DE102019214922A1 - Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem - Google Patents

Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem Download PDF

Info

Publication number
DE102019214922A1
DE102019214922A1 DE102019214922.7A DE102019214922A DE102019214922A1 DE 102019214922 A1 DE102019214922 A1 DE 102019214922A1 DE 102019214922 A DE102019214922 A DE 102019214922A DE 102019214922 A1 DE102019214922 A1 DE 102019214922A1
Authority
DE
Germany
Prior art keywords
components
component
central computer
computer unit
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019214922.7A
Other languages
English (en)
Inventor
Benjamin Schilling
Christian Figura
Matthias Lorenz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to DE102019214922.7A priority Critical patent/DE102019214922A1/de
Priority to PCT/EP2020/074389 priority patent/WO2021058244A1/de
Priority to CN202080067151.2A priority patent/CN114503079A/zh
Priority to EP20771472.6A priority patent/EP4018300A1/de
Publication of DE102019214922A1 publication Critical patent/DE102019214922A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

In einer Ausführungsform dient das Verfahren zum Konfigurieren von Komponenten (2) einer Eisenbahnsignalanlage (1) und umfasst die Schritte:A) Bereitstellen einer Vielzahl der Komponenten (2),B) Bereitstellen einer zentralen Rechnereinheit (3), undC) Aktualisieren von Konfigurationen (22) der Komponenten (2) mittels der zentralen Rechnereinheit (3), wobei- den Komponenten (2) jeweils eine eindeutige Kennung (4) zugeordnet ist,- die Kennungen (4) jeweils festlegbar sind, und- das Aktualisieren von den Komponenten (2) bei der zentralen Rechnereinheit (3) angefragt wird und kryptographisch gesichert erfolgt.

Description

  • Es wird ein Verfahren zur Konfiguration von Komponenten einer Eisenbahnsignalanlage angegeben. Darüber hinaus wird ein Aktualisierungssystem angegeben, das für ein solches Verfahren eingerichtet ist.
  • Die Druckschrift EP 2 121 409 B1 betrifft ein Verfahren zum Übertragen von Daten an ein Streckenelement für spurgebundenen Verkehr.
  • Eine zu lösende Aufgabe liegt darin, ein Verfahren anzugeben, mit dem effizient Komponenten einer Eisenbahnsignalanlage konfiguriert werden können. Eine weitere zu lösende Aufgabe liegt darin, ein Aktualisierungssystem für ein solches Verfahren anzugeben.
  • Diese Aufgaben werden unter anderem durch ein Verfahren und durch ein Aktualisierungssystem mit den Merkmalen der entsprechenden unabhängigen Patentansprüche gelöst. Bevorzugte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
  • In mindestens einer Ausführungsform dient das Verfahren zur Konfiguration von Komponenten einer Eisenbahnsignalanlage. Die Komponenten sind zum Beispiel Weichencontroller, Achszähler, Stellwerke und/oder Streckenzentralen. Das Verfahren umfasst:
    1. A) Bereitstellen einer Vielzahl der Komponenten,
    2. B) Bereitstellen einer zentralen Rechnereinheit, auch als Server bezeichnet, und
    3. C) Aktualisieren von Konfigurationen der Komponenten mittels der zentralen Rechnereinheit,
    wobei den Komponenten jeweils eine eindeutige Kennung zugeordnet ist und die Kennungen jeweils festlegbar sind, wobei das Aktualisieren von den Komponenten bei der zentralen Rechnereinheit angefragt wird und kryptographisch gesichert erfolgt.
  • In einer dezentralen Streckensteuerungsarchitektur sind Streckenelementsteuerungen, kurz auch als Komponenten bezeichnet, typischerweise weit verteilt angeordnet. Aufgrund dieser weiten Verteilung der Streckenelementsteuerungen nehmen manuelle Konfigurationsänderungen viel Zeit und Aufwand in Anspruch.
  • So muss bei einer manuellen Änderung der Konfiguration einer dezentralen Komponente das für die Wartung zuständige Personal einen physikalischen Zugang zu der Komponente erlangen, zum Beispiel um einen Identifizierungsstecker auszutauschen, welcher die Konfiguration für die Komponente enthält, oder um Knöpfe zu drücken und dadurch eine Konfigurationsänderung zu initialisieren. Ein solches Verfahren wird beispielsweise für Objektsteuerungen in Systemen, die insbesondere auf NeuPro oder Eulynx basieren, eingesetzt.
  • Mit dem hier beschriebenen Verfahren ist es möglich, Konfigurationen über eine sichere Datenfernverbindung zu verteilen. Die Komponenten können dabei noch ihre ID-Stecker aufweisen, doch dient der ID-Stecker bevorzugt nur noch zur Speicherung einer Adresse des die Konfiguration speichernden Servers und einer eindeutigen Kennung der betreffenden Komponente. Für die hier beschriebene Aktualisierung der Konfiguration ist der ID-Stecker selbst nicht zwingend erforderlich, sondern bevorzugt nur, dass die Komponente eine eindeutige ID und die zumindest eine Adresse des Servers beinhaltet, welcher die Konfiguration speichert und verteilt.
  • Diese Kennung, kurz ID, wird insbesondere zusammen mit einer Prüfsumme, wie einem Hash-Wert, der aktuellen Konfiguration der Komponente an den Server gesendet, wobei der Server über eine der bereitgestellten Adressen erreichbar ist. Der Server verarbeitet die Anfrage und prüft anhand der ID und der Prüfsumme, ob eine aktuellere Gerätekonfiguration für die Komponente zur Verfügung steht. Wenn dies der Fall ist, wird der Server die neue Konfiguration an die betreffende Komponente senden. Andernfalls wird der Server in einer Antwort bevorzugt anzeigen, dass keine neue Konfiguration für die Komponente zur Verfügung steht.
  • Empfängt die Komponente die neue Konfiguration, so überprüft die Komponente diese Konfiguration bevorzugt mit einem kryptographischen Verfahren, zum Beispiel mittels einer Signatur. Erst wenn die Signatur gültig ist, wird die neue Konfiguration verwendet.
  • Dieser Ablauf wird bevorzugt jedes Mal ausgeführt, wenn die Komponente neu startet, was auch als „Booten“ bezeichnet wird. Wenn die Konfiguration einer bestimmten Komponente geändert werden soll, wird die Konfiguration somit nur in der zentralen Ablage des Konfigurationsservers verändert und nicht mehr an jeder einzelnen Komponente. Ein Neustart der Komponente kann optional aus der Ferne, also remote, ausgelöst werden, um das Abrufen der neuen Konfiguration an der entsprechenden Komponente auszulösen.
  • Mit der hier beschriebenen Vorgehensweise kann ein sicherer Mechanismus zur Konfigurationsverteilung bereitgestellt werden. So kann es mit dieser Vorgehensweise einem Nutzer ermöglicht werden, durch die zentrale Verwaltung der weit verteilten, dezentralen Komponenten Kosten einzusparen, anstatt lokal jede Komponente einzeln neu zu konfigurieren. Insbesondere können mit dieser Vorgehensweise Eisenbahnsysteme aufgebaut werden, die selbständig ihre neuesten Konfigurationsdaten beim Booten abholen. Zusätzlich wird jede verfälschte Konfiguration abgebaut und automatisch durch die richtige Konfiguration ersetzt. So würde eine Manipulation der Konfigurationsdateien, etwa durch einen Hackerangriff oder durch einen korrumpierten Speicher, erkannt und korrigiert werden.
  • Ein zentraler Server, der die Konfigurationen aller Komponenten speichert, ist im Vergleich zu individuell vor Ort zu konfigurierenden Komponenten effizienter handhabbar. Jede Konfigurationsdatei kann kryptographisch signiert und somit vor böswilligen oder versehentlichen Verfälschungen geschützt werden. Immer dann, wenn die Komponenten booten, wird bevorzugt ein Hash-Wert über die entsprechende Konfiguration erstellt und zusammen mit der zugehörigen eindeutigen Kennung an den Server übersandt. Wenn der Hash-Wert mit der für diese Kennung vorgegebenen Konfiguration übereinstimmt, ist die Konfiguration gültig und muss nicht aktualisiert werden. Falls der Hash-Wert nicht mit der neuesten Konfiguration übereinstimmt, wird die Konfiguration der betreffenden Komponente aktualisiert.
  • Somit kann ein System bereitgestellt werden, das sich autonom konfiguriert, sodass einem Kunden eine Lösung angeboten werden kann, die den Aufwand manueller Konfigurationsaktualisierungen einspart. Ferner wird es ermöglicht, Komponenten ohne anfängliche Konfigurationsprüfung zu verwenden und in die Eisenbahnsignalanlage einzubauen. Außerdem können basierend auf dem hier beschriebenen Verfahren Dienstleistungen angeboten werden, mittels eines zentralisierten Konfigurationsservers die Konfigurationen der Komponenten einer Eisenbahnsignalanlage laufend auf dem aktuellen Stand zu halten. Der Konfigurationsserver kann aufgrund der Verwendung von IT-Sicherheitstechniken auch Cloud-basiert sein.
  • Dagegen hat das Versenden der Konfigurationen von einem zentralen Server hin zu den einzelnen Komponenten, auf Initiative des Servers, erhebliche Nachteile:
    • - Statt der Speicherung nur der Geräte-IDs muss zusätzlich jede Geräteadresse der Komponenten gespeichert werden.
    • - Es ist nicht bekannt, wann die Konfigurationsinformationen an eine bestimmte Komponente zu senden sind. Es besteht die Notwendigkeit, eine Information darüber zu haben, wann die Konfigurationen an die Komponenten zu senden sind. Zum Beispiel müsste der Server wissen, wann ein Neustart der Komponenten vorgenommen wird oder wann eine neue Komponente in das System integriert wird.
  • Der Begriff Eisenbahnsignalanlage wird vorliegend insbesondere als Sammelbezeichnung für alle signaltechnischen Einrichtungen zur Durchführung und Sicherung des Eisenbahnbetriebs verstanden. Dazu gehören insbesondere Stellwerksanlagen, Blocksteueranlagen, Fernsteueranlagen, Stromversorgungseinrichtungen, Signalkabel, Weichencontroller, Achszähler oder Streckenzentralen, auch als Radio Block Centre oder kurz RBC bezeichnet.
  • Die Verfahrensschritte A), B) und C) können in der angegebenen Reihenfolge durchgeführt werden, jedoch ist dies nicht zwingend erforderlich. Insbesondere kann die Eisenbahnsignalanlage schrittweise aufgebaut und/oder stetig erweitert werden, sodass der Schritt A), Bereitstellen einer Vielzahl der Komponenten, über einen langen Zeitraum hinweg erfolgen kann, wobei bereits Aktualisierungen gemäß Schritt C) durchgeführt werden können, wenn noch nicht alle Komponenten installiert sind.
  • Gemäß zumindest einer Ausführungsform wird das Aktualisieren von den Komponenten bei der zentralen Rechnereinheit angefragt. Das heißt, die Initiative zum Aktualisieren liegt bei den einzelnen Komponenten, und nicht bei der zentralen Rechnereinheit.
  • Gemäß zumindest einer Ausführungsform erfolgt die kryptographische Sicherung beim Aktualisieren anhand von Signaturen oder auch durch die Nutzung eines MAC-basierten Sicherungsanhangs, der im Gegensatz zu einer Signatur allerdings nur auf einen symmetrischen Schlüssel basiert.
  • Gemäß zumindest einer Ausführungsform handelt es sich bei der zentralen Rechnereinheit um einen Server. Es ist möglich, dass für verschiedene Gruppen von Komponenten unterschiedliche Server verwendet werden. Außerdem kann die zentrale Rechnereinheit redundant ausgelegt sein. Weiterhin ist es möglich, dass die zentrale Rechnereinheit während der Betriebsdauer der Eisenbahnsignalanlage ausgetauscht und/oder erneuert wird. Ändert sich die Adresse der zentralen Rechnereinheit, so können die Komponenten insbesondere vorab zum Beispiel mittels der zentralen Rechnereinheit entsprechend instruiert oder informiert werden.
  • Gemäß zumindest einer Ausführungsform sind die eindeutigen Kennungen in Hardware implementiert. Das heißt, die Kennungen sind programmtechnisch bevorzugt nicht überschreibbar oder änderbar und sind somit dauerhaft. Beispielsweise sind die eindeutigen Kennungen je an einen Trägerkörper gebunden. Zum Beispiel ist der Trägerkörper ein Token-Stick, ein Dongle, ein Hardwarekey, ein Hardlock, ein Chip oder eine Chipkarte, etwa ein Teilnehmer-Identitätsmodul, englisch Subscriber Identity Module oder kurz SIM.
  • Gemäß zumindest einer Ausführungsform sind die Trägerkörper jeweils reversibel an der zugeordneten Komponente anbringbar. Das heißt, zum Beispiel durch Bedienpersonal kann der Trägerkörper von einer bestimmten Komponente entfernt werden und einer anderen Komponente, zum Beispiel einem Ersatzteil, zugeordnet werden. Da die Kennung an den Trägerkörper gebunden ist, bleibt die Kennung dabei eindeutig.
  • Gemäß zumindest einer Ausführungsform beinhalten die Trägerkörper jeweils Zugangsdaten der betreffenden Komponente für die zentrale Rechnereinheit. Beispielsweise ist eine Adresse der zentralen Rechnereinheit in dem jeweiligen Trägerkörper hinterlegt. Optional können zusammen mit der Kennung mittels des Trägerkörpers weitere Informationen eindeutig den Komponenten zugeordnet werden.
  • Gemäß zumindest einer Ausführungsform sind die Kennungen jeweils einem bestimmten Einbauplatz der Eisenbahnsignalanlage zugeordnet. Der Einbauplatz ist zum Beispiel ein Steckplatz, ein Fach oder ein Rack. Bevorzugt sind die Kennungen jeweils dauerhaft und eindeutig an den betreffenden Einbauplatz gebunden. Das heißt, mit der Kennung sind eine Position und Lage der zugehörigen, sich in dem Einbauplatz befindlichen Komponente innerhalb der Eisenbahnsignalanlage eindeutig und dauerhaft festgelegt. Es ist möglich, dass die Komponenten nur dann funktionieren, wenn sie sich korrekt in dem bestimmungsgemäßen Einbauplatz befinden und über die richtige eindeutige Kennung verfügen.
  • Gemäß zumindest einer Ausführungsform umfasst das Verfahren den folgenden Schritt:
    • D) Ersetzen einer vorhandenen Komponente an einem bestimmten Einbauplatz durch eine andere Komponente, die als Ersatzteil für die zuvor an diesem Einbauplatz vorhandene Komponente dient. Dabei wird bevorzugt die Kennung von der zuvor vorhandenen Komponente auf die andere Komponente, die als Ersatzteil dient, übertragen. Somit ist beim Ersetzen einer Komponente die Kennung, die für die Funktion der Komponente ausschlaggebend ist, beibehaltbar. Insbesondere muss die zentrale Recheneinheit nicht vom Ersetzen der Komponente informiert werden. Somit ist eine vereinfachte Wartung möglich.
  • Gemäß zumindest einer Ausführungsform beinhalten die Trägerkörper jeweils eine Initialkonfiguration für die betreffende Komponente. Das heißt, auf den Trägerkörpern kann fest und dauerhaft mindestens eine, bevorzugt genau eine Konfiguration für die zugeordnete Komponente und/oder für den zugeordneten Einbauplatz hinterlegt sein.
  • Gemäß zumindest einer Ausführungsform wird die Initialkonfiguration bei jedem Neustart der betreffenden Komponente geladen. Das heißt, die Komponenten fallen beim Neustart immer auf die Initialkonfiguration zurück. Alternativ ist es möglich, dass die Komponenten die zuletzt erhaltene Konfiguration beibehalten, zumindest in dem Fall, dass zwischenzeitlich keine Unterbrechung der Kennung stattfand, also insbesondere der zugeordnete Trägerkörper nicht entfernt oder beschädigt wurde.
  • Gemäß zumindest einer Ausführungsform fragen bei oder nach jedem Neustart die Komponenten bei der zentralen Rechnereinheit an, ob Schritt C) durchzuführen ist, das heißt, ob eine Aktualisierung der Konfigurationen vorzunehmen ist. Optional nehmen die Komponenten erst dann ihre Funktion auf, wenn sie eine Rückmeldung von der zentralen Rechnereinheit erhalten haben, entweder in Form einer Bestätigung, dass die zugehörige Konfiguration noch aktuell ist, oder in Form einer aktuellen Konfiguration.
  • Gemäß zumindest einer Ausführungsform erfolgt ein Abgleich einer Konfiguration einer bestimmten Komponente mit einer in der zentralen Rechnereinheit hinterlegten Konfiguration für die betreffende Komponente anhand zumindest einer Prüfsumme oder anhand einer kryptographischen Maßnahme. Das heißt, es müssen beim Abgleich nicht die kompletten Werte der Konfigurationen, sondern nur Prüfsummen oder äquivalente Daten ausgetauscht werden. Somit kann ein zu übertragendes Datenvolumen reduziert werden.
  • Gemäß zumindest einer Ausführungsform wird in der betreffenden Komponente eine im Schritt C) von der zentralen Rechnereinheit übermittelte Konfiguration validiert und/oder auf Authentizität geprüft, bevor diese Konfiguration in der zugeordneten Komponente tatsächlich zur Anwendung kommt. Diese Validierung und/oder Authentifizierung greift nur auf Daten zurück, die in der Komponente hinterlegt sind. Insbesondere kann es für die erfolgreiche Validierung und/oder Authentifizierung nötig sein, dass auf Daten der zugeordneten Komponente und auch des betreffenden Trägerkörpers zurückgegriffen wird.
  • Gemäß zumindest einer Ausführungsform liegen in der Eisenbahnsignalanlage mehrere unterschiedliche Arten von Komponenten vor. Für einig oder alle der Komponenten werden von der zentralen Rechnereinheit im Schritt C) individuelle, voneinander verschiedene Konfigurationen bereitgestellt. Das heißt, wenigstens einige der Komponenten oder auch alle Komponenten werden bestimmungsgemäß unterschiedlich konfiguriert.
  • Darüber hinaus wird ein Aktualisierungssystem angegeben. Das Aktualisierungssystem ist für ein Verfahren eingerichtet, wie in Verbindung mit einer oder mehrerer der oben beschriebenen Ausführungsformen angegeben. Merkmale des Aktualisierungssystems sind daher auch für das Verfahren offenbart und umgekehrt.
  • In mindestens einer Ausführungsform umfasst das Aktualisierungssystem eine Vielzahl von Komponenten einer Eisenbahnsignalanlage, eine zentrale Rechnereinheit und zumindest eine Datenverbindung zwischen den Komponenten und der zentralen Rechnereinheit. Die Datenverbindung kann drahtgebunden oder drahtlos sein oder eine Mischung aus drahtgebundenen und drahtlosen Teilverbindungen sein. Insbesondere kann die Datenverbindung eine Mobilfunkverbindung sein.
  • Die oben genannten Eigenschaften, Merkmale und Vorteile der Erfindung und die Art und Weise, wie diese erreicht werden, werden durch die folgende Beschreibung der Ausführungsbeispiele der Erfindung in Verbindung mit den entsprechenden Figuren weitergehend erläutert, wobei
    • 1 eine schematische Darstellung eines Ausführungsbeispiels eines Aktualisierungssystems für ein hier beschriebenes Verfahren zeigt,
    • 2 ein schematisches Blockdiagramm einer Eisenbahnsignalanlage und einer zentralen Rechnereinheit für ein hier beschriebenes Verfahren zeigt, und die
    • 3 und 4 schematische Darstellungen von Verfahrensschritten eines hier beschriebenen Verfahrens zeigen.
  • In 1 ist ein Ausführungsbeispiel eines Aktualisierungssystems 10 illustriert. Das Aktualisierungssystems 10 umfasst eine Eisenbahnsignalanlage 1 sowie eine zentrale Rechnereinheit 3. Die zentrale Rechnereinheit 3, zum Beispiel ein Server, ist über eine Datenverbindung 7 mit einzelnen Komponenten 2 der Eisenbahnsignalanlage 1 datentechnisch verbunden. Die Datenverbindung 7 ist eine Mobilfunkverbindung, kann aber auch eine drahtgebundene Verbindung sein.
  • Es ist möglich, dass die Datenverbindung 7 und/oder die zentrale Rechnereinheit 3 selbst ein Bestandteil der Eisenbahnsignalanlage 1 sind. Alternativ sind die Datenverbindung 7 und/oder die zentrale Rechnereinheit 3 kein Teil der Eisenbahnsignalanlage 1, sondern sind hiervon verschiedene, eigenständige Baugruppen.
  • Bei den einzelnen Komponenten 2 handelt es sich zum Beispiel um Weichencontroller, Achszähler, Stellwerke und/oder Streckenzentralen, kurz RBCs, sodass die Eisenbahnsignalanlage 1 bevorzugt verschiedene Arten von Komponenten 2 beinhaltet. Mittels der Komponenten 2 kann ein Verkehr auf einer Bahnstrecke 6 geregelt und/oder gesteuert werden.
  • Die einzelnen Komponenten 2 befinden sich bevorzugt je auf Einbauplätzen 5 der Eisenbahnsignalanlage 1. Den Einbauplätzen 5 und den jeweiligen Komponenten 2 ist je eindeutig eine Kennung 4 zugeordnet. Die Kennung 4 ist bevorzugt an den betreffenden Einbauplatz 5 gebunden. Diese Bindung wird zum Beispiel mit Hilfe von Kennungssicherungen 8 erreicht. Die Kennungssicherungen 8 können mechanisch realisiert sein, beispielsweise durch eine Kette, oder auch elektronisch, beispielsweise durch eine Sensoreinheit.
  • Mittels der Kennungen 4 sind die Komponenten 2 und die Einbauplätze 5 eindeutig identifizierbar. Beispielsweise sind die Kennungen 4 Identifikatoren, kurz IDs, wie eine alphanumerische Zeichenkette. Die Kennungen 4 sind bevorzugt je fest an einen Trägerkörper 41 gebunden. Die Trägerkörper 41 sind beispielsweise durch einen Token-Stick, einen Dongle, einen Hardwarekey, einen Hardlock, einen Chip oder auch durch eine Chipkarte realisiert. Die Trägerkörper 41 sind bevorzugt mittels der Kennungssicherungen 8 an die jeweiligen Einbauplätze 5 gekoppelt. Es ist auch möglich, dass die Trägerkörper 41 und/oder die Kennungen 4 je ein Bestandteil des zugehörigen Einbauplatzes 5 sind.
  • Alternativ zu Kennungen 4, die dauerhaft und untrennbar mit einer Hardware verbunden sind, können im Prinzip auch programmierbare Kennungen 4 zum Einsatz kommen. Solche Kennungen 4 können bevorzugt nur dezentral programmiert werden und werden insbesondere nicht von der zentrale Rechnereinheit 3 vergeben.
  • Abweichend von der Darstellung in 1 ist es möglich, dass mehr als eine zentrale Rechnereinheit 3 vorhanden ist, etwa um Redundanz zu schaffen.
  • In 2 ist schematisch ein Blockdiagramm der Rechnereinheit 3 und der Komponenten 2 der Eisenbahnsignalanlage 1 gezeigt. In der Rechnereinheit 3 sind aktuelle Konfigurationen 22 für die Komponenten 2 hinterlegt. Bevorzugt liegt in der Rechnereinheit 3 für jede der Komponenten 2 eine individuelle Konfiguration 22 vor, sodass zwischen den Komponenten 2 und den Konfiguration 22 eine eineindeutige Beziehung besteht.
  • Über die Datenverbindung 7 werden die Konfigurationen 22 von der Recheneinheit 3 auf die Komponenten 2 übertragen, auf Anfrage der Komponenten 2 hin. Damit lässt sich eine zentral organisierte Aktualisierung der Komponenten 2 erreichen. Dies erspart es einem Betreiber der Eisenbahnsignalanlage 1 und/oder der Bahnstrecke 6, jeweils vor Ort die potentiell weit verstreut liegenden Komponenten 2 zu aktualisieren.
  • Außerdem ist in 2 illustriert, dass die Komponenten 2, bevorzugt die Trägerkörper 41, je zusätzlich zur Kennung 4 noch mit Zugangsdaten 43 für die zentrale Rechnereinheit 3 versehen sind. Zusammen mit der Kennung 4 kann damit bestimmt werden, an welche zentrale Rechnereinheit 3 oder an welche zentralen Rechnereinheiten 3 sich die betreffende Komponente 2 zum Aktualisieren der Konfiguration 2 wenden muss. Die Zugangsdaten 43 beinhalten Serveradressen.
  • Weiterhin ist es optional möglich, dass die Komponenten 2, bevorzugt die Trägerkörper 41, je eine Initialkonfiguration 42 beinhalten. Die Initialkonfiguration 42 ist diejenige Konfiguration 22, auf die die betreffende Komponente 2 nach einem Neustart zurückgreift.
  • Anhand von 3 ist das hier beschriebene Aktualisierungsverfahren weiter veranschaulicht. Dazu werden mehrere der Komponenten 2 bereitgestellt und mit den Kennungen 4 versehen, wobei zur Vereinfachung der Darstellung in 3 nur eine der Komponenten 2 mit der zugehörigen Kennung 4 gezeigt ist. Ferner wird die zentrale Rechnereinheit 3 bereitgestellt. Die Datenverbindung ist in 3 nicht eigens gezeichnet.
  • In einem Verfahrensschritt S1 erfolgt ein Starten der Komponente 2. Nach oder während des Startens wird die Komponente 2 im Schritt S2 gemäß der Initialkonfiguration 42 konfiguriert, welche bevorzugt in dem Trägerkörper 41 hinterlegt ist.
  • Im optionalen Schritt S3 wird die vorgenommene Konfigurierung verifiziert, beispielsweise anhand von Signaturen, Prüfsummen und/oder Hash-Werten. Erfolgt keine ordnungsgemäße Verifikation, so kann eine Fehlermeldung ausgegeben werden.
  • Im Schritt S4 initialisiert die Komponente 2 das Konfigurieren. Dazu wird eine Anfrage an die zentrale Rechnereinheit 3 gesendet, beispielsweise anhand der in dem Trägerkörper 41 hinterlegten Zugangsdaten. Die Anfrage kann eine Prüfsumme und/oder einen Hash-Wert oder einen anderen Identifikator umfassen, sodass es der zentralen Rechnereinheit 3 ermöglicht wird zu beurteilen, ob die gerade an der Komponente 2 vorliegende Konfiguration die aktuelle, bestimmungsgemäße Konfiguration 22 ist. Ist dem nicht so, wird die Konfiguration 22 von der zentralen Rechnereinheit 3 an die Komponente 2 gesandt.
  • Liegt die aktuelle Konfiguration 22 bereits an der Komponente 2 vor, so ist es möglich, dass die zentrale Rechnereinheit 3 lediglich bestätigt, dass derzeit keine Aktualisierung erforderlich ist.
  • Im optionalen Schritt S5 erfolgt eine Verifikation, ob die von der zentralen Rechnereinheit 3 eine gültige, zulässige und/oder mögliche Konfiguration ist. Wird dies bestätigt, so kann die Konfiguration 22 von der Komponente 2 verwendet werden. Anderenfalls wird der Schritt S4 wiederholt oder das Verfahren beginnt wieder mit dem Schritt S1.
  • Eine Kommunikation zwischen der zentralen Rechnereinheit 3 und der Komponente 2 erfolgt bevorzugt kryptographisch gesichert.
  • In 4 ist ein weiterer, optionaler zusätzlicher Verfahrensablauf gezeigt. Gemäß 4, links, befindet sich eine Komponente 2 mit der zugehörigen Kennung 4 in einem Einbauplatz 5. In 4, Mitte, ist dargestellt, dass die Komponente 2 entfernt wurde, wobei die Kennung 4 immer noch an den Einbauplatz gebunden ist. Die Komponente 2 wird zum Beispiel im Falle eines Defekts oder im Falle einer verfügbaren neueren Geräteversion ersetzt.
  • Gemäß 4, rechts, ist eine neue Komponente 2' als Ersatzteil oder als Austauschteil in den Einbauplatz 5 eingefügt. Dabei wird die Kennung 4 auch für die neue Komponente 2' verwendet. Die neue Komponente 2' kann somit beim Neustart oder erstmaligen Start auf die gleiche Initialkonfiguration zurückgreifen, wie die zuvor vorhandene Komponente 2, und kann in gleicher Weise korrekt konfiguriert werden, ohne dass die zentrale Rechnereinheit 3 gesondert über das Ersetzen der Komponente 2 in Kenntnis gesetzt werden muss oder dass die neue Komponente 2' durch Bedienpersonal bereits beim Einbauen speziell konfiguriert zu werden braucht.
  • Obwohl die Erfindung anhand von Ausführungsbeispielen detailliert dargestellt und beschrieben wurde, ist die Erfindung nicht auf die offenbarten Ausführungsbeispiele und die darin erläuterten konkreten Merkmalskombinationen beschränkt. Weitere Variationen der Erfindung können von einem Fachmann erhalten werden, ohne den Schutzumfang der beanspruchten Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    Eisenbahnsignalanlage
    2, 2'
    Komponente der Eisenbahnsignalanlage
    22
    Konfiguration
    3
    zentrale Rechnereinheit
    4
    eindeutige Kennung
    41
    Trägerkörper einer Kennung
    42
    Initialkonfiguration
    43
    Zugangsdaten für die zentrale Rechnereinheit
    5
    Einbauplatz
    6
    Bahnstrecke
    7
    Datenverbindung
    8
    Kennungssicherung
    10
    Aktualisierungssystem
    S..
    Verfahrensschritt
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 2121409 B1 [0002]

Claims (12)

  1. Verfahren zum Konfigurieren von Komponenten (2) einer Eisenbahnsignalanlage (1) mit den Schritten: A) Bereitstellen einer Vielzahl der Komponenten (2), B) Bereitstellen einer zentralen Rechnereinheit (3), und C) Aktualisieren von Konfigurationen (22) der Komponenten (2) mittels der zentralen Rechnereinheit (3), wobei - den Komponenten (2) jeweils eine eindeutige Kennung (4) zugeordnet ist, - die Kennungen (4) jeweils festlegbar sind, und - das Aktualisieren von den Komponenten (2) bei der zentralen Rechnereinheit (3) angefragt wird und kryptographisch gesichert erfolgt.
  2. Verfahren nach dem vorhergehenden Anspruch, bei dem jede der Kennungen (4) dauerhaft an einen bestimmten Einbauplatz (5) der Eisenbahnsignalanlage (1) gebunden ist und jeder Einbauplatz (5) für eine der Komponenten (2) vorgesehen ist.
  3. Verfahren nach dem unmittelbar vorhergehenden Anspruch, ferner umfassend den Schritt: D) Ersetzen einer vorhandenen Komponente (2) an einem bestimmten Einbauplatz (5) durch eine andere Komponente (2'), die als Ersatzteil für die zuvor an diesem Einbauplatz (5) vorhandene Komponente (2) dient, wobei die Kennung (4) von der zuvor vorhandenen Komponente (2) auf die andere Komponente (2'), die als Ersatzteil dient, übertragen wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jede der Kennungen (4) dauerhaft an einen bestimmten Trägerkörper (41) gebunden ist, wobei die Trägerkörper (41) jeweils an die zugeordnete Komponente (2) reversibel anbringbar sind.
  5. Verfahren nach dem unmittelbar vorhergehenden Anspruch, bei dem die Trägerkörper (41) jeweils Zugangsdaten (43) der betreffenden Komponente (2) für die zentrale Rechnereinheit (3) beinhalten.
  6. Verfahren nach einem der beiden unmittelbar vorhergehenden Ansprüche, bei dem die Trägerkörper (41) jeweils eine Initialkonfiguration (42) für die betreffende Komponente (2) beinhalten, wobei die Initialkonfiguration (42) bei jedem Neustart der betreffenden Komponente (2) geladen wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem nach jedem Neustart die Komponenten (2) bei der zentralen Rechnereinheit (3) anfragen, ob Schritt C) durchzuführen ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem ein Abgleich einer Konfiguration (22) einer bestimmten Komponente (2) mit einer in der zentralen Rechnereinheit (3) hinterlegten Konfiguration (22) für die betreffende Komponente (2) anhand zumindest einer Prüfsumme erfolgt.
  9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem in der betreffenden Komponente (2) eine im Schritt C) von der zentralen Rechnereinheit (3) übermittelte Konfiguration (22) validiert und/oder auf Authentizität geprüft wird, bevor diese Konfiguration (22) zur Anwendung kommt.
  10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem unterschiedliche Arten von Komponenten (2) vorliegen und für mindestens einige der Komponenten (2) von der zentralen Rechnereinheit (3) im Schritt C) individuelle Konfigurationen (22) bereitgestellt werden.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem zumindest einige der Komponenten (2) jeweils aus der folgenden Gruppe ausgewählt sind: Weichencontroller, Achszähler, Stellwerk, Streckenzentrale.
  12. Aktualisierungssystem (10) mit - einer Vielzahl von Komponenten (2) einer Eisenbahnsignalanlage (1), - einer zentralen Rechnereinheit (3), und - zumindest einer Datenverbindung (7) zwischen den Komponenten (2) und der zentralen Rechnereinheit (3), wobei das Aktualisierungssystem (10) für ein Verfahren nach einem der vorhergehenden Ansprüche eingerichtet ist.
DE102019214922.7A 2019-09-27 2019-09-27 Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem Withdrawn DE102019214922A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102019214922.7A DE102019214922A1 (de) 2019-09-27 2019-09-27 Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem
PCT/EP2020/074389 WO2021058244A1 (de) 2019-09-27 2020-09-02 Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem
CN202080067151.2A CN114503079A (zh) 2019-09-27 2020-09-02 用于铁路信号设备的配置方法以及更新系统
EP20771472.6A EP4018300A1 (de) 2019-09-27 2020-09-02 Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019214922.7A DE102019214922A1 (de) 2019-09-27 2019-09-27 Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem

Publications (1)

Publication Number Publication Date
DE102019214922A1 true DE102019214922A1 (de) 2021-04-01

Family

ID=72473516

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019214922.7A Withdrawn DE102019214922A1 (de) 2019-09-27 2019-09-27 Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem

Country Status (4)

Country Link
EP (1) EP4018300A1 (de)
CN (1) CN114503079A (de)
DE (1) DE102019214922A1 (de)
WO (1) WO2021058244A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4297373A1 (de) * 2022-06-23 2023-12-27 Siemens Mobility GmbH Betriebsverfahren und netzwerk

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007010763A1 (de) * 2007-03-06 2008-09-11 Zf Friedrichshafen Ag Verfahren zur adaptiven Konfigurationserkennung
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
EP2121409B1 (de) * 2007-02-02 2010-09-29 Siemens Aktiengesellschaft Verfahren, mobiles bediengerät und anordnung zum übertragen von daten an ein streckenelement des spurgebundenen verkehrs
US20140282470A1 (en) * 2013-03-13 2014-09-18 Arynga Inc. Remote transfer of electronic images to a vehicle

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9489496B2 (en) * 2004-11-12 2016-11-08 Apple Inc. Secure software updates
US20140059534A1 (en) * 2012-08-22 2014-02-27 General Electric Company Method and system for software management
KR20140106991A (ko) * 2013-02-27 2014-09-04 삼성전자주식회사 휴대 단말기에서 애플리케이션을 제공하는 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
EP2121409B1 (de) * 2007-02-02 2010-09-29 Siemens Aktiengesellschaft Verfahren, mobiles bediengerät und anordnung zum übertragen von daten an ein streckenelement des spurgebundenen verkehrs
DE102007010763A1 (de) * 2007-03-06 2008-09-11 Zf Friedrichshafen Ag Verfahren zur adaptiven Konfigurationserkennung
US20140282470A1 (en) * 2013-03-13 2014-09-18 Arynga Inc. Remote transfer of electronic images to a vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4297373A1 (de) * 2022-06-23 2023-12-27 Siemens Mobility GmbH Betriebsverfahren und netzwerk

Also Published As

Publication number Publication date
EP4018300A1 (de) 2022-06-29
CN114503079A (zh) 2022-05-13
WO2021058244A1 (de) 2021-04-01

Similar Documents

Publication Publication Date Title
DE112012003795B4 (de) Verfahren und system für eine fahrzeug-information-integritätsverifikation
EP2705410B1 (de) Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage
DE102019109672A1 (de) Rückgängigmachung nach einem teilausfall in mehreren elektronischen steuergeräten mittels over-the-air-updates
DE102007053078A1 (de) Dezentralisiertes Automatisierungssystem und eine darin eingesetzte I/O-Erweiterungseinheit
WO2017008953A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
DE102011075776A1 (de) Verfahren und System zum Aktualisieren eines gemeinsam genutzten Speichers
DE102012109617A1 (de) Verfahren zum Ersetzen eines öffentlichen Schlüssels eines Bootloaders
EP3080950B1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
DE102019214922A1 (de) Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem
DE102018200318A1 (de) Absicherung eines Softwareupdates eines Steuergerätes eines Fortbewegungsmittels
DE102010016257A1 (de) Generisches Firmware-Fileformat
DE102019000493A1 (de) Verfahren zur Aktualisierung einer jeweiligen Software mehrerer Steuergeräte eines Fahrzeugs
DE102007033992A1 (de) Anordnung und Verfahren zum Management von Daten einer Mehrzahl von programmierbaren persönlichen medizinischen Geräten
EP1895437A1 (de) Medizinische Infusionsgeräte und Verfahren zur Verwaltung solcher Geräte
DE102009047974B4 (de) Verfahren zur Programmierung eines Steuergeräts
EP1529257A2 (de) Übernehmen eines datensatzes in eine recheneinheit
DE102018209248A1 (de) Datenaktualisierungssystem, Verfahren zum Aktualisieren eines auf einem Steuergerät gespeicherten Datensatzes und computerlesbares Speichermedium
EP3988384B1 (de) Computerimplementiertes verfahren und vorrichtung zum lokalen lastmanagement von ladestationen zum laden von elektrofahrzeugen in einem ladestationssystem
DE102017216849A1 (de) Softwareverteilungsverfahren und Softwareverteilungssystem für ein spurgebundenes Fahrzeug, Konfigurationsserver-Einheit und spurgebundenes Fahrzeug
DE102022207549A1 (de) Verfahren zur Verwaltung von ausführbaren Softwaremodulen durch Zertifikate
DE102022107393A1 (de) Center, verteilungssteuerungsverfahren undnicht-transitorisches speichermedium
DE102009041173A1 (de) Verfahren zur Aktualisierung von Mauterfassungsgeräten
DE102016116168A1 (de) Fahrzeug, System und Verfahren zur Aktualisierung der Firmware einer Fahrzeugkomponente
DE102006029263A1 (de) Verfahren zur Aktualisierung von in Mauterfassungsgeräten gespeicherten Daten und/oder Programmen
WO2021244868A1 (de) System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee