102017203590.0A
Other languages
English (en)
Inventor
Thomas Gehrke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102017203590.0A priority Critical patent/DE102017203590A1/de
Priority to PCT/EP2018/052869 priority patent/WO2018162161A1/de
Publication of DE102017203590A1 publication Critical patent/DE102017203590A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Abstract

Die Erfindung betrifft ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4). Um eine eisenbahntechnische Anlage kostengünstiger zu gestalten, ist es erfindungsgemäß vorgesehen, dass die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) eingespeist werden. Die Erfindung betrifft weiterhin eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen.

Description

  • Die Erfindung betrifft ein Verfahren und eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk.
  • Sicherheitskritische Netzwerke werden für sicherheitsrelevante Einrichtungen, wie beispielsweise eine eisenbahntechnische Anlage, eingesetzt, um eine Kommunikation zwischen sicherheitskritischen Komponenten, wie beispielsweise Gleiskreisen, Achszählern etc., welche als Teilnehmer im sicherheitskritischen Netzwerk ausgebildet sind, zu gewährleisten. Sie sind beispielsweise nach dem Sicherheitsintegritätslevel SIL3 oder SIL4 ausgeführt. Über diese sicherheitskritischen Netzwerke werden Informationen zwischen den Komponenten und übergeordneten Systemen, wie beispielsweise Stellwerken, ausgetauscht. Bei eisenbahntechnischen Anlagen werden über ein solches sicherheitskritisches Netzwerk beispielsweise betriebliche Informationen zwischen den Teilnehmern übermittelt. Da sicherheitskritische Netzwerke sehr aufwendig sind, werden sie nur eingerichtet, wenn dies absolut notwendig ist.
  • Weiterhin gibt es in den genannten Einrichtungen, wie beispielsweise einer eisenbahntechnischen Anlage, auch nicht sicherheitskritische Bereiche und Netzwerke, in denen beispielsweise Diagnosedaten in einem Diagnosesystem verarbeitet werden. Da ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosesystem, unsicher ist und nur SIL0 oder auch gar keine SIL-Zuordnung aufweist, darf es nicht mit dem sicherheitskritischen Netzwerk verbunden werden. Es könnte nämlich nicht garantiert werden, dass das Diagnosesystem die Sicherheit des sicherheitskritischen Netzwerks nicht negativ beeinflusst. Solche Einflüsse können beispielsweise eine Erzeugung von störender Last auf das sicherheitskritische Netzwerk oder Beeinflussungen der sicheren Teilnehmer sein, die die Sicherheit der eisenbahntechnischen Anlage gefährden könnten.
  • Um trotzdem ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosenetzwerk, mit den nötigen Informationen wie Diagnoseinformationen und Diagnosedaten zu versorgen, weisen beispielsweise Komponenten einer eisenbahntechnischen Anlage teilweise Diagnoseschnittstellen auf, die speziell zur Verbindung mit dem nicht sicherheitskritischen Netzwerk ausgebildet sind. Diese Diagnoseschnittstellen sind intern so ausgestaltet, dass von ihnen keine Gefährdung für das sicherheitskritische Netzwerk ausgeht und sie insbesondere nicht direkt mit dem sicherheitskritischen Netzwerk verbunden sind. Über die Diagnoseschnittstellen können rückwirkungsfrei Diagnoseinformationen ausgelesen werden.
  • Allerdings erhöhen sich die Kosten der Komponenten durch die zusätzliche Diagnoseschnittstelle. Außerdem sind insbesondere ältere Komponenten einer eisenbahntechnischen Anlage häufig nicht oder noch nicht mit solchen Diagnoseschnittstellen ausgestattet, so dass solche Komponenten nicht in ein modernes Diagnosesystem eingebunden werden können.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, durch die die Kosten reduziert werden können und auch eine Einbindung von älteren Komponenten möglich ist.
  • Erfindungsgemäß wird die Aufgabe gelöst durch ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk, bei dem die Informationen von dem Teilnehmer in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk verbundenen Leseeinrichtung rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk eingespeist werden.
  • Weiterhin wird die Erfindung gelöst durch eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheitskritisches Netzwerk, mit wenigstens einer mit dem sicherheitskritischen und dem nicht sicherheitskritischen Netzwerk verbindbaren Leseeinrichtung, die zum rückwirkungsfreien Lesen der vom Teilnehmer in das sicherheitskritische Netzwerk eingespeisten Informationen und zum Einspeisen der gelesenen Information in das sicherheitskritische Netzwerk ausgebildet ist.
  • Die erfindungsgemäße Lösung hat den Vorteil, dass keine zusätzliche Diagnoseschnittstelle an Teilnehmern zur Verbindung mit dem nicht sicherheitsrelevanten Netzwerk nötig ist und dadurch die Kosten reduziert werden können. Die Informationen, die für das nicht sicherheitsrelevante Netzwerk bestimmt sind, können vom Teilnehmer einfach über das sicherheitskritische Netzwerk versendet werden, in das der Teilnehmer bereits eingebunden ist. Die Einspeisung der Informationen in das nicht sicherheitskritische Netzwerk wird zentral von der Leseeinrichtung übernommen. So können auch bestehende Systeme sehr einfach umgerüstet werden und mit einem modernen Diagnosesystem verbunden werden.
  • Die erfindungsgemäße Lösung kann durch vorteilhafte Ausgestaltungen weiter entwickelt werden, die im Folgenden beschrieben sind.
  • So kann bei dem erfindungsgemäßen Verfahren wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk eingespeist werden und aufgrund des Aufforderungssignals ein Einspeisen der Informationen in das sicherheitskritische Netzwerk durchgeführt werden. Dies hat den Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen abgeben und einspeisen können, in beispielsweise ein Diagnosesystem eingebunden werden können. Das Aufforderungssignal kann von einem anderen Teilnehmer des sicherheitskritischen Netzwerks erzeugt werden. So kann das Aufforderungssignal zentral von einem Teilnehmer kostengünstig erzeugt werden, der beispielsweise ein einfacher Rechner ist.
  • Um nicht alle Teilnehmer gleichzeitig zum Senden der Informationen aufzufordern, kann das Aufforderungssignal an wenigstens einen bestimmten Teilnehmer des sicherheitskritischen Netzwerks adressiert werden. Das gleichzeitige Einspeisen der Informationen von allen Teilnehmern in das sicherheitskritische Netzwerk könnte nämlich negative Auswirkungen für den Zustand des sicherheitskritischen Netzwerks haben.
  • Ferner kann das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist werden. In Abhängigkeit von den Komponenteneigenschaften der Teilnehmer kann so ein Zeitintervall gewählt werden, in dem der Teilnehmer besonders gut in der Lage ist, Informationen zu senden und in seiner normalen Funktion nicht gestört wird. Ferner können mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden.
  • Um eine Überlastung des sicherheitskritischen Netzwerks in jedem Fall zu vermeiden, kann wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers erfasst und das Aufforderungssignal in Abhängigkeit von der wenigstens einen Eigenschaft gesendet werden. So ist jederzeit sichergestellt, dass keine Überlastung des sicherheitskritischen Netzwerks durch die eingespeisten Informationen geschieht.
  • In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung kann die Anordnung wenigstens eine Aufforderungseinrichtung aufweisen, die mit dem sicherheitskritischen Netzwerk verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer zur Einspeisung der Information in das sicherheitskritische Netzwerk veranlasst. Dies hat den oben bereits beschriebenen Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen aussenden können, sehr leicht eingebunden werden können.
  • In einer vorteilhaften Ausgestaltung kann die Aufforderungseinrichtung wenigstens eine Schnittstelle zum nicht sicherheitskritischen Netzwerk aufweisen und so ausgebildet sein, dass das sicherheitskritische Netzwerk von dem nicht sicherheitskritischen Netzwerk getrennt ist. Dies hat den Vorteil, dass gegebenenfalls konkrete Kommandos aus dem nicht sicherheitskritischen Netzwerk an die Aufforderungseinrichtung übertragen werden können. Die Kommandos können beispielweise von einem Diagnosesystem kommen.
  • Ferner kann die Anordnung wenigstens ein Erfassungsmittel aufweisen, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers ausgebildet ist. Dies hat den oben bereits beschriebenen Vorteil, dass ein Zustand des Netzwerks bzw. der Teilnehmer erfasst werden kann und die Anordnung das Aufforderungssignal in einem für das sicherheitskritische Netzwerk oder die Teilnehmer günstigen Moment abgeben kann. Dies stellt sicher, dass keine negativen Beeinträchtigungen vom Senden des Aufforderungssignals und den anschließenden einspeisenden Informationen ausgeht.
  • Die Erfindung betrifft weiterhin ein sicherheitskritisches Netzwerk, insbesondere einer eisenbahntechnischen Anlage, mit wenigstens einem Teilnehmer, der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk ausgebildet ist. Um die Kosten einer sicherheitskritischen Anlage zu senken, ist erfindungsgemäß vorgesehen, dass das sicherheitskritische Netzwerk wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen aufweist.
  • Im Folgenden wird die Erfindung mit Bezug auf die beispielhaften Ausführungsformen in den beigefügten Zeichnungen beschrieben.
  • Es zeigen:
    • 1 eine schematische Darstellung einer beispielhaften Ausführungsform einer erfindungsgemäßen Anordnung in einer eisenbahntechnischen Anlage;
    • 2 eine schematische Darstellung einer weiteren Ausführungsform einer erfindungsgemäßen Anordnung.
  • Die in 1 schematisch dargestellte beispielhafte Ausführung der Erfindung zeigt eine eisenbahntechnische Anlage 1, die mehrere Komponenten 2, ein sicherheitskritisches Netzwerk 3, ein nicht sicherheitskritisches Netzwerk 4 und ein Diagnosesystem 5 aufweist. Die eisenbahntechnische Anlage 1 umfasst weiterhin eine erfindungsgemäße Anordnung 6, die wiederum eine Leseeinrichtung 7 und eine Aufforderungseinrichtung 8 aufweist.
  • Die Komponenten 2 der eisenbahntechnischen Anlage 1 sind beispielsweise Gleiskreise, Achszähler, Weichen, Lichtsignale oder auch Stellwerke, die den Betrieb der eisenbahntechnischen Anlage 1 steuern. Dies sind alles sicherheitskritische Komponenten 2, die daher zur Kommunikation untereinander in das sicherheitskritische Netzwerk 3 als Teilnehmer 9 eingebunden sind. Weitere Teilnehmer 9 des sicherheitskritischen Netzwerks 3 sind Router 10 und die Aufforderungseinrichtung 8 der Anordnung 6. Die Komponenten 2 tauschen über das sicherheitskritische Netzwerk 3 betriebliche Informationen aus, wie beispielsweise Gleisfreimeldungen, Meldungen zum Erreichen von Endlagen, Bestätigungen eines Lichtzeichens und ähnliches betreffen. Die Komponenten 2 geben aber erfindungsgemäß auch Diagnoseinformationen, beispielsweise über ihren Betriebszustand oder andere von dem Diagnosesystem 5 auswertbare Informationen, über das sicherheitskritische Netzwerk 3 ab. Dies wird im Folgenden noch genauer erläutert.
  • Die Router 10 sind in an sich bekannter Weise ausgebildet, können allerdings ebenfalls Diagnoseinformationen, wie beispielsweise Eigendiagnoseinformation, in das sicherheitskritische Netzwerk 3 einspeisen und damit zum Diagnosesystem 5 übertragen.
  • Die Leseeinrichtung 7 ist kein Teilnehmer des sicherheitskritischen Netzwerks 3, aber so mit ihm verbunden, dass der Datenverkehr im sicherheitskritischen Netzwerk 3 von ihm gelesen werden kann. Die Leseeinrichtung 7 ist beispielsweise als ein Netzwerktap ausgebildet, der den Datenverkehr des sicherheitskritischen Netzwerks 3 rückwirkungsfrei, also ohne Auswirkungen auf das sicherheitskritische Netzwerk 3 und seine Teilnehmer 9, mitschreiben und mitlesen kann. Erfindungsgemäß ist die Leseeinrichtung 7 in ihrer Hardwarekonstruktion so ausgestaltet, dass ein Rückwirken auf das sicherheitskritische Netzwerk 3 ausgeschlossen ist.
  • Die Aufforderungseinrichtung 8 ist im Gegensatz zur Leseeinrichtung 7 als ein Teilnehmer 9 des sicherheitskritischen Netzwerks 3 ausgebildet, so dass sie aktiv sicherheitskritischen Netzwerk 3 agieren kann und Kommandos und Nachrichten einspeisen kann. Die Aufforderungseinrichtung 8 ist zum Erzeugen eines Aufforderungssignals ausgebildet, das sie in das sicherheitskritische Netzwerk 3 einspeist. Das Aufforderungssignal, das auch als Polling-Signal bezeichnet werden könnte, stößt ein Senden von Informationen bei den Teilnehmern 9 an. Das Aufforderungssignal kann entweder an einen oder mehrere bestimmte Teilnehmer 9 adressiert sein oder auch an alle Teilnehmer 9 des sicherheitskritischen Netzwerks 3. Die Aufforderungseinrichtung 8 weist ein Erfassungsmittel 11 auf, das Eigenschaften des sicherheitskritischen Netzwerks 3 erfasst, wie z. B. eine aktuelle Belastung. In Abhängigkeit von den durch das Erfassungsmittel 11 erfassten Eigenschaften des sicherheitskritischen Netzwerks 3 sendet die Aufforderungseinrichtung 8 das Aufforderungssignal aus, wenn der Zustand des sicherheitskritischen Netzwerks 3 geeignet ist, also ein besonders günstiger Zeitpunkt vorliegt. Dadurch ist sichergestellt, dass das sicherheitskritische Netzwerk 3 durch das Einspeisen von Informationen von den Teilnehmern 9 nicht negativ belastet wird. Die Aufforderungseinrichtung 8 ist in der in 1 dargestellten beispielhaften Ausführungsform nicht mit dem nicht sicherheitskritischen Netzwerk 4 verbunden, sondern nur mit dem sicherheitskritischen Netzwerk 3.
  • Die Leseeinrichtung 7 ist als ein Teilnehmer 12 des nicht sicherheitskritischen Netzwerks 4 ausgebildet und kann daher Informationen, die im sicherheitskritischen Netzwerk 3 gelesen wurden, in das nicht sicherheitskritische Netzwerk 4 einspeisen.
  • Das Diagnosesystem 5 ist in an sich bekannter Weise ausgebildet und verarbeitet Diagnoseinformationen und gegebenenfalls auch andere Informationen der eisenbahntechnischen Anlage 1 zu Diagnosezwecken. Um die Diagnosequalität zu erhöhen, kann das Diagnosesystem 5 neben den Diagnoseinformationen beispielsweise auch die betrieblichen Informationen aus dem sicherheitskritischen Netzwerk 3 auswerten. So lassen sich beispielsweise Funktionen wie Root Cause Analysis, die einen für eine Störung ursächlichen Fehler identifiziert, sowie Predictive Maintenance, die einen Fehler erkennt bevor er passiert, realisieren. Da das Diagnosesystem 5 als ein sicherheitstechnisch nicht sicheres System, beispielsweise nach Sicherheitslevel SILO, ausgebildet ist, darf es keine Verbindung zum sicherheitskritischen Netzwerk 3, das z. B. SIL3 oder SIL4 ist, aufweisen. Das Diagnosesystem 5 erhält erfindungsgemäß die nötigen Informationen durch die erfindungsgemäße Anordnung 6 und insbesondere die Leseeinrichtung 7 über das nicht sicherheitskritische Netzwerk 4. Anstatt des Diagnosesystems 5 kann auch ein beliebiges anderes System eingesetzt werden, das die Informationen verarbeitet, wie z.B. ein Reporting System oder ein System für Datenanalyse.
  • Die Aufforderungseinrichtung 8 kann beispielsweise als ein separater Rechner im sicherheitskritischen Netzwerk 3 ausgebildet sein und könnte auch als Polling Trigger bezeichnet werden. Die Aufforderungseinrichtung 8 kennt die IP-Adressen der einzelnen Teilnehmer 9 und kann so auch bestimmte Teilnehmer 9 mit individuellen Aufforderungssignalen gezielt zum Senden von Diagnoseinformationen auffordern. Die Aufforderungssignale können in bestimmten Zeitintervallen ausgesendet werden, die auch für einzelne Teilnehmer 9 konfigurierbar sind. Die Zeitintervalle hängen beispielsweise von bestimmten Eigenschaften der Komponenten 2 ab. Beispielsweise kann eine Komponente 2 nicht in der Lage sein, parallel zu ihrer Funktion auch noch Diagnosedaten zu senden. Die Aufforderungseinrichtung 8 sendet die Aufforderungssignale so aus, dass die Netzwerkeigenschaften des sicherheitskritischen Netzwerks 3 nicht negativ beeinflusst werden. Zu den Netzwerkeigenschaften gehören eine maximale Last sowie ein möglichst effektives Nutzen der Netzwerkressourcen. Das Aufforderungssignal wird von der Aufforderungseinrichtung 8 an wenigstens einen Teilnehmer 9, insbesondere an die Komponenten 2, gesendet. Die Komponenten 2 oder Teilnehmer 9 registrieren das Aufforderungssignal und speisen als Reaktion auf das Aufforderungssignal die angefragten Diagnosedaten bzw. Diagnoseinformationen in das sicherheitskritische Netzwerk 3 ein. Die durch das Aufforderungssignal angeforderten Informationen können anschließend von der Leseeinrichtung 7 mitgelesen werden und so an das Diagnosesystem 5 über das nicht sicherheitskritische Netzwerk 4 übertragen werden.
  • Die betrieblichen Informationen der Komponenten 2, die ohne Aufforderungssignal von den Komponenten 2 gesendet werden, werden durch die Leseeinrichtung 7 ebenfalls mitgelesen und an das Diagnosesystem 5 übertragen. Um die Sicherheitseigenschaften des sicherheitskritischen Netzwerks 3 zu erfüllen, ist die Aufforderungseinrichtung 8 auf einer geeigneten Rechnerplattform realisiert, die die notwendigen Sicherheitsbedingungen erfüllt.
  • Durch die erfindungsgemäße Lösung erhält das Diagnosesystem 5, das nicht sicher ausgeführt ist, trotzdem alle erforderlichen Informationen aus dem sicherheitskritischen Netzwerk 3. So ist die Diagnosequalität der erfindungsgemäßen eisenbahntechnischen Anlage 1 besonders hoch, ohne dass Komponenten 2 eingesetzt werden müssen, die spezielle Diagnoseschnittstellen aufweisen.
  • Im Folgenden wird die weitere beispielhafte Ausführungsform der Erfindung mit Bezug auf 2 beschrieben. Der Einfachheit halber wird lediglich auf die Unterschiede zu der Ausführungsform in 1 eingegangen.
  • Im Gegensatz zu der Ausführungsform in 1 weist die Aufforderungseinrichtung 8 der erfindungsgemäßen Anordnung 6 bei der beispielhaften Ausführungsform in 2 eine zusätzliche Schnittstelle 13 auf. Die Schnittstelle 13 ist mit dem nicht sicherheitskritischen Netzwerk 4 verbunden. Durch die Verbindung des Diagnosesystems 5 mit der Aufforderungseinrichtung 8 über die Schnittstelle 13 und das nicht sicherheitskritische Netzwerk 4 können Konfigurationsdaten und gegebenenfalls konkrete Kommandos von dem Diagnosesystem 5 an die Aufforderungseinrichtung 8 übertragen werden. Auch ist ein Setzen von Parametern durch das Diagnosesystem 5 möglich. Solche Parameter können z.B. die Häufigkeit des Aufforderungssignals für einen Teilnehmer 9 oder eine maximal zulässige Netzlast durch die Aufforderungssignale auf dem sicherheitskritischen Netz 3 sein. So können bestimmte Informationen gezielt vom Diagnosesystem 5 angefordert werden. Um die Sicherheit des sicherheitskritischen Netzwerks 3 nicht zu gefährden, ist die Aufforderungseinrichtung 8 intern mit einer Netzwerktrennung versehen, die eine Trennung zwischen dem nicht sicherheitskritischen Netzwerk 4 und dem sicherheitskritischen Netzwerk 3 garantiert.
  • In beiden Ausführungsformen der 1 und 2 ist das sicherheitskritische Netzwerk 3 mit einem hohen Sicherheitslevel ausgestattet, beispielsweise nach SIL3 oder SIL4.

Claims (12)

  1. Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4), bei dem die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) eingespeist werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk (3) eingespeist wird und aufgrund des Aufforderungssignals das Einspeisen der Informationen in das sicherheitskritische Netzwerk (4) durchgeführt wird.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Aufforderungssignal von einem anderen Teilnehmer (9) des sicherheitskritischen Netzwerks (3) erzeugt wird.
  4. Verfahren nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass das Aufforderungssignal an wenigstens einen bestimmten Teilnehmer des sicherheitskritischen Netzwerks (3) adressiert wird.
  5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist wird.
  6. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden.
  7. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks (3) und/oder des wenigstens einen Teilnehmers (9) erfasst und das Aufforderungssignal in Abhängigkeit von der wenigstens einen Eigenschaft gesendet wird.
  8. Anordnung (6) zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4), mit wenigstens einer mit dem sicherheitskritischen Netzwerk (3) und dem nicht sicherheitskrischen Netzwerk (4) verbindbaren Leseeinrichtung (7), die zum rückwirkungsfreien Lesen der vom Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeisten Informationen und zum Einspeisen der gelesenen Informationen in das nicht sicherheitskritische Netzwerk (4) ausgebildet ist.
  9. Anordnung (6) nach Anspruch 8, dadurch gekennzeichnet, dass die Anordnung wenigstens eine Aufforderungseinrichtung (8) aufweist, die mit dem sicherheitskritischen Netzwerk (3) verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer (9) zur Einspeisung der Information in das sicherheitskritische Netzwerk (3) veranlasst.
  10. Anordnung (6) nach Anspruch 9, dadurch gekennzeichnet, dass die Aufforderungseinrichtung (8) wenigstens eine Schnittstelle (13) zum nicht sicherheitskritischen Netzwerk (4) aufweist und so ausgebildet ist, dass das sicherheitskritische Netzwerk (3) von dem nicht sicherheitskritischen Netzwerk (4) getrennt ist.
  11. Anordnung (6) nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass die Anordnung wenigstens ein Erfassungsmittel (11) aufweist, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks (3) und/oder des wenigstens einen Teilnehmers (9) ausgebildet ist.
  12. Sicherheitskritisches Netzwerk (3), insbesondere einer eisenbahntechnischen Anlage (1), mit wenigstens einem Teilnehmer (9), der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk (3) ausgebildet ist, dadurch gekennzeichnet, dass das sicherheitskritische Netzwerk (3) wenigstens eine Anordnung (6) nach einem der oben genannten Ansprüchen 8 bis 11 aufweist.
DE102017203590.0A 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen Withdrawn DE102017203590A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017203590.0A DE102017203590A1 (de) 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen
PCT/EP2018/052869 WO2018162161A1 (de) 2017-03-06 2018-02-06 Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017203590.0A DE102017203590A1 (de) 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen

Publications (1)

Publication Number Publication Date
DE102017203590A1 true DE102017203590A1 (de) 2018-09-06

Family

ID=61283161

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017203590.0A Withdrawn DE102017203590A1 (de) 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen

Country Status (2)

Country Link
DE (1) DE102017203590A1 (de)
WO (1) WO2018162161A1 (de)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226398A1 (de) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102015214993A1 (de) * 2015-08-06 2017-02-09 Siemens Aktiengesellschaft Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken

Also Published As

Publication number Publication date
WO2018162161A1 (de) 2018-09-13

Similar Documents

Publication Publication Date Title
EP3493479B1 (de) Verfahren zum einspeisen von adressierungsströmen durch busknoten eines seriellen datenbussystems und busknoten für ein derartiges datenbussystem
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102017203898A1 (de) Gateway-Vorrichtung, Kommunikationsverfahren und Kommunikationssystem für ein Fahrzeug, insbesondere ein Schienenfahrzeug
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE102010009775A1 (de) Schaltschranküberwachungseinrichtung
EP3964419A1 (de) Übertragung von daten zwischen einem spurgebundenen fahrzeug und einer landseitigen einrichtung
DE102017000932B3 (de) Verfahren zur Initialisierung eines Bussystems und Bussystem
DE2108496C3 (de) Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen, insbesondere für prozeßrechnergesteuerte Eisenbahnsignalanlagen
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
DE3402633A1 (de) Schaltungsanordnung zum anschalten eines teilnehmers an eine busleitung
EP1085705A2 (de) Netzwerk mit mehreren Netzknoten und wenigstens einem Sternknoten
DE102017203590A1 (de) Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen
DE102011086726B4 (de) Verfahren zur redundanten Kommunikation zwischen einem Nutzer-Terminal und einem Leitsystem-Server
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
DE102016108997A1 (de) Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät
EP1227406A1 (de) Transceiver mit Mitteln zum Fehlermanagement
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
EP3957033B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
DE102012201669B4 (de) Verfahren und Kommunikationscontroller zur Datenübertragung zwischen zwei mittels Übertragungsstrecken verbundenen Datenverarbeitungseinheiten
DE102017130447B4 (de) Netzwerkmodul und Netzwerkanordnung
EP3742680B1 (de) Verteilervorrichtung und entsprechendes verfahren
EP3661830B1 (de) Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee