WO2009007206A1 - Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses - Google Patents

Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses Download PDF

Info

Publication number
WO2009007206A1
WO2009007206A1 PCT/EP2008/057649 EP2008057649W WO2009007206A1 WO 2009007206 A1 WO2009007206 A1 WO 2009007206A1 EP 2008057649 W EP2008057649 W EP 2008057649W WO 2009007206 A1 WO2009007206 A1 WO 2009007206A1
Authority
WO
WIPO (PCT)
Prior art keywords
commercial
safety
computer system
computers
computer
Prior art date
Application number
PCT/EP2008/057649
Other languages
English (en)
French (fr)
Inventor
Rainer KÖRNER
Stefan Lorenz
Lothar Becke
Jörg DEISTER
Stefan Gerken
Bernd Prade
Markus Seemann
Sten Wery
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2009007206A1 publication Critical patent/WO2009007206A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Definitions

  • the invention relates to a method for secure single-channel communication via PC interfaces for controlling a safety-critical rail operation process using a fail-safe computer system and a com ⁇ merziellen computer system for processing web-specific software and a system architecture for performing the method.
  • railway operating processes are extremely safety-critical as et ⁇ waige malfunction, they should not be recognized in time, can cause considerable damage and personal hazards.
  • signal-technically safe computer systems are usually used which process the pending processing jobs at least on a two-part basis and whose results are constantly compared.
  • Such fail-safe computer systems are extremely expensive.
  • the power requirement of railway-specific software is constantly growing.
  • the invention has for its object to provide a method and a system architecture of the generic type, to facilitate the discharge of the fail-safe computer system with respect to the formation and sending safety-related data telegrams and the data communication with the commercial computer system.
  • the object is achieved in that security ⁇ relevant data telegrams are formed by the interaction of di- versitary commercial computer of the commercial computer system and are sent via the standard communication ⁇ interfaces of the commercial computer system to the external communication partner.
  • the security is ensured by the fact that a proper security code and a valid safety-relevant message ⁇ program can be calculated only by the cooperation of two diverse commercial computers of the commercial computer system, and only under the condition that the diverse computers have calculated identical telegram data ,
  • the algorithms for calculating the safety codes are divided in as between the diverse commercial computers as ⁇ that these respectively calculate on the basis of their own tele ⁇ program data and its host specific portion algorithm only preliminary security codes, the check in a Closing synchronization step between the various commercial computers are exchanged and formed by subsequent linking these provisional security codes and the telegram data, the actual security code.
  • the so generated security-related data messages are single-channel transmitted to external communication partner using commercial transmission ⁇ technology and the safety-related transfer functions of the external communication partner filters based on the verification of the Si cherheitscodes the data telegrams whose error-free or erroneous formation of fixed, only error-free te ⁇ telegrams accepted and processed ,
  • the inventive method enables a secure channel l einka- data transmission without direct involvement of the signal ⁇ technically secure computer system as the data source of safe ⁇ -relevant data telegrams.
  • the signally secure computer system is only for monitoring the commercial computer and an interface for inputs and outputs to the periphery, that is needed to drive the Obviouslyskriti ⁇ rule railway operation process.
  • the exchange of the computer-specific provisional security codes for all data telegrams enables a decentralized synchronization of the di- verse commercial computers.
  • the provisional security codes of the own computer and the other computer are coded with the current memory checksum, whereby only diverse computer types with identical memory contents can successfully synchronize with each other.
  • a valid data telegram can thus only be formed with the participation of at least two diverse memory-synchronous commercial computers. Consequently, a valid safety-relevant data telegram can be considered formed as highly secure and single-channel transfer to external communications ⁇ partner.
  • Checking the validity of the Data telegrams through the security-relevant transmission ⁇ functions of the external communication partner is based on the specific calculation rules for the security codes of safety-related data telegrams, the two-channel diversified formation of safety-related data telegrams is verified.
  • a direct involvement of the fail-safe computer system at the deemsre ⁇ -relevant communication with external communication partners is not required. The performance stress of the security-relevant computer system is thus reduced in comparison with the method known from the above-mentioned EP 1 197 418 B1.
  • a form suitable for carrying out the method Systemar- is chitecture according to the invention characterized in that the commercial computer system having diverse commercial computing ⁇ ner that are interconnected via communication interfaces, and that at least one of the diverse computer is connected via commercial transmission technology with external communication partners.
  • the synchronization telegrams are exchanged via the communication interfaces between the various commercial computers.
  • FIG. 1 shows a system architecture
  • Figure 2 shows a procedure
  • Figure 1 illustrates hardware blocks 1 and 2 function blocks of an arrangement of two communicating computing systems, such as two interlocking, for controlling a safety-critical railway operating process, each computer system ⁇ the external communication partner of the other accounting nersystems represents.
  • the arrangement consists in each case of a commercial computer system 3 and a signal-technically secure computer system 4, wherein the two computer systems 3 and 4 are interconnected by means of commercial communication technology 5.
  • the signal-technically safe computer system 4 generates control commands for a peripheral 6 and receives feedback from the periphery 6.
  • the periphery 6 includes the safety-critical railway operating process, for example the on ⁇ control of a switch or a signal.
  • the two computer systems are connected to each other for data exchange by a transmission system 7.
  • the commercial computer system 3 includes various commercial computers 8 and 9, namely a type A PC and a type B PC.
  • the commercial computer system 3 includes a Medicareumge ⁇ tion 10 for the railway-specific software 11.
  • External safety-related information 12 to be exchanged between the railway-specific software 11 of the two computer systems are from an external safety-related transfer function 15 to a function block 2 for channel participation 13th forwarded when forming security-related messages and then transmitted via the commercial communication technology 5 and the transmission system 7 to the other computer system, namely the external communication partner.
  • the function block 2 of the external security-relevant transmission function 15 of the other computer system uses the security code of the received security-relevant message to check its error-free or faulty formation
  • the method of channel participation 13, which relates to the interaction of the diverse computers 8 and 9, is shown in more detail in FIG.
  • the runtime environment 10 also includes an internal safety-related transfer function 14 for safety ⁇ relevant communication with the computer system. 4
  • the fail-safe computer system 4 essentially serves the process-effective output 17 of the correctly formed setting commands to the periphery 6 and the monitoring 18 as well as the comparison of the redundantly formed by the commercial computer system 3 safety-related control commands and test telegrams, these telegrams by connecting the internal security relevant Transfer function 14 of the commercial computer system 3 with a corresponding internal security-relevant transfer function 19 of the fail-safe computer system 4 are transmitted.
  • the fail-safe computer system 4 is thus neither involved in the processing of externally incoming security-relevant information 12 directly to the security-related communication with external communication partners, so that the computer power of the fail-safe computer system 4 does not have to be significantly increased even with increasing external flood of data.
  • Figure 2 illustrates the participation of the two diversitä ⁇ ren commercial computer 8 and 9 in the formation of the safety-related data telegrams.
  • a special method for calculating security codes by the interaction of the two diverse computers 8 and 9 in conjunction with a decentralized synchronization control is provided on the execution environment 10, whereby a single-channel output 20 of the data telegrams via one of the diversified computers commercial computer 8 or 9 to commercial transmission ⁇ technology 21 is possible.
  • provisional channel-specific security codes PreSC A 24 and PreSC B 25 is calculated on the basis of a computer-specific sub-algorithm and the own data D A 22 or D B 23.
  • These preliminary security codes 24 and 25 are Zvi ⁇ rule, ie the diverse computers, replacing the channels 8 and 9 as part of a distributed synchronization control 26th
  • the provisional security codes 24 and 25 are encoded prior to transmission with the current memory checksum of the sending commercial computer 8 or 9 and at
  • the final security code SC a Float ⁇ -relevant message N is 27 and 28, then on the basis of the own preliminary security codes 24 and 25 and the preliminary safety codes 25 and 24 of the respective other channel SC (Presc A, Presc B) or on the basis of own data D A 22 and D B 23 and the security code 25 and 24 of the other channel SC (D A , PreSC B ) and SC (D B , PreSC A ) formed and the data D A 22 and D B.
  • the security-relevant message N 27 or 28 formed in this way can then be forwarded to the commercial transmission technology 21 for the output N (D, SC) 29 or 30.
  • the external security-relevant transfer function 15 (Fi ⁇ gur 1) of the external communication partner includes the examination of the correct two-channel diverse formation of security-relevant telegrams using the specific calculation rules for the security codes SC.
  • the fail-safe computer system 4 takes over the monitoring 18 of the commercial computer 8 and 9, without even being involved in the formation of safety-related data telegrams.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Systemarchitektur zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software. Um das signaltechnisch sichere Rechnersystem (4) von der Bildung und dem Senden sicherheitsrelevanter Informationen (12) an externe Kommunikationspartner zu entlasten, ist vorgesehen, dass sicherheitsrelevante Datentelegramme mittels diversitärer kommerzieller Rechner (8,9) des kommerziellen Rechnersystems (3) gebildet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen den diversitären kommerziellen Rechnern (8, 9) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden können. Es werden rechnerspezifische vorläufige Sicherheitscodes (24, 25) berechnet, mit einer Speicherprüf summe codiert zwischen den Rechnern (8,9) im Rahmen einer dezentralen Synchronisation der Rechner (8,9) ausgetauscht und die Datentelegramme von einem der Rechner (8, 9) einkanalig mittels kommerzieller Übertragungstechnik (21) an externe Kommunikationspartner übertragen. Sicherheitsrelevante Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung der Sicherheitscodes der Datentelegramme deren fehlerfreie oder fehler-behaftete Bildung fest, wobei nur fehlerfreie Datentelegramme akzeptiert werden und in Folge zu einer Ausgabe von Stellbefehlen durch das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.

Description

Beschreibung
Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahn- betriebsprozesses
Die Erfindung betrifft ein Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems und eines kom¬ merziellen Rechnersystems zur Verarbeitung bahnspezifischer Software sowie eine Systemarchitektur zur Durchführung des Verfahrens .
Bahnbetriebsprozesse sind äußerst sicherheitskritisch, da et¬ waige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt werden, zu erheblichen Sachschäden und Personengefährdungen führen können. Um Fehlfunktionen auszuschließen, werden üblicherweise signaltechnisch sichere Rechnersysteme verwendet, die die anstehenden Verarbeitungsaufträge mindestens zweika- nalig abarbeiten und deren Ergebnisse ständig verglichen werden. Derartige signaltechnisch sichere Rechnersysteme sind extrem aufwendig. Außerdem wächst der Leistungsbedarf der bahnspezifischen Software ständig.
Zur Entlastung des signaltechnisch sicheren Rechnersystems ist gemäß EP 1 197 418 Bl vorgesehen, Teile der bahnspezifischen Software auf ein kommerzielles Rechnersystem auszula¬ gern. Die anstehenden Verarbeitungsaufträge werden mittels synchron arbeitender kommerzieller Rechner abgearbeitet, wobei die Arbeitsergebnisse im signaltechnisch sicheren Rechnersystem auf Übereinstimmung geprüft werden. Steigende Leistungsanforderungen können durch neuere und schnellere kommerzielle Rechner bewältigt werden. Das signaltechnisch sichere Rechnersystem hat neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, eingehende Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechner zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltechnisch sicher zu unterbrechen. Insbesondere das Bilden und Versenden sicherheitsrelevanter Datentelegramme an externe Kommunikationspartner ist dabei mit hohem Ressourcenbedarf des signaltechnisch sicheren Rechnersystems verbunden.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Systemarchitektur der gattungsgemäßen Art anzugeben, die eine Entlastung des signaltechnisch sicheren Rechnersystems bezüglich der Bildung und des Versendens sicherheitsrelevan- ter Datentelegramme und der Datenkommunikation mit dem kommerziellen Rechnersystem zu ermöglichen.
Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass sicher¬ heitsrelevante Datentelegramme durch das Zusammenwirken di- versitärer kommerzieller Rechner des kommerziellen Rechnersystems gebildet werden und über die Standardkommunikations¬ schnittstellen des kommerziellen Rechnersystems an die externen Kommunikationspartner versendet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass ein korrekter Sicher- heitscode und damit ein gültiges sicherheitsrelevantes Tele¬ gramm nur durch das Zusammenwirken von zwei diversitären kommerziellen Rechnern des kommerziellen Rechnersystems berechnet werden kann und nur unter der Voraussetzung, dass die diversitären Rechner identische Telegrammdaten berechnet haben. Die Algorithmen zur Berechnung des Sicherheitscodes sind da¬ bei so zwischen den diversitären kommerziellen Rechnern aufgeteilt, dass diese jeweils auf Basis ihrer eigenen Tele¬ grammdaten und ihres rechnerspezifischen Teilalgorithmus nur vorläufige Sicherheitscodes berechnen, die in einem an- schließenden Synchronisationsschritt zwischen den diversitä- ren kommerziellen Rechnern ausgetauscht werden und durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebil- det wird. Die so generierten sicherheitsrelevanten Datentelegramme werden einkanalig mittels kommerzieller Übertragungs¬ technik an externe Kommunikationspartner übertragen und die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung des Si- cherheitscodes der Datentelegramme deren fehlerfreie oder fehlerbehaftete Bildung fest, wobei nur fehlerfreie Datente¬ legramme akzeptiert und verarbeitet werden.
Das erfindungsgemäße Verfahren ermöglicht eine sichere einka- nalige Datenübertragung ohne direkte Beteiligung des signal¬ technisch sicheren Rechnersystems als Datenquelle der sicher¬ heitsrelevanten Datentelegramme. Das signaltechnisch sichere Rechnersystem wird nur noch für die Überwachung der kommerziellen Rechner und als Schnittstelle für Ein- und Ausgaben zur Peripherie, d. h. zur Ansteuerung des sicherheitskriti¬ schen Bahnbetriebsprozesses, benötigt. Durch den Austausch der rechnerspezifischen vorläufigen Sicherheitscodes für alle Datentelegramm wird eine dezentrale Synchronisation der di- versitären kommerziellen Rechner ermöglicht. Die vorläufigen Sicherheitscodes des eigenen und des jeweils anderen Rechners werden mit der aktuellen Speicherprüfsumme codiert, wodurch sich nur diversitäre Rechnertypen mit identischen Speicherinhalten untereinander erfolgreich synchronisieren können. Ein gültiges Datentelegramm kann somit nur unter Beteiligung min- destens zweier diversitärer speichersynchroner kommerzieller Rechner gebildet werden. Folglich kann ein gültiges sicherheitsrelevantes Datentelegramm als hochgradig sicher gebildet angesehen werden und einkanalig an externe Kommunikations¬ partner übertragen werden. Die Überprüfung der Gültigkeit der Datentelegramme durch die sicherheitsrelevanten Übertragungs¬ funktionen des externen Kommunikationspartners erfolgt anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes der sicherheitsrelevanten Datentelegramme, wobei die zweikanalig diversitäre Bildung der sicherheitsrelevanten Datentelegramme verifiziert wird. Eine direkte Beteiligung des signaltechnisch sicheren Rechnersystems an der sicherheitsre¬ levanten Kommunikation mit externen Kommunikationspartnern ist nicht erforderlich. Die Performancebeanspruchung des si- cherheitsrelevanten Rechnersystems ist damit gegenüber dem aus der oben erläuterten und gattungsbildenden EP 1 197 418 Bl bekannten Verfahren verringert .
Eine für die Durchführung des Verfahrens geeignete Systemar- chitektur ist erfindungsgemäß dadurch gekennzeichnet, dass das kommerzielle Rechnersystem diversitäre kommerzielle Rech¬ ner aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner über kommerzielle Übertragungstechnik mit externen Kommunikationspartnern verbunden ist. Über die Kommunikationsschnittstellen zwischen den diversitären kommerziellen Rechnern werden die Synchronisationstelegramme ausgetauscht. Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:
Figur 1 eine Systemarchitektur und
Figur 2 einen Verfahrensablauf.
Figur 1 veranschaulicht Hardwareblöcke 1 und Funktionsblöcke 2 einer Anordnung von zwei miteinander kommunizierenden Rechnersystemen, z.B. zwei Stellwerken, zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses, wobei jedes Rechner¬ system den externen Kommunikationspartner des anderen Rech- nersystems darstellt. Die Anordnung besteht jeweils aus einem kommerziellen Rechnersystem 3 und einem signaltechnisch sicherem Rechnersystem 4, wobei die beiden Rechnersysteme 3 und 4 mittels kommerzieller Kommunikationstechnik 5 miteinander verbunden sind.
Das signaltechnisch sichere Rechnersystem 4 erzeugt Stellbefehle für eine Peripherie 6 und empfängt Rückmeldungen von der Peripherie 6. Die Peripherie 6 beinhaltet den sicher- heitskritischen Bahnbetriebsprozess, beispielsweise die An¬ steuerung einer Weiche oder eines Signals.
Die beiden Rechnersysteme sind zum Datenaustausch durch ein Übertragungssystem 7 miteinander verbunden. Das kommerzielle Rechnersystem 3 enthält diversitäre kommerzielle Rechner 8 und 9, nämlich einen Typ A - PC und einen Typ B - PC.
Das kommerzielle Rechnersystem 3 beinhaltet eine Ablaufumge¬ bung 10 für die bahnspezifische Software 11. Externe sicher- heitsrelevante Informationen 12, die zwischen der bahnspezifischen Software 11 der beiden Rechnersysteme ausgetauscht werden sollen, werden von einer externen sicherheitsrelevanten Übertragungsfunktion 15 an einen Funktionsblock 2 zur Kanalbeteiligung 13 beim Bilden sicherheitsrelevanter Nachrichten weitergeleitet und anschließend über die kommerzielle Kommunikationstechnik 5 und das Übertragungssystem 7 an das andere Rechnersystem, nämlich den externen Kommunikationspartner, übertragen. Der Funktionsblock 2 der externen sicherheitsrelevanten Übertra- gungsfunktion 15 des anderen Rechnersystems überprüft anhand des Sicherheitscodes der empfangenen sicherheitsrelevanten Nachricht deren fehlerfreie oder fehlerbehaftete Bildung Das Verfahren der Kanalbeteiligung 13, welches das Zusammenwirken der diversitären Rechner 8 und 9 betrifft, ist in Figur 2 genauer dargestellt.
Die AblaufUmgebung 10 beinhaltet außerdem eine interne sicherheitsrelevante Übertragungsfunktion 14 zur sicherheits¬ relevanten Kommunikation mit dem Rechnersystem 4.
Das signaltechnisch sichere Rechnersystem 4 dient im Wesent- liehen der prozesswirksamen Ausgabe 17 der korrekt gebildeten Stellbefehle an die Peripherie 6 und der Überwachung 18 sowie dem Vergleich der durch das kommerzielle Rechnersystem 3 redundant gebildeten sicherheitsrelevanten Stellbefehle und Prüftelegramme, wobei diese Telegramme durch Verbindung der internen sicherheitsrelevanten Übertragungsfunktion 14 des kommerziellen Rechnersystems 3 mit einer entsprechenden internen sicherheitsrelevanten Übertragungsfunktion 19 des signaltechnisch sicheren Rechnersystems 4 übertragen werden. Das signaltechnisch sichere Rechnersystem 4 ist somit weder an der Aufbereitung der extern eingehenden sicherheitsrelevanten Informationen 12 noch direkt an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern beteiligt, so dass die Rechnerleistung des signaltechnisch sicheren Rechnersystems 4 auch bei zunehmender externer Datenflut nicht signifikant erhöht werden muss.
Figur 2 veranschaulicht die Beteiligung der beiden diversitä¬ ren kommerziellen Rechner 8 und 9 an der Bildung der sicherheitsrelevanten Datentelegramme. Dazu ist auf der Ablaufumge- bung 10 ein spezielles Verfahren zur Berechnung von Sicherheitscodes durch das Zusammenwirken der beiden diversitären Rechner 8 und 9 in Verbindung mit einer dezentralen Synchronisationssteuerung vorgesehen, wodurch eine einkanalige Ausgabe 20 der Datentelegramme über einen der diversitären kommerziellen Rechner 8 oder 9 an kommerzielle Übertragungs¬ technik 21 möglich wird.
Wenn von der bahnspezifischen Software 11 (Figur 1) im Typ A - PC 8 und Typ B - PC 9 Daten DA 22 bzw. DB 23 an einen externen Kommunikationspartner übermittelt werden sollen, dann werden zunächst vorläufige kanalspezifische Sicherheitscodes PreSCA 24 und PreSCB 25 auf Basis eines rechnerspezifischen Teilalgorithmus und der eigenen Daten DA 22 bzw. DB 23 berech- net . Diese vorläufigen Sicherheitscodes 24 und 25 werden zwi¬ schen den Kanälen, d. h. den diversitären Rechnern 8 und 9, im Rahmen einer dezentralen Synchronisationssteuerung 26 ausgetauscht. Dabei werden die vorläufigen Sicherheitscodes 24 und 25 vor dem Senden mit der aktuellen Speicherprüfsumme des sendenden kommerziellen Rechners 8 bzw. 9 kodiert und beim
Empfang mit der Speicherprüfsumme des empfangenden diversitä¬ ren kommerziellen Rechners 9 bzw. 8 decodiert, so dass nur speichersynchrone diversitäre Rechner 8 und 9 korrekte vor¬ läufige Sicherheitscodes PreSCA und PreSCB austauschen kön- nen. Der endgültige Sicherheitscode SC einer sicherheitsrele¬ vanten Nachricht N 27 bzw. 28 wird dann auf Basis des eigenen vorläufigen Sicherheitscodes 24 bzw. 25 und des vorläufigen Sicherheitscodes 25 bzw. 24 des jeweils anderen Kanals SC (PreSCA, PreSCB) oder auf Basis der eigenen Daten DA 22 bzw. DB 23 und des Sicherheitscodes 25 bzw. 24 des anderen Kanals SC (DA,PreSCB) bzw. SC (DB, PreSCA) gebildet und mit den Daten DA 22 bzw. DB 23 verknüpft N (DA, SC (PreSCA, PreSCB) ) bzw. N(DB, SC (PreSCA, PreSCB) ) oder N (DA, SC (DA, PreSCB) ) bzw. N(DB, SC (DB,PreSCA) ) . Die auf diese Weise gebildete sicherheitsrelevante Nachricht N 27 bzw. 28 kann dann zur Ausgabe N (D, SC) 29 bzw. 30 an die kommerzielle Übertragungstechnik 21 weitergeleitet werden. Da nur dann eine sicherheitsrelevante Nachricht N mit korrektem gültigen Sicherheitscode SC gesendet werden kann, wenn beide diversitäre kommerzielle Rechner 8 und 9 identische Daten DA 22 und DB 23, d. h. Daten D, berechnet haben, genügt eine einkanalige Ausgabe 20 an die kommerzielle Übertragungstech¬ nik 21, um sicherzustellen, dass die sicherheitsrelevante Übertragungsfunktion 15 des externen Kommunikationspartners die fehlerfreie Bildung der sicherheitsrelevanten Nachricht N 27 bzw. 28 durch das diversitäre Rechnersystem 3 anhand der Überprüfung des Sicherheitscodes SC feststellen kann.
Die externe sicherheitsrelevante Übertragungsfunktion 15 (Fi¬ gur 1) des externen Kommunikationspartners beinhaltet die Prüfung der korrekten zweikanalig diversitären Bildung der sicherheitsrelevanten Telegramme anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes SC. Letztlich übernimmt das signaltechnisch sichere Rechnersystem 4 die Überwachung 18 der kommerziellen Rechner 8 und 9, ohne selbst an der Bildung der sicherheitsrelevanten Datentelegramme beteiligt zu sein.

Claims

Patentansprüche
1. Verfahren zur sicheren einkanaligen Kommunikation über PC- Schnittstellen zum Steuern eines sicherheitskritischen Bahn- betriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersys¬ tems (3) zur Verarbeitung bahnspezifischer Software, d a d u r c h g e k e n n z e i c h n e t , dass Algorithmen zur Berechnung von Sicherheitscodes sicherheits- relevanter Telegramme zwischen diversitären kommerziellen
Rechnern (8, 9) des kommerziellen Rechnersystems (3) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Da¬ tentelegramme nur durch das korrekte Zusammenwirken der spei¬ chersynchronen diversitären kommerziellen Rechner (8,9) ge- bildet werden können, indem die diversitären kommerziellen
Rechner (8, 9) rechnerspezifische vorläufige Sicherheitscodes (24,25) auf Basis ihres rechnerspezifischen Teilalgorithmus und ihrer eigenen Telegrammdaten berechnen, die zwischen den Rechnern (8,9) im Rahmen einer dezentralen Synchronisation der Rechner (8,9) ausgetauscht (26) werden und mit einer
Speicherprüfsumme codiert werden, dass durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird, dass die Datentelegramme einkanalig (20) mittels kommerziel- ler Übertragungstechnik (21) der kommerziellen Rechner (8, 9) an externe Kommunikationspartner übertragen werden und dass eine externe sicherheitsrelevante Übertragungsfunktion (15) der externen Kommunikationspartner anhand der Überprüfung der Sicherheitscodes der Datentelegramme, deren fehlerfreie oder fehlerbehaftete Bildung feststellt, wobei nur fehlerfreie Da¬ tentelegramme von dem externen Kommunikationspartner akzeptiert werden und in der Folge zur Ausgabe eines Stellbefehls über das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.
2. Systemarchitektur zur Durchführung des Verfahrens nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass das kommerzielle Rechnersystem (3) diversitäre kommerzielle Rechner (8,9) aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der di- versitären Rechner (8,9) über kommerzielle Übertragungstechnik (21) mit externen Kommunikationspartnern verbunden ist.
PCT/EP2008/057649 2007-07-10 2008-06-18 Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses WO2009007206A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102007032805A DE102007032805A1 (de) 2007-07-10 2007-07-10 Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
DE102007032805.4 2007-07-10

Publications (1)

Publication Number Publication Date
WO2009007206A1 true WO2009007206A1 (de) 2009-01-15

Family

ID=40029313

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/057649 WO2009007206A1 (de) 2007-07-10 2008-06-18 Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses

Country Status (2)

Country Link
DE (1) DE102007032805A1 (de)
WO (1) WO2009007206A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103204167A (zh) * 2013-04-02 2013-07-17 马钢(集团)控股有限公司 企业铁路运输管理系统及其列车编组车数差错的查定方法
DE102012208134A1 (de) * 2012-05-15 2013-11-21 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
US9383740B2 (en) 2010-02-13 2016-07-05 Bae Systems Plc Control of safety critical operations

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2011142A3 (cs) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
FR2992083B1 (fr) 2012-06-19 2014-07-04 Alstom Transport Sa Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur
CN103538600B (zh) * 2012-07-17 2016-12-21 赵乎 轨道交通的车站接/发车作业系统及其控制方法
DE102013223101A1 (de) * 2013-11-13 2015-05-13 Siemens Aktiengesellschaft Bahnübergangssicherungssystem
DE102015204337A1 (de) * 2015-03-11 2016-09-15 Siemens Aktiengesellschaft Sicherheitsrelevantes Computersystem
DE102016203694A1 (de) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Bahntechnische Anlage und Verfahren zum Betreiben einer bahntechnischen Anlage
DE102017209163A1 (de) * 2017-05-31 2018-12-06 Robert Bosch Gmbh System zur steuerung einer industriellen anlage und verfahren zur sicheren/nichtsicheren kommunikation zwischen mindestens drei steuereinrichtungen

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5435000A (en) * 1993-05-19 1995-07-18 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
EP1197418A1 (de) * 2000-10-13 2002-04-17 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP1631014A2 (de) * 2004-08-17 2006-03-01 Phoenix Contact GmbH & Co. KG Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1764694A1 (de) * 2005-09-16 2007-03-21 Siemens Transportation Systems S.A.S. Redundantkontrollverfahren und Vorrichtung für sicheren Rechnereinheiten

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19833867C5 (de) * 1998-07-28 2006-10-12 Alcatel Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5435000A (en) * 1993-05-19 1995-07-18 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
EP1197418A1 (de) * 2000-10-13 2002-04-17 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP1631014A2 (de) * 2004-08-17 2006-03-01 Phoenix Contact GmbH & Co. KG Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP1764694A1 (de) * 2005-09-16 2007-03-21 Siemens Transportation Systems S.A.S. Redundantkontrollverfahren und Vorrichtung für sicheren Rechnereinheiten

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KANTZ H ET AL: "THE ELEKTRA RAILWAY SIGNALLING-SYSTEM: FIELD EXPERIENCE WITH AN ACTIVELY REPLICATED SYSTEM WITH DIVERSITY", 25TH. INTERNATIONAL SYMPOSIUM ON FAULT TOLERANT COMPUTING. DIGEST OF PAPERS. PASADENA, JUNE 27 - 30, 1995; [INTERNATIONAL SYMPOSIUM ON FAULT TOLERANT COMPUTING], LOS ALAMITOS, IEEE COMP. SOC. PRESS, US, vol. SYMP. 25, 27 June 1995 (1995-06-27), pages 453 - 458, XP000597815, ISBN: 978-0-7803-2965-2 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9383740B2 (en) 2010-02-13 2016-07-05 Bae Systems Plc Control of safety critical operations
DE102012208134A1 (de) * 2012-05-15 2013-11-21 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
DE102012208134B4 (de) * 2012-05-15 2013-12-05 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
CN103204167A (zh) * 2013-04-02 2013-07-17 马钢(集团)控股有限公司 企业铁路运输管理系统及其列车编组车数差错的查定方法
CN103204167B (zh) * 2013-04-02 2016-08-17 马钢(集团)控股有限公司 企业铁路运输管理系统及其列车编组车数差错的查定方法

Also Published As

Publication number Publication date
DE102007032805A1 (de) 2009-01-15

Similar Documents

Publication Publication Date Title
WO2009007206A1 (de) Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses
EP1738233B1 (de) Sicherheitssteuerung
DE10063350C1 (de) Verfahren zur Überwachung einer Datenverarbeitung und -übertragung
EP1374052B1 (de) Verfahren zum betrieb eines verteilten computersystems
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1743225B1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
EP1701270A1 (de) Kopplung von sicheren Feldbussystemen
EP1631014A2 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP2731849B1 (de) Stellwerksrechner
EP3931060A1 (de) Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
DE102005023296A1 (de) Zugbeeinflussungssystem
EP0978775B1 (de) Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
DE102004044764B4 (de) Datenübertragungsverfahren und Automatisierungssystem zum Einsatz eines solchen Datenübertragungsverfahrens
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
EP1193949B1 (de) Rechnersystem mit mehrkanaligen, signaltechnish sicheren Ubertragung
EP3253638B1 (de) Verfahren zum überwachen einer netzwerkkomponente sowie anordnung mit einer netzwerkkomponente und einer überwachungs-einrichtung
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
DE10319903B4 (de) Eigensichere Rechneranordnung
DE102006042131B4 (de) Rechnersystem
DE60319657T2 (de) System für sichere Informationsübertragung zwischen den mit dem Informationsübertragungsnetz verbundenen Stationen am Bord eines Kraftwagens.
WO2021219329A1 (de) Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
DE19949710B4 (de) Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems
EP2929399B1 (de) Verfahren und anordnung zur gesicherten bedienung einer sicherheitskritischen einrichtung

Legal Events

Date Code Title Description
DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08761129

Country of ref document: EP

Kind code of ref document: A1

DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08761129

Country of ref document: EP

Kind code of ref document: A1