-
Die vorliegende Erfindung betrifft eine Informationsverarbeitungsarchitektur zur Implementierung in ein Fahrzeug.
-
Obwohl in vielfältigen Anwendungen einsetzbar, werden die vorliegende Erfindung sowie die ihr zugrunde liegende Problematik in Bezug auf Passagierflugzeuge näher erläutert. Die beschriebenen Verfahren und Vorrichtungen können jedoch ebenso in unterschiedlichen Fahrzeugen und in allen Bereichen der Transportindustrie, beispielsweise für Straßenfahrzeuge, für Schienenfahrzeuge, für Luftfahrzeuge oder für Wasserfahrzeuge eingesetzt werden.
-
Heutzutage werden typischerweise mehrere Netzwerke an Bord von Passagierflugzeugen bereitgestellt, welche mehrere segregierte (getrennte) Domänen und/oder Bereiche aufweisen können. Jede derartige Domäne (oder Netzwerkdomäne) umfasst hierbei normalerweise eine Untermenge von Komponenten oder Vorrichtungen des jeweiligen Netzwerks, die beispielsweise an einen zentralen Server angebunden sein können. Aus Sicherheitsgründen können diese Domänen an Bord von Flugzeugen in Bezug auf Hardware und/oder Software mehr oder weniger strikt voneinander getrennt werden.
-
Beispielsweise existiert die Norm ARINC 811 der Aeronautical Radio Incorporated (ARINC), welche Informationssicherheitskonzepte in Bezug auf luftgestützte Netzwerke betrifft und einen Rahmen für die Bewertung der Sicherheit von luftgestützten vernetzten Systemen bietet. Hierbei werden drei Domänen festgelegt:
- - Flugzeugkontrolle („Aircraft Control Domain“, ACD),
- - Fluglinienserviceinformationen („Airline Information Service Domain“, AISD), und
- - Passagierbereich („Passenger Information and Entertainment Service Domain“, PIESD).
-
Die ACD-Domäne umfasst Funktionen zu Avionik und Flugsicherheit, AISD bietet administrative Unterstützung für Fluggesellschaften (Bordservice, Wartung etc.) und PIESD befasst sich mit Aspekten der Kommunikation mit den Passagieren und deren Unterhaltung (z.B. „In-Flight Entertainment“, IFE). Diesen verschiedenen Domänen werden naturgemäß unterschiedliche Sicherheitsniveaus zugeordnet, wobei ACD die höchste Sicherheitsstufe aufweist. Die AISD-Domäne hingegen ist relativ dazu eine eher offenere Domäne, die sich sowohl mit technischen als auch mit kommerziellen Betriebsdetails befasst, auf die das Bordpersonal häufig zugreift.
-
Aufgrund regulatorischer Anforderungen ist die Interkommunikation zwischen diesen Flugzeugdomänen (Avionik, Betrieb, Passagiere) streng begrenzt. Beispiele für die technische Umsetzung der Kommunikation zwischen diesen Domänen finden sich in den Druckschriften
US 8,826,285 B2 ,
EP 2 887 021 B1 ,
EP 2 819 317 B1 ,
EP 3 139 548 B1 und
EP 1 961 166 B1 . Mitunter kann es aufgrund derartiger Einschränkungen aufwendig sein, vorhandene Konzepte auf neue Kommunikationsflüsse anzupassen. Beispielsweise können neue Schnittstellen zwischen Geräten, die sich in verschiedenen Domänen befinden, entweder neue Hardware oder zertifizierte Softwareänderungen erfordern, um Informationen auszutauschen und die erforderlichen Sicherheitsanforderungen aufrechtzuerhalten.
-
Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zugrunde, Lösungen für die Kommunikation zwischen unterschiedlichen Fahrzeugdomänen zu finden, welche einfach an individuelle Anforderungen anpassbar sind und dennoch die Sicherheitsbedürfnisse der Domänentrennung gewährleisten.
-
Erfindungsgemäß wird diese Aufgabe gelöst durch eine Informationsverarbeitungsarchitektur mit den Merkmalen des Patentanspruchs 1 und durch Luft- oder Raumfahrzeug mit den Merkmalen des Patentanspruchs 10.
-
Demgemäß ist eine Informationsverarbeitungsarchitektur zur Implementierung in ein Fahrzeug vorgesehen. Die Informationsverarbeitungsarchitektur umfasst eine Software-Segregationseinheit, welche dazu ausgebildet ist, eine erste Sicherheitsdomäne und eine zweite Sicherheitsdomäne bereitzustellen, welche jeweils unterschiedlichen Operationsbereichen des Fahrzeugs zugeordnet sind und ihre eigene voneinander getrennte Datenverarbeitungsumgebung zur Ausführung einer Vielzahl von Computeranwendungen aufweisen; wobei die Software-Segregationseinheit weiterhin dazu ausgebildet ist, eine Synchronisierungsinstanz bereitzustellen, wobei die Synchronisierungsinstanz einen zentralen Datensatz aufweist, der mit in den jeweiligen Sicherheitsdomänen anfallenden Daten unabhängig voneinander mittels Datenaustausch synchronisiert wird und von beiden Sicherheitsdomänen selektiv auslesbar ist.
-
Weiterhin ist ein Luft- oder Raumfahrzeug mit einer erfindungsgemäßen Informationsverarbeitungsarchitektur vorgesehen.
-
Eine der vorliegenden Erfindung zugrunde liegende Idee besteht darin, einen indirekten Kommunikationskanal zwischen den Domänen bereitzustellen, wobei keine direkte Kommunikation zwischen den Domänen zugelassen wird, sondern lediglich eine Zwischeninstanz mit der Aufgabe betraut wird, einen indirekten Datenaustausch mittels Abgleich der Daten der beiden Domänen zu regeln. Dies kann beispielsweise auf Basis eines wohldefinierten Regelwerks ablaufen, welches festlegt, wie genau die Daten synchronisiert werden, z.B. wie/ob die Daten geprüft und ggf. gefiltert werden.
-
Konkret wird somit über diese Vermittlerinstanz zwischen den beiden Domänen ein kontrollierter bidirektionaler Datentransfer ermöglicht, wobei die Kommunikation mittels Datensynchronisation abläuft, ohne dass eine direkte Interaktion zwischen den Anwendungen der Domänen zustande kommt. Es versteht sich hierbei, dass die Lösung der Erfindung auch für die Interaktion zwischen mehr als zwei Domänen verwendet werden kann.
-
Die synchronisierten Daten können in der Synchronisationsinstanz gespeichert und/oder gepuffert werden, sodass die Synchronisationsinstanz im Ergebnis eine Kopie der Daten der beiden Domänen enthält. Anders formuliert enthält die Synchronisationsinstanz damit Daten aus beiden angeschlossenen Domänen und den zugehörigen Anwendungen. Von dort aus können die Domänen auf die gespeicherten Datenelemente zugreifen und sie zur weiteren Verarbeitung nutzen, wobei dieser Datenzugriff domänspezifisch oder sogar anwendungsspezifisch zugeschnitten und geregelt sein kann. Die Synchronisationsinstanz zwischen den beiden Domänen kann beispielsweise mittels Datenbankdiensten realisiert werden.
-
Die Grundstruktur der Kommunikation, d.h. insbesondere die Synchronisationsinstanz und ihr zugehöriges Regelwerk, kann hierbei grundsätzlich unter der Kontrolle des Fahrzeugherstellers verbleiben (z.B. ein Flugzeughersteller), während Drittanbieter lediglich auf die Anwendungen in den Domänen Zugriff haben können. Einzelne Transaktionsvorgänge können somit auf der Grundlage von speziell angepassten Regelsätzen behandelt werden, die von dem Fahrzeughersteller vorgegeben werden und somit Regulierungs- und Sicherheitsanforderungen einhalten. Beispielsweise können nicht autorisierte Zugriffe von der Synchronisationsinstanz strikt abgelehnt werden, um einen sicheren Zustand des Systems beizubehalten. Gleichzeitig können anwendungsbezogene Aspekte durch einfache, vom Benutzer modifizierbare Konfigurationsänderungen leicht und schnell an die individuellen Bedürfnisse angepasst werden (z.B. durch Fluggesellschaften im Falle von Flugzeugen). Dies kann zu deutlich kürzeren und kostengünstigeren Entwicklungszyklen führen im Falle, dass neue Anwendungsfälle zwischen den Domänen zu implementieren sind.
-
Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den weiteren Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.
-
Gemäß einer Weiterbildung kann die Synchronisierungsinstanz über eine erste Netzwerkverbindung an die erste Sicherheitsdomäne und über eine zweite Netzwerkverbindung an die zweite Sicherheitsdomäne angebunden sein.
-
Gemäß einer Weiterbildung können die Sicherheitsdomänen ihre Daten in einer jeweils zugehörigen Datenbank hinterlegen und der zentrale Datensatz in einer zentralen Datenbank gespeichert ist.
-
Es versteht sich hierbei, dass sowohl zentrale als auch dezentrale bzw. verteilte Speicherkonzepte zur Anwendung kommen können, wobei die Daten dauerhaft und/oder lediglich vorübergehend gespeichert werden können.
-
Gemäß einer Weiterbildung kann die zentrale Datenbank jeweils ein Abbild der Datenbanken der Sicherheitsdomänen umfassen. Die Abbilder können hierbei unabhängig voneinander mit der Datenbank der jeweiligen Sicherheitsdomäne synchronisiert werden.
-
Um ein akzeptables Sicherheitsniveau zwischen den Domänen zu gewährleisten, können die auszutauschenden Daten hierbei geeignet strukturiert werden. Beispielsweise können die Daten in Datensätze unterteilt werden, welche dann nach Themen geordnet bzw. gebündelt und als Informationsbaum strukturiert werden. Hierdurch kann beispielsweise ein Filtern der Daten ermöglicht werden. Zugriffsrechte für das Lesen und Schreiben können auf diese Datensätze je Domäne individuell vergeben werden. Zusätzlich können Quality of Service (QoS)-Ebenen definiert werden, um verschiedene Datensätze gegeneinander zu priorisieren. Im Falle geänderter Anforderungen an die Datenflüsse kann die Datenstrukturierung (z.B. ein Informationsbaum) leicht angepasst werden, wobei dies für die unterschiedlichen Domänen unterschiedlich erfolgen kann. Je nach Bedarf kann der gesamte Baum bzw. die gesamte Datenstruktur von beiden Domänen gemeinsam genutzt, d.h. ausgelesen oder für Schreiboperationen zugelassen werden. Alternativ können Lese- und/oder Schreibrechte lediglich für bestimmte Daten freigegeben werden, wobei dies für die unterschiedlichen Domänen unterschiedlich gehandhabt werden kann.
-
Gemäß einer Weiterbildung können die Abbilder der Datenbanken der Sicherheitsdomänen in regelmäßigen zeitlichen Abständen synchronisiert werden.
-
Beispielsweise können die Daten in Abständen von einer oder mehreren Sekunden oder Minuten abgeglichen werden. Alternativ oder zusätzlich kann ein Abgleich der Daten jedoch genauso gut erst nach Eintritt eines bestimmten Ereignisses stattfinden, z.B. Start einer bestimmten Anwendung oder Eintritt eines bestimmten Anwendungsfalls.
-
Wenn die Kopie der Daten von einer der Sicherheitsdomänen (z.B. eine höherwertige Domäne) in der jeweils anderen Domäne (z.B. eine niederwertigere Domäne) aufgrund eines Fehlers und/oder Angriffs modifiziert werden sollten, können diese Daten in geeigneter Zeit automatisch in einen korrekten Zustand zurückversetzt werden.
-
Gemäß einer Weiterbildung können die erste Sicherheitsdomäne, die zweite Sicherheitsdomäne und die Synchronisierungsinstanz jeweils als unabhängige virtuelle Maschine ausgeführt sein.
-
Sowohl die Domänen als auch die Synchronisierungsinstanz können somit rein softwaretechnisch innerhalb des Netzwerks gekapselt sein, wobei jede dieser Instanzen eine eigene virtuelle Maschine darstellt.
-
Gemäß einer Weiterbildung kann die Synchronisierungsinstanz mit den Sicherheitsdomänen auf der Basis eines oder mehrerer Regelsätze Daten austauschen, welche getrennt für die Sicherheitsdomänen Zugriffsrechte für Schreiben und/oder Lesen der Daten und/oder Filterregeln für den Datenaustausch festlegen.
-
Der oder die Regelsätze können hierbei grundsätzliche beispielsweise von einem Fahrzeughersteller vorgegeben und an Sicherheitsanforderungen angepasst werden. Darauf aufbauend kann es vorgesehen sein, dass beispielsweise Fluggesellschaften konkrete Regeln auf Basis ihrer jeweiligen Geschäftserfordernisse definieren. Es versteht sich hierbei, dass nicht nur ein einzelner, sondern ebenso mehrere, ggf. hierarchisch gestaffelte, Regelsätze zur Anwendung kommen können.
-
Gemäß einer Weiterbildung kann die erste Sicherheitsdomäne eine Fahrzeugsysteminformationsdomäne darstellen, welche Funktionen in Bezug auf Betrieb, Wartung und/oder Besatzung des Fahrzeugs beinhaltet. Die zweite Sicherheitsdomäne kann eine Passagierinformationsdomäne darstellen, welche Funktionen in Bezug auf Unterhaltung und Kommunikation von Passagieren des Fahrzeugs beinhaltet.
-
Somit kann die erste Sicherheitsdomäne beispielsweise eine Flugzeugkontrolldomäne (ACD) oder eine Fluglinienserviceinformationsdomäne (AISD) sein, während die zweite Sicherheitsdomäne eine Passagierbereichsdomäne darstellen kann (PIESD). Demnach kann auf Basis der Erfindung insbesondere eine indirekte bidirektionale Datenverbindung zwischen AISD und PIESD geschaffen werden, welche einerseits flexibel anpassbar ist, andererseits jedoch eine Sicherheitstrennung der beiden Domänen gewährleistet.
-
Gemäß einer Weiterbildung kann die Fahrzeugsysteminformationsdomäne einen Datenaustausch mit Fahrzeugbetriebsvorrichtungen und/oder Fahrzeugbesatzungsgeräten vermitteln. Die Passagierinformationsdomäne kann einen Datenaustausch mit Passagiergeräten und/oder Infotainmentvorrichtungen vermitteln.
-
Beispielsweise kann ein Passagier über eine Passagier-Serviceeinheit (PSU) oder über ein tragbares elektronisches Gerät mit dem Bordpersonal kommunizieren, z.B. um eine Bestellung aufzugeben. Der hierbei erfolgende Datenaustausch wird dabei über die PIESD-Domäne vermittelt, wobei bestimmte Daten in einem zentralen Datenspeicher der Synchronisierungsinstanz abgespeichert werden können. Das Bordpersonal wiederum kann über entsprechende stationäre (z.B. eine Bordküche) oder tragbare Vorrichtungen (z.B. ein Tablet oder anderweitiger tragbarer Computer) eine Bestellung entgegennehmen und weiterbearbeiten. Der von diesen Fahrzeugbesatzungsgeräten erzeugte Datenstrom wird nun über die AISD-Domäne verwaltet und mit dem zentralen Datenspeicher der Synchronisierungsinstanz abgeglichen. Beispielsweise kann eine Bestellung in dem zentralen Datenspeicher durch Abgleich mit der PIESD-Domäne eingetragen werden, wobei eine Anwendung der AISD-Domäne regelmäßig auf Änderung des entsprechenden Dateneintrags in dem zentralen Datenspeicher prüft. Sobald eine solche Änderung tatsächlich eintritt, wird dies von der Anwendung der AISD-Domäne als Bestellung erfasst und es werden weitere Bearbeitungsschritte in die Wege geleitet, z.B. die Erstellung eines Bestellbestätigungseintrags in dem zentralen Datenspeicher, auf dessen Basis dem Passagier die Bestellung bestätigt wird.
-
Ebenso ist es möglich, dass weitere Vorrichtungen des Fahrzeugs über die Fahrzeugsysteminformationsdomäne kommunizieren bzw. Daten austauschen können, z.B. Sensorik und/oder Steuerelemente des Fahrzeugs, Wartungsschnittstellen usw.
-
Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.
-
Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:
- 1 schematische Ansicht einer Informationsverarbeitungsarchitektur gemäß einer Ausführungsform der Erfindung; und
- 2 schematische Seitenansicht eines Luftfahrzeugs mit der Informationsverarbeitungsarchitektur aus 1.
-
Die beiliegenden Figuren sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung. Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
-
In den Figuren der Zeichnung sind gleiche, funktionsgleiche und gleich wirkende Elemente, Merkmale und Komponenten - sofern nichts anderes ausgeführt ist - jeweils mit denselben Bezugszeichen versehen.
-
1 zeigt eine schematische Ansicht einer Informationsverarbeitungsarchitektur 10 gemäß einer Ausführungsform der Erfindung, welche in einem Luftfahrzeug 100 eingebaut ist, z.B. das ist 2 beispielhaft dargestellt Passagierflugzeug.
-
Typischerweise ist die Netzwerkstruktur eines derartigen Passagierflugzeugs in mindestens drei Netzwerk- bzw. Datendomänen unterteilt, welche sich in Bezug auf Kritikalität und Verbindungsanforderungen unterscheiden. Die Flugzeugkontrolldomäne (ACD) ist hierbei die kritischste aller Domänen mit den höchsten Sicherheitsanforderungen und verwaltet sämtliche für einen sicheren Betrieb des Flugzeugs spezifischen Daten. Aufgrund der hohen Kritikalitätsstufe müssen Daten jederzeit, während des Fluges, überall und bei jedem Wetter oder jeder Anomalie zugänglich sein und ausgetauscht werden.
-
Die Domäne im Bereich der Serviceinformationen für Fluggesellschaften (AISD) umfasst ebenfalls Daten für den Betrieb des Flugzeugs, hat aber dabei keinen Einfluss auf die eigentliche Steuerung des Flugzeugs, sodass diese zwar operationell wichtig, aber eher nicht sicherheitskritisch ist. Eine AISD-Domäne verwendet Daten, welche Einfluss auf die Arbeitsweise der Fluggesellschaften haben können, um die Effizienz des Betriebsablaufs von der Kabine bis hin zur Flugbesatzung zu steigern. Sie ermöglich es den Fluggesellschaften unter anderem Aktualisierungen über ganze Flotten hinweg effektiv durchzuführen und zu verwalten. Hierbei muss zuverlässig dafür gesorgt werden, dass Daten zu Wetterbedingungen, Berichte über die Triebwerks- und Systemleistung, Wartungsinformationen, Sensormessungen und Informationen über mögliche technische Probleme jederzeit verfügbar und auswertbar sind. Dies erfordert unter anderem, dass die AISD-Domäne von einer passagierbezogenen Domäne bzw. den entsprechenden Netzwerken getrennt ist.
-
Letztere dritte Domäne (PIESD) betrifft die Passagierunterhaltung und Passagierkommunikation und kann mehrere miteinander verbundene Systeme umfassen, wie z.B. Passagiergeräte, Übertragungsgeräte für Passagierunterhaltung und dergleichen, sowie die entsprechenden Netzwerkstrukturen zur Anbindung derartiger Vorrichtungen beispielsweise via WiFi.
-
In dem Ausführungsbeispiel gemäß 1 und 2 wird die Informationsverarbeitungsarchitektur 10 zur sicheren Kommunikation zwischen der AISD-Domäne als erste Sicherheitsdomäne 2a und der PIESD-Domäne als zweite Sicherheitsdomäne 2b verwendet. Es versteht sich hierbei, dass diese Anwendung rein beispielhaft zu verstehen ist und die erfindungsgemäße Informationsverarbeitungsarchitektur alternativ oder zusätzlich auch zur sicheren Kommunikation zwischen anderen Domänen an Bord eines Passagierflugzeugs oder eines allgemeinen Luftfahrzeugs, Wasserfahrzeugs, Landfahrzeugs usw. eingesetzt werden kann.
-
Die Informationsverarbeitungsarchitektur 10 umfasst eine Software-Segregationseinheit 1, beispielsweise ein Computerserver oder dergleichen an Bord des Luftfahrzeugs 100, auf dem die verschiedenen Domänen 2a, 2b mittels Virtualisierung als unabhängige virtuelle Maschinen implementiert sind. Die unterschiedlichen spezifischen Flugzeugbereiche AISD und PIESD sowie ggf. ebenso ACD können auf dieser Basis grundsätzlich zumindest auf Softwareebene voneinander getrennt werden.
-
Jede Sicherheitsdomäne 2a, 2b umfasst eine eigene Datenverarbeitungsumgebung 4a, 4b zur Ausführung einer Vielzahl von Computeranwendungen 5a, 5b. So kann in der ersten Sicherheitsdomäne 2a eine Fahrzeugvorrichtung 12, z.B. ein Sensor, in Kommunikation mit einer ersten Computeranwendung 5a stehen bzw. seine anfallenden Daten für diese bereitstellen. In einem weiteren Beispiel kann ein Fahrzeugbesatzungsgerät 15, z.B. ein tragbarer Computer des Bordpersonals, ein Bedienelement einer Bordküche oder eine Wartungsschnittstelle der Fluggesellschaft, mit einer ersten Computeranwendung 5a in Kontakt stehen. Im Falle der zweiten Sicherheitsdomäne 2b kann Beispielsweise ein Passagiergerät 11 wie ein tragbarer Computer, ein Mobilfunkgerät oder dergleichen über eine drahtlose Netzwerkverbindung mit einer zweiten Computeranwendung 5b interagieren, z.B. um eine Bestellung eines Konsumguts aufzugeben. In einem anderen Beispiel können über eine Infotainmentvorrichtung 16 beispielsweise Unterhaltungsmedien angefordert werden, wobei die Infotainmentvorrichtung 16 ebenfalls in die Datenverarbeitungsumgebung 4b der zweiten Sicherheitsdomäne 2b eingebunden ist und mit entsprechenden zweiten Computeranwendungen 5b interagieren kann. Anfallende Daten werden von den beiden Sicherheitsdomänen 2a, 2b in einer Datenbank 7a, 7b gespeichert, welcher in die jeweilige Datenverarbeitungsumgebung 4a, 4b integriert und/oder mit dieser verbunden ist.
-
Die vorliegende Lösung verfolgt nun die Grundidee, eine zusätzliche virtuelle Maschine speziell für den indirekten Datenaustausch und eine sichere Kommunikation zwischen den Sicherheitsdomänen 2a, 2b bereitzustellen. Hierzu ist die Software-Segregationseinheit 1 dazu ausgebildet, eine Synchronisierungsinstanz 6 als weitere unabhängige virtuelle Maschine bereitzustellen, welche über eine erste Netzwerkverbindung 3a eines Netzwerks 13 an die erste Sicherheitsdomäne 2a und über eine zweite Netzwerkverbindung 3b des Netzwerks 13 an die zweite Sicherheitsdomäne 2b angebunden ist.
-
Regulatorische und sicherheitstechnische Überlegungen verbieten eine direkte Kommunikation zwischen beiden Domänen 2a, 2b. Entsprechend ist ein direkter Datenaustausch zwischen den beiden Sicherheitsdomänen 2a, 2b vorliegend unterbunden. Vielmehr wird ein indirekter bidirektionaler Datenaustausch ermöglicht, indem die Synchronisierungsinstanz 6 jeweils ein Abbild der Datenbanken 7a, 7b der Sicherheitsdomänen 2a, 2b auf einer zentralen Datenbank 8 abspeichert und das jeweilige Abbild in regelmäßigen zeitlichen Abständen und/oder auf Nachfrage mit den Datenbanken 7a, 7b der Sicherheitsdomänen synchronisiert. Hierbei läuft die Synchronisierung für beide Sicherheitsdomänen 2, 2b unabhängig voneinander ab.
-
Die zentrale Datenbank 8 ist von beiden Sicherheitsdomänen 2a, 2b selektiv auslesbar. Zugriffsrechte für das Lesen und Schreiben der Daten werden hierbei durch einen definierten Regelsatz 9 (oder mehrere ggf. hierarchisch gestaffelte Regelsätze) in der Synchronisierungsinstanz 6 definiert. Dieser grundlegende Regelsatz kann beispielsweise durch einen Flugzeughersteller fest vorgegeben werden und darüber hinaus Filterregeln für den Datenaustausch, QoS-Bedingungen usw. festlegen. Die Synchronisierungsinstanz 6 enthält in diesem Sinne somit eine Kopie der relevanten Daten beider Sicherheitsdomänen 2a, 2b. Ein direkter Datenaustausch zwischen den Sicherheitsdomänen 2a, 2b ist nicht möglich, allerdings können die beiden Sicherheitsdomänen 2a, 2b jeweils indirekt auf die Daten der anderen Domäne zugreifen. Hierbei unterliegt der zentrale Datensatz auf der zentralen Datenbank 8 der Regulierung durch die Synchronisierungsinstanz 6. Dies bedeutet beispielsweise, dass der Datensatz für jede Sicherheitsdomäne 2a, 2b individuell angepasst veröffentlicht bzw. sichtbar gemacht werden kann. Beispielsweise kann die Synchronisierungsinstanz 6 jeglichen nicht-autorisierten Zugriff ablehnen, um den sicheren Zustand des Gesamtsystems nicht zu kompromittieren. Ein Austausch kritischer Daten kann somit verhindert werden.
-
In einem konkreten Beispiel kann ein Passagier innerhalb der zweiten Sicherheitsdomäne 2b über ein Passagiergerät 11 eine Computeranwendung 5b zur Bestellung eines Konsumguts aufgeben. Die zugehörigen Daten werden anschließen durch Synchronisierung mit der Datenbank 7b auf der zentralen Datenbank 8 hinterlegt. In der ersten Sicherheitsdomäne 2a kann gleichzeitig eine Computeranwendung 5a ausgeführt werden, die in regelmäßigen Abständen auf der Datenbank 7a (welche mit der zentralen Datenbank 8 synchronisiert wird) abfragt, ob eine Bestellung aufgegeben wurde, d.h. ob der entsprechende Datenbankeintrag geändert wurde. Sobald die Bestellungsdaten mit der zentralen Datenbank 8 synchronisiert sind, kann somit die Computeranwendung 5a in der ersten Sicherheitsdomäne 2a dies erkennen und die Bestellung weiterverarbeiten.
-
Anwendungen für die Passagiere, welche in der zweiten Sicherheitsdomäne 2b laufen, gleichzeitig jedoch auf Daten aus der ersten Sicherheitsdomäne 2a angewiesen sind, z.B. auf Sensordaten, die von Vorrichtungen in der ersten Sicherheitsdomäne 2a generiert werden, können somit in entsprechender Weise auf diese Daten aufgrund der Vermittlung der Synchronisierungsinstanz 6 zugreifen, ohne dass dabei die Sicherheitstrennung der beiden Domänen 2a, 2b untergraben wird.
-
Im Fall, dass neue Datenflüsse zwischen den Sicherheitsdomänen 2a, 2b definiert werden sollen, kann eine Strukturierung des zentralen Datensatzes auf der zentralen Datenbank 8 leicht angepasst werden, um den Fluss der Daten in beide Richtungen geeignet anzupassen. Entsprechend können auch die Computeranwendungen 5a, 5b in den Datenverarbeitungsumgebungen 4a, 4b entsprechend angepasst werden. Hierbei kann die grundlegende Regelstruktur des Regelsatzes 9 zur Wahrung der Sicherheitsanforderungen von dem Flugzeughersteller fixiert werden.
-
In der vorangegangenen detaillierten Beschreibung sind verschiedene Merkmale zur Verbesserung der Stringenz der Darstellung in einem oder mehreren Beispielen zusammengefasst worden. Es sollte dabei jedoch klar sein, dass die obige Beschreibung lediglich illustrativer, keinesfalls jedoch beschränkender Natur ist. Sie dient der Abdeckung aller Alternativen, Modifikationen und Äquivalente der verschiedenen Merkmale und Ausführungsbeispiele. Viele andere Beispiele werden dem Fachmann aufgrund seiner fachlichen Kenntnisse in Anbetracht der obigen Beschreibung sofort und unmittelbar klar sein.
-
Die Ausführungsbeispiele wurden ausgewählt und beschrieben, um die der Erfindung zugrundeliegenden Prinzipien und ihre Anwendungsmöglichkeiten in der Praxis bestmöglich darstellen zu können. Dadurch können Fachleute die Erfindung und ihre verschiedenen Ausführungsbeispiele in Bezug auf den beabsichtigten Einsatzzweck optimal modifizieren und nutzen. In den Ansprüchen sowie der Beschreibung werden die Begriffe „beinhaltend“ und „aufweisend“ als neutralsprachliche Begrifflichkeiten für die entsprechenden Begriffe „umfassend“ verwendet. Weiterhin soll eine Verwendung der Begriffe „ein“, „einer“ und „eine“ eine Mehrzahl derartig beschriebener Merkmale und Komponenten nicht grundsätzlich ausschließen.
-
Bezugszeichenliste
-
- 1
- Software-Segregationseinheit
- 2a
- erste Sicherheitsdomäne
- 2b
- zweite Sicherheitsdomäne
- 3a
- erste Netzwerkverbindung
- 3b
- zweite Netzwerkverbindung
- 4a
- erste Datenverarbeitungsumgebung
- 4b
- zweite Datenverarbeitungsumgebung
- 5a
- erste Computeranwendung
- 5b
- zweite Computeranwendung
- 6
- Synchronisierungsinstanz
- 7a
- erste Datenbank
- 7b
- zweite Datenbank
- 8
- zentrale Datenbank
- 9
- Regelsatz/Regelsätze
- 10
- Informationsverarbeitungsarchitektur
- 11
- Passagiergerät
- 12
- Fahrzeugvorrichtung
- 13
- Netzwerk
- 14
- Synchronisierung
- 15
- Fahrzeugbesatzungsgerät
- 16
- Infotainmentvorrichtung
- 100
- Luftfahrzeug
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 8826285 B2 [0006]
- EP 2887021 B1 [0006]
- EP 2819317 B1 [0006]
- EP 3139548 B1 [0006]
- EP 1961166 B1 [0006]