EP3686080A1 - Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks - Google Patents

Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks Download PDF

Info

Publication number
EP3686080A1
EP3686080A1 EP20150501.3A EP20150501A EP3686080A1 EP 3686080 A1 EP3686080 A1 EP 3686080A1 EP 20150501 A EP20150501 A EP 20150501A EP 3686080 A1 EP3686080 A1 EP 3686080A1
Authority
EP
European Patent Office
Prior art keywords
state
distributed database
network node
stored
representative
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP20150501.3A
Other languages
English (en)
French (fr)
Other versions
EP3686080C0 (de
EP3686080B1 (de
Inventor
Stephan Griebel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP3686080A1 publication Critical patent/EP3686080A1/de
Application granted granted Critical
Publication of EP3686080C0 publication Critical patent/EP3686080C0/de
Publication of EP3686080B1 publication Critical patent/EP3686080B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/40Handling position reports or trackside vehicle data

Definitions

  • the invention relates to a method for the safe operation of a railway system, in which a state of at least one route element of the railway system or a value representative of the state is stored.
  • the states of elements of the external signal box system are recorded. These elements are, for example, light signals, switches, axle counters and the like. A defined state of these elements is, for example, the displayed signal term or the set course.
  • the states of the elements of the interlocking system are recorded and z. B. verified for safe operation or safe display.
  • the states of the elements serve, for example, as the basis for a safe route setting by the signal box computers and the safe display in the signal box computers. For safe operation and display, it must be ensured that the operator, such as a dispatcher, is only shown the states that are actually set. Since incorrect information about the conditions could have serious consequences for the operator, a lot of effort has so far been required to ensure safe operation.
  • the object is achieved for the method mentioned at the outset by storing the state or the representative value of the state in a distributed database.
  • a distributed database which is also called distributed ledger technology, is to be understood as a database distributed over several locations, regions or participants. All participants in this decentralized database can display all data records. The technology offers a verifiable history of all information stored in the specific data records. In a distributed database, each participant processes and verifies a transaction or information and thereby creates a record of this element and creates a consensus on its truthfulness.
  • a distributed database can be designed in one of several ways, for example as a blockchain.
  • a blockchain i.e. a blockchain, is usually understood to mean a continuously expandable list of data records referred to as blocks, which are linked to one another by means of cryptographic methods. Each block typically contains a cryptographically secure hash value of the previous block and possibly a time stamp and further transaction data.
  • the blockchain is generated by a so-called miner and distributed to all participants in the distributed database.
  • this changed state or the value of the route element representative of the changed state can be stored in the distributed database in such a way that the change can be recognized, at least in sufficient time. Every new data record about a changed state contains a current time stamp, by means of which a change compared to an earlier point in time is easily recognizable. If a blockchain is used as the distributed database, the changed state can be attached to the existing blockchain in a new block and distributed to all participants. The old states can still be read in the previous blocks.
  • the operation can be requested by at least one input and a second input later than the first input by at least one operator and the operation can only be carried out if the state stored in the distributed database or the representative value of the state of the link element has not changed between the first input and the second input.
  • the first entry is made at the start of an operating action and the second entry completes the operating action.
  • This embodiment ensures that the states of the route elements have not changed during the operating action. If a change is found between the first and the second entry, the execution of the operating action can be blocked and the operator can be checked again.
  • the state or the representative value of the state can be stored in a blockchain become.
  • Blockchain technology is a special embodiment of a distributed database in which changed states are stored and distributed in a block of the blockchain.
  • a blockchain offers a very high level of security, since the blocks with the states cannot be changed afterwards, and is therefore very trustworthy.
  • the state stored in the distributed database or representative value of the state can be achieved using a proof-of-authority procedure, in particular using a PKI - Public Key Infrastructure , be verifiable.
  • the PKI can be used to check whether the saved state or the states have been set by a trustworthy participant, namely the miner.
  • a very specific computer in a rail network can be authorized to create new blocks. This computer uses its PKI so that the other computers in the data network recognize from the PKI that the authorized and trustworthy computer has created the data.
  • the invention further relates to a network node of a data network in a railway system with at least one memory.
  • the network node is designed as part of a distributed database in which a state of at least one route element of the railway system or a value representative of the state is stored.
  • the network node can be designed to store a changed state or a value of the route element representative of the changed state in the distributed database in such a way that the change can be recognized. This has the advantage already described above that state changes in the distributed database are easily recognizable.
  • the network node for operating the railroad system can be designed by at least one first input and a second input later by at least one operator for the first input, the operation being carried out only if there is no change in the state and the status by reading from the first distributed database representative value of the state of the route element between the first input and the second input was recognized.
  • the invention also relates to a railway system with at least one data network.
  • the data network has at least one network node according to one of the above-mentioned embodiments.
  • Fig. 1 shows a railway system 1, which comprises a data network 2 and several route elements 3.
  • the route elements 3 should be part of an interlocking system, for example.
  • the route elements 3 can be, for example, light signals, switches, axle counting devices, track circuits or the like.
  • the railway system 1 further comprises various network nodes 4, which are connected to one another and form the data network 2.
  • the network nodes 4 are in turn formed by various computing devices, such as an operating and display computer 5, an interlocking computer 6 and a plurality of element computers 7.
  • the operating and display computer 5 is arranged, for example, in a control center of the railway system 1 and controls the display of the railway system 1 in this control center.
  • the signal box computer 6 is designed for the usual signal box tasks and the element computer 7 are part of the route elements and z. B. also provided to control this.
  • the network nodes 4 together form a distributed database 8, which here is, for example, a blockchain that is distributed to each network node.
  • the blockchain is therefore available on all network nodes 4.
  • the signal box computer 6 is in the exemplary embodiment in Figure 1 trained to a new block for the new, changed state of the route element 3 To create blockchain.
  • the signal box computer 6 thus takes over the task of the so-called miner, which creates or calculates new blocks of the blockchain, attaches and distributes them to the existing blockchain.
  • the interlocking computer 6 verifies the new block with the aid of the proof-of-authority method.
  • a PKI Public Key Infrastructure
  • the interlocking computer 6 validates the new block with its personal key.
  • the signal box computer 6 receives the new block with the changed state of the route element 3 within a relatively small time window of e.g. B. created and distributed a maximum of 5 seconds. This is an advantage over the alternative proof-of-work process, which would require more computing capacity and time.
  • the current status or the new blockchain is then distributed to all network nodes 4.
  • the current status of the route elements 3 is therefore always stored in the blockchain and can be read by all network nodes 4. If the status changes, the current status is saved in the blockchain together with the current time. This means that the new state flows into a new block and is distributed as a new or updated blockchain.
  • the state of the route elements 3 is graphically displayed to the operator by the operating and display computer 5 in the control center of the railway system.
  • the operator is, for example, a dispatcher.
  • Fig. 2 shows this graphic display with the reference number 9.
  • the state of the route elements 3 at the respective time is in Fig. 2 shown with reference numeral 10.
  • the blockchain of the distributed database 8 is shown with the history of the different states of the route elements 3 stored therein with reference number 11.
  • Fig. 3 The safe operation of the railway system 1 by an operator in the control center is schematically shown in Fig. 3 shown.
  • the operator starts a so-called command-dependent operation of the railway system 1 by making a first entry, for example by pressing a separate button.
  • the operator then inputs the operation into the operating and display computer 5 and confirms at the end of the operation, ie with a time delay, by making a second input, for example again by pressing a separate key.
  • step 13 in Fig. 3 checked by the operating and display computer 5 and / or by the signal box computer 6 whether one of the states of the route elements 3 has changed between the first and the second input.
  • the period between the first and the second entry is longer than 5 seconds and thus longer than the time window for creating a new block. This ensures that a new block is calculated, appended, signed and distributed when the state changes, before the second entry is made. An unnoticed change of state is therefore not possible.
  • step 14 in Fig. 3 the operation is carried out if the state has not changed between the first and the second entry. In step 14, however, the operation is rejected if a change in state between the first and the second input has been determined. The previously necessary test steps from the prior art are therefore no longer necessary.
  • the inventive method allows all network nodes 4 to check the respective states of the route elements 3 by accessing the blockchain.
  • the status information in the distributed database 8 can also be used for diagnostic purposes.
  • a diagnostic computer (not shown) can also be integrated in the data network 2.
  • the method according to the invention makes it possible to dispense with some of the test steps that are common today in the operation of the railway system 1 and the operator input, as a result of which the implementation is significantly less complicated and less complex. As in Fig. 3 shown, only a few process steps are necessary for this.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum sicheren Bedienen einer eisenbahntechnischen Anlage (1), bei dem ein Zustand von wenigstens einem Streckenelement (3) der eisenbahntechnischen Anlage (1) und ein für den Zustand repräsentativer Wert abgespeichert wird. Um das Verfahren zu vereinfachen, ist erfindungsgemäß vorgesehen, dass der Zustand oder der repräsentative Wert des Zustands in einer verteilten Datenbank (8) abgespeichert werden.Die Erfindung betrifft auch einen Netzwerknoten eines Datennetzwerks in einer eisenbahntechnischen Anlage (1).

Description

  • Die Erfindung betrifft ein Verfahren zum sicheren Bedienen einer eisenbahntechnischen Anlage, bei dem ein Zustand von wenigstens einem Streckenelement der eisenbahntechnischen Anlage oder ein für den Zustand repräsentativer Wert abgespeichert wird.
  • Bei einer eisenbahntechnischen Anlage, die beispielsweise eine Stellwerksaußenanlage aufweist, werden die Zustände von Elementen der Stellwerksaußenanlage erfasst. Diese Elemente sind beispielsweise Lichtsignale, Weichen, Achszähler und ähnliches. Ein definierter Zustand dieser Elemente ist beispielsweise der angezeigte Signalbegriff oder die eingestellte Weichenstellung. Die Zustände der Elemente der Stellwerksaußenanlage werden erfasst und z. B. für eine sichere Bedienung bzw. sichere Anzeige verifiziert. Die Zustände der Elemente dienen beispielsweise als Grundlage für eine sichere Fahrstraßeneinstellung durch die Stellwerksrechner und der sicheren Anzeige in den Stellwerksrechnern. Für die sichere Bedienung bzw. Anzeige muss sichergestellt sein, dass der Bediener, wie beispielsweise ein Fahrdienstleiter, nur die Zustände angezeigt bekommt, die auch wirklich eingestellt sind. Da fehlerhafte Informationen über die Zustände an den Bediener schwerwiegende Folgen haben könnten, muss bisher unter Umständen ein hoher Aufwand betrieben werden, um die sichere Bedienung zu gewährleisten.
  • Es ist daher die Aufgabe der Erfindung, ein vereinfachtes Verfahren zum sicheren Bedienen einer eisenbahntechnischen Anlage der eingangs genannten Art bereitzustellen.
  • Die Aufgabe wird für das eingangs genannte Verfahren dadurch gelöst, dass der Zustand oder der repräsentative Wert des Zustands in einer verteilten Datenbank abgespeichert wird.
  • Dies hat den Vorteil, dass die in einer verteilten Datenbank abgelegten Informationen vertrauenswürdig sind und eine weitere Überprüfung der Informationen entfallen kann. Dadurch kann der Aufwand für die sichere Bedienung reduziert werden, so dass die angewendeten Verfahren vereinfacht werden können.
  • Unter einer verteilen Datenbank, die auch Distributed Ledger Technologie genannt wird, ist eine auf mehrere Standorte, Regionen oder Teilnehmer verteilte Datenbank zu verstehen. Alle Teilnehmer dieser dezentralen Datenbank können alle Datensätze anzeigen. Die Technologie bietet eine überprüfbare Historie aller Informationen, die in den bestimmten Datensätzen gespeichert sind. In einer verteilten Datenbank verarbeitet und verifiziert jeder Teilnehmer eine Transaktion oder Information und erzeugt dadurch eine Aufzeichnung dieses Elements und schafft einen Konsens über deren Wahrhaftigkeit. Eine verteilte Datenbank kann in einer von mehreren Möglichkeiten beispielsweise als Blockchain ausgebildet sein. Unter einer Blockchain, also einer Blockkette, wird üblicherweise eine kontinuierlich erweiterbare Liste von als Blöcken bezeichneten Datensätzen verstanden, die mittels kryptographischer Verfahren miteinander verkettet sind. Jeder Block enthält dabei typischerweise einen kryptographisch sicheren Hashwert des vorhergehenden Blocks und ggf. einen Zeitstempel und weitere Transaktionsdaten. Die Blockchain wird von einem sogenannten Miner erzeugt und auf alle Teilnehmer der verteilten Datenbank verteilt.
  • Durch die konstruktiv bedingte Sicherheit einer verteilten Datenbank kann ein Misstrauen gegenüber der Richtigkeit der abgelegten Zustände der Streckenelemente entfallen. Somit können auch durch das Misstrauen bedingte bisherige Sicherungsverfahren entfallen, die die eisenbahntechnische Anlage insgesamt vereinfachen. Der Zustand bzw. der repräsentative Wert des Zustands ist bei jedem Teilnehmer der verteilten Datenbank in im Wesentlichen gleicher Weise vorhanden.
  • Die erfindungsgemäße Lösung kann durch vorteilhafte Ausgestaltungen weiterentwickelt werden, die im Folgenden beschrieben sind.
  • So kann bei einer Veränderung des Zustands des Streckenelements dieser veränderte Zustand oder der für den veränderten Zustand repräsentative Wert des Streckenelements in der verteilten Datenbank so abgespeichert werden, dass die Veränderung erkennbar ist, zumindest in ausreichender Zeit. Jeder neue Datensatz über einen veränderten Zustand enthält einen aktuellen Zeitstempel, durch den eine Veränderung gegenüber einem früheren Zeitpunkt leicht erkennbar ist. Wenn als verteilte Datenbank eine Blockchain verwendet wird, kann der veränderte Zustand in einem neuen Block an die vorhandene Blockchain angehängt und an alle Teilnehmer verteilt werden. In den vorherigen Blöcken sind die alten Zustände weiterhin auslesbar.
  • Um sicherzustellen, dass während einer Bedienhandlung die Zustände gleich geblieben sind, kann die Bedienung durch wenigstens eine Eingabe und eine zur ersten Eingabe spätere zweite Eingabe von wenigstens einem Bediener angefordert werden und die Bedienung nur ausgeführt werden, wenn sich der in der verteilten Datenbank abgespeicherte Zustand oder der repräsentative Wert des Zustands des Streckenelements zwischen der ersten Eingabe und der zweiten Eingabe nicht verändert hat. Beispielsweise erfolgt die erste Eingabe zu Beginn einer Bedienhandlung und die zweite Eingabe schließt die Bedienhandlung ab. Durch diese Ausführungsform ist sichergestellt, dass sich die Zustände der Streckenelemente während der Bedienhandlung nicht verändert haben. Sollte eine Veränderung zwischen der ersten und der zweiten Eingabe festgestellt werden, kann die Ausführung der Bedienhandlung blockiert werden und eine erneute Überprüfung durch den Bediener angefordert werden.
  • In einer vorteilhaften Ausgestaltung kann der Zustand oder der repräsentative Wert des Zustands in einer Blockchain abgespeichert werden. Die Blockchain-Technologie ist eine spezielle Ausführungsform einer verteilten Datenbank, bei der veränderte Zustände in einem Block der Blockchain abgespeichert und verteilt werden. Eine Blockchain bietet eine sehr hohe Sicherheit, da die Blöcke mit den Zuständen nachträglich nicht verändert werden können, und ist dadurch sehr vertrauenswürdig.
  • Um den Aufwand bei der Datenspeicherung in der verteilten Datenbank und insbesondere der Blockchain möglichst gering zu halten, kann der in der verteilten Datenbank abgespeicherte Zustand oder repräsentative Wert des Zustands mittels eines Proof-of-Authority-Verfahrens, insbesondere mittels einer PKI - Public Key Infrastructure, verifizierbar sein. Durch die PKI ist es überprüfbar, ob der abgespeicherte Zustand bzw. die Zustände von einem vertrauenswürdigen Teilnehmer, nämlich dem Miner, eingestellt wurden. Beispielsweise kann in einem Bahnnetzwerk ein ganz bestimmter Rechner zur Erstellung neuer Blöcke berechtigt sein. Dieser Rechner verwendet dabei seine PKI, so dass die übrigen Rechner in Datennetzwerk erkennen anhand der PKI, dass der berechtigte und vertrauenswürdige Rechner die Daten erstellt hat.
  • Die Erfindung betrifft weiterhin einen Netzwerkknoten eines Datennetzwerkes in einer eisenbahntechnischen Anlage mit wenigstens einem Speicher. Erfindungsgemäß ist zur Lösung der eingangs genannten Aufgabe vorgesehen, dass der Netzwerkknoten als Teil einer verteilten Datenbank ausgebildet ist, in der ein Zustand von wenigstens einem Streckenelement der eisenbahntechnischen Anlage oder ein für den Zustand repräsentativer Wert abgespeichert ist.
  • In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Netzwerkknotens kann der Netzwerkknoten ausgebildet sein, einen veränderten Zustand oder einen für den veränderten Zustand repräsentativen Wert des Streckenelements in der verteilten Datenbank so abzuspeichern, dass die Veränderung erkennbar ist. Dies hat den oben bereits beschriebenen Vorteil, dass Zustandsänderungen in der verteilten Datenbank leicht erkennbar sind.
  • Ferner kann der Netzwerkknoten zum Bedienen der eisenbahntechnischen Anlage durch wenigstens eine erste Eingabe und eine zur ersten Eingabe spätere zweite Eingabe von wenigstens einem Bediener ausgebildet sein, wobei die Bedienung nur ausgeführt wird, wenn mittels Auslesen aus der ersten verteilten Datenbank keine Veränderung des Zustands und des repräsentativen Werts des Zustands des Streckenelements zwischen der ersten Eingabe und der zweiten Eingabe erkannt wurde. Dies hat den Vorteil, dass gleich überprüft werden kann, dass sich Zustände der Streckenelemente während einer Bedienhandlung des Bedieners, beispielsweise des Fahrdienstleiters, nicht geändert haben.
  • Schließlich betrifft die Erfindung auch eine eisenbahntechnische Anlage mit wenigstens einem Datennetzwerk. Erfindungsgemäß weist das Datennetzwerk wenigstens einen Netzwerkknoten nach einer der oben genannten Ausführungsformen auf.
  • Im Folgenden wird die Erfindung mit Bezug auf die beigefügten Zeichnungen erläutert.
  • Es zeigen:
    • Fig. 1
    eine schematische Darstellung einer beispielhaften Ausführungsform der erfindungsgemäßen eisenbahntechnischen Anlage;
    Fig. 2
    eine schematische Darstellung einer beispielhaften Ausführungsform eines erfindungsgemäßen Verfahrens zur Bedienung der Anlage aus Fig. 1;
    Fig. 3
    eine weitere schematische Darstellung der beispielhaften Ausführungsform des erfindungsgemäßen Verfahrens aus Fig. 2.
  • Fig. 1 zeigt eine eisenbahntechnische Anlage 1, die ein Datennetzwerk 2 und mehrere Streckenelemente 3 umfasst. Die Streckenelemente 3 sollen hier beispielsweise Teil einer Stellwerksaußenanlage sein. Die Streckenelemente 3 können dabei beispielsweise Lichtsignale, Weichen, Achszähleinrichtungen, Gleisstromkreise oder ähnliches sein.
  • Die eisenbahntechnische Anlage 1 umfasst weiterhin verschiedene Netzwerkknoten 4, die miteinander verbunden sind und das Datennetzwerk 2 ausbilden. Die Netzwerkknoten 4 wiederum werden durch verschiedene Recheneinrichtungen ausgebildet, wie einen Bedien- und Anzeigerechner 5, einen Stellwerksrechner 6 und mehrere Elementenrechner 7. Der Bedien- und Anzeigenrechner 5 ist beispielsweise in einer Leitstelle der eisenbahntechnischen Anlage 1 angeordnet und steuert die Anzeige der eisenbahntechnischen Anlage 1 in dieser Leitstelle. Der Stellwerksrechner 6 ist für die üblichen Stellwerksaufgaben ausgebildet und die Elementenrechner 7 sind Teil der Streckenelemente und z. B. auch zur Steuerung dieser vorgesehen.
  • Die Netzwerkknoten 4 bilden zusammen eine verteilte Datenbank 8 aus, die hier beispielsweise eine Blockchain ist, die an jeden Netzwerkknoten verteilt ist. Die Blockchain ist also auf allen Netzwerkknoten 4 verfügbar.
  • Im Folgenden wird das erfindungsgemäße Verfahren zum Bedienen der Anlage 1 beschrieben:
    Im Betrieb der eisenbahntechnischen Anlage 1 ändern sich die Zustände der Streckenelemente 3 kontinuierlich. Bei jeder Zustandsänderung von einem Streckenelement 3 wird der neue, aktuelle Zustand von den Streckenelementen 3 und insbesondere den Elementenrechnern 7 an den Stellwerksrechner 6 weitergegeben.
  • Der Stellwerksrechner 6 ist bei der beispielhaften Ausführungsform in Figur 1 dazu ausgebildet, für den neuen, geänderten Zustand des Streckenelements 3 einen neuen Block der Blockchain zu erstellen. Der Stellwerksrechner 6 übernimmt somit die Aufgabe des sogenannten Miners, der neue Blöcke der Blockchain erstellt bzw. errechnet, an die bestehende Blockchain anhängt und verteilt. Um den Aufwand beim Erstellen des neuen Blocks für den Stellwerksrechner 6 gering zu halten und diesen möglichst schnell zu erstellen, verifiziert der Stellwerksrechner 6 den neuen Block mit Hilfe des Proof-of-Authority-Verfahrens. Dafür wird insbesondere eine PKI (Public Key Infrastructure) genutzt und der Stellwerksrechner 6 validiert den neuen Block mit seinem persönlichen Schlüssel. Durch Verwendung des Proof-of-Authority-Verfahrens ist es möglich, dass der Stellwerksrechner 6 den neuen Block mit dem veränderten Zustand des Streckenelements 3 innerhalb eines relativ kleinen Zeitfensters von z. B. maximal 5 Sekunden erstellt und verteilt. Dies ist ein Vorteil gegenüber dem alternativen Proof-of-Work-Verfahren, das mehr Rechnerkapazität und Zeit benötigen würde. Anschließend wird der aktuelle Stand bzw. die neue Blockchain an alle Netzwerkknoten 4 verteilt. In der Blockchain sind somit immer die aktuellen Zustände der Streckenelemente 3 hinterlegt und können von allen Netzwerkknoten 4 ausgelesen werden. Bei einer Zustandsänderung wird der aktuelle Zustand zusammen mit dem aktuellen Zeitpunkt in der Blockchain abgespeichert. Das heißt, dass der neue Zustand in einen neuen Block fließt und als neue oder aktualisierte Blockchain verteilt wird.
  • Von dem Bedien- und Anzeigerechner 5 in der Leitstelle der eisenbahntechnischen Anlage wird der Zustand der Streckenelemente 3 für den Bediener grafisch angezeigt. Der Bediener ist in diesem Fall beispielsweise ein Fahrdienstleiter.
  • Fig. 2 zeigt diese grafische Anzeige mit dem Bezugszeichen 9. Der Zustand der Streckenelemente 3 zum jeweiligen Zeitpunkt ist in Fig. 2 mit Bezugszeichen 10 dargestellt. Dazwischen ist die Blockchain der verteilten Datenbank 8 mit der darin abgespeicherten Historie der verschiedenen Zustände der Streckenelemente 3 mit Bezugszeichen 11 dargestellt.
  • Die sichere Bedienung der eisenbahntechnischen Anlage 1 durch einen Bediener in der Leitstelle ist schematisch in Fig. 3 dargestellt. Im ersten Verfahrensschritt 12 in Fig. 3 startet der Bediener eine sogenannte kommandofreigabepflichtige Bedienung der eisenbahntechnischen Anlage 1 durch eine erste Eingabe, beispielsweise durch einen gesonderten Tastendruck. Anschließend gibt der Bediener die Bedienung in den Bedien- und Anzeigenrechner 5 ein und bestätigt am Ende der Bedienung, also zeitversetzt, durch eine zweite Eingabe, beispielsweise wiederum einen gesonderten Tastendruck. Anschließend wird im Schritt 13 in Fig. 3 vom Bedien- und Anzeigerechner 5 und/oder vom Stellwerksrechner 6 geprüft, ob sich einer der Zustände der Streckenelemente 3 zwischen der ersten und der zweiten Eingabe verändert hat. Der Zeitraum zwischen der ersten und der zweiten Eingabe ist größer als 5 Sekunden und damit größer als das Zeitfenster zur Erstellung eines neuen Blocks. Damit ist sichergestellt, dass bei einer Zustandsänderung ein neuer Block errechnet, angehängt, signiert und verteilt ist, bevor die zweite Eingabe erfolgt. Eine unbemerkte Zustandsänderung ist daher nicht möglich.
  • Im Schritt 14 in Fig. 3 wird die Bedienung ausgeführt, wenn sich der Zustand zwischen der ersten und der zweiten Eingabe nicht verändert hat. Im Schritt 14 wird jedoch die Bedienung abgelehnt, wenn eine Zustandsänderung zwischen der ersten und der zweiten Eingabe festgestellt wurde. Somit entfallen die bisherig notwendigen Prüfschritte aus dem Stand der Technik.
  • Durch das erfindungsgemäße Verfahren können alle Netzwerkknoten 4 durch deren Zugriff auf die Blockchain die jeweiligen Zustände der Streckenelemente 3 überprüfen.
  • Für Diagnosezwecke können die Zustandsinformationen in der verteilten Datenbank 8 außerdem ebenfalls herangezogen werden. Hierfür kann auch ein Diagnoserechner (nicht dargestellt) im Datennetzwerk 2 eingebunden sein.
  • Durch das erfindungsgemäße Verfahren kann auf einige heute übliche Prüfschritte bei der Bedienung der eisenbahntechnischen Anlage 1 und der Bedieneingabe verzichtet werden, wodurch die Umsetzung deutlich unkomplizierter und weniger aufwändig ist. Wie in Fig. 3 dargestellt, sind hierfür nur wenige Prozessschritte nötig.

Claims (9)

  1. Verfahren zum sicheren Bedienen einer eisenbahntechnischen Anlage (1),
    bei dem ein Zustand von wenigstens einem Streckenelement (3) der eisenbahntechnischen Anlage (1) oder ein für den Zustand repräsentativer Wert abgespeichert wird,
    dadurch gekennzeichnet, dass
    der Zustand oder der repräsentative Wert des Zustands in einer verteilten Datenbank (8) abgespeichert wird.
  2. Verfahren nach Anspruch 1,
    dadurch gekennzeichnet, dass
    bei einer Veränderung des Zustands des Streckenelements (3) dieser veränderte Zustand oder der für den veränderten Zustand repräsentative Wert des Streckenelements (3) in der verteilten Datenbank (8) so abgespeichert wird, dass die Veränderung erkennbar ist.
  3. Verfahren nach Anspruch 2,
    dadurch gekennzeichnet, dass
    die Bedienung durch wenigstens eine erste Eingabe und eine zur ersten Eingabe spätere zweite Eingabe von wenigstens einem Bediener angefordert wird und die Bedienung nur ausgeführt wird, wenn sich der in der verteilten Datenbank (8) abgespeicherte Zustand oder der repräsentative Wert des Zustands des Streckenelements (3) zwischen der ersten Eingabe und der zweiten Eingabe nicht verändert hat.
  4. Verfahren nach einem der oben genannten Ansprüche,
    dadurch gekennzeichnet, dass
    der Zustand oder der repräsentative Wert des Zustands in einer Blockchain abgespeichert wird.
  5. Verfahren nach einem der oben genannten Ansprüche,
    dadurch gekennzeichnet, dass
    der in der verteilten Datenbank (8) abgespeicherte Zustand oder repräsentative Wert des Zustandes mittels eines Proof-of-Authority Verfahrens, insbesondere mittels einer PKI - Public-Key-Infrastruktur, verifizierbar ist.
  6. Netzwerkknoten (4) eines Datennetzwerks (2) in einer eisenbahntechnischen Anlage (1),
    mit wenigstens einem Speicher,
    dadurch gekennzeichnet, dass
    der Netzwerkknoten (4) als Teil einer verteilten Datenbank (8) ausgebildet ist, in der ein Zustand von wenigstens einem Streckenelement (3) der eisenbahntechnischen Anlage (1) oder ein für den Zustand repräsentativer Wert abgespeichert ist.
  7. Netzwerkknoten (4) nach Anspruch 6,
    dadurch gekennzeichnet, dass
    der Netzwerkknoten (4) ausgebildet ist, einen veränderten Zustand oder einen für den veränderten Zustand repräsentativen Wert des Streckenelements (3) in der verteilten Datenbank so abgespeichert wird, dass die Veränderung erkennbar ist.
  8. Netzwerkknoten (4) nach Anspruch 6 oder 7,
    dadurch gekennzeichnet, dass
    der Netzwerkknoten (4) zum Bedienen der eisenbahntechnischen Anlage (1) durch wenigstens eine erste Eingabe und eine zur ersten Eingabe spätere zweite Eingabe von wenigstens einem Bediener ausgebildet ist, wobei die Bedienung nur ausgeführt wird, wenn mittels Auslesen aus der verteilten Datenbank keine Veränderung des Zustands oder des repräsentativen Werts des Zustands des Streckenelements (3) zwischen der ersten Eingabe und der zweiten Eingabe erkannt wurde.
  9. Eisenbahntechnische Anlage (1) mit wenigstens einem Datennetzwerk (2),
    dadurch gekennzeichnet, dass
    das Datennetzwerk (2) wenigstens einen Netzwerkknoten (4) nach einem der oben genannten Ansprüche 6 bis 8 aufweist.
EP20150501.3A 2019-01-23 2020-01-07 Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks Active EP3686080B1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019200777.5A DE102019200777A1 (de) 2019-01-23 2019-01-23 Verfahren zum sicheren Bedienen einer eisenbahntechnischen Anlage und Netzwerkknoten eines Datennetzwerks

Publications (3)

Publication Number Publication Date
EP3686080A1 true EP3686080A1 (de) 2020-07-29
EP3686080C0 EP3686080C0 (de) 2023-08-16
EP3686080B1 EP3686080B1 (de) 2023-08-16

Family

ID=69143459

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20150501.3A Active EP3686080B1 (de) 2019-01-23 2020-01-07 Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks

Country Status (3)

Country Link
EP (1) EP3686080B1 (de)
DE (1) DE102019200777A1 (de)
ES (1) ES2962845T3 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT524500A1 (de) * 2020-12-04 2022-06-15 Plasser & Theurer Export Von Bahnbaumaschinen Gmbh Verfahren und System zum Betreiben einer Schienenverkehrsanlage

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015218971A1 (de) * 2015-09-30 2017-03-30 Siemens Aktiengesellschaft Sicherungsverfahren für ein Gleisstreckennetz

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015218971A1 (de) * 2015-09-30 2017-03-30 Siemens Aktiengesellschaft Sicherungsverfahren für ein Gleisstreckennetz

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DEUTSCHE BAHN AG: "Designing a secure digital future with blockchain", DIGITAL SPIRIT - THE CUSTOMER MAGAZINE OF DB SYSTEM, 31 July 2017 (2017-07-31), XP055542725, Retrieved from the Internet <URL:https://digitalspirit.dbsystel.de/en/designing-a-secure-digital-future-with-blockchain/> [retrieved on 20190116] *
FERAS NASER: "REVIEW : THE POTENTIAL USE OF BLOCKCHAIN TECHNOLOGY IN RAILWAY APPLICATIONS : AN INTRODUCTION OF A MOBILITY AND SPEECH RECOGNITION PROTOTYPE", 2018 IEEE INTERNATIONAL CONFERENCE ON BIG DATA (BIG DATA), 1 December 2018 (2018-12-01), pages 4516 - 4524, XP055698022, ISBN: 978-1-5386-5035-6, DOI: 10.1109/BigData.2018.8622234 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT524500A1 (de) * 2020-12-04 2022-06-15 Plasser & Theurer Export Von Bahnbaumaschinen Gmbh Verfahren und System zum Betreiben einer Schienenverkehrsanlage
AT524500B1 (de) * 2020-12-04 2023-02-15 Plasser & Theurer Export Von Bahnbaumaschinen Gmbh Verfahren und System zum Betreiben einer Schienenverkehrsanlage

Also Published As

Publication number Publication date
ES2962845T3 (es) 2024-03-21
EP3686080C0 (de) 2023-08-16
DE102019200777A1 (de) 2020-07-23
EP3686080B1 (de) 2023-08-16

Similar Documents

Publication Publication Date Title
DE102007034525B4 (de) Verfahren und System zum Überprüfen der Integrität von in einem vorbestimmten Speicherbereich eines Speichers gespeicherten Daten
EP1190324B1 (de) Verfahren zum gesicherten schreiben eines zeigers für einen ringspeicher
WO2017008953A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
EP0856792B1 (de) Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor
EP3686080B1 (de) Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks
EP1638246B1 (de) Verfahren zum Austausch von Kryptographiedaten
AT522276B1 (de) Vorrichtung und Verfahren zur Integritätsprüfung von Sensordatenströmen
DE102017000167A1 (de) Anonymisierung einer Blockkette
DE102019005545A1 (de) Verfahren zum Betreiben eines Maschinendatenkommunikationsnetzwerks, sowie Maschinendatenkommunikationsnetzwerk
DE19843048C2 (de) Verfahren für einen Softwarezugriffswechsel in einem Netzwerkknoten eines Telekommunikationsnetzwerkes sowie ein zum Durchführen eines solchen Verfahrens geeigneter Netzwerkknoten
EP3703333A1 (de) Verfahren, vorrichtungen und computerprogramm zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage
EP3771613B1 (de) Verfahren und einrichtung zum steuern einer eisenbahntechnischen anlage
EP3619885A1 (de) Verfahren zum blockchain basierten, asymmetrischen schlüsselmanagement und sicherheitsrelevante anlage
EP3836489B1 (de) Dynamische zuordnung von automatisierungseinheiten zu automatisierungsservern
DE102007006184B3 (de) Verfahren zum rechnergestützten Betrieb eines technischen Netzwerks
EP1476793B1 (de) Verfahren zur automatischen aufzeichnung eines eingriffes in eine produktionsanlage
EP4092541A1 (de) Absicherung und verifikation von datenelementen in einem verteilten computernetzwerk
EP0823687A1 (de) Computernetzwerk und Verfahren zur Freigabe von Bau- und Konstruktionsplänen
WO2021052708A1 (de) System und verfahren zum manipulationssicheren verwalten von daten eines feldgeräts der automatisierungstechnik
WO2020249341A1 (de) Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais
DE102022203871A1 (de) Steuersystem
DE102020205528A1 (de) Verfahren und Vorrichtung zum Abwickeln einer Transaktion
EP3893065A1 (de) Verfahren zur bezahlbasierten ausführung einer durchzuführenden funktion eines feldgerätes, entsprechendes feldgerät und serviceeinheit
EP3786027A1 (de) Betriebsverfahren von fahrzeugen in einem fahrbereich
DE102020203861A1 (de) Validieren und Speichern von V-Modell Transaktionsdatensätzen in einer Blockchain

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20210105

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

RIC1 Information provided on ipc code assigned before grant

Ipc: B61L 27/40 20220101ALI20230217BHEP

Ipc: B61L 27/00 20060101ALI20230217BHEP

Ipc: B61L 15/00 20060101AFI20230217BHEP

INTG Intention to grant announced

Effective date: 20230313

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

Ref country code: DE

Ref legal event code: R096

Ref document number: 502020004685

Country of ref document: DE

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

U01 Request for unitary effect filed

Effective date: 20230828

U07 Unitary effect registered

Designated state(s): AT BE BG DE DK EE FI FR IT LT LU LV MT NL PT SE SI

Effective date: 20230904

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20231117

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20231216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20231116

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20231216

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20231117

U20 Renewal fee paid [unitary effect]

Year of fee payment: 5

Effective date: 20240119

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2962845

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20240321

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20230816

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20240212

Year of fee payment: 5