EP4018300A1 - Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem - Google Patents

Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem

Info

Publication number
EP4018300A1
EP4018300A1 EP20771472.6A EP20771472A EP4018300A1 EP 4018300 A1 EP4018300 A1 EP 4018300A1 EP 20771472 A EP20771472 A EP 20771472A EP 4018300 A1 EP4018300 A1 EP 4018300A1
Authority
EP
European Patent Office
Prior art keywords
components
component
computer unit
central computer
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20771472.6A
Other languages
English (en)
French (fr)
Inventor
Benjamin SCHILLING
Christian FIGURA
Matthias Lorenz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP4018300A1 publication Critical patent/EP4018300A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • a method for the configuration of components of a railway signal system is given.
  • an update system is specified that is set up for such a method.
  • the document EP 2121 409 B1 relates to a method for transmitting data to a route element for lane-bound traffic.
  • One problem to be solved is to provide a method with which components of a railway signal system can be configured efficiently.
  • Another problem to be solved is to provide an update system for such a method.
  • the method is used to configure components of a railway signal system.
  • the components are, for example, point controllers, axle counters, interlockings and / or line control centers.
  • the procedure includes:
  • route element controls also referred to as components for short
  • components are typically arranged in a widely distributed manner. Due to this wide distribution of the line element controls, manual configuration changes take a lot of time and effort.
  • the components can still have their ID plug, but the ID plug is preferably only used to store an address of the server storing the configuration and a unique identifier for the component in question.
  • the ID plug itself is not absolutely necessary, but rather only that the component contains a unique ID and the at least one address of the server that stores and distributes the configuration.
  • This identifier, or ID for short, is sent to the server in particular together with a checksum, such as a hash value, of the current configuration of the component, the server being accessible via one of the addresses provided.
  • the server processes the request and uses the ID and the checksum to check whether a more up-to-date device configuration for the component nent is available. If so, the server will send the new configuration to the relevant component. Otherwise the server will preferentially indicate in a response that no new configuration is available for the component.
  • the component checks this configuration preferably using a cryptographic method, for example using a signature.
  • the new configuration is only used when the signature is valid.
  • This process is preferably carried out every time the component restarts, which is also referred to as "booting". If the configuration of a certain component is to be changed, the configuration is only changed in the central repository of the configuration server and no longer on of each individual component A restart of the component can optionally be triggered remotely, in order to trigger the retrieval of the new configuration on the corresponding component.
  • a secure mechanism for configuration distribution can be provided.
  • This approach enables a user to save costs through the central management of the widely distributed, decentralized components, instead of locally reconfiguring each component individually.
  • this approach can be used to build railway systems that automatically pick up their latest configuration data when booting.
  • every incorrect configuration is removed and automatically replaced by the correct configuration.
  • a manipulation of the configuration files for example through a hacker attack or through a corrupted memory, would be detected and corrected.
  • a central server which stores the configurations of all components, is on site as opposed to individually configuring components can be handled more efficiently.
  • Each configuration file can be cryptographically signed and thus protected against malicious or accidental falsification.
  • a hash value is preferably created via the corresponding configuration and sent to the server together with the associated unique identifier. If the hash value matches the configuration specified for this ID, the configuration is valid and does not need to be updated.
  • the configuration of the relevant component is updated.
  • a system can be provided that configures itself autonomously so that a customer can be offered a solution that saves the effort of manual configuration updates. It is also made possible to use components without an initial configuration check and to install them in the railway signal system.
  • services can be offered to keep the configurations of the components of a railway signaling system constantly up to date by means of a centralized configuration server.
  • the configuration server can also be cloud-based due to the use of IT security technology.
  • each device address of the components must also be stored.
  • railway signal system is understood here in particular as a collective term for all signaling facilities for carrying out and securing railway operations. These include, in particular, interlocking systems, block control systems, remote control systems, Stromthesesein directions, signal cables, switch controllers, axle counters or route control centers, also known as radio block centers or RBC for short.
  • Process steps A), B) and C) can be carried out in the order specified, but this is not absolutely necessary.
  • the railway signal system can be built up and / or continuously expanded so that step A), providing a large number of components, can take place over a long period of time, with updates according to step C) already being able to be carried out, if not all Components are installed.
  • the updating of the components is requested from the central computer unit. This means that the initiative for updating lies with the individual components and not with the central processing unit.
  • the cryptographic security is carried out during the update using signatures or also by using a MAC-based security attachment which, however, in contrast to a signature, is only based on a symmetrical key.
  • the central computer unit is a server. It is possible that different servers are used for different groups of components.
  • the central processing unit can be designed redundantly. It is also possible that the central computer unit during the operating the duration of the railway signal system is replaced and / or renewed. If the address of the central computer unit changes, the components can be instructed or informed accordingly in advance, for example by means of the central computer unit.
  • the unique identifiers are implemented in hardware. This means that the identifiers are preferably not overwritable or changeable in terms of the program and are therefore permanent.
  • the unique identifiers are each linked to a carrier body.
  • the carrier body is a token stick, a dongle, a hardware key, a hardlock, a chip or a chip card, such as a subscriber identity module, or SIM for short.
  • the carrier bodies can each be attached reversibly to the assigned component. That is, for example by operating personnel, the carrier body can be removed from a certain component and assigned to another component, for example a spare part. Since the identifier is linked to the carrier body, the identifier remains unique.
  • the carrier bodies each contain access data for the relevant component for the central computer unit.
  • an address of the central computer unit is stored in the respective carrier body.
  • further information can be clearly assigned to the components by means of the carrier body.
  • the identifiers are each assigned to a specific installation location of the railway signal system.
  • the installation location is, for example, a slot, a compartment or a rack.
  • the identifiers are preferably each permanently and uniquely linked to the relevant installation location. This means that with the identifier a position and load ge of the associated components located in the installation location within the railway signal system clearly and permanently. It is possible that the components will only function if they are correctly located in the intended installation location and have the correct, unambiguous identification.
  • the method comprises the following step:
  • the identifier is preferably transferred from the component that was previously available to the other component that serves as a replacement part.
  • the central processing unit does not have to be informed of the replacement of the component. Simplified maintenance is thus possible.
  • the carrier bodies each contain an initial configuration for the relevant component. That is to say, at least one, preferably exactly one, configuration for the assigned component and / or for the assigned installation location can be stored permanently and permanently on the carrier bodies.
  • the initial configuration is loaded each time the relevant component is restarted. This means that the components always revert to the initial configuration when they are restarted. Alternatively, it is possible for the components to retain the configuration last received, at least in the event that the identifier has not been interrupted in the meantime, that is to say in particular that the associated carrier body has not been removed or damaged.
  • the components ask the central computer unit whether step C) is to be carried out, that is to say whether the configurations are to be updated.
  • the components only start their function when they have received feedback from the central processing unit, either in the form of a confirmation that the associated configuration is still up-to-date, or in the form of a current configuration.
  • a configuration of a specific component is compared with a configuration stored in the central computer unit for the relevant component on the basis of at least one checksum or on the basis of a cryptographic measure. This means that when comparing, it is not necessary to exchange the complete values of the configurations, but only checksums or equivalent data. A data volume to be transmitted can thus be reduced.
  • a configuration transmitted by the central processing unit in step C) is validated and / or checked for authenticity in the relevant component before this configuration is actually used in the assigned component.
  • This validation and / or authentication only uses data that is stored in the component. In particular, it may be necessary for successful validation and / or authentication to access data from the assigned components and also from the relevant carrier body.
  • the central computer unit provides individual, different configurations from one another in step C). That is, at least some of the components or all of the components Components are configured differently in accordance with their intended use.
  • An update system is also specified.
  • the update system is set up for a method as specified in connection with one or more of the embodiments described above. Features of the update system are therefore also disclosed for the method and vice versa.
  • the update system comprises a multiplicity of components of a railway signal system, a central computer unit and at least one data connection between the components and the central computer unit.
  • the data connection can be wired or wireless or a mixture of wired and wireless partial connections.
  • the data connection can be a cellular connection.
  • Figure 1 shows a schematic representation of an exemplary embodiment of an update system for a method described here
  • Figure 2 shows a schematic block diagram of a railway signal system and a central computer unit for a method described here, and the
  • FIGS. 3 and 4 show schematic representations of process steps of a process described here.
  • An exemplary embodiment of an update system 10 is illustrated in FIG.
  • the update system 10 comprises a railway signal system 1 and a central computer unit 3.
  • the central computer unit 3 for example a server, is connected in terms of data technology via a data link 7 to individual components 2 of the railway signal system 1.
  • the data connection 7 is a cellular connection, but can also be a wired connection.
  • the data connection 7 and / or the central computer unit 3 are themselves part of the railway signal system 1.
  • the data connection 7 and / or the central computer unit 3 are not part of the railway signal system 1, but are separate, independent assemblies.
  • the individual components 2 are, for example, point controllers, axle counters, signal boxes and / or route control centers, or RBCs for short, so that the railway signal system 1 preferably contains different types of components 2.
  • traffic on a railway line 6 can be regulated and / or controlled.
  • the individual components 2 are preferably each located on installation locations 5 of the railway signal system 1.
  • the installation locations 5 and the respective components 2 are each uniquely assigned an identifier 4.
  • the identifier 4 is preferably linked to the installation location 5 in question. This link is achieved, for example, with the aid of identifier safeguards 8.
  • the identification fuses 8 can be implemented mechanically, for example by a chain, or electronically, for example by a sensor unit.
  • the components 2 and the building sites 5 can be clearly identified.
  • the identifiers 4 are identifiers, or IDs for short, such as an alphanumeric character string.
  • the identifiers 4 are preferably each firmly bound to a carrier body 41.
  • the carrier bodies 41 are realized for example by a token stick, a dongle, a hardware key, a hardlock, a chip or a chip card.
  • the carrier bodies 41 are preferably coupled to the respective installation locations 5 by means of the identification fuses 8. It is also possible that the carrier bodies 41 and / or the identifiers 4 are each part of the associated installation location 5.
  • identifiers 4 which are permanently and inseparably linked to hardware
  • programmable identifiers 4 can in principle also be used.
  • Such identifiers 4 can preferably only be programmed in a decentralized manner and who, in particular, do not give ver from the central computer unit 3.
  • FIG 2 a block diagram of the computer unit 3 and the components 2 of the railway signal system 1 is shown schematically.
  • Current configurations 22 for components 2 are stored in computer unit 3.
  • An individual configuration 22 is preferably present in the computer unit 3 for each of the components 2, so that there is a one-to-one relationship between the components 2 and the configuration 22.
  • the configurations 22 are transmitted from the computing unit 3 to the components 2 via the data connection 7, upon request from the components 2.
  • a centrally organized update of components 2 can thus be achieved. This saves an operator of the railway signal system 1 and / or the railway line 6 from updating the components 2 that are potentially widely scattered on site.
  • each component 2 preferably the carrier bodies 41, each have access data 43 for the central computer unit 3 in addition to the identifier 4 are provided. Together with the identifier 4, it can thus be determined which central computer unit 3 or which central computer units 3 the relevant component 2 has to contact in order to update the configuration 2.
  • the access data 43 contain server addresses.
  • each component preferably the carrier bodies 41, each contain an initial configuration 42.
  • the initial configuration 42 is that configuration 22 which the relevant component 2 accesses after a restart.
  • the update method described here is further illustrated with reference to FIG.
  • several of the components 2 are provided and provided with the identifiers 4, only one of the components 2 with the associated identifier 4 being shown in FIG. 3 to simplify the illustration.
  • the central computer unit 3 is also provided.
  • the data connection is not specifically shown in FIG.
  • step S1 the component 2 is started. After or during the start, the component 2 is configured in step S2 according to the initial configuration 42, which is preferably stored in the carrier body 41.
  • step S3 the configuration carried out is verified, for example using signatures, checksums and / or hash values. If verification is not carried out properly, an error message can be output.
  • step S4 the component 2 initializes the configuration.
  • a request is sent to the central computer unit 3, for example on the basis of the access data stored in the carrier body 41.
  • the request can include a checksum and / or a hash value or another identifier, so that it is possible for the central computer unit 3 to assess whether the component 2 is currently available.
  • the current configuration is the current, intended configuration 22. If this is not the case, the configuration 22 is sent from the central computer unit 3 to the component 2.
  • the central computer unit 3 merely confirms that no update is currently required.
  • step S5 a verification takes place as to whether the configuration from the central computer unit 3 is a valid, permissible and / or possible configuration. If this is confirmed, configuration 22 can be used by component 2. Otherwise, step S4 is repeated or the method begins again with step S1.
  • Communication between the central computer unit 3 and the component 2 is preferably cryptographically secured.
  • FIG. 4 A further, optional additional process sequence is shown in FIG. According to FIG. 4, on the left, there is a component 2 with the associated identifier 4 in an installation location 5. In FIG. 4, middle, it is shown that the component 2 has been removed, the identifier 4 still being tied to the installation location . The component 2 is replaced, for example, in the event of a defect or in the case of a newer device version available.
  • a new component 2 ' is inserted into the installation location 5 as a replacement part or as a replacement part.
  • the identifier 4 is also used for the new component 2 '.
  • the new component 2 ' can therefore fall back on the same initial configuration as the previously existing component 2, and can be configured correctly in the same way without the central computer unit 3 having to separately replace the Component 2 must be informed or that the new component 2 'needs to be specially configured by operating personnel already during installation.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

In einer Ausführungsform dient das Verfahren zum Konfigurieren von Komponenten (2) einer Eisenbahnsignalanlage (1) und umfasst die Schritte: A) Bereitstellen einer Vielzahl der Komponenten (2), B) Bereitstellen einer zentralen Rechnereinheit (3), und C) Aktualisieren von Konfigurationen (22) der Komponenten (2) mittels der zentralen Rechnereinheit (3), wobei - den Komponenten (2) jeweils eine eindeutige Kennung (4) zugeordnet ist, - die Kennungen (4) jeweils festlegbar sind, und - das Aktualisieren von den Komponenten (2) bei der zentralen Rechnereinheit (3) angefragt wird und kryptographisch gesichert erfolgt.

Description

Beschreibung
Konfigurationsverfahren für eine Eisenbahnsignalanlage und AktualisierungsSystem
Es wird ein Verfahren zur Konfiguration von Komponenten einer Eisenbahnsignalanlage angegeben. Darüber hinaus wird ein Ak tualisierungssystem angegeben, das für ein solches Verfahren eingerichtet ist.
Die Druckschrift EP 2121 409 Bl betrifft ein Verfahren zum Übertragen von Daten an ein Streckenelement für spurgebunde nen Verkehr.
Eine zu lösende Aufgabe liegt darin, ein Verfahren anzugeben, mit dem effizient Komponenten einer Eisenbahnsignalanlage konfiguriert werden können. Eine weitere zu lösende Aufgabe liegt darin, ein Aktualisierungssystem für ein solches Ver fahren anzugeben.
Diese Aufgaben werden unter anderem durch ein Verfahren und durch ein Aktualisierungssystem mit den Merkmalen der ent sprechenden unabhängigen Patentansprüche gelöst. Bevorzugte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
In mindestens einer Ausführungsform dient das Verfahren zur Konfiguration von Komponenten einer Eisenbahnsignalanlage.
Die Komponenten sind zum Beispiel Weichencontroller, Achszäh ler, Stellwerke und/oder Streckenzentralen. Das Verfahren um fasst:
A) Bereitstellen einer Vielzahl der Komponenten,
B) Bereitstellen einer zentralen Rechnereinheit, auch als Server bezeichnet, und
C) Aktualisieren von Konfigurationen der Komponenten mittels der zentralen Rechnereinheit, wobei den Komponenten jeweils eine eindeutige Kennung zuge ordnet ist und die Kennungen jeweils festlegbar sind, wobei das Aktualisieren von den Komponenten bei der zentralen Rech nereinheit angefragt wird und kryptographisch gesichert er folgt.
In einer dezentralen Streckensteuerungsarchitektur sind Stre ckenelementsteuerungen, kurz auch als Komponenten bezeichnet, typischerweise weit verteilt angeordnet. Aufgrund dieser wei ten Verteilung der Streckenelementsteuerungen nehmen manuelle Konfigurationsänderungen viel Zeit und Aufwand in Anspruch.
So muss bei einer manuellen Änderung der Konfiguration einer dezentralen Komponente das für die Wartung zuständige Perso nal einen physikalischen Zugang zu der Komponente erlangen, zum Beispiel um einen Identifizierungsstecker auszutauschen, welcher die Konfiguration für die Komponente enthält, oder um Knöpfe zu drücken und dadurch eine Konfigurationsänderung zu initialisieren. Ein solches Verfahren wird beispielsweise für Objektsteuerungen in Systemen, die insbesondere auf NeuPro oder Eulynx basieren, eingesetzt.
Mit dem hier beschriebenen Verfahren ist es möglich, Konfigu rationen über eine sichere Datenfernverbindung zu verteilen. Die Komponenten können dabei noch ihre ID-Stecker aufweisen, doch dient der ID-Stecker bevorzugt nur noch zur Speicherung einer Adresse des die Konfiguration speichernden Servers und einer eindeutigen Kennung der betreffenden Komponente. Für die hier beschriebene Aktualisierung der Konfiguration ist der ID-Stecker selbst nicht zwingend erforderlich, sondern bevorzugt nur, dass die Komponente eine eindeutige ID und die zumindest eine Adresse des Servers beinhaltet, welcher die Konfiguration speichert und verteilt.
Diese Kennung, kurz ID, wird insbesondere zusammen mit einer Prüfsumme, wie einem Hash-Wert, der aktuellen Konfiguration der Komponente an den Server gesendet, wobei der Server über eine der bereitgestellten Adressen erreichbar ist. Der Server verarbeitet die Anfrage und prüft anhand der ID und der Prüf summe, ob eine aktuellere Gerätekonfiguration für die Kompo- nente zur Verfügung steht. Wenn dies der Fall ist, wird der Server die neue Konfiguration an die betreffende Komponente senden. Andernfalls wird der Server in einer Antwort bevor zugt anzeigen, dass keine neue Konfiguration für die Kompo nente zur Verfügung steht.
Empfängt die Komponente die neue Konfiguration, so überprüft die Komponente diese Konfiguration bevorzugt mit einem kryp- tographischen Verfahren, zum Beispiel mittels einer Signatur. Erst wenn die Signatur gültig ist, wird die neue Konfigurati on verwendet.
Dieser Ablauf wird bevorzugt jedes Mal ausgeführt, wenn die Komponente neu startet, was auch als „Booten" bezeichnet wird. Wenn die Konfiguration einer bestimmten Komponente ge ändert werden soll, wird die Konfiguration somit nur in der zentralen Ablage des Konfigurationsservers verändert und nicht mehr an jeder einzelnen Komponente. Ein Neustart der Komponente kann optional aus der Ferne, also remote, ausge löst werden, um das Abrufen der neuen Konfiguration an der entsprechenden Komponente auszulösen.
Mit der hier beschriebenen Vorgehensweise kann ein sicherer Mechanismus zur Konfigurationsverteilung bereitgestellt wer den. So kann es mit dieser Vorgehensweise einem Nutzer ermög licht werden, durch die zentrale Verwaltung der weit verteil ten, dezentralen Komponenten Kosten einzusparen, anstatt lo kal jede Komponente einzeln neu zu konfigurieren. Insbesonde re können mit dieser Vorgehensweise Eisenbahnsysteme aufge baut werden, die selbständig ihre neuesten Konfigurationsda ten beim Booten abholen. Zusätzlich wird jede verfälschte Konfiguration abgebaut und automatisch durch die richtige Konfiguration ersetzt. So würde eine Manipulation der Konfi gurationsdateien, etwa durch einen Hackerangriff oder durch einen korrumpierten Speicher, erkannt und korrigiert werden.
Ein zentraler Server, der die Konfigurationen aller Komponen ten speichert, ist im Vergleich zu individuell vor Ort zu konfigurierenden Komponenten effizienter handhabbar. Jede Konfigurationsdatei kann kryptographisch signiert und somit vor böswilligen oder versehentlichen Verfälschungen geschützt werden. Immer dann, wenn die Komponenten booten, wird bevor zugt ein Hash-Wert über die entsprechende Konfiguration er stellt und zusammen mit der zugehörigen eindeutigen Kennung an den Server übersandt. Wenn der Hash-Wert mit der für diese Kennung vorgegebenen Konfiguration übereinstimmt, ist die Konfiguration gültig und muss nicht aktualisiert werden.
Falls der Hash-Wert nicht mit der neuesten Konfiguration übereinstimmt, wird die Konfiguration der betreffenden Kompo nente aktualisiert.
Somit kann ein System bereitgestellt werden, das sich autonom konfiguriert, sodass einem Kunden eine Lösung angeboten wer den kann, die den Aufwand manueller Konfigurationsaktualisie rungen einspart. Ferner wird es ermöglicht, Komponenten ohne anfängliche Konfigurationsprüfung zu verwenden und in die Ei senbahnsignalanlage einzubauen. Außerdem können basierend auf dem hier beschriebenen Verfahren Dienstleistungen angeboten werden, mittels eines zentralisierten Konfigurationsservers die Konfigurationen der Komponenten einer Eisenbahnsignalan lage laufend auf dem aktuellen Stand zu halten. Der Konfigu rationsserver kann aufgrund der Verwendung von IT- Sicherheitstechniken auch Cloud-basiert sein.
Dagegen hat das Versenden der Konfigurationen von einem zent ralen Server hin zu den einzelnen Komponenten, auf Initiative des Servers, erhebliche Nachteile:
- Statt der Speicherung nur der Geräte-IDs muss zusätzlich jede Geräteadresse der Komponenten gespeichert werden.
- Es ist nicht bekannt, wann die Konfigurationsinformationen an eine bestimmte Komponente zu senden sind. Es besteht die Notwendigkeit, eine Information darüber zu haben, wann die Konfigurationen an die Komponenten zu senden sind. Zum Bei spiel müsste der Server wissen, wann ein Neustart der Kompo nenten vorgenommen wird oder wann eine neue Komponente in das System integriert wird. Der Begriff Eisenbahnsignalanlage wird vorliegend insbesonde re als Sammelbezeichnung für alle signaltechnischen Einrich tungen zur Durchführung und Sicherung des Eisenbahnbetriebs verstanden. Dazu gehören insbesondere Stellwerksanlagen, Blocksteueranlagen, Fernsteueranlagen, Stromversorgungsein richtungen, Signalkabel, Weichencontroller, Achszähler oder Streckenzentralen, auch als Radio Block Centre oder kurz RBC bezeichnet.
Die Verfahrensschritte A), B) und C) können in der angegebe nen Reihenfolge durchgeführt werden, jedoch ist dies nicht zwingend erforderlich. Insbesondere kann die Eisenbahnsignal anlage schrittweise aufgebaut und/oder stetig erweitert wer den, sodass der Schritt A), Bereitstellen einer Vielzahl der Komponenten, über einen langen Zeitraum hinweg erfolgen kann, wobei bereits Aktualisierungen gemäß Schritt C) durchgeführt werden können, wenn noch nicht alle Komponenten installiert sind.
Gemäß zumindest einer Ausführungsform wird das Aktualisieren von den Komponenten bei der zentralen Rechnereinheit ange fragt. Das heißt, die Initiative zum Aktualisieren liegt bei den einzelnen Komponenten, und nicht bei der zentralen Rech nereinheit.
Gemäß zumindest einer Ausführungsform erfolgt die kryptogra- phische Sicherung beim Aktualisieren anhand von Signaturen oder auch durch die Nutzung eines MAC-basierten Sicherungsan hangs, der im Gegensatz zu einer Signatur allerdings nur auf einen symmetrischen Schlüssel basiert.
Gemäß zumindest einer Ausführungsform handelt es sich bei der zentralen Rechnereinheit um einen Server. Es ist möglich, dass für verschiedene Gruppen von Komponenten unterschiedli che Server verwendet werden. Außerdem kann die zentrale Rech nereinheit redundant ausgelegt sein. Weiterhin ist es mög lich, dass die zentrale Rechnereinheit während der Betriebs- dauer der Eisenbahnsignalanlage ausgetauscht und/oder erneu ert wird. Ändert sich die Adresse der zentralen Rechnerein heit, so können die Komponenten insbesondere vorab zum Bei spiel mittels der zentralen Rechnereinheit entsprechend in struiert oder informiert werden.
Gemäß zumindest einer Ausführungsform sind die eindeutigen Kennungen in Hardware implementiert. Das heißt, die Kennungen sind programmtechnisch bevorzugt nicht überschreibbar oder änderbar und sind somit dauerhaft. Beispielsweise sind die eindeutigen Kennungen je an einen Trägerkörper gebunden. Zum Beispiel ist der Trägerkörper ein Token-Stick, ein Dongle, ein Hardwarekey, ein Hardlock, ein Chip oder eine Chipkarte, etwa ein Teilnehmer-Identitätsmodul, englisch Subscriber Identity Module oder kurz SIM.
Gemäß zumindest einer Ausführungsform sind die Trägerkörper jeweils reversibel an der zugeordneten Komponente anbringbar. Das heißt, zum Beispiel durch Bedienpersonal kann der Träger körper von einer bestimmten Komponente entfernt werden und einer anderen Komponente, zum Beispiel einem Ersatzteil, zu geordnet werden. Da die Kennung an den Trägerkörper gebunden ist, bleibt die Kennung dabei eindeutig.
Gemäß zumindest einer Ausführungsform beinhalten die Träger körper jeweils Zugangsdaten der betreffenden Komponente für die zentrale Rechnereinheit. Beispielsweise ist eine Adresse der zentralen Rechnereinheit in dem jeweiligen Trägerkörper hinterlegt. Optional können zusammen mit der Kennung mittels des Trägerkörpers weitere Informationen eindeutig den Kompo nenten zugeordnet werden.
Gemäß zumindest einer Ausführungsform sind die Kennungen je weils einem bestimmten Einbauplatz der Eisenbahnsignalanlage zugeordnet. Der Einbauplatz ist zum Beispiel ein Steckplatz, ein Fach oder ein Rack. Bevorzugt sind die Kennungen jeweils dauerhaft und eindeutig an den betreffenden Einbauplatz ge bunden. Das heißt, mit der Kennung sind eine Position und La- ge der zugehörigen, sich in dem Einbauplatz befindlichen Kom ponente innerhalb der Eisenbahnsignalanlage eindeutig und dauerhaft festgelegt. Es ist möglich, dass die Komponenten nur dann funktionieren, wenn sie sich korrekt in dem bestim mungsgemäßen Einbauplatz befinden und über die richtige ein deutige Kennung verfügen.
Gemäß zumindest einer Ausführungsform umfasst das Verfahren den folgenden Schritt:
D) Ersetzen einer vorhandenen Komponente an einem bestimmten Einbauplatz durch eine andere Komponente, die als Ersatzteil für die zuvor an diesem Einbauplatz vorhandene Komponente dient. Dabei wird bevorzugt die Kennung von der zuvor vorhan denen Komponente auf die andere Komponente, die als Ersatz teil dient, übertragen. Somit ist beim Ersetzen einer Kompo nente die Kennung, die für die Funktion der Komponente aus schlaggebend ist, beibehaltbar. Insbesondere muss die zentra le Recheneinheit nicht vom Ersetzen der Komponente informiert werden. Somit ist eine vereinfachte Wartung möglich.
Gemäß zumindest einer Ausführungsform beinhalten die Träger körper jeweils eine Initialkonfiguration für die betreffende Komponente. Das heißt, auf den Trägerkörpern kann fest und dauerhaft mindestens eine, bevorzugt genau eine Konfiguration für die zugeordnete Komponente und/oder für den zugeordneten Einbauplatz hinterlegt sein.
Gemäß zumindest einer Ausführungsform wird die Initialkonfi guration bei jedem Neustart der betreffenden Komponente gela den. Das heißt, die Komponenten fallen beim Neustart immer auf die Initialkonfiguration zurück. Alternativ ist es mög lich, dass die Komponenten die zuletzt erhaltene Konfigurati on beibehalten, zumindest in dem Fall, dass zwischenzeitlich keine Unterbrechung der Kennung stattfand, also insbesondere der zugeordnete Trägerkörper nicht entfernt oder beschädigt wurde. Gemäß zumindest einer Ausführungsform fragen bei oder nach jedem Neustart die Komponenten bei der zentralen Rechnerein heit an, ob Schritt C) durchzuführen ist, das heißt, ob eine Aktualisierung der Konfigurationen vorzunehmen ist. Optional nehmen die Komponenten erst dann ihre Funktion auf, wenn sie eine Rückmeldung von der zentralen Rechnereinheit erhalten haben, entweder in Form einer Bestätigung, dass die zugehöri ge Konfiguration noch aktuell ist, oder in Form einer aktuel len Konfiguration.
Gemäß zumindest einer Ausführungsform erfolgt ein Abgleich einer Konfiguration einer bestimmten Komponente mit einer in der zentralen Rechnereinheit hinterlegten Konfiguration für die betreffende Komponente anhand zumindest einer Prüfsumme oder anhand einer kryptographischen Maßnahme. Das heißt, es müssen beim Abgleich nicht die kompletten Werte der Konfigu rationen, sondern nur Prüfsummen oder äquivalente Daten aus getauscht werden. Somit kann ein zu übertragendes Datenvolu men reduziert werden.
Gemäß zumindest einer Ausführungsform wird in der betreffen den Komponente eine im Schritt C) von der zentralen Rech nereinheit übermittelte Konfiguration validiert und/oder auf Authentizität geprüft, bevor diese Konfiguration in der zuge ordneten Komponente tatsächlich zur Anwendung kommt. Diese Validierung und/oder Authentifizierung greift nur auf Daten zurück, die in der Komponente hinterlegt sind. Insbesondere kann es für die erfolgreiche Validierung und/oder Authentifi- zierung nötig sein, dass auf Daten der zugeordneten Komponen te und auch des betreffenden Trägerkörpers zurückgegriffen wird.
Gemäß zumindest einer Ausführungsform liegen in der Eisen bahnsignalanlage mehrere unterschiedliche Arten von Komponen ten vor. Für einig oder alle der Komponenten werden von der zentralen Rechnereinheit im Schritt C) individuelle, vonei nander verschiedene Konfigurationen bereitgestellt. Das heißt, wenigstens einige der Komponenten oder auch alle Kom- ponenten werden bestimmungsgemäß unterschiedlich konfigu riert.
Darüber hinaus wird ein Aktualisierungssystem angegeben. Das Aktualisierungssystem ist für ein Verfahren eingerichtet, wie in Verbindung mit einer oder mehrerer der oben beschriebenen Ausführungsformen angegeben. Merkmale des Aktualisierungssys tems sind daher auch für das Verfahren offenbart und umge kehrt.
In mindestens einer Ausführungsform umfasst das Aktualisie rungssystem eine Vielzahl von Komponenten einer Eisenbahnsig nalanlage, eine zentrale Rechnereinheit und zumindest eine Datenverbindung zwischen den Komponenten und der zentralen Rechnereinheit. Die Datenverbindung kann drahtgebunden oder drahtlos sein oder eine Mischung aus drahtgebundenen und drahtlosen Teilverbindungen sein. Insbesondere kann die Da tenverbindung eine Mobilfunkverbindung sein.
Die oben genannten Eigenschaften, Merkmale und Vorteile der Erfindung und die Art und Weise, wie diese erreicht werden, werden durch die folgende Beschreibung der Ausführungsbei spiele der Erfindung in Verbindung mit den entsprechenden Fi guren weitergehend erläutert, wobei
Figur 1 eine schematische Darstellung eines Ausfüh rungsbeispiels eines Aktualisierungssystems für ein hier beschriebenes Verfahren zeigt,
Figur 2 ein schematisches Blockdiagramm einer Eisen bahnsignalanlage und einer zentralen Rech nereinheit für ein hier beschriebenes Ver fahren zeigt, und die
Figuren 3 und 4 schematische Darstellungen von Verfahrens schritten eines hier beschriebenen Verfah rens zeigen. In Figur 1 ist ein Ausführungsbeispiel eines Aktualisierungs systems 10 illustriert. Das Aktualisierungssystems 10 umfasst eine Eisenbahnsignalanlage 1 sowie eine zentrale Rechnerein heit 3. Die zentrale Rechnereinheit 3, zum Beispiel ein Ser ver, ist über eine Datenverbindung 7 mit einzelnen Komponen ten 2 der Eisenbahnsignalanlage 1 datentechnisch verbunden. Die Datenverbindung 7 ist eine Mobilfunkverbindung, kann aber auch eine drahtgebundene Verbindung sein.
Es ist möglich, dass die Datenverbindung 7 und/oder die zent rale Rechnereinheit 3 selbst ein Bestandteil der Eisenbahn signalanlage 1 sind. Alternativ sind die Datenverbindung 7 und/oder die zentrale Rechnereinheit 3 kein Teil der Eisen bahnsignalanlage 1, sondern sind hiervon verschiedene, eigen ständige Baugruppen.
Bei den einzelnen Komponenten 2 handelt es sich zum Beispiel um Weichencontroller, Achszähler, Stellwerke und/oder Stre ckenzentralen, kurz RBCs, sodass die Eisenbahnsignalanlage 1 bevorzugt verschiedene Arten von Komponenten 2 beinhaltet. Mittels der Komponenten 2 kann ein Verkehr auf einer Bahn strecke 6 geregelt und/oder gesteuert werden.
Die einzelnen Komponenten 2 befinden sich bevorzugt je auf Einbauplätzen 5 der Eisenbahnsignalanlage 1. Den Einbauplät zen 5 und den jeweiligen Komponenten 2 ist je eindeutig eine Kennung 4 zugeordnet. Die Kennung 4 ist bevorzugt an den be treffenden Einbauplatz 5 gebunden. Diese Bindung wird zum Beispiel mit Hilfe von Kennungssicherungen 8 erreicht. Die Kennungssicherungen 8 können mechanisch realisiert sein, bei spielsweise durch eine Kette, oder auch elektronisch, bei spielsweise durch eine Sensoreinheit.
Mittels der Kennungen 4 sind die Komponenten 2 und die Ein bauplätze 5 eindeutig identifizierbar. Beispielsweise sind die Kennungen 4 Identifikatoren, kurz IDs, wie eine alphanu merische Zeichenkette. Die Kennungen 4 sind bevorzugt je fest an einen Trägerkörper 41 gebunden. Die Trägerkörper 41 sind beispielsweise durch einen Token-Stick, einen Dongle, einen Hardwarekey, einen Hardlock, einen Chip oder auch durch eine Chipkarte realisiert. Die Trägerkörper 41 sind bevorzugt mit tels der Kennungssicherungen 8 an die jeweiligen Einbauplätze 5 gekoppelt. Es ist auch möglich, dass die Trägerkörper 41 und/oder die Kennungen 4 je ein Bestandteil des zugehörigen Einbauplatzes 5 sind.
Alternativ zu Kennungen 4, die dauerhaft und untrennbar mit einer Hardware verbunden sind, können im Prinzip auch pro grammierbare Kennungen 4 zum Einsatz kommen. Solche Kennungen 4 können bevorzugt nur dezentral programmiert werden und wer den insbesondere nicht von der zentrale Rechnereinheit 3 ver geben.
Abweichend von der Darstellung in Figur 1 ist es möglich, dass mehr als eine zentrale Rechnereinheit 3 vorhanden ist, etwa um Redundanz zu schaffen.
In Figur 2 ist schematisch ein Blockdiagramm der Rechnerein heit 3 und der Komponenten 2 der Eisenbahnsignalanlage 1 ge zeigt. In der Rechnereinheit 3 sind aktuelle Konfigurationen 22 für die Komponenten 2 hinterlegt. Bevorzugt liegt in der Rechnereinheit 3 für jede der Komponenten 2 eine individuelle Konfiguration 22 vor, sodass zwischen den Komponenten 2 und den Konfiguration 22 eine eineindeutige Beziehung besteht.
Über die Datenverbindung 7 werden die Konfigurationen 22 von der Recheneinheit 3 auf die Komponenten 2 übertragen, auf An frage der Komponenten 2 hin. Damit lässt sich eine zentral organisierte Aktualisierung der Komponenten 2 erreichen. Dies erspart es einem Betreiber der Eisenbahnsignalanlage 1 und/oder der Bahnstrecke 6, jeweils vor Ort die potentiell weit verstreut liegenden Komponenten 2 zu aktualisieren.
Außerdem ist in Figur 2 illustriert, dass die Komponenten 2, bevorzugt die Trägerkörper 41, je zusätzlich zur Kennung 4 noch mit Zugangsdaten 43 für die zentrale Rechnereinheit 3 versehen sind. Zusammen mit der Kennung 4 kann damit bestimmt werden, an welche zentrale Rechnereinheit 3 oder an welche zentralen Rechnereinheiten 3 sich die betreffende Komponente 2 zum Aktualisieren der Konfiguration 2 wenden muss. Die Zu gangsdaten 43 beinhalten Serveradressen.
Weiterhin ist es optional möglich, dass die Komponenten 2, bevorzugt die Trägerkörper 41, je eine Initialkonfiguration 42 beinhalten. Die Initialkonfiguration 42 ist diejenige Kon figuration 22, auf die die betreffende Komponente 2 nach ei nem Neustart zurückgreift.
Anhand von Figur 3 ist das hier beschriebene Aktualisierungs verfahren weiter veranschaulicht. Dazu werden mehrere der Komponenten 2 bereitgestellt und mit den Kennungen 4 verse hen, wobei zur Vereinfachung der Darstellung in Figur 3 nur eine der Komponenten 2 mit der zugehörigen Kennung 4 gezeigt ist. Ferner wird die zentrale Rechnereinheit 3 bereitge stellt. Die Datenverbindung ist in Figur 3 nicht eigens ge zeichnet.
In einem Verfahrensschritt S1 erfolgt ein Starten der Kompo nente 2. Nach oder während des Startens wird die Komponente 2 im Schritt S2 gemäß der Initialkonfiguration 42 konfiguriert, welche bevorzugt in dem Trägerkörper 41 hinterlegt ist.
Im optionalen Schritt S3 wird die vorgenommene Konfigurierung verifiziert, beispielsweise anhand von Signaturen, Prüfsummen und/oder Hash-Werten. Erfolgt keine ordnungsgemäße Verifika tion, so kann eine Fehlermeldung ausgegeben werden.
Im Schritt S4 initialisiert die Komponente 2 das Konfigurie ren. Dazu wird eine Anfrage an die zentrale Rechnereinheit 3 gesendet, beispielsweise anhand der in dem Trägerkörper 41 hinterlegten Zugangsdaten. Die Anfrage kann eine Prüfsumme und/oder einen Hash-Wert oder einen anderen Identifikator um fassen, sodass es der zentralen Rechnereinheit 3 ermöglicht wird zu beurteilen, ob die gerade an der Komponente 2 vorlie- gende Konfiguration die aktuelle, bestimmungsgemäße Konfigu ration 22 ist. Ist dem nicht so, wird die Konfiguration 22 von der zentralen Rechnereinheit 3 an die Komponente 2 ge sandt.
Liegt die aktuelle Konfiguration 22 bereits an der Komponente 2 vor, so ist es möglich, dass die zentrale Rechnereinheit 3 lediglich bestätigt, dass derzeit keine Aktualisierung erfor derlich ist.
Im optionalen Schritt S5 erfolgt eine Verifikation, ob die von der zentralen Rechnereinheit 3 eine gültige, zulässige und/oder mögliche Konfiguration ist. Wird dies bestätigt, so kann die Konfiguration 22 von der Komponente 2 verwendet wer den. Anderenfalls wird der Schritt S4 wiederholt oder das Verfahren beginnt wieder mit dem Schritt Sl.
Eine Kommunikation zwischen der zentralen Rechnereinheit 3 und der Komponente 2 erfolgt bevorzugt kryptographisch gesi chert.
In Figur 4 ist ein weiterer, optionaler zusätzlicher Verfah rensablauf gezeigt. Gemäß Figur 4, links, befindet sich eine Komponente 2 mit der zugehörigen Kennung 4 in einem Einbau platz 5. In Figur 4, Mitte, ist dargestellt, dass die Kompo nente 2 entfernt wurde, wobei die Kennung 4 immer noch an den Einbauplatz gebunden ist. Die Komponente 2 wird zum Beispiel im Falle eines Defekts oder im Falle einer verfügbaren neue ren Geräteversion ersetzt.
Gemäß Figur 4, rechts, ist eine neue Komponente 2' als Er satzteil oder als Austauschteil in den Einbauplatz 5 einge fügt. Dabei wird die Kennung 4 auch für die neue Komponente 2' verwendet. Die neue Komponente 2' kann somit beim Neustart oder erstmaligen Start auf die gleiche Initialkonfiguration zurückgreifen, wie die zuvor vorhandene Komponente 2, und kann in gleicher Weise korrekt konfiguriert werden, ohne dass die zentrale Rechnereinheit 3 gesondert über das Ersetzen der Komponente 2 in Kenntnis gesetzt werden muss oder dass die neue Komponente 2' durch Bedienpersonal bereits beim Einbauen speziell konfiguriert zu werden braucht. Obwohl die Erfindung anhand von Ausführungsbeispielen detail liert dargestellt und beschrieben wurde, ist die Erfindung nicht auf die offenbarten Ausführungsbeispiele und die darin erläuterten konkreten Merkmalskombinationen beschränkt. Wei tere Variationen der Erfindung können von einem Fachmann er- halten werden, ohne den Schutzumfang der beanspruchten Erfin dung zu verlassen.
Bezugszeichenliste
1 Eisenbahnsignalanlage
2, 2 Komponente der Eisenbahnsignalanlage 22 Konfiguration
3 zentrale Rechnereinheit
4 eindeutige Kennung
41 Trägerkörper einer Kennung
42 Initialkonfiguration 43 Zugangsdaten für die zentrale Rechnereinheit
5 Einbauplatz
6 Bahnstrecke
7 Datenverbindung
8 KennungsSicherung 10 AktualisierungsSystem
S. Verfahrensschritt

Claims

Patentansprüche
1. Verfahren zum Konfigurieren von Komponenten (2) einer Ei senbahnsignalanlage (1) mit den Schritten:
A) Bereitstellen einer Vielzahl der Komponenten (2),
B) Bereitstellen einer zentralen Rechnereinheit (3), und
C) Aktualisieren von Konfigurationen (22) der Komponenten (2) mittels der zentralen Rechnereinheit (3), wobei
- den Komponenten (2) jeweils eine eindeutige Kennung (4) zu geordnet ist,
- die Kennungen (4) jeweils festlegbar sind, und
- das Aktualisieren von den Komponenten (2) bei der zentralen Rechnereinheit (3) angefragt wird und kryptographisch gesi chert erfolgt.
2. Verfahren nach dem vorhergehenden Anspruch, bei dem jede der Kennungen (4) dauerhaft an einen bestimmten Einbauplatz (5) der Eisenbahnsignalanlage (1) gebunden ist und jeder Einbauplatz (5) für eine der Komponenten (2) vorge sehen ist.
3. Verfahren nach dem unmittelbar vorhergehenden Anspruch, ferner umfassend den Schritt:
D) Ersetzen einer vorhandenen Komponente (2) an einem be stimmten Einbauplatz (5) durch eine andere Komponente (2"), die als Ersatzteil für die zuvor an diesem Einbauplatz (5) vorhandene Komponente (2) dient, wobei die Kennung (4) von der zuvor vorhandenen Komponente (2) auf die andere Komponente (2"), die als Ersatzteil dient, übertragen wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jede der Kennungen (4) dauerhaft an einen bestimmten Trägerkörper (41) gebunden ist, wobei die Trägerkörper (41) jeweils an die zugeordnete Kompo nente (2) reversibel anbringbar sind.
5. Verfahren nach dem unmittelbar vorhergehenden Anspruch, bei dem die Trägerkörper (41) jeweils Zugangsdaten (43) der betreffenden Komponente (2) für die zentrale Rechnereinheit (3) beinhalten.
6. Verfahren nach einem der beiden unmittelbar vorhergehenden Ansprüche, bei dem die Trägerkörper (41) jeweils eine Initialkonfigura tion (42) für die betreffende Komponente (2) beinhalten, wobei die Initialkonfiguration (42) bei jedem Neustart der betreffenden Komponente (2) geladen wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem nach jedem Neustart die Komponenten (2) bei der zent ralen Rechnereinheit (3) anfragen, ob Schritt C) durchzufüh ren ist.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem ein Abgleich einer Konfiguration (22) einer bestimm ten Komponente (2) mit einer in der zentralen Rechnereinheit (3) hinterlegten Konfiguration (22) für die betreffende Kom ponente (2) anhand zumindest einer Prüfsumme erfolgt.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem in der betreffenden Komponente (2) eine im Schritt C) von der zentralen Rechnereinheit (3) übermittelte Konfigura tion (22) validiert und/oder auf Authentizität geprüft wird, bevor diese Konfiguration (22) zur Anwendung kommt.
10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem unterschiedliche Arten von Komponenten (2) vorliegen und für mindestens einige der Komponenten (2) von der zentra len Rechnereinheit (3) im Schritt C) individuelle Konfigura tionen (22) bereitgestellt werden.
11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem zumindest einige der Komponenten (2) jeweils aus der folgenden Gruppe ausgewählt sind: Weichencontroller, Achszäh ler, Stellwerk, Streckenzentrale.
12. Aktualisierungssystem (10) mit - einer Vielzahl von Komponenten (2) einer Eisenbahnsignalan lage (1),
- einer zentralen Rechnereinheit (3), und
- zumindest einer Datenverbindung (7) zwischen den Komponen ten (2) und der zentralen Rechnereinheit (3), wobei das Aktualisierungssystem (10) für ein Verfahren nach einem der vorhergehenden Ansprüche eingerichtet ist.
EP20771472.6A 2019-09-27 2020-09-02 Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem Pending EP4018300A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019214922.7A DE102019214922A1 (de) 2019-09-27 2019-09-27 Konfigurationsverfahren für eine Eisenbahnsignalanlage und Aktualisierungssystem
PCT/EP2020/074389 WO2021058244A1 (de) 2019-09-27 2020-09-02 Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem

Publications (1)

Publication Number Publication Date
EP4018300A1 true EP4018300A1 (de) 2022-06-29

Family

ID=72473516

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20771472.6A Pending EP4018300A1 (de) 2019-09-27 2020-09-02 Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem

Country Status (4)

Country Link
EP (1) EP4018300A1 (de)
CN (1) CN114503079A (de)
DE (1) DE102019214922A1 (de)
WO (1) WO2021058244A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022206329A1 (de) * 2022-06-23 2023-12-28 Siemens Mobility GmbH Betriebsverfahren und Netzwerk

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7469279B1 (en) * 2003-08-05 2008-12-23 Cisco Technology, Inc. Automatic re-provisioning of network elements to adapt to failures
US9489496B2 (en) * 2004-11-12 2016-11-08 Apple Inc. Secure software updates
DE102007006130A1 (de) * 2007-02-02 2008-08-07 Siemens Ag Verfahren, mobiles Bediengerät und Anordnung zum Übertragen von Daten an ein Streckenelement des spurgebundenen Verkehrs
DE102007010763A1 (de) * 2007-03-06 2008-09-11 Zf Friedrichshafen Ag Verfahren zur adaptiven Konfigurationserkennung
US20140059534A1 (en) * 2012-08-22 2014-02-27 General Electric Company Method and system for software management
KR20140106991A (ko) * 2013-02-27 2014-09-04 삼성전자주식회사 휴대 단말기에서 애플리케이션을 제공하는 장치 및 방법
WO2014164893A2 (en) * 2013-03-13 2014-10-09 Arynga Inc. Remote transfer of electronic images to a vehicle

Also Published As

Publication number Publication date
CN114503079A (zh) 2022-05-13
WO2021058244A1 (de) 2021-04-01
DE102019214922A1 (de) 2021-04-01

Similar Documents

Publication Publication Date Title
DE112012003795B4 (de) Verfahren und system für eine fahrzeug-information-integritätsverifikation
EP2705410B1 (de) Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage
WO2017008953A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
EP3080950B1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
EP4018300A1 (de) Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem
WO2019137773A1 (de) Absicherung eines softwareupdates eines steuergerätes eines fortbewegungsmittels
DE102015115855A1 (de) System und Verfahren zur Verteilung und/oder Aktualisierung von Software in vernetzten Steuereinrichtungen eines Fahrzeugs
DE102017220526A1 (de) Verfahren und Vorrichtung zur Aktualisierung von Software
WO2022179934A1 (de) Verfahren zur konfiguration einer steuerungssoftware bei einem schienenfahrzeug
DE102016116168A1 (de) Fahrzeug, System und Verfahren zur Aktualisierung der Firmware einer Fahrzeugkomponente
EP3306514B1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette
EP3997531A1 (de) Feldgerät
DE102009047974B4 (de) Verfahren zur Programmierung eines Steuergeräts
WO2004017182A2 (de) Übernehmen eines datensatzes in eine recheneinheit
DE102022107393A1 (de) Center, verteilungssteuerungsverfahren undnicht-transitorisches speichermedium
EP3306507B1 (de) Komponente für eine sicherheitskritische funktionskette
EP3306856B1 (de) Verfahren zum bereitstellen einer gesicherten kommunikationsverbindung zwischen komponenten einer sicherheitskritischen funktionskette
DE102022207549A1 (de) Verfahren zur Verwaltung von ausführbaren Softwaremodulen durch Zertifikate
DE102006029263A1 (de) Verfahren zur Aktualisierung von in Mauterfassungsgeräten gespeicherten Daten und/oder Programmen
WO2020188082A1 (de) Verfahren und vorrichtungen für eine lastzuweisung und überwachung für eine zuzuweisende versorgungssicherheitskritische ressource in einem netzwerk
DE112022006234T5 (de) Sicherheitsvorrichtung, Verwaltungsvorrichtung, Kommunikationssystem und Sicherheitsverwaltungsverfahren
WO2021244868A1 (de) System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren
WO2022180073A1 (de) Verfahren zur konfiguration einer steuerungssoftware bei einem schienenfahrzeug
DE102019135158A1 (de) Verfahren zur sicheren Übertragung von Daten zwischen einem Server und einem Steuergerät und Vorrichtung zum Durchführen des Verfahrens
EP3583741A1 (de) Verfahren zur sicherstellung einer authentizität mindestens eines wertes einer geräteeigenschaft, computerprogramm, computerlesbares speichermedium und vorrichtung

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20220325

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20240625