DE102020209363A1 - Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen - Google Patents

Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen Download PDF

Info

Publication number
DE102020209363A1
DE102020209363A1 DE102020209363.6A DE102020209363A DE102020209363A1 DE 102020209363 A1 DE102020209363 A1 DE 102020209363A1 DE 102020209363 A DE102020209363 A DE 102020209363A DE 102020209363 A1 DE102020209363 A1 DE 102020209363A1
Authority
DE
Germany
Prior art keywords
result data
data stream
forwarding device
link
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020209363.6A
Other languages
English (en)
Inventor
Rainer Mattes
Thomas Waschulzik
Reiner Heilmann
Frank Poignee
Igor Arndt
Vitali Schneider
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to IL297685A priority Critical patent/IL297685A/en
Priority to EP21721402.2A priority patent/EP4127934A1/de
Priority to PCT/EP2021/058906 priority patent/WO2021219329A1/de
Publication of DE102020209363A1 publication Critical patent/DE102020209363A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Hardware Redundancy (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Hydroponics (AREA)
  • Emergency Lowering Means (AREA)
  • Devices Affording Protection Of Roads Or Walls For Sound Insulation (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungseinrichtung (18) und ein Kommunikationsnetzwerks (16) umfasst. Zur Vereinfachung des sicherheitsgerichteten Systems (1) bei gleichzeitiger Erhöhung der Flexibilität bei der Verwendung und Entwicklung des Systems (1) umfasst das Verfahren: Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212, 214), Erzeugen (B) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen (12, 14, 212, 214), Übertragen (D) des jeweiligen Rechenergebnisdatenstroms (22, 24, 222, 224) an die Weiterleitungseinrichtung (18), logisches Verknüpfen (E) der berechneten Rechenergebnisdatenströme (22, 24, 222, 224) mittels einer Verknüpfungseinheit (32) der Weiterleitungseinrichtung (18) gemäß einer Verknüpfungslogik, Erzeugen (F) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung (18), Bereitstellen (G) des Verknüpfungsergebnisdatenstroms (26, 326) mittels der Weiterleitungseinrichtung (18) an das Kommunikationsnetzwerk (16), wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.

Description

  • Das Projekt, das zu dieser Anmeldung geführt hat, erhielt Unterstützung von Shift2Rail Joint Undertaking (JU) gemäß der Vereinbarung Grant Agreement Nr. 826098. Das JU erhält Unterstützung von dem Forschungs- und Entwicklungsprogramm Horizon 2020 der Europäischen Union sowie von denjenigen Mitgliedern des Shift2Rail Joint Undertaking, die nicht Angehörige der Europäischen Union sind.
  • Die Erfindung betrifft ein Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems.
  • Grundsätzlich sind verschiedene Lösungen bekannt, um die Zuverlässigkeit von Sicherheitsfunktionen bzw. den Sicherheitsanspruch an Sicherheitsfunktionen in einem sicherheitsgerichteten System zu erzielen. Vorgaben für Lösungen dieser Art sind beispielsweise in den Standards EN 50126, EN 50128, EN 50129 oder ISO 26262 beschrieben. Der grundlegende Standard IEC 61508 definiert Maßnahmen, um Hardware für die sogenannte Sicherheitsanforderungsstufe 4 bzw. das Sicherheitsintegritätslevel 4 zu befähigen.
  • Vor diesem Hintergrund ist es Aufgabe der Erfindung, die bekannten Verfahren und sicherheitsgerichteten Systeme zu verbessern, insbesondere zu vereinfachen und gleichzeitig die Flexibilität bei der Verwendung und Entwicklung des Systems zu erhöhen.
  • Diese Aufgabe wird durch ein erfindungsgemäßes Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems gelöst. Das sicherheitsgerichtete System umfasst zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und ein Kommunikationsnetzwerk. Das Verfahren umfasst:
    • - Berechnen jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen,
    • - Erzeugen jeweils eines Rechenergebnisdatenstroms, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen,
    • - Übertragen des jeweiligen Rechenergebnisdatenstroms an die Weiterleitungseinrichtung,
    • - logisches Verknüpfen der berechneten Ergebnisdatenströme mittels einer Verknüpfungseinheit der Weiterleitungseinrichtung gemäß einer Verknüpfungslogik,
    • - Erzeugen eines Verknüpfungsergebnisdatenstroms, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung,
    • - Bereitstellen des Verknüpfungsergebnisdatenstroms mittels der Weiterleitungseinrichtung an das Kommunikationsnetzwerk,
    wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
  • Die Erfindung basiert auf der Erkenntnis, dass in bisherigen Lösungen zur Erzielung eines sicherheitsgerichteten Systems einzelne Hardware-Erweiterungen vorgesehen und Abhängigkeiten hinsichtlich der elektrischen Verdrahtung dieser Erweiterungen berücksichtigt werden mussten. Die Erweiterungen und Abhängigkeiten weisen in der Regel eine hohe Komplexität auf. So ist es beispielsweise erforderlich, eine zusätzliche Zeitquelle und/oder einen zusätzlichen Mikroprozessor zur Überprüfung der Ausführung eines ersten Mikroprozessors vorzusehen.
  • Zudem beruht die Erfindung auf der Erkenntnis, dass bisherige Lösungen zur Verarbeitung von Sicherheitsfunktionen mit hohen Sicherheitsanforderungen den Nachteil haben, dass die Hardware-Fehlertoleranz (HFT, in Englisch: Hardware Fault Tolerance) der Recheneinrichtungen häufig nicht ausreichend ist. In Systemen mit hohen Sicherheitsanforderungen ist der Nachweis der Zuverlässigkeit von Fehlerüberwachungsmaßnahmen gegen zufällige Fehler häufig komplex. Dies führt dazu, dass der Sicherheitsnachweis mit jeder Erweiterung oder Änderung der Hardware, der Software und des zugehörigen Betriebssystems wiederholt werden muss. Während diese Wiederholung des Sicherheitsnachweises bei Mikrocontrollern mit vertretbarem Aufwand durchführbar sein kann, ist der erneute Nachweis bei Mikroprozessor-Systemen hochkomplex und selten vereinfacht durchführbar.
  • Die erfindungsgemäße Lösung behebt diese Probleme, indem eine zusammengesetzte Struktur bestehend aus wenigstens zwei Recheneinrichtungen gemeinsam mit einer Verknüpfungslogik der oben beschriebenen Art eingesetzt wird. Mit anderen Worten: Ein Kerngedanke der Erfindung liegt darin, eine einzelne Hardware-Komponente, die hohe Sicherheitsanforderungen erfüllt, durch wenigstens zwei Recheneinrichtungen, die lediglich eine geringere Sicherheitsanforderung erfüllen müssen, zu ersetzen. Dabei wird die hohe Sicherheitsanforderung durch das Gesamtsystem erfüllt, indem die Rechenergebnisdatenströme bitweise verknüpft werden. Durch die bitweise Verknüpfung wird eine systematische Fehlerfortpflanzung für den Fall erzielt, dass die beiden Rechenergebnisdatenströme unterschiedlich sind (obwohl diese bei fehlerfreier Berechnung gleich sein müssten).
  • Zudem ergibt sich durch die erfindungsgemäße Lösung der wesentliche Vorteil, dass bisherige Systeme im Aufbau vereinfacht werden (bzw. die Komplexität reduziert wird). Dadurch wird Entwicklungsaufwand reduziert und Systeme mit hoher Sicherheit können kostengünstig und mit geringerem Entwicklungsrisiko hergestellt werden. Es werden dadurch auch die Kosten für eine Zulassung reduziert, da die Struktur des Gesamtsystems einfacher und damit auch mit geringerem Aufwand dem Gutachter zu vermitteln und die korrekte Funktion nachzuweisen ist.
  • Ein weiterer wesentlicher Vorteil der erfindungsgemäßen Lösung besteht darin, dass die Netzwerk-Bandbreite durch die Nutzung von zwei einfacheren Teilsystemen nicht erhöht werden muss.
  • Insbesondere ist es vorteilhaft, dass die Weiterleitungseinrichtung die empfangenen Rechenergebnisdatenströme bei geeigneter Systemkonfiguration lediglich für eine kurze Zeit speichern muss und folglich etwaige Kosten für die Speicherung vergleichsweise gering sind.
  • Die Recheneinrichtungen sind vorzugsweise jeweils als Endgeräte, die an das Kommunikationsnetzwerk datentechnisch angeschlossen sind, ausgebildet. Weiter vorzugsweise sind die Recheneinrichtungen als Steuereinheit, weiter vorzugsweise als zentrale Steuereinheit (CCU: Central Control Unit) ausgebildet.
  • Die Recheneinrichtungen sind beispielsweise über das Kommunikationsnetzwerk mit der Weiterleitungseinrichtung datentechnisch verbunden.
  • Die Berechnung durch die Recheneinrichtungen dient vorzugsweise zur Ausführung der Aufgabe als Teil oder Gegenstand einer der Sicherheitsfunktionen des sicherheitsgerichteten Systems. Die Recheneinrichtungen führen die Aufgabe vorzugsweise unabhängig und parallel aus. Die Recheneinrichtungen sind beispielsweise im Wesentlichen gleich ausgeführt.
  • Der Rechenergebnisdatenstrom ist vorzugsweise nach den Regeln der sogenannten Safe Data Transmission (SDT) ausgeführt. Die Version 2 des Safe Data Transmission Protocol ist beispielsweise in Anhang B von IEC 61375-2-3 beschrieben. Bevorzugt wird der Rechenergebnisdatenstrom nach den Regeln der Version 4 des Safe Data Transmission Protocol ausgeführt. Die Version 4 ermöglicht ein Sicherheitsintegritätslevel 4 und ist beispielsweise auf Seite 12 des unter
    https://safe4rail.eu/downloads/technical-seminar-brussels/03-Drive-by-Data.pdf abrufbaren Dokuments beschrieben. Alternative Ansätze sind unter https://opcfoundation.org/marketscollaboration/safety/ „Safety over OPC UA“ oder PROFISAFE https://www.profibus.com/technology/profisafe/ zu finden.
  • Der Fachmann versteht die Formulierung, dass die Weiterleitungseinrichtung den Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitstellt, vorzugsweise dahingehend, dass der Verknüpfungsergebnisdatenstrom an einen weiteren Kommunikationsteilnehmer über das Kommunikationsnetzwerk übertragen wird.
  • Vorzugsweise wird bei dem Bereitstellen des Verknüpfungsergebnisdatenstroms im fehlerfreien Betrieb der Weiterleitungseinrichtung ausschließlich der Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitgestellt. Mit anderen Worten: Die Weiterleitungseinrichtung stellt in fehlerfreier Ausführung der Verknüpfung keinen der Rechenergebnisdatenströme bereit.
  • Vorzugsweise verarbeitet die Weiterleitungseinrichtung den ersten eingehenden Rechenergebnisdatenstrom und speichert diesen zwischen. Weiter vorzugsweise verarbeitet die Weiterleitungseinrichtung den zweiten eingehenden Rechenergebnisdatenstrom und speichert diesen zwischen. Die zwischengespeicherten Rechenergebnisdatenströme werden daraufhin bitweise verknüpft.
  • Die vorstehend genannte Aufgabe wird zudem durch ein weiteres erfindungsgemäßes Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems gelöst. Das sicherheitsgerichtete System umfasst zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und eine Empfangseinrichtung. Das Verfahren umfasst:
    • - Berechnen jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen,
    • - Erzeugen jeweils eines Rechenergebnisdatenstroms, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen,
    • - Übertragen des jeweiligen Rechenergebnisdatenstroms an die Weiterleitungseinrichtung,
    • - logisches Verknüpfen der berechneten Ergebnisdatenströme mittels einer Verknüpfungseinheit der Weiterleitungseinrichtung gemäß einer Verknüpfungslogik,
    • - Erzeugen eines Verknüpfungsergebnisdatenstroms, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung,
    • - Übertragen des Verknüpfungsergebnisdatenstroms an die Empfangseinrichtung,
    • - wobei jede Recheneinrichtung das Ergebnis derart verfälscht, dass
      • o die Empfangseinrichtung diese Verfälschung erkennt und
      • o die Verfälschung beim Verknüpfen gemäß der Verknüpfungslogik aufgehoben wird.
  • Dieses weitere erfindungsgemäße Verfahren beruht auf der Erkenntnis, dass bei der Verknüpfung ein Fehler auftreten kann. So ist es beispielsweise denkbar, dass die Weiterleitungseinrichtung anstatt des Verknüpfungsergebnisdatenstroms einen der beiden Rechenergebnisdatenströme an die Empfangseinrichtung überträgt. Durch die Verfälschung des Rechenergebnisdatenstroms mittels der Recheneinrichtung kann der vorstehend beschriebene Fehler von der Empfangseinrichtung erkannt werden. Mit anderen Worten: Wird die Verfälschung nicht durch das Verknüpfen gemäß der Verknüpfung aufgehoben, wird der verfälschte Rechenergebnisdatenstrom an die Empfangseinrichtung weitergeleitet. Die Empfangseinrichtung kann die Verfälschung mit einer Restfehlerwahrscheinlichkeit erkennen bzw. detektieren.
  • Neben den vorstehend genannten Vorteilen in Bezug auf das erfindungsgemäße Verfahren hat das weitere erfindungsgemäße Verfahren zudem den Vorteil, dass ein Fehler bei der Verknüpfung durch die Empfangseinrichtung erkannt wird. Daher muss die Weiterleitungseinrichtung eine geringere Zuverlässigkeit als bei bisherigen Lösungen erreichen. Daraus ergeben sich weitere technische als auch organisatorische Vorteile. Beispielsweise muss die Weiterleitungseinrichtung als Komponente des Systems, welches ein bestimmtes Sicherheitslevel erreichen soll, selbst nicht für diese Sicherheitslevel zugelassen werden.
  • Vorzugsweise erkennt die Empfangseinrichtung die Verfälschung in dem Fall, dass die Weiterleitungseinrichtung einen der beiden Rechenergebnisdatenströme anstatt des Verknüpfungsergebnisdatenstroms zur Übertragung an die Empfangseinrichtung weiterleitet.
  • Der Rechenergebnisdatenstrom ist vorzugsweise nach den Regeln der sogenannten Safe Data Transmission (SDT) ausgeführt. Die Version 2 des Safe Data Transmission Protocol ist beispielsweise in Anhang B von IEC 61375-2-3 beschrieben. Bevorzugt wird der Rechenergebnisdatenstrom nach den Regeln der Version 4 des Safe Data Transmission Protocol ausgeführt. Eine Besonderheit bei diesem Safety-Protokoll ist, dass ein reservierter Bereich vorgesehen ist, in dem die Verfälschung vorgenommen werden kann. Der reservierte Bereich ist beispielsweise der auf Seite 12 des unter
    https://safe4rail.eu/downloads/technical-seminar-brussels/03-Drive-by-Data.pdf abrufbaren Dokuments als „reserved01“ bezeichnete Bereich des SDTv4 VDP (VDP: Vital Data Packet). Mit anderen Worten: Es wird bei der Verwendung von SDTv4 eine Verfälschung im Safety-Trailer bzw. Safety-Header vorgenommen.
  • Bei anderen bestehenden Sicherheitsprotokollen, wie beispielsweise OPC UA oder Profisafe, kann der Nutzdatenbereich um ein oder mehrere Bytes erweitert werden. In diesem erweiterten Bereich kann die Verfälschung vorgenommen werden. Dabei werden die weiterten Bytes mit Nullen vorbelegt. Vor dem Versenden des Paketes werden die verschiedenen Bits markiert (d. h. verfälscht bzw. maskiert).
  • Gemäß einer bevorzugten Ausführungsform der erfindungsgemäßen Verfahren ist die Verknüpfungslogik eine bitweise UND-Verknüpfung. Die Anwendung der bitweisen UND-Verknüpfung ist für die vorstehend genannten erfindungsgemäßen Verfahren besonders vorteilhaft und zweckmäßig, da ein Aufheben der Verfälschung mit dieser Art der Verknüpfung erzielt wird.
  • Der Fachmann versteht den Begriff „bitweise UND-Verknüpfung“ als eine Verknüpfung von zwei Bitfolgen gleicher Länge, wobei jedes Paar korrespondierender Bits derart verknüpft wird, dass das Ergebnisbit 1 ist, falls beide Bits 1 sind, oder ansonsten 0 ist. Beispielsweise ist das Ergebnis BE der bitweisen UND-Verknüpfung der Bitfolgen B1 = [0101] und B2 = [1001] BE = [0001] .
  • Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Verfälschung ein Setzen eines der Recheneinrichtung zugeordneten reservierten Bits.
  • Das reservierte Bit ist im unverfälschten Zustand auf 0 gesetzt. Das Setzen des reservierten Bits bei der Verfälschung bedeutet demnach, dass an der Stelle des reservierten Bits eine 1 gesetzt wird.
  • Ein wesentlicher Vorteil dieser Ausführungsform ist, dass die Verfälschung durch Setzen des reservierten Bits an einer der Recheneinrichtung zugeordneten Stelle bei der bitweisen UND-Verknüpfung wieder aufgehoben wird. Dies ist von besonderer Bedeutung für den Fall, dass die Weiterleitungseinrichtung aufgrund eines Fehlers keine Verknüpfung der Rechenergebnisdatenströme durchführt. Leitet die Weiterleitungseinrichtung beispielsweise einen der Rechenergebnisdatenströme weiter, ist die Empfangseinrichtung in der Lage, das gesetzte Bit und somit die Verfälschung zu erkennen.
  • Bei einer weiteren bevorzugten Ausführungsform der erfindungsgemäßen Verfahren ist die Weiterleitungseinrichtung eine Netzwerkeinrichtung, vorzugsweise eine Netzwerkweiche (Switch), insbesondere ein TSN-Switch oder eine Kommunikationskarte in einem PC.
  • Diese Ausführungsform ist besonders vorteilhaft, da eine Netzwerkeinrichtung ohnehin in einem Kommunikationsnetzwerk vorhanden ist. Somit ist keine zusätzliche Hardware erforderlich und die resultierende Komplexität fällt geringer aus als bei einem Szenario, bei dem eine zusätzliche Hardware eingeführt wird, um den Vergleich, das Signieren und die Kommunikation des Ergebnisses zu implementieren.
  • Der Fachmann versteht den Begriff Netzwerkeinrichtung vorzugsweise dahingehend, dass diese ein Teil des Kommunikationsnetzwerks ist. Fachmännisch wird häufig auch von Netzwerkkomponenten gesprochen. Im Unterschied dazu sind beispielsweise Endgeräte an das Kommunikationsnetzwerk angeschlossen, jedoch nicht Teil des Kommunikationsnetzwerks an sich.
  • Der Fachmann versteht den Begriff Switch als eine Netzwerkweiche. Der TSN-Switch (TSN: Time Sensitive Networking) ist nach dem fachmännischen Verständnis eine Netzwerkweiche, welche die unter dem Oberbegriff TSN gefassten technischen Lösungen unterstützt.
  • Weiter vorzugsweise ist der Switch ein sogenannter Consist Switch (CS), wie auf Seite 15 des unter
    https://safe4rail.eu/downloads/technical-seminar-brussels/03-Drive-by-Data.pdf anrufbaren Dokuments genannt.
  • Bei einer weiteren bevorzugten Ausführungsform der beiden vorstehend genannten erfindungsgemäßen Verfahren sind die zwei Recheneinrichtungen von einer ersten Recheneinrichtung, die einen ersten Rechenergebnisdatenstrom erzeugt, und einer zweiten Recheneinrichtung, die einen zweiten Rechenergebnisdatenstrom erzeugt, gebildet. Das sicherheitsgerichtete System weist wenigstens eine dritte Recheneinrichtung auf, welche ein Ergebnis derselben Aufgabe, wie sie von der ersten und zweiten Recheneinrichtung berechnet wird, berechnet und einen Rechenergebnisdatenstrom, welche das Ergebnis der Berechnung repräsentiert, erzeugt. Der jeweilige Rechenergebnisdatenstrom wird an die Weiterleitungseinrichtung übertragen. Die berechneten Rechenergebnisdatenströme werden mittels einer Verknüpfungseinheit der Weiterleitungseinrichtung gemäß einer Verknüpfung logisch verknüpft. Die Verfälschung umfasst ein Setzen eines reservierten Bits an einer ersten Stelle eines reservierten Bereichs des Rechenergebnisdatenstroms mittels der ersten Recheneinrichtung. Die Verfälschung umfasst weiter ein Setzen eines reservierten Bits an einer zweiten Stelle des reservierten Bereichs des Rechenergebnisdatenstroms mittels der zweiten Recheneinrichtung. Die Verfälschung umfasst weiter ein Setzen eines reservierten Bits an einer dritten Stelle des reservierten Bereichs des Rechenergebnisdatenstroms mittels der dritten Recheneinrichtung.
  • Die vorstehend beschriebene Ausführungsform verdeutlicht die Skalierbarkeit der beiden erfindungsgemäßen Verfahren, wobei zwei oder mehr als zwei Recheneinrichtung zu Berechnung eines Ergebnisses derselben Aufgabe vorgesehen sein können. Jeder der Mehrzahl von Recheneinrichtungen ist in dem reservierten Bereich eine Stelle zugeordnet, an welcher ein Bit durch Setzen „verfälscht“ werden kann. In dem Fall, dass die Weiterleitungseinrichtung anstatt des Verknüpfungsergebnisdatenstroms einen der beiden Rechenergebnisdatenströme an die Empfangseinrichtung überträgt, kann anhand der Stelle im reservierten Bereich, an der die Verfälschung vorliegt, darauf geschlossen werden, von welcher der Recheneinrichtungen der von der Weiterleitungseinrichtung (fälschlicherweise) weitergeleitete Datenstrom stammt.
  • Gemäß einer bevorzugten Weiterbildung ist die Verknüpfungslogik eine bitweise UND-Verknüpfung des ersten, zweiten
    und/oder dritten Rechenergebnisdatenstroms. Dabei werden zwei der Rechenergebnisdatenströme miteinander verknüpft. Die bitweise UND-Verknüpfung ist besonders vorteilhaft für eine Verfälschung, bei der an einer für die Recheneinrichtung vorgesehenen Stelle eines reservierten Bereichs, welcher aus einer Folge von Nullen besteht, eine 1 gesetzt wird. Ein Beispiel verdeutlicht dies: Die Rechenergebnisdatenströme weisen einen reservierten Bereich mit Nullen auf. In dem reservierten Bereich des von der ersten Recheneinrichtung erzeugten Rechenergebnisdatenstroms liegt die Bitfolge BN. In dem reservierten Bereich des von der zweiten Recheneinrichtung berechneten Rechenergebnisdatenstroms liegt die Bitfolge BM. Wird die Bitfolge Bn = [...0...1...] , bei der an der für die erste Recheneinrichtung vorgesehenen Stelle n eine 1 gesetzt ist, mit der Bitfolge Bm = [...1...0...] , bei der an der für die zweiten Recheneinrichtung vorgesehenen Stelle m eine 1 gesetzt ist, bitweise UND-verknüpft, ist das Ergebnis die Bitfolge BE = [...0...0...] . Der reservierte Bereich hat nach der bitweisen UND-Verknüpfung demnach an sämtlichen Stellen eine 0. Die Verfälschung in Form des gesetzten Bits wurde aufgehoben. Fällt der erste, zweite oder dritte Rechenergebnisdatenstrom aus, wird durch die UND-Verknüpfung dennoch ein gültiger Verknüpfungsergebnisdatenstrom erzeugt, da in jedem Datenstrom nur ein Bit gesetzt ist, welches durch die UND-Verknüpfung gelöscht wird. Somit ist ein beliebiger Datenstrom echt redundant ausgebildet und durch die Verknüpfung der zwei gültigen Datenströme kann immer noch ein unverfälschter Datenstrom erzeugt werden.
  • Weitere Rechenergebnisströme sind möglich und können sinnvoll sein. Es werden oft drei aus vier Datenströmen verwendet, falls relativ häufig Fehler auftreten können. Dann kann man nicht nur Fehler erkennen, sondern auch beheben. Wenn dann in einem Datenstrom zu oft Fehler auftreten, wird dieser für eine gewisse Zeit nicht mehr verwendet, sondern es wird der vierte Datenstrom genutzt, bis sich das Fehlerbild wieder ändert.
  • Bei einer weiteren bevorzugten Ausführungsform des weiteren erfindungsgemäßen Verfahrens wird die Empfangseinrichtung von wenigstens zwei Recheneinrichtungen gebildet, welche jeweils ein Ergebnis derselben Aufgabe berechnen und jeweils einen Rechenergebnisdatenstrom, welche das Ergebnis der jeweiligen Berechnung repräsentiert, erzeugen, wobei die Aufgabe eine Verarbeitung des von der Weiterleitungseinrichtung empfangenen Verknüpfungsergebnisdatenstroms ist.
  • Demnach wird die Empfangseinrichtung von zwei Recheneinrichtungen gebildet, die gemäß den erfindungsgemäßen Verfahren betrieben werden können. Mit anderen Worten: Die Empfangseinrichtung stellt selbst eine Zusammensetzung aus zwei Recheneinrichtungen gemäß den erfindungsgemäßen Verfahren dar und kann zwei Rechenergebnisdatenströme im Sinne der Erfindung an eine weitere Weiterleitungseinrichtung und ggfs. eine weitere Empfangseinrichtung bereitstellen.
  • Nach einer weiteren bevorzugten Ausführungsform der erfindungsgemäßen Verfahren weisen die Recheneinrichtungen jeweils einen Hardwareanteil auf, welcher ausgebildet ist, das Sicherheits-Integritätslevel 2 (SIL2) im Betrieb zu erfüllen. Die Recheneinrichtungen weisen vorzugsweise jeweils einen Softwareanteil auf, welcher ausgebildet ist, das Sicherheits-Integritätslevel 4 (SIL4) bei Ausführung mittels der Recheneinrichtung zu erfüllen. Dabei ist das sicherheitsgerichtete System ausgebildet, das Sicherheits-Integritätslevel 3 oder Sicherheits-Integritätslevel 4 im Betrieb zu erfüllen.
  • Das erfindungsgemäße Verfahren ermöglicht es, Recheneinrichtungen zu verwenden, deren Hardwareanteil ein geringeres Sicherheits-Integritätslevel (als das geforderte Sicherheits-Integritätslevel) erfüllen. Dies wird insbesondere auch durch die Redundanz der Recheneinrichtungen ermöglicht: Denn bei bisherigen Lösungen war die Wahrscheinlichkeit von zufälligen Fehlern, systematischen Fehlern oder einer Kombination von beiden Fehlerarten zu groß, um allein ein System der geforderten SIL-Stufe zu bilden.
  • Die Sicherheits-Integritätslevel 2, 3 und 4 (SIL2, SIL3 und SIL4) sind beispielsweise in IEC61508 definiert.
  • Gemäß einer bevorzugten Weiterbildung sind die Recheneinrichtungen seriengefertigte Produkte, insbesondere Components-Off-The-Shelf. Vorzugsweise ist der jeweilige Hardwareanteil der Recheneinrichtungen ein seriengefertigtes Produkt. Diese Ausführung der Recheneinrichtungen ist besonders kostengünstig. Mit anderen Worten: Die erfindungsgemäßen Verfahren ermöglichen es, ein sicherheitsgerichtetes System nach SIL 4 bei Einsatz von seriengefertigten Produkten zu erzielen.
  • Nach einer weiteren bevorzugten Ausführungsform wenigstens eines der vorstehend genannten erfindungsgemäßen Verfahren ist das sicherheitsgerichtete System ein sicherheitsgerichtetes System eines Fahrzeugs, insbesondere eines spurgebundenen Fahrzeugs. Der Einsatz eines der erfindungsgemäßen Verfahren in einem Fahrzeug ist besonders zweckmäßig, insbesondere bei einem automatisierten oder teilautomatisierten Betrieb des Fahrzeugs.
  • Das spurgebundene Fahrzeug ist beispielsweise ein Schienenfahrzeug, insbesondere ein Triebzug oder eine Lok.
  • Gemäß einer weiteren bevorzugten Ausführungsform wenigstens eines der vorstehend genannten erfindungsgemäßen Verfahren wird der jeweilige Rechenergebnisdatenstrom an eine erste Weiterleitungseinrichtung und an einer zweite Weiterleitungseinrichtung übertragen. Die berechneten Rechenergebnisdatenströme werden jeweils mittels einer Verknüpfungseinheit der ersten und zweiten Weiterleitungseinrichtung gemäß einer Verknüpfungslogik logisch verknüpft. Ein erster Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der ersten Weiterleitungseinrichtung erzeugt. Ein zweiter Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der zweiten Weiterleitungseinrichtung erzeugt. Der erste Verknüpfungsergebnisdatenstrom und der zweite Verknüpfungsdatenstrom werden an eine Empfangseinrichtung übertragen.
  • Durch diese Ausführungsform wird eine mehrfache, insbesondere redundante, Ausführung der Weiterleitungseinrichtung im System erzielt. Dabei wird von jeder Weiterleitungseinrichtung ein eigener Ausgabestrom (erster und zweiter Verknüpfungsergebnisdatenstrom) zur Verfügung gestellt. Auf diese Weise kann die Verfügbarkeit des Gesamtsystems erhöht werden, da die Empfangseinrichtung beide Verknüpfungsergebnisdatenströme empfangen kann und bei einem Ausfall einer Weiterleitungseinrichtung den jeweils anderen Verknüpfungsergebnisdatenstrom verwenden kann. Insbesondere bei System-Konstellationen, in denen wichtige Komponenten an zwei Netzwerke (und damit an zwei Switches) parallel angeschlossen sind, können Hardwarekosten durch diese Ausführungsform konstant bleiben, wobei gleichzeitig eine erhöhte Verfügbarkeit erzielt wird.
  • Die Erfindung betrifft ferner ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch wenigstens zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und/oder eine Empfangseinrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art auszuführen.
  • Die Erfindung betrifft ferner ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch wenigstens zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und/oder eine Empfangseinrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art auszuführen.
  • Die Erfindung betrifft ferner ein sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen. Das sicherheitsgerichtete System umfasst wenigstens zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und ein Kommunikationsnetzwerk. Die Recheneinrichtungen sind ausgebildet, jeweils ein Ergebnis derselben Aufgabe zu berechnen und jeweils einen Rechenergebnisdatenstrom, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen. Das Kommunikationsnetzwerk ist ausgebildet, den jeweiligen Rechenergebnisdatenstrom an die Weiterleitungseinrichtung zu übertragen. Die Weiterleitungseinrichtung umfasst eine Verknüpfungseinheit, welche ausgebildet ist, die berechneten Rechenergebnisdatenströme gemäß einer Verknüpfungslogik zu verknüpfen. Die Weiterleitungseinrichtung ist ausgebildet, einen Verknüpfungsergebnisdatenstrom, welche das Ergebnis der Verknüpfung repräsentiert, zu erzeugen und den Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitzustellen. Die Verknüpfung ist eine bitweise Verknüpfung.
  • Die bitweise Verknüpfung ist vorzugsweise eine bitweise UND-Verknüpfung.
  • Die Erfindung betrifft ferner ein sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen. Das sicherheitsgerichtete System umfasst wenigstens zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und eine Empfangseinrichtung. Die Recheneinrichtungen sind ausgebildet, jeweils ein Ergebnis derselben Aufgabe zu berechnen und jeweils einen Rechenergebnisdatenstrom, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen. Das sicherheitsgerichtete System ist ausgebildet, den jeweiligen Rechenergebnisdatenstrom an die Weiterleitungseinrichtung zu übertragen. Die Weiterleitungseinrichtung umfasst eine Verknüpfungseinheit, welche ausgebildet ist, die berechneten Rechenergebnisdatenströme gemäß einer Verknüpfung zu verknüpfen. Die Weiterleitungseinrichtung ist ausgebildet, einen Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, zu erzeugen und den Verknüpfungsergebnisdatenstrom an die Empfangseinrichtung zu senden. Die Recheneinrichtungen sind ausgebildet, das Ergebnis derart zu verfälschen, dass diese Verfälschung mittels der Empfangseinrichtung erkennbar ist und die Verfälschung beim Verknüpfen gemäß der Verknüpfungslogik aufhebbar ist.
  • Zu Vorteilen, Ausführungsformen und Ausführungsdetails der Merkmale des erfindungsgemäßen Computerprogramms, computerlesbaren Speichermediums und der beiden sicherheitsgerichteten Systems kann auf die obige Beschreibung zu den entsprechenden Merkmalen der beiden erfindungsgemäßen Verfahren verwiesen werden.
  • Ein Ausführungsbeispiel der Erfindung wird anhand der Zeichnungen erläutert. Es zeigen:
    • 1 schematisch den Ablauf eines Ausführungsbeispiels der beiden erfindungsgemäßen Verfahren,
    • 2 schematisch den Aufbau eines ersten Ausführungsbeispiels eines erfindungsgemäßen sicherheitsgerichteten Systems,
    • 3 schematisch den Aufbau eines zweiten Ausführungsbeispiels des erfindungsgemäßen sicherheitsgerichteten Systems,
    • 4 schematisch den Aufbau eines dritten Ausführungsbeispiels des erfindungsgemäßen sicherheitsgerichteten Systems und
    • 5 schematisch den Ablauf eines zweiten Ausführungsbeispiels der beiden erfindungsgemäßen Verfahren.
  • 1 zeigt ein schematisches Ablaufdiagramm, welches den Ablauf eines Ausführungsbeispiels der beiden erfindungsgemäßen Verfahren zur Steigerung der Zuverlässigkeit von Sicherheitsfunktionen eines sicherheitsgerichteten repräsentiert.
  • 2 zeigt schematisch den Aufbau eines sicherheitsgerichteten Systems 1, bei dem die Steigerung der Zuverlässigkeit der Sicherheitsfunktionen gemäß dem in 1 gezeigten Ausführungsbeispiel der beiden erfindungsgemäßen Verfahrens erfolgt. Das System 1 weist zwei Recheneinrichtungen 12 und 14 auf, die als Endgeräte 13 und 15 ausgebildet und an ein Kommunikationsnetzwerk 16 angeschlossen sind. Eine Weiterleitungseirichtung 18 des sicherheitsgerichteten Systems 1 ist als Netzwerkkomponente 19 des Kommunikationsnetzwerks 16 ausgebildet. Die Netzwerkkomponente 19 ist eine Netzwerkweiche 20 (sogenannter Switch), insbesondere ein TSN-Switch (TSN: Time Sensitive Networking).
  • Die Recheneinrichtungen 12 und 14 weisen jeweils einen Hardwareanteil auf, welcher ausgebildet ist, das Sicherheits-Integritätslevel 2 (SIL2) im Betrieb zu erfüllen. Der Hardwareanteil kann von einem seriengefertigten Produkt (sog. Component-Off-The-Shelf) gebildet sein. Die Recheneinrichtungen 12 und 14 weisen jeweils einen Softwareanteil auf, welcher ausgebildet ist, das Sicherheits-Integritätslevel 4 (SIL4) bei Ausführung mittels der Recheneinrichtung 12 und 14 zu erfüllen. Dabei ist das sicherheitsgerichtete System 1 ausgebildet, das Sicherheits-Integritätslevel 3 oder das Sicherheits-Integritätslevel 4 im Betrieb zu erfüllen, was insbesondere durch die beiden erfindungsgemäßen Verfahren erzielt wird.
  • Die Recheneinrichtungen 12 und 14 berechnen in einem Verfahrensschritt A ein Ergebnis derselben Aufgabe. Die Berechnung A dient zur Ausführung der Aufgabe als Teil oder Gegenstand einer der Sicherheitsfunktionen des sicherheitsgerichteten Systems 1. Die Recheneinrichtungen 12 und 14 führen die Aufgabe unabhängig und parallel aus. Die Recheneinrichtungen 12 und 14 sind beispielsweise im Wesentlichen gleich ausgeführt.
  • In einem Verfahrensschritt B erzeugen die Recheneinrichtungen 12 und 14 jeweils einen Rechenergebnisdatenstrom 22 und 24, welcher das Ergebnis der jeweiligen Berechnung A repräsentiert. Der Rechenergebnisdatenstrom 22 und 24 ist nach den Regeln des sogenannten Safe Data Protocol (SDT) ausgeführt. Die Version 4 des SDT-Protocol (SDTv4) ermöglicht ein Sicherheitsintegritätslevel 4 und ist beispielsweise auf Seite 12 des unter https://safe4rail.eu/downloads/technical-seminarbrussels/03-Drive-by-Data.pdf abrufbaren Dokuments beschrieben. Alternativ kann der Rechenergebnisdatenstrom 22 und 24 nach den Regeln von Safety over OPC UA ausgeführt sein.
  • Bei dem Erzeugen B des Rechenergebnisdatenstroms 22 und 24 wird bei einem Verfahrensschritt C das Ergebnis der jeweiligen Berechnung A verfälscht: Die Verfälschung C erfolgt, indem gemäß einem Verfahrensschritt C1 in einem reservierten Bereich des Rechenergebnisdatenstroms 22 bzw. 24 ein Bit an einer der Recheneinrichtung 12 bzw. 14 zugeordneten Stelle gesetzt wird. Mit anderen Worten: Für jede der beiden Recheneinrichtungen 12 und 14 ist eine eigene Stelle im reservierten Bereich vorgesehen. Der reservierte Bereich ist vor der Verfälschung an allen Stellen auf 0 gesetzt. Das Setzen des Bits bei der Verfälschung bedeutet demnach, dass an der Stelle eine 1 gesetzt wird.
  • Der reservierte Bereich ist beispielsweise der auf Seite 12 des unter https://safe4rail.eu/downloads/technical-seminarbrussels/03-Drive-by-Data.pdf abrufbaren Dokuments als „reserved01“ bezeichnete Bereich des SDTv4 VDP (VDP: Vital Data Packet). Bei anderen bestehenden Sicherheitsprotokollen kann (anstatt der Verwendung des reservierten Bereichs) der Nutzdatenbereich um ein oder mehrere Bytes erweitert werden und in diesem Bereich die Verfälschung vorgenommen werden.
  • In einem Verfahrensschritt D wird der jeweilige Rechenergebnisdatenstrom 22 und 24 über das Kommunikationsnetzwerk 16 an die Weiterleitungseinrichtung 18 übertragen.
  • Die Weiterleitungseinrichtung 18 weist eine Verknüpfungseinheit 32 auf. Die Verknüpfungseinheit 32 ist Teil des sogenannten Switching-Fabric der Netzwerkweiche 20. Die Weiterleitungseinrichtung 18 verarbeitet den empfangenen Rechenergebnisdatenstrom 22 und speichert diesen zwischen. Zudem verarbeitet die Weiterleitungseinrichtung 18 den empfangenen Rechenergebnisdatenstrom 24 und speichert diesen zwischen.
  • Die Verknüpfungseinheit 32 verknüpft die berechneten Rechenergebnisdatenströme 22 und 24 in einem Verfahrensschritt E gemäß einer Verknüpfungslogik. Die Verknüpfungslogik ist eine bitweise UND-Verknüpfung, bei welcher von zwei Bitfolgen gleicher Länge, nämlich den Rechenergebnisdatenströmen 22 und 24, jedes Paar korrespondierender Bits derart verknüpft wird, dass das Ergebnisbit 1 ist, falls beide Bits 1 sind, oder ansonsten 0 ist.
  • Die Verfälschung C, welche durch das gesetzte Bit gemäß dem Verfahrensschritt C1 erzielt ist, wird durch die bitweise UND-Verknüpfung gemäß einem Verfahrensschritt E1 aufgehoben.
  • Mit anderen Worten: An der Stelle, an der das Bit auf 1 gesetzt wurde, steht nach der Verknüpfung eine 0. Ist bei dem Rechenergebnisdatenstrom 22 beispielsweise an einer ersten Stelle des reservierten Bereichs eine 1 gesetzt, z. B. [...01...] , und bei dem Rechenergebnisdatenstrom 24 an einer zweiten Stelle des reservierten Bereichs eine 1 gesetzt, z. B. [...10...] , ergibt die bitweise UND-Verknüpfung an beiden Stellen eine Null: [...00...] .
  • In einem Verfahrensschritt F erzeugt die Weiterleitungseinrichtung 18 einen Verknüpfungsergebnisdatenstrom 26, welcher das Ergebnis der Verknüpfung E repräsentiert.
  • Die Weiterleitungseinrichtung 18 stellt den Verknüpfungsergebnisdatenstrom 26 in einem Verfahrensschritte G an das Kommunikationsnetzwerk 16 bereit, um über das Kommunikationsnetzwerk 16 an weitere Kommunikationsteilnehmer übertragen zu werden. Der bereitgestellte Verknüpfungsergebnisdatenstrom 26 wird in einem Verfahrensschritt H über das Kommunikationsnetzwerk 16 an eine Empfangseinrichtung 30 des sicherheitsgerichteten Systems 1 übertragen. Die Empfangseinrichtung 30 ist ausgebildet, das Sicherheits-Integritätslevel 4 im Betrieb zu erfüllen. Die Empfangseinrichtung 30 wird bei dem in 2 gezeigten Aufbau von einer einzelnen Hardware-Komponente mit Software gebildet, die jeweils das Sicherheitsintegritätslevel 4 erfüllen.
  • In dem Fall, dass die Weiterleitungseinrichtung 18 einen der Rechenergebnisdatenströme 22 oder 24 zur Übertragung an die Empfangseinrichtung 30 weiterleitet (anstatt dass der Verknüpfungsergebnisdatenstrom 26 an die Empfangseinrichtung 30 übertragen wird), erkennt die Empfangseinrichtung 30 in einem Verfahrensschritt J die Verfälschung in Form des gesetzten Bits in dem reservierten Bereich.
  • 3 zeigt schematisch den Aufbau des zweiten Ausführungsbeispiels des sicherheitsgerichteten Systems 1. Gleiche oder funktionsgleiche Elemente sind dabei mit denselben Bezugszeichen, wie sie in Bezug auf 2 verwendet werden, versehen. Im Unterschied zu der in 2 gezeigten Empfangseinrichtung 30 wird die Empfangseinrichtung 130 von zwei Recheneinrichtungen 112 und 114 gebildet, die analog zu den Recheneinrichtungen 12 und 14 aufgebaut sind und betrieben werden.
  • Die Recheneinrichtungen 112 und 114 empfangen den Verknüpfungsergebnisdatenstrom 26, welcher per Multicast an diese übertragen wird, und verarbeiten diesen. Bei der Verarbeitung mittels der Recheneinrichtungen 112 und 114 wird jeweils ein Ergebnis derselben Aufgabe berechnet und jeweils ein Rechenergebnisdatenstrom 122 und 124 erzeugt. Die Verknüpfung der erzeugten Rechenergebnisdatenströme 122 und 124 wird in einer nachgelagerten Weiterleitungseinrichtung durchgeführt.
  • 4 zeigt schematisch den Aufbau des dritten Ausführungsbeispiels des sicherheitsgerichteten Systems 1. Gleiche oder funktionsgleiche Elemente sind dabei mit denselben Bezugszeichen, wie sie in Bezug auf 2 verwendet werden, versehen. Im Unterschied zu dem in 2 gezeigten Ausführungsbespiel wird in einem Verfahrensschritt AA mittels einer ersten Recheneinrichtung 212, einer zweiten Recheneinrichtung 214 und einer dritten Recheneinrichtung 216 jeweils ein Ergebnis derselben Aufgabe berechnet und ein erster Rechenergebnisdatenstrom 222, ein zweiter Rechenergebnisdatenstrom 224 und ein dritter Rechenergebnisdatenstrom 226 in einem Verfahrensschritt BB erzeugt.
  • In einem Verfahrensschritt CC werden die Rechenergebnisdatenströme 222, 224 und 226 verfälscht. Die Verfälschung CC erfolgt, indem in einem Verfahrensschritt CC1 ein reserviertes Bit an einer ersten Stelle eines reservierten Bereichs des Rechenergebnisdatenstroms 222 mittels der ersten Recheneinrichtung 212 gesetzt wird. Beispielsweise wird der reservierte Bereich B1 = [...000...] gesetzt zu B1 = [...001...] .
  • Zudem wird in dem Verfahrensschritt CC1 ein reserviertes Bit an einer zweiten Stelle des reservierten Bereichs des Rechenergebnisdatenstroms 224 mittels der zweiten Recheneinrichtung 214 gesetzt. Beispielsweise wird der reservierte Bereich B2 = [...000...] gesetzt zu B2 = [...010...] .
  • Des Weiteren wird in dem Verfahrensschritt CC1 ein reserviertes Bit an einer dritten Stelle des reservierten Bereichs des Rechenergebnisdatenstroms 226 mittels der dritten Recheneinrichtung 216 gesetzt. Beispielsweise wird der reservierte Bereich B3 = [...000...] gesetzt zu B3 = [...100...] .
  • In einem Verfahrensschritt DD werden die Rechenergebnisdatenströme 222, 224 und 226 an die Weiterleitungseinrichtung 18 übertragen.
  • Die Verknüpfung der Rechenergebnisdatenströme 222, 224 und 226 erfolgt mittels der Verknüpfungseinheit 32 der Weiterleitungseinrichtung 18 in einem Verfahrensschritt EE als bitweise UND-Verknüpfung. Sobald zwei Rechenergebnisdatenströme 222 und 224 oder 222 und 226 oder 224 und 226 (bei der Weiterleitungseinrichtung 18) verfügbar sind, berechnet die Switching-Fabric die UND-Verknüpfung aus den beiden Rechenergebnisdatenströmen. Beispielsweise führt die bitweise UND-Verknüpfung in dem jeweiligen reservierten Bereich dazu, dass die Verfälschung gemäß einem Verfahrensschritt EE2 aufgehoben wird: B1 & B2 = [...000...] oder B1 & B3 = [...000...] oder B2 & B3 = [...000...] (wobei &: bitweise UND-Verknüpfung). Dadurch kann ein beliebiger der drei Rechenergebnisdatenströme ausfallen und die Verknüpfungsoperation wird trotzdem ausgeführt. Die dritte Recheneinheit könnte dann ggf. nur noch einen Fehler mit einer gewissen Wahrscheinlichkeit in die Berechnung einbringen und würde die Verfügbarkeit eher verringern als erhöhen.
  • In einem Verfahrensschritt FF erzeugt die Weiterleitungseinrichtung 18 einen Verknüpfungsergebnisdatenstrom 326, welcher das Ergebnis der Verknüpfung EE repräsentiert. Die Weiterleitungseinrichtung 18 stellt den Verknüpfungsergebnisdatenstrom 326 in einem Verfahrensschritte GG an das Kommunikationsnetzwerk 16 bereit, um über das Kommunikationsnetzwerk 16 an weitere Kommunikationsteilnehmer übertragen zu werden.
  • Bei einem fehlerhaften Betrieb der Weiterleitungseinrichtung 18, besteht die Gefahr, dass beispielsweise einer der Rechenergebnisdatenströme 222, 224 oder 226 von der Weiterleitungseinrichtung 18 in dem Verfahrensschritt GG bereitgestellt wird. Je nachdem, welcher Rechenergebnisdatenstrom weitergeleitet wird, kann anhand des gesetzten Bits an der ersten, zweiten oder dritten Stelle des reservierten Bereich B1, B2 oder B3 erkannt werden, dass ein fehlerhafter Betrieb vorliegt.
  • Das in 2 gezeigte Ausführungsbeispiel zeigt zwei Recheneinrichtungen 12 und 14. Das in 4 gezeigte Ausführungsbeispiel zeigt drei Recheneinrichtungen 212, 214 und 216. Dies verdeutlicht, dass die Erfindung in einfacher Weise auch auf mehr als drei Recheneinrichtungen skalierbar ist.
  • Die in den 2, 3 und 4 jeweils gezeigte Weiterleitungseinrichtung 18 kann mehrfach bzw. redundant vorgesehen sein. Dabei wird der jeweilige Rechenergebnisdatenstrom an eine erste Weiterleitungseinrichtung und an eine zweite Weiterleitungseinrichtung übertragen. Die berechneten Rechenergebnisdatenströme werden jeweils mittels einer Verknüpfungseinheit der ersten und zweiten Weiterleitungseinrichtung gemäß einer Verknüpfungslogik logisch verknüpft. Ein erster Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der ersten Weiterleitungseinrichtung erzeugt. Ein zweiter Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der zweiten Weiterleitungseinrichtung erzeugt. Der erste Verknüpfungsergebnisdatenstrom und der zweite Verknüpfungsdatenstrom werden an eine Empfangseinrichtung übertragen.
  • Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können von dem Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims (16)

  1. Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungseinrichtung (18) und ein Kommunikationsnetzwerk (16) umfasst, wobei das Verfahren umfasst: - Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212, 214), - Erzeugen (B, BB) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneirichtungen (12, 14, 212, 214), - Übertragen (D, DD) des jeweiligen Rechenergebnisdatenstroms (22, 24, 222, 224) an die Weiterleitungseinrichtung (18), - logisches Verknüpfen (E, EE) der berechneten Rechenergebnisdatenströme (22, 24, 222, 224) mittels einer Verknüpfungseinheit (32) der Weiterleitungseinrichtung (18) gemäß einer Verknüpfungslogik, - Erzeugen (F, FF) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung (18), - Bereitstellen (G, GG) des Verknüpfungsergebnisdatenstroms (26, 326) mittels der Weiterleitungseinrichtung (18) an das Kommunikationsnetzwerk (16), wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
  2. Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungseinrichtung (18) und eine Empfangseinrichtung (30) umfasst, wobei das Verfahren umfasst: - Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212, 214), - Erzeugen (B, BB) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen (12, 14, 212, 214), - Übertragen (D, DD) des jeweiligen Rechenergebnisdatenstroms (22, 24, 222, 224) an die Weiterleitungseinrichtung (18), - logisches Verknüpfen (E, EE) der berechneten Rechenergebnisdatenströme (22, 24, 222, 224) mittels einer Verknüpfungseinheit (32) der Weiterleitungseinrichtung (18) gemäß einer Verknüpfungslogik, - Erzeugen (F, FF) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung (18), - Übertragen (H, HH) des Verknüpfungsergebnisdatenstroms (26, 326) an die Empfangseinrichtung (30), - wobei die Recheneinrichtungen (12, 14) das Ergebnis derart verfälschen (C, CC), dass o die Empfangseinrichtung (30) die Verfälschung (C, CC) erkennt (H) und o die Verfälschung beim Verknüpfen gemäß der Verknüpfungslogik aufgehoben wird (E1, EE1).
  3. Verfahren nach Anspruch 1 oder 2, wobei die Verknüpfungslogik eine bitweise UND-Verknüpfung ist.
  4. Verfahren nach Anspruch 2 oder 3, wobei die Verfälschung ein Setzen (C1, CC1) eines der Recheneinrichtung (12, 14, 212, 214) zugeordneten reservierten Bits umfasst.
  5. Verfahren nach wenigstens einem der vorhergehenden Ansprüche 1 bis 4, wobei die Weiterleitungseinrichtung (18) eine Netzwerkweicheneinrichtung (19), vorzugsweise eine Netzwerkweiche (20), insbesondere ein TSN-Switch, ist.
  6. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei - die zwei Recheneinrichtungen (212, 214) gebildet sind von o einer ersten Recheneinrichtung (212), die einen ersten Rechenergebnisdatenstrom (222) erzeugt (BB), und o einer zweiten Recheneinrichtung (214), die einen zweiten Rechenergebnisdatenstrom (224) erzeugt (BB) , - das sicherheitsgerichtete System (1) wenigstens eine dritte Recheneinrichtung (216) aufweist, welche o ein Ergebnis derselben Aufgabe, wie sie von der ersten und zweiten Recheneinrichtung (212, 214) berechnet wird, berechnet (AA), o einen Rechenergebnisdatenstrom (226), welcher das Ergebnis der Berechnung repräsentiert, erzeugt (BB) und - der jeweilige Rechenergebnisdatenstrom (222, 224, 226) an die Weiterleitungseinrichtung (18) übertragen wird, - die berechneten Rechenergebnisdatenströme (222, 224, 226) mittels einer Verknüpfungseinheit (32) der Weiterleitungseinrichtung (18) gemäß einer Verknüpfungslogik logisch verknüpft werden (EE) und - die Verfälschung (EE1) o ein Setzen eines reservierten Bits an einer ersten Stelle eines reservierten Bereichs (B1) des ersten Rechenergebnisdatenstroms (222) mittels der ersten Recheneinrichtung (212), o ein Setzen eines reservierten Bits an einer zweiten Stelle des reservierten Bereichs (B2) des Rechenergebnisdatenstroms (224) mittels der zweiten Recheneinrichtung (214) und o ein Setzen eines reservierten Bits an einer dritten Stelle des reservierten Bereichs (B3) des Rechenergebnisdatenstroms (226) mittels der dritten Recheneinrichtung (216) umfasst.
  7. Verfahren nach Anspruch 6, wobei die Verknüpfungslogik eine bitweise UND-Verknüpfung des ersten, zweiten und/oder dritten Rechenergebnisdatenstroms (222, 224, 226) ist.
  8. Verfahren nach wenigstens einem der vorhergehenden Ansprüche 2-7, wobei die Empfangseinrichtung (30) von wenigstens zwei Recheneinrichtungen (112, 114) gebildet wird, welche - jeweils ein Ergebnis derselben Aufgabe berechnen und - jeweils einen Rechenergebnisdatenstrom (122, 124), welcher das Ergebnis der jeweiligen Berechnung repräsentiert erzeugen, wobei die Aufgabe eine Verarbeitung des von der Weiterleitungseinrichtung (18) empfangenen Verknüpfungsergebnisdatenstroms (26) ist.
  9. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei die Recheneinrichtungen (12, 14) - jeweils einen Hardwareanteil aufweisen, welcher ausgebildet ist, das Sicherheits-Integritätslevel 2 (SIL2) im Betrieb zu erfüllen, wobei das sicherheitsgerichtete System (1) ausgebildet ist, das Sicherheits-Integritätslevel 3 oder das Sicherheits-Integritätslevel 4 im Betrieb zu erfüllen.
  10. Verfahren nach Anspruch 9, wobei die Recheneinrichtungen (12, 14) seriengefertigte Produkte, insbesondere Components-Off-The-Shelf, sind.
  11. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das sicherheitsgerichtete System (1) ein sicherheitsgerichtetes System eines Fahrzeugs, insbesondere eines spurgebundenen Fahrzeugs, ist.
  12. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei - der jeweilige Rechenergebnisdatenstrom an eine erste Weiterleitungseinrichtung und an einer zweite Weiterleitungseinrichtung übertragen wird, - die berechneten Rechenergebnisdatenströme jeweils mittels einer Verknüpfungseinheit der ersten und zweiten Weiterleitungseinrichtung gemäß einer Verknüpfungslogik logisch verknüpft werden, - ein erster Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der ersten Weiterleitungseinrichtung erzeugt wird und ein zweiter Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der zweiten Weiterleitungseinrichtung erzeugt wird und - der erste Verknüpfungsergebnisdatenstrom und der zweite Verknüpfungsdatenstrom an eine Empfangseinrichtung übertragen werden.
  13. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und/oder eine Empfangseinrichtung (30) diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
  14. Computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und/oder eine Empfangseinrichtung (30) diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
  15. Sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen, welches wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und ein Kommunikationsnetzwerk (16) umfasst, wobei - die Recheneinrichtungen (12, 14) ausgebildet sind, o jeweils ein Ergebnis derselben Aufgabe zu berechnen und o jeweils einen Rechenergebnisdatenstrom (22, 24), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen, - das Kommunikationsnetzwerk (16) ausgebildet ist, den jeweiligen Rechenergebnisdatenstrom (22, 24) an die Weiterleitungseinrichtung (18) zu übertragen, - die Weiterleitungseinrichtung (18) eine Verknüpfungseinheit (20) umfasst, welche ausgebildet ist, die berechneten Rechenergebnisdatenströme (22, 24) gemäß einer Verknüpfungslogik zu verknüpfen, - die Weiterleitungseinrichtung (18) ausgebildet ist, o einen Verknüpfungsergebnisdatenstrom (26), welcher das Ergebnis der Verknüpfung repräsentiert, zu erzeugen und o den Verknüpfungsergebnisdatenstrom (26) an das Kommunikationsnetzwerk (16) bereitzustellen, wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
  16. Sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen, welches wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und eine Empfangseinrichtung (30) umfasst, wobei - die Recheneinrichtungen (12, 14) ausgebildet sind, o jeweils ein Ergebnis derselben Aufgabe zu berechnen und o jeweils einen Rechenergebnisdatenstrom (22, 24), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen, - das sicherheitsgerichtete System (1) ausgebildet ist, den jeweiligen Rechenergebnisdatenstrom (22, 24) an die Weiterleitungseinrichtung (18) zu übertragen, - die Weiterleitungseinrichtung (18) eine Verknüpfungseinheit (20) umfasst, welche ausgebildet ist, die berechneten Rechenergebnisdatenströme (22, 24) gemäß einer Verknüpfungslogik zu verknüpfen, - die Weiterleitungseinrichtung (18) ausgebildet ist, o einen Verknüpfungsergebnisdatenstrom (26), welcher das Ergebnis der Verknüpfung repräsentiert, zu erzeugen und o den Verknüpfungsergebnisdatenstrom (26) an die Empfangseinrichtung (30) zu senden, - wobei die Recheneinrichtungen (12, 14) ausgebildet sind, das Ergebnis derart zu verfälschen, dass o die Verfälschung mittels der Empfangseinrichtung (30) erkennbar ist und o die Verfälschung beim Verknüpfen gemäß der Verknüpfungslogik aufhebbar ist.
DE102020209363.6A 2020-04-30 2020-07-24 Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen Pending DE102020209363A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
IL297685A IL297685A (en) 2020-04-30 2021-04-06 A safety-oriented method and system for performing safety functions
EP21721402.2A EP4127934A1 (de) 2020-04-30 2021-04-06 Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
PCT/EP2021/058906 WO2021219329A1 (de) 2020-04-30 2021-04-06 Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020205502.5 2020-04-30
DE102020205502 2020-04-30

Publications (1)

Publication Number Publication Date
DE102020209363A1 true DE102020209363A1 (de) 2021-11-04

Family

ID=78267635

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020209363.6A Pending DE102020209363A1 (de) 2020-04-30 2020-07-24 Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen

Country Status (4)

Country Link
EP (1) EP4127934A1 (de)
DE (1) DE102020209363A1 (de)
IL (1) IL297685A (de)
WO (1) WO2021219329A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1128241B1 (de) 2000-02-23 2006-10-11 PHOENIX CONTACT GmbH & Co. Kg Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US10514683B2 (en) * 2015-09-16 2019-12-24 Profire Energy, Inc. Distributed networking system and method to implement a safety state environment

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1128241B1 (de) 2000-02-23 2006-10-11 PHOENIX CONTACT GmbH & Co. Kg Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung

Also Published As

Publication number Publication date
WO2021219329A1 (de) 2021-11-04
EP4127934A1 (de) 2023-02-08
IL297685A (en) 2022-12-01

Similar Documents

Publication Publication Date Title
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
EP2814193B1 (de) Verfahren und system zur erkennung von fehlern bei der übertragung von daten von einem sender zu zumindest einem empfänger
EP3189629B1 (de) Verfahren zur seriellen übertragung eines rahmens über ein bussystem von einem sender zu mindestens einem empfänger und teilnehmerstation für ein bussystem
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
EP1686732B1 (de) Verfahren und System zur Übertragung von Telegrammen
DE10361194B4 (de) Sicherheitsnetzwerk mit Phantomadressinformation
EP0325318B1 (de) Vermittlungsanlage
DE19831720A1 (de) Verfahren zur Ermittlung einer einheitlichen globalen Sicht vom Systemzustand eines verteilten Rechnernetzwerks
DE10065907A1 (de) Verfahren zum gesicherten Datentransport
EP3659317B1 (de) Verfahren zum bereitstellen eines sicheren telegramms
EP3028409A1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
DE102020209363A1 (de) Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP3550748A1 (de) Verfahren zur erkennung von datenverfälschungen bei einer datenübertragung über eine fehlersichere kommunikationsverbindung
DE10343172B4 (de) Datenübertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102019106410A1 (de) Vorrichtung und Verfahren zur Datenübertragung
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
DE102006042131B4 (de) Rechnersystem
WO2021151612A1 (de) Verfahren zur überprüfung einer signalverbindung
WO2008098999A1 (de) Leitsystem einer technischen anlage
EP3957051A1 (de) Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais
WO2022207213A1 (de) Datenverarbeitungsverfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed