WO2009007206A1 - Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses - Google Patents
Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses Download PDFInfo
- Publication number
- WO2009007206A1 WO2009007206A1 PCT/EP2008/057649 EP2008057649W WO2009007206A1 WO 2009007206 A1 WO2009007206 A1 WO 2009007206A1 EP 2008057649 W EP2008057649 W EP 2008057649W WO 2009007206 A1 WO2009007206 A1 WO 2009007206A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- commercial
- safety
- computer system
- computers
- computer
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1658—Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1683—Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Definitions
- the invention relates to a method for secure single-channel communication via PC interfaces for controlling a safety-critical rail operation process using a fail-safe computer system and a com ⁇ merziellen computer system for processing web-specific software and a system architecture for performing the method.
- railway operating processes are extremely safety-critical as et ⁇ waige malfunction, they should not be recognized in time, can cause considerable damage and personal hazards.
- signal-technically safe computer systems are usually used which process the pending processing jobs at least on a two-part basis and whose results are constantly compared.
- Such fail-safe computer systems are extremely expensive.
- the power requirement of railway-specific software is constantly growing.
- the invention has for its object to provide a method and a system architecture of the generic type, to facilitate the discharge of the fail-safe computer system with respect to the formation and sending safety-related data telegrams and the data communication with the commercial computer system.
- the object is achieved in that security ⁇ relevant data telegrams are formed by the interaction of di- versitary commercial computer of the commercial computer system and are sent via the standard communication ⁇ interfaces of the commercial computer system to the external communication partner.
- the security is ensured by the fact that a proper security code and a valid safety-relevant message ⁇ program can be calculated only by the cooperation of two diverse commercial computers of the commercial computer system, and only under the condition that the diverse computers have calculated identical telegram data ,
- the algorithms for calculating the safety codes are divided in as between the diverse commercial computers as ⁇ that these respectively calculate on the basis of their own tele ⁇ program data and its host specific portion algorithm only preliminary security codes, the check in a Closing synchronization step between the various commercial computers are exchanged and formed by subsequent linking these provisional security codes and the telegram data, the actual security code.
- the so generated security-related data messages are single-channel transmitted to external communication partner using commercial transmission ⁇ technology and the safety-related transfer functions of the external communication partner filters based on the verification of the Si cherheitscodes the data telegrams whose error-free or erroneous formation of fixed, only error-free te ⁇ telegrams accepted and processed ,
- the inventive method enables a secure channel l einka- data transmission without direct involvement of the signal ⁇ technically secure computer system as the data source of safe ⁇ -relevant data telegrams.
- the signally secure computer system is only for monitoring the commercial computer and an interface for inputs and outputs to the periphery, that is needed to drive the Obviouslyskriti ⁇ rule railway operation process.
- the exchange of the computer-specific provisional security codes for all data telegrams enables a decentralized synchronization of the di- verse commercial computers.
- the provisional security codes of the own computer and the other computer are coded with the current memory checksum, whereby only diverse computer types with identical memory contents can successfully synchronize with each other.
- a valid data telegram can thus only be formed with the participation of at least two diverse memory-synchronous commercial computers. Consequently, a valid safety-relevant data telegram can be considered formed as highly secure and single-channel transfer to external communications ⁇ partner.
- Checking the validity of the Data telegrams through the security-relevant transmission ⁇ functions of the external communication partner is based on the specific calculation rules for the security codes of safety-related data telegrams, the two-channel diversified formation of safety-related data telegrams is verified.
- a direct involvement of the fail-safe computer system at the deemsre ⁇ -relevant communication with external communication partners is not required. The performance stress of the security-relevant computer system is thus reduced in comparison with the method known from the above-mentioned EP 1 197 418 B1.
- a form suitable for carrying out the method Systemar- is chitecture according to the invention characterized in that the commercial computer system having diverse commercial computing ⁇ ner that are interconnected via communication interfaces, and that at least one of the diverse computer is connected via commercial transmission technology with external communication partners.
- the synchronization telegrams are exchanged via the communication interfaces between the various commercial computers.
- FIG. 1 shows a system architecture
- Figure 2 shows a procedure
- Figure 1 illustrates hardware blocks 1 and 2 function blocks of an arrangement of two communicating computing systems, such as two interlocking, for controlling a safety-critical railway operating process, each computer system ⁇ the external communication partner of the other accounting nersystems represents.
- the arrangement consists in each case of a commercial computer system 3 and a signal-technically secure computer system 4, wherein the two computer systems 3 and 4 are interconnected by means of commercial communication technology 5.
- the signal-technically safe computer system 4 generates control commands for a peripheral 6 and receives feedback from the periphery 6.
- the periphery 6 includes the safety-critical railway operating process, for example the on ⁇ control of a switch or a signal.
- the two computer systems are connected to each other for data exchange by a transmission system 7.
- the commercial computer system 3 includes various commercial computers 8 and 9, namely a type A PC and a type B PC.
- the commercial computer system 3 includes a Medicareumge ⁇ tion 10 for the railway-specific software 11.
- External safety-related information 12 to be exchanged between the railway-specific software 11 of the two computer systems are from an external safety-related transfer function 15 to a function block 2 for channel participation 13th forwarded when forming security-related messages and then transmitted via the commercial communication technology 5 and the transmission system 7 to the other computer system, namely the external communication partner.
- the function block 2 of the external security-relevant transmission function 15 of the other computer system uses the security code of the received security-relevant message to check its error-free or faulty formation
- the method of channel participation 13, which relates to the interaction of the diverse computers 8 and 9, is shown in more detail in FIG.
- the runtime environment 10 also includes an internal safety-related transfer function 14 for safety ⁇ relevant communication with the computer system. 4
- the fail-safe computer system 4 essentially serves the process-effective output 17 of the correctly formed setting commands to the periphery 6 and the monitoring 18 as well as the comparison of the redundantly formed by the commercial computer system 3 safety-related control commands and test telegrams, these telegrams by connecting the internal security relevant Transfer function 14 of the commercial computer system 3 with a corresponding internal security-relevant transfer function 19 of the fail-safe computer system 4 are transmitted.
- the fail-safe computer system 4 is thus neither involved in the processing of externally incoming security-relevant information 12 directly to the security-related communication with external communication partners, so that the computer power of the fail-safe computer system 4 does not have to be significantly increased even with increasing external flood of data.
- Figure 2 illustrates the participation of the two diversitä ⁇ ren commercial computer 8 and 9 in the formation of the safety-related data telegrams.
- a special method for calculating security codes by the interaction of the two diverse computers 8 and 9 in conjunction with a decentralized synchronization control is provided on the execution environment 10, whereby a single-channel output 20 of the data telegrams via one of the diversified computers commercial computer 8 or 9 to commercial transmission ⁇ technology 21 is possible.
- provisional channel-specific security codes PreSC A 24 and PreSC B 25 is calculated on the basis of a computer-specific sub-algorithm and the own data D A 22 or D B 23.
- These preliminary security codes 24 and 25 are Zvi ⁇ rule, ie the diverse computers, replacing the channels 8 and 9 as part of a distributed synchronization control 26th
- the provisional security codes 24 and 25 are encoded prior to transmission with the current memory checksum of the sending commercial computer 8 or 9 and at
- the final security code SC a Float ⁇ -relevant message N is 27 and 28, then on the basis of the own preliminary security codes 24 and 25 and the preliminary safety codes 25 and 24 of the respective other channel SC (Presc A, Presc B) or on the basis of own data D A 22 and D B 23 and the security code 25 and 24 of the other channel SC (D A , PreSC B ) and SC (D B , PreSC A ) formed and the data D A 22 and D B.
- the security-relevant message N 27 or 28 formed in this way can then be forwarded to the commercial transmission technology 21 for the output N (D, SC) 29 or 30.
- the external security-relevant transfer function 15 (Fi ⁇ gur 1) of the external communication partner includes the examination of the correct two-channel diverse formation of security-relevant telegrams using the specific calculation rules for the security codes SC.
- the fail-safe computer system 4 takes over the monitoring 18 of the commercial computer 8 and 9, without even being involved in the formation of safety-related data telegrams.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und eine Systemarchitektur zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software. Um das signaltechnisch sichere Rechnersystem (4) von der Bildung und dem Senden sicherheitsrelevanter Informationen (12) an externe Kommunikationspartner zu entlasten, ist vorgesehen, dass sicherheitsrelevante Datentelegramme mittels diversitärer kommerzieller Rechner (8,9) des kommerziellen Rechnersystems (3) gebildet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen den diversitären kommerziellen Rechnern (8, 9) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden können. Es werden rechnerspezifische vorläufige Sicherheitscodes (24, 25) berechnet, mit einer Speicherprüf summe codiert zwischen den Rechnern (8,9) im Rahmen einer dezentralen Synchronisation der Rechner (8,9) ausgetauscht und die Datentelegramme von einem der Rechner (8, 9) einkanalig mittels kommerzieller Übertragungstechnik (21) an externe Kommunikationspartner übertragen. Sicherheitsrelevante Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung der Sicherheitscodes der Datentelegramme deren fehlerfreie oder fehler-behaftete Bildung fest, wobei nur fehlerfreie Datentelegramme akzeptiert werden und in Folge zu einer Ausgabe von Stellbefehlen durch das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.
Description
Beschreibung
Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahn- betriebsprozesses
Die Erfindung betrifft ein Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems und eines kom¬ merziellen Rechnersystems zur Verarbeitung bahnspezifischer Software sowie eine Systemarchitektur zur Durchführung des Verfahrens .
Bahnbetriebsprozesse sind äußerst sicherheitskritisch, da et¬ waige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt werden, zu erheblichen Sachschäden und Personengefährdungen führen können. Um Fehlfunktionen auszuschließen, werden üblicherweise signaltechnisch sichere Rechnersysteme verwendet, die die anstehenden Verarbeitungsaufträge mindestens zweika- nalig abarbeiten und deren Ergebnisse ständig verglichen werden. Derartige signaltechnisch sichere Rechnersysteme sind extrem aufwendig. Außerdem wächst der Leistungsbedarf der bahnspezifischen Software ständig.
Zur Entlastung des signaltechnisch sicheren Rechnersystems ist gemäß EP 1 197 418 Bl vorgesehen, Teile der bahnspezifischen Software auf ein kommerzielles Rechnersystem auszula¬ gern. Die anstehenden Verarbeitungsaufträge werden mittels synchron arbeitender kommerzieller Rechner abgearbeitet, wobei die Arbeitsergebnisse im signaltechnisch sicheren Rechnersystem auf Übereinstimmung geprüft werden. Steigende Leistungsanforderungen können durch neuere und schnellere kommerzielle Rechner bewältigt werden. Das signaltechnisch sichere
Rechnersystem hat neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, eingehende Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechner zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltechnisch sicher zu unterbrechen. Insbesondere das Bilden und Versenden sicherheitsrelevanter Datentelegramme an externe Kommunikationspartner ist dabei mit hohem Ressourcenbedarf des signaltechnisch sicheren Rechnersystems verbunden.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Systemarchitektur der gattungsgemäßen Art anzugeben, die eine Entlastung des signaltechnisch sicheren Rechnersystems bezüglich der Bildung und des Versendens sicherheitsrelevan- ter Datentelegramme und der Datenkommunikation mit dem kommerziellen Rechnersystem zu ermöglichen.
Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass sicher¬ heitsrelevante Datentelegramme durch das Zusammenwirken di- versitärer kommerzieller Rechner des kommerziellen Rechnersystems gebildet werden und über die Standardkommunikations¬ schnittstellen des kommerziellen Rechnersystems an die externen Kommunikationspartner versendet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass ein korrekter Sicher- heitscode und damit ein gültiges sicherheitsrelevantes Tele¬ gramm nur durch das Zusammenwirken von zwei diversitären kommerziellen Rechnern des kommerziellen Rechnersystems berechnet werden kann und nur unter der Voraussetzung, dass die diversitären Rechner identische Telegrammdaten berechnet haben. Die Algorithmen zur Berechnung des Sicherheitscodes sind da¬ bei so zwischen den diversitären kommerziellen Rechnern aufgeteilt, dass diese jeweils auf Basis ihrer eigenen Tele¬ grammdaten und ihres rechnerspezifischen Teilalgorithmus nur vorläufige Sicherheitscodes berechnen, die in einem an-
schließenden Synchronisationsschritt zwischen den diversitä- ren kommerziellen Rechnern ausgetauscht werden und durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebil- det wird. Die so generierten sicherheitsrelevanten Datentelegramme werden einkanalig mittels kommerzieller Übertragungs¬ technik an externe Kommunikationspartner übertragen und die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung des Si- cherheitscodes der Datentelegramme deren fehlerfreie oder fehlerbehaftete Bildung fest, wobei nur fehlerfreie Datente¬ legramme akzeptiert und verarbeitet werden.
Das erfindungsgemäße Verfahren ermöglicht eine sichere einka- nalige Datenübertragung ohne direkte Beteiligung des signal¬ technisch sicheren Rechnersystems als Datenquelle der sicher¬ heitsrelevanten Datentelegramme. Das signaltechnisch sichere Rechnersystem wird nur noch für die Überwachung der kommerziellen Rechner und als Schnittstelle für Ein- und Ausgaben zur Peripherie, d. h. zur Ansteuerung des sicherheitskriti¬ schen Bahnbetriebsprozesses, benötigt. Durch den Austausch der rechnerspezifischen vorläufigen Sicherheitscodes für alle Datentelegramm wird eine dezentrale Synchronisation der di- versitären kommerziellen Rechner ermöglicht. Die vorläufigen Sicherheitscodes des eigenen und des jeweils anderen Rechners werden mit der aktuellen Speicherprüfsumme codiert, wodurch sich nur diversitäre Rechnertypen mit identischen Speicherinhalten untereinander erfolgreich synchronisieren können. Ein gültiges Datentelegramm kann somit nur unter Beteiligung min- destens zweier diversitärer speichersynchroner kommerzieller Rechner gebildet werden. Folglich kann ein gültiges sicherheitsrelevantes Datentelegramm als hochgradig sicher gebildet angesehen werden und einkanalig an externe Kommunikations¬ partner übertragen werden. Die Überprüfung der Gültigkeit der
Datentelegramme durch die sicherheitsrelevanten Übertragungs¬ funktionen des externen Kommunikationspartners erfolgt anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes der sicherheitsrelevanten Datentelegramme, wobei die zweikanalig diversitäre Bildung der sicherheitsrelevanten Datentelegramme verifiziert wird. Eine direkte Beteiligung des signaltechnisch sicheren Rechnersystems an der sicherheitsre¬ levanten Kommunikation mit externen Kommunikationspartnern ist nicht erforderlich. Die Performancebeanspruchung des si- cherheitsrelevanten Rechnersystems ist damit gegenüber dem aus der oben erläuterten und gattungsbildenden EP 1 197 418 Bl bekannten Verfahren verringert .
Eine für die Durchführung des Verfahrens geeignete Systemar- chitektur ist erfindungsgemäß dadurch gekennzeichnet, dass das kommerzielle Rechnersystem diversitäre kommerzielle Rech¬ ner aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner über kommerzielle Übertragungstechnik mit externen Kommunikationspartnern verbunden ist. Über die Kommunikationsschnittstellen zwischen den diversitären kommerziellen Rechnern werden die Synchronisationstelegramme ausgetauscht. Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:
Figur 1 eine Systemarchitektur und
Figur 2 einen Verfahrensablauf.
Figur 1 veranschaulicht Hardwareblöcke 1 und Funktionsblöcke 2 einer Anordnung von zwei miteinander kommunizierenden Rechnersystemen, z.B. zwei Stellwerken, zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses, wobei jedes Rechner¬ system den externen Kommunikationspartner des anderen Rech-
nersystems darstellt. Die Anordnung besteht jeweils aus einem kommerziellen Rechnersystem 3 und einem signaltechnisch sicherem Rechnersystem 4, wobei die beiden Rechnersysteme 3 und 4 mittels kommerzieller Kommunikationstechnik 5 miteinander verbunden sind.
Das signaltechnisch sichere Rechnersystem 4 erzeugt Stellbefehle für eine Peripherie 6 und empfängt Rückmeldungen von der Peripherie 6. Die Peripherie 6 beinhaltet den sicher- heitskritischen Bahnbetriebsprozess, beispielsweise die An¬ steuerung einer Weiche oder eines Signals.
Die beiden Rechnersysteme sind zum Datenaustausch durch ein Übertragungssystem 7 miteinander verbunden. Das kommerzielle Rechnersystem 3 enthält diversitäre kommerzielle Rechner 8 und 9, nämlich einen Typ A - PC und einen Typ B - PC.
Das kommerzielle Rechnersystem 3 beinhaltet eine Ablaufumge¬ bung 10 für die bahnspezifische Software 11. Externe sicher- heitsrelevante Informationen 12, die zwischen der bahnspezifischen Software 11 der beiden Rechnersysteme ausgetauscht werden sollen, werden von einer externen sicherheitsrelevanten Übertragungsfunktion 15 an einen Funktionsblock 2 zur Kanalbeteiligung 13 beim Bilden sicherheitsrelevanter Nachrichten weitergeleitet und anschließend über die kommerzielle Kommunikationstechnik 5 und das Übertragungssystem 7 an das andere Rechnersystem, nämlich den externen Kommunikationspartner, übertragen. Der Funktionsblock 2 der externen sicherheitsrelevanten Übertra- gungsfunktion 15 des anderen Rechnersystems überprüft anhand des Sicherheitscodes der empfangenen sicherheitsrelevanten Nachricht deren fehlerfreie oder fehlerbehaftete Bildung
Das Verfahren der Kanalbeteiligung 13, welches das Zusammenwirken der diversitären Rechner 8 und 9 betrifft, ist in Figur 2 genauer dargestellt.
Die AblaufUmgebung 10 beinhaltet außerdem eine interne sicherheitsrelevante Übertragungsfunktion 14 zur sicherheits¬ relevanten Kommunikation mit dem Rechnersystem 4.
Das signaltechnisch sichere Rechnersystem 4 dient im Wesent- liehen der prozesswirksamen Ausgabe 17 der korrekt gebildeten Stellbefehle an die Peripherie 6 und der Überwachung 18 sowie dem Vergleich der durch das kommerzielle Rechnersystem 3 redundant gebildeten sicherheitsrelevanten Stellbefehle und Prüftelegramme, wobei diese Telegramme durch Verbindung der internen sicherheitsrelevanten Übertragungsfunktion 14 des kommerziellen Rechnersystems 3 mit einer entsprechenden internen sicherheitsrelevanten Übertragungsfunktion 19 des signaltechnisch sicheren Rechnersystems 4 übertragen werden. Das signaltechnisch sichere Rechnersystem 4 ist somit weder an der Aufbereitung der extern eingehenden sicherheitsrelevanten Informationen 12 noch direkt an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern beteiligt, so dass die Rechnerleistung des signaltechnisch sicheren Rechnersystems 4 auch bei zunehmender externer Datenflut nicht signifikant erhöht werden muss.
Figur 2 veranschaulicht die Beteiligung der beiden diversitä¬ ren kommerziellen Rechner 8 und 9 an der Bildung der sicherheitsrelevanten Datentelegramme. Dazu ist auf der Ablaufumge- bung 10 ein spezielles Verfahren zur Berechnung von Sicherheitscodes durch das Zusammenwirken der beiden diversitären Rechner 8 und 9 in Verbindung mit einer dezentralen Synchronisationssteuerung vorgesehen, wodurch eine einkanalige Ausgabe 20 der Datentelegramme über einen der diversitären
kommerziellen Rechner 8 oder 9 an kommerzielle Übertragungs¬ technik 21 möglich wird.
Wenn von der bahnspezifischen Software 11 (Figur 1) im Typ A - PC 8 und Typ B - PC 9 Daten DA 22 bzw. DB 23 an einen externen Kommunikationspartner übermittelt werden sollen, dann werden zunächst vorläufige kanalspezifische Sicherheitscodes PreSCA 24 und PreSCB 25 auf Basis eines rechnerspezifischen Teilalgorithmus und der eigenen Daten DA 22 bzw. DB 23 berech- net . Diese vorläufigen Sicherheitscodes 24 und 25 werden zwi¬ schen den Kanälen, d. h. den diversitären Rechnern 8 und 9, im Rahmen einer dezentralen Synchronisationssteuerung 26 ausgetauscht. Dabei werden die vorläufigen Sicherheitscodes 24 und 25 vor dem Senden mit der aktuellen Speicherprüfsumme des sendenden kommerziellen Rechners 8 bzw. 9 kodiert und beim
Empfang mit der Speicherprüfsumme des empfangenden diversitä¬ ren kommerziellen Rechners 9 bzw. 8 decodiert, so dass nur speichersynchrone diversitäre Rechner 8 und 9 korrekte vor¬ läufige Sicherheitscodes PreSCA und PreSCB austauschen kön- nen. Der endgültige Sicherheitscode SC einer sicherheitsrele¬ vanten Nachricht N 27 bzw. 28 wird dann auf Basis des eigenen vorläufigen Sicherheitscodes 24 bzw. 25 und des vorläufigen Sicherheitscodes 25 bzw. 24 des jeweils anderen Kanals SC (PreSCA, PreSCB) oder auf Basis der eigenen Daten DA 22 bzw. DB 23 und des Sicherheitscodes 25 bzw. 24 des anderen Kanals SC (DA,PreSCB) bzw. SC (DB, PreSCA) gebildet und mit den Daten DA 22 bzw. DB 23 verknüpft N (DA, SC (PreSCA, PreSCB) ) bzw. N(DB, SC (PreSCA, PreSCB) ) oder N (DA, SC (DA, PreSCB) ) bzw. N(DB, SC (DB,PreSCA) ) . Die auf diese Weise gebildete sicherheitsrelevante Nachricht N 27 bzw. 28 kann dann zur Ausgabe N (D, SC) 29 bzw. 30 an die kommerzielle Übertragungstechnik 21 weitergeleitet werden. Da nur dann eine sicherheitsrelevante Nachricht N mit korrektem gültigen Sicherheitscode SC gesendet werden kann, wenn beide
diversitäre kommerzielle Rechner 8 und 9 identische Daten DA 22 und DB 23, d. h. Daten D, berechnet haben, genügt eine einkanalige Ausgabe 20 an die kommerzielle Übertragungstech¬ nik 21, um sicherzustellen, dass die sicherheitsrelevante Übertragungsfunktion 15 des externen Kommunikationspartners die fehlerfreie Bildung der sicherheitsrelevanten Nachricht N 27 bzw. 28 durch das diversitäre Rechnersystem 3 anhand der Überprüfung des Sicherheitscodes SC feststellen kann.
Die externe sicherheitsrelevante Übertragungsfunktion 15 (Fi¬ gur 1) des externen Kommunikationspartners beinhaltet die Prüfung der korrekten zweikanalig diversitären Bildung der sicherheitsrelevanten Telegramme anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes SC. Letztlich übernimmt das signaltechnisch sichere Rechnersystem 4 die Überwachung 18 der kommerziellen Rechner 8 und 9, ohne selbst an der Bildung der sicherheitsrelevanten Datentelegramme beteiligt zu sein.
Claims
1. Verfahren zur sicheren einkanaligen Kommunikation über PC- Schnittstellen zum Steuern eines sicherheitskritischen Bahn- betriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersys¬ tems (3) zur Verarbeitung bahnspezifischer Software, d a d u r c h g e k e n n z e i c h n e t , dass Algorithmen zur Berechnung von Sicherheitscodes sicherheits- relevanter Telegramme zwischen diversitären kommerziellen
Rechnern (8, 9) des kommerziellen Rechnersystems (3) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Da¬ tentelegramme nur durch das korrekte Zusammenwirken der spei¬ chersynchronen diversitären kommerziellen Rechner (8,9) ge- bildet werden können, indem die diversitären kommerziellen
Rechner (8, 9) rechnerspezifische vorläufige Sicherheitscodes (24,25) auf Basis ihres rechnerspezifischen Teilalgorithmus und ihrer eigenen Telegrammdaten berechnen, die zwischen den Rechnern (8,9) im Rahmen einer dezentralen Synchronisation der Rechner (8,9) ausgetauscht (26) werden und mit einer
Speicherprüfsumme codiert werden, dass durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird, dass die Datentelegramme einkanalig (20) mittels kommerziel- ler Übertragungstechnik (21) der kommerziellen Rechner (8, 9) an externe Kommunikationspartner übertragen werden und dass eine externe sicherheitsrelevante Übertragungsfunktion (15) der externen Kommunikationspartner anhand der Überprüfung der Sicherheitscodes der Datentelegramme, deren fehlerfreie oder fehlerbehaftete Bildung feststellt, wobei nur fehlerfreie Da¬ tentelegramme von dem externen Kommunikationspartner akzeptiert werden und in der Folge zur Ausgabe eines Stellbefehls über das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.
2. Systemarchitektur zur Durchführung des Verfahrens nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass das kommerzielle Rechnersystem (3) diversitäre kommerzielle Rechner (8,9) aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der di- versitären Rechner (8,9) über kommerzielle Übertragungstechnik (21) mit externen Kommunikationspartnern verbunden ist.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007032805A DE102007032805A1 (de) | 2007-07-10 | 2007-07-10 | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
DE102007032805.4 | 2007-07-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2009007206A1 true WO2009007206A1 (de) | 2009-01-15 |
Family
ID=40029313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2008/057649 WO2009007206A1 (de) | 2007-07-10 | 2008-06-18 | Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102007032805A1 (de) |
WO (1) | WO2009007206A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103204167A (zh) * | 2013-04-02 | 2013-07-17 | 马钢(集团)控股有限公司 | 企业铁路运输管理系统及其列车编组车数差错的查定方法 |
DE102012208134A1 (de) * | 2012-05-15 | 2013-11-21 | Ifm Electronic Gmbh | Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem |
US9383740B2 (en) | 2010-02-13 | 2016-07-05 | Bae Systems Plc | Control of safety critical operations |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CZ2011142A3 (cs) * | 2011-03-17 | 2012-05-23 | Ažd Praha S. R. O. | Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku |
FR2992083B1 (fr) | 2012-06-19 | 2014-07-04 | Alstom Transport Sa | Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur |
CN103538600B (zh) * | 2012-07-17 | 2016-12-21 | 赵乎 | 轨道交通的车站接/发车作业系统及其控制方法 |
DE102013223101A1 (de) * | 2013-11-13 | 2015-05-13 | Siemens Aktiengesellschaft | Bahnübergangssicherungssystem |
DE102015204337A1 (de) * | 2015-03-11 | 2016-09-15 | Siemens Aktiengesellschaft | Sicherheitsrelevantes Computersystem |
DE102016203694A1 (de) * | 2016-03-07 | 2017-09-07 | Siemens Aktiengesellschaft | Bahntechnische Anlage und Verfahren zum Betreiben einer bahntechnischen Anlage |
DE102017209163A1 (de) * | 2017-05-31 | 2018-12-06 | Robert Bosch Gmbh | System zur steuerung einer industriellen anlage und verfahren zur sicheren/nichtsicheren kommunikation zwischen mindestens drei steuereinrichtungen |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5435000A (en) * | 1993-05-19 | 1995-07-18 | Bull Hn Information Systems Inc. | Central processing unit using dual basic processing units and combined result bus |
DE19532640A1 (de) * | 1995-08-23 | 1997-02-27 | Siemens Ag | Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten |
EP1197418A1 (de) * | 2000-10-13 | 2002-04-17 | Siemens Aktiengesellschaft | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens |
EP1631014A2 (de) * | 2004-08-17 | 2006-03-01 | Phoenix Contact GmbH & Co. KG | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
EP1764694A1 (de) * | 2005-09-16 | 2007-03-21 | Siemens Transportation Systems S.A.S. | Redundantkontrollverfahren und Vorrichtung für sicheren Rechnereinheiten |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19833867C5 (de) * | 1998-07-28 | 2006-10-12 | Alcatel | Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten |
DE10065907A1 (de) * | 2000-11-29 | 2002-09-26 | Heinz Gall | Verfahren zum gesicherten Datentransport |
-
2007
- 2007-07-10 DE DE102007032805A patent/DE102007032805A1/de not_active Ceased
-
2008
- 2008-06-18 WO PCT/EP2008/057649 patent/WO2009007206A1/de active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5435000A (en) * | 1993-05-19 | 1995-07-18 | Bull Hn Information Systems Inc. | Central processing unit using dual basic processing units and combined result bus |
DE19532640A1 (de) * | 1995-08-23 | 1997-02-27 | Siemens Ag | Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten |
EP1197418A1 (de) * | 2000-10-13 | 2002-04-17 | Siemens Aktiengesellschaft | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens |
EP1631014A2 (de) * | 2004-08-17 | 2006-03-01 | Phoenix Contact GmbH & Co. KG | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
EP1764694A1 (de) * | 2005-09-16 | 2007-03-21 | Siemens Transportation Systems S.A.S. | Redundantkontrollverfahren und Vorrichtung für sicheren Rechnereinheiten |
Non-Patent Citations (1)
Title |
---|
KANTZ H ET AL: "THE ELEKTRA RAILWAY SIGNALLING-SYSTEM: FIELD EXPERIENCE WITH AN ACTIVELY REPLICATED SYSTEM WITH DIVERSITY", 25TH. INTERNATIONAL SYMPOSIUM ON FAULT TOLERANT COMPUTING. DIGEST OF PAPERS. PASADENA, JUNE 27 - 30, 1995; [INTERNATIONAL SYMPOSIUM ON FAULT TOLERANT COMPUTING], LOS ALAMITOS, IEEE COMP. SOC. PRESS, US, vol. SYMP. 25, 27 June 1995 (1995-06-27), pages 453 - 458, XP000597815, ISBN: 978-0-7803-2965-2 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9383740B2 (en) | 2010-02-13 | 2016-07-05 | Bae Systems Plc | Control of safety critical operations |
DE102012208134A1 (de) * | 2012-05-15 | 2013-11-21 | Ifm Electronic Gmbh | Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem |
DE102012208134B4 (de) * | 2012-05-15 | 2013-12-05 | Ifm Electronic Gmbh | Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem |
CN103204167A (zh) * | 2013-04-02 | 2013-07-17 | 马钢(集团)控股有限公司 | 企业铁路运输管理系统及其列车编组车数差错的查定方法 |
CN103204167B (zh) * | 2013-04-02 | 2016-08-17 | 马钢(集团)控股有限公司 | 企业铁路运输管理系统及其列车编组车数差错的查定方法 |
Also Published As
Publication number | Publication date |
---|---|
DE102007032805A1 (de) | 2009-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2009007206A1 (de) | Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses | |
EP1738233B1 (de) | Sicherheitssteuerung | |
DE10063350C1 (de) | Verfahren zur Überwachung einer Datenverarbeitung und -übertragung | |
EP1374052B1 (de) | Verfahren zum betrieb eines verteilten computersystems | |
EP3170287B1 (de) | Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung | |
EP1743225B1 (de) | Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät | |
EP1701270A1 (de) | Kopplung von sicheren Feldbussystemen | |
EP1631014A2 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse | |
EP2731849B1 (de) | Stellwerksrechner | |
EP3931060A1 (de) | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems | |
DE102005023296A1 (de) | Zugbeeinflussungssystem | |
EP0978775B1 (de) | Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät | |
DE102004035901B4 (de) | Einrichtung zum Steuern eines sicherheitskritischen Prozesses | |
DE102004044764B4 (de) | Datenübertragungsverfahren und Automatisierungssystem zum Einsatz eines solchen Datenübertragungsverfahrens | |
EP1596517B1 (de) | Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten | |
EP1133096B1 (de) | Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu | |
EP1193949B1 (de) | Rechnersystem mit mehrkanaligen, signaltechnish sicheren Ubertragung | |
EP3253638B1 (de) | Verfahren zum überwachen einer netzwerkkomponente sowie anordnung mit einer netzwerkkomponente und einer überwachungs-einrichtung | |
DE102022211587B4 (de) | Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen | |
DE10319903B4 (de) | Eigensichere Rechneranordnung | |
DE102006042131B4 (de) | Rechnersystem | |
DE60319657T2 (de) | System für sichere Informationsübertragung zwischen den mit dem Informationsübertragungsnetz verbundenen Stationen am Bord eines Kraftwagens. | |
WO2021219329A1 (de) | Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen | |
DE19949710B4 (de) | Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems | |
EP2929399B1 (de) | Verfahren und anordnung zur gesicherten bedienung einer sicherheitskritischen einrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
DPE2 | Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101) | ||
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 08761129 Country of ref document: EP Kind code of ref document: A1 |
|
DPE2 | Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101) | ||
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 08761129 Country of ref document: EP Kind code of ref document: A1 |