Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
Die Erfindung betrifft ein Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs, mit einem Satz von einrich- tungsinternen Teilnehmern, zumindest einem Ring, in welchem ringinterne Teilnehmer des Satzes in einer Ringtopologie mit¬ einander vernetzt sind, und wenigstens einer Schnittstelleneinheit, die dazu vorgesehen ist, einen Anschluss wenigstens eines ringexternen Teilnehmers an den Ring herzustellen.
Es sind Datennetzwerke, insbesondere in Schienenfahrzeugen, bekannt, in welchen in zumindest einem Netzwerkabschnitt eine Ringtopologie implementiert ist. Teilnehmer des Datennetz¬ werks, die außerhalb des Rings angeordnet sind, können mit weiteren, ringinternen oder ringexternen Teilnehmern über zumindest einen Teil des Rings kommunizieren. Beispielsweise kann ein Netzwerkgerät, wie z.B. ein übergeordnetes Steuerge¬ rät oder ein Steuergerät für eine Einrichtung des Schienenfahrzeugs, wie z.B. für eine Bremse oder Türen, in den Ring über zumindest einen Switch eingebunden sein. Diese ermöglichen gemäß der OSI-Schichtstruktur eine Konnektivität auf Layer 2 (z.B. Ethernet) . Ein Ring bietet den Vorteil, dass bei einer Unterbrechung des Rings, z.B. bei einer Zerstörung aufgrund eines Brandes oder eines Fahrzeugunfalls, eine Kom- munikation über einen unbeschädigten Ringabschnitt weiterhin möglich ist.
Neben diesen Redundanzaspekten nehmen datensicherheitsbezoge- ne (sogenannte „Security") und personenschutzbezogene Aspekte (sogenannte „Safety") stetig an Bedeutung zu. Insbesondere soll die Möglichkeit der Einbindung von Netzwerkgeräten in den Ring aus sogenannten „Safety-Gründen" einschränkbar sein. Dabei soll jedoch auch möglich sein, z.B. zu Wartungszwecken, die Einbindung eines als sicher geltenden Wartungsgeräts zu- mindest temporär zuzulassen.
Der Zugang zu einem Datennetzwerk bzw. Netzwerkschnittstelle kann physikalisch geschützt werden, z.B. durch eine ver-
schließbare Wartungsklappe. Der Zugang zu einem Datennetzwerk kann ebenfalls durch logische Schutzmaßnahmen eingeschränkt werden. Es kann eine Netzwerkzugangskontrolle erfolgen, bei der ein mit einer Netzwerk-Schnittstelle (auch „Port" ge- nannt) verbundenes Gerät identifiziert bzw. authentisiert wird. Nur wenn das verbundene Gerät als zulässig erkannt wird, wird die Netzwerkschnittstelle aktiviert. Beispiele sind sogenannte „Network Access Control" nach IEEE 802. Ix oder PANA nach RFC5191. Alternativ oder zusätzlich kann ein Netzwerkgerät allgemein anhand der MAC-Adresse oder mittels eines Passworts oder auch eines Gerät-Zertifikats (z.B. gemäß X.509) identifiziert bzw. authentisiert werden.
Bei derartigen Authentisierungsprotokollen, wie z.B. bei 802. Ix wird jedoch von einer speziellen Topologie ausgegangen, wie sie in stationären Netzwerken, z.B. in Gebäudenetzwerken, üblich ist. Diese ist durch eine strukturierte Verka¬ belung charakterisiert, bei welcher eine separate Netzwerk¬ verbindung von Access Switch zu jedem Client erfolgt. Dabei erfolgt eine Freigabe einer Schnittstelle bzw. eines Ports, nachdem geprüft wird, dass sich diese in einer geschützten Umgebung befindet. Die bekannten Authentisierungsprotokolle sind daher nicht ohne weiteres auf eine Ringtopologie über¬ tragbar .
Neben Authentisierungsmaßnahmen sind auch sogenannte „Firewalls" oder Paketfilter bekannt, die den Netzwerkverkehr filtern, sodass nur Verkehr mit zugelassenen Eigenschaften durchgelassen wird.
Der Erfindung liegt die Aufgabe zugrunde, ein gattungsgemäßes Datennetzwerk mit zumindest einem Ring zu schaffen, bei welchem ein sicherer Betrieb und eine einfache, insbesondere in der Anwendung flexible Verwaltung erreicht werden können.
Hierzu wird vorgeschlagen, dass das Datennetzwerk eine Filte¬ rungseinrichtung mit zumindest einer Filterfunktion, die dazu vorgesehen ist, einen Datenverkehr des Rings hinsichtlich zu-
mindest einer Teilnehmerkennung zu filtern, und eine Ken- nungseinrichtung aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer zumindest eine Maßnahme betreffend eine Teilnehmerkennung dieses Teilnehmers derart zu treffen, dass diese hinsichtlich der Filterfunktion für einen Datenverkehr im Ring zulässig ist. Hierdurch kann neben einer hohen Sicherheit im Betrieb des Datennetzwerks eine vorteilhaf¬ te Flexibilität bezüglich der Verwaltung des Datennetzwerks, insbesondere hinsichtlich der Einbindung eines ringexternen Teilnehmers erreicht werden. Eine Maßnahme betreffend eine
Teilnehmerkennung ist in der Implementierung und der Ausführung besonders aufwandarm.
Der Ring kann insbesondere für Echtzeitkommunikation und/oder für Safety-relevante Kommunikation verwendet werden. Hierbei bestehen üblicherweise Einschränkungen bezüglich der für den Ring einsetzbaren Security-Mechanismen . So können z.B. Filterregeln für den Ring ggf. nicht oder nur eingeschränkt än¬ derbar sein. Eine Maßnahme betreffend eine Teilnehmerkennung ist in einer solchen Einsatzumgebung vorteilhaft anwendbar.
Unter einem „einrichtungsinternen" Teilnehmer soll insbesondere ein Teilnehmer des Datennetzwerks verstanden werden, welcher hinsichtlich seiner Einbauart und/oder seiner Funkti- on dazu vorgesehen ist, dauerhaft an der Einrichtung gebunden, insbesondere mechanisch gebunden zu sein. Insbesondere ist für einen einrichtungsinternen Teilnehmer ein bestimmter Einbauplatz in der Einrichtung vorgesehen, wobei zweckmäßigerweise eine Befestigungseinheit der Einrichtung zur festen Anbindung des Teilnehmers dient. Unter einem „ringinternen" Teilnehmer des Datennetzwerks soll ein einrichtungsinterner Teilnehmer verstanden werden, welcher Bestandteil des Rings ist bzw. mit zumindest zwei weiteren einrichtungsinternen Teilnehmern den Ring bildet. Unter einem „ringexternen" Teil- nehmer soll ein Teilnehmer des Datennetzwerks verstanden werden, welcher außerhalb des Rings geschaltet ist. Ein ringex¬ terner Teilnehmer ist in der fachmännischen Sprache auch „Off-Ring-Komponente" genannt. Ein ringexterner Teilnehmer
kann ein einrichtungsinterner Teilnehmer oder ein weiterer Teilnehmer sein, welcher nicht dauerhaft, insbesondere gele¬ gentlich an das Datennetzwerk angebunden wird. Ein derartiger Teilnehmer wird insbesondere „einrichtungsexterner" Teilneh- mer genannt.
Unter einem „Anschluss" eines ringexternen Teilnehmers an den Ring soll ein physikalischer und/oder ein logischer Anschluss verstanden werden. Insbesondere kann die Schnittstellenein- heit einen sogenannten Port bilden, durch welchen dem ringexternen Teilnehmer Zugang zum Ring bereitgestellt werden kann.
Die Kennungseinrichtung und die Schnittstelleneinheit können zumindest teilweise, vorteilhaft vollständig von einer ge- meinsamen physikalischen Baueinheit gebildet sein. Die
Schnittstelleneinheit und/oder die Kennungseinrichtung und zumindest einer der ringinternen Teilnehmer können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen phy¬ sikalischen Baueinheit gebildet sein. Anders formuliert kön- nen die Schnittstelleneinheit und/oder die Kennungseinrich¬ tung zumindest teilweise, vorteilhaft vollständig von der zweckmäßigerweise zusammenhängenden Baueinheit eines ringin¬ ternen Teilnehmers gebildet sein. Die Filterungseinrichtung weist zweckmäßigerweise zumindest eine Filterregel auf, nach welcher eine Teilnehmerkennung gemäß einer bestimmten Bedingung zu prüfen ist. Eine zu prüfende Teilnehmerkennung kann zumindest Bestandteil einer Quell¬ oder Zieladresse in einem Datenpaket sein, welches für eine Übertragung über zumindest einen Teil des Rings vorgesehen ist. Eine zu prüfende Teilnehmerkennung kann in einer Variante zumindest Bestandteil eines virtuellen Netzwerk- Identifizierers (oder VLAN-Identifier) sein. Eine zu prüfende Teilnehmerkennung kann in einer weiteren Variante eine kryp- tographische Prüfsumme (z.B. Message Authentication Code,
Message Integrity Code, digitale Signatur) sein. Die Bedin¬ gung ist vorzugsweise anhand eines Datensatzes definiert, welcher wenigstens eine Liste von für den Datenverkehr des
Rings zugelassenen Teilnehmerkennungen enthält. Eine Filterregel kann z.B. derart implementiert werden, dass ein Daten¬ paket weitergeleitet oder gesperrt wird, wenn die Bedingung betreffend eine oder mehrere Teilnehmerkennungen des Datenpa- kets erfüllt bzw. nicht erfüllt ist.
Der Ring kann eine unidirektionale Kommunikation (z.B. nur im Uhrzeigersinn oder gegen den Uhrzeigersinn) oder eine bidirektionale Kommunikation (in beiden Orientierungen) ermögli- chen. Bei einer bidirektionalen Kommunikation kann der Ring als Doppelring ausgebildet sein, wobei eine erste Ringeinheit für die Kommunikation im Uhrzeigersinn und eine zweite Ringeinheit für die Kommunikation in Gegenrichtung vorgesehen sind. Um ein Kommunikationsnetzwerk mit besonders hoher Ver- fügbarkeit bzw. Ausfallsicherheit zu realisieren, kann der
Ring selbst redundant realisiert sein. So kann z.B. der Ring zwei Ringeinheiten aufweisen, wobei Daten auf beiden Ringeinheiten redundant übertragen werden können. Die Ringtopologie kann physikalisch und/oder logisch realisiert sein. Beispielsweise ist eine Realisierung der Ringto¬ pologie zumindest teilweise mittels VLANs (oder Virtual Local Area Network) möglich. Es können mehrere physikalische Ringeinheiten und/oder mehrere überlagerte logische Ringeinheiten vorgesehen sein.
Unter einem Datenverkehr „des Rings" soll ein Verkehr von Daten zumindest über einen Teil des Rings - oder Ringabschnitt - verstanden werden. Es kann sich dabei um einen Datenverkehr zwischen zwei ringinternen Teilnehmern, zwischen einem ringinternen Teilnehmer und zumindest einem ringexternen Teilnehmer oder zwischen zwei ringexternen Teilnehmern handeln, wobei im letztgenannten Fall die Datenverbindung über zumindest einen Ringabschnitt hergestellt ist.
Die Filterungseinrichtung kann dazu vorgesehen sein, einen Datenverkehr zu filtern, welcher dazu bestimmt ist, auf den Ring gegeben zu werden. Dies kann dadurch erreicht werden,
dass die Filterungseinrichtung zumindest ein Filtermodul auf¬ weist, welches der Schnittstelleneinheit zugeordnet ist. Da¬ durch kann der Datenverkehr gefiltert werden, bevor er in einen Ringabschnitt eingeleitet wird. Anders formuliert kann eine Filterung des Datenverkehrs außerhalb des Rings erfol¬ gen. Außerdem kann in dieser Ausführung eine Filterung eines aus dem Ring stammenden und auf zumindest einen ringexternen Teilnehmer gerichteten Datenverkehrs erfolgen. In einer konstruktiv einfachen Lösung kann das Filtermodul mit der
Schnittstelleneinheit gekoppelt sein. Besonders vorteilhaft sind die Schnittstelleneinheit und das Filtermodul von einer gemeinsamen, zusammenhängenden Baueinheit gebildet.
Alternativ oder zusätzlich kann die Filterungseinrichtung da- zu vorgesehen sein, einen Datenverkehr zu filtern, welcher über zumindest einen Ringabschnitt erfolgt. Hierzu wird vor¬ geschlagen, dass die Filterungseinrichtung einen Satz von Filtermodulen aufweist, wobei den ringinternen Teilnehmern jeweils zumindest ein unterschiedliches Filtermodul zugeord- net ist. Es kann dadurch eine Filterung des Datenverkehrs er¬ reicht werden, welcher innerhalb des Rings durchgeführt wird. Die Filtermodule sind hierbei zweckmäßigerweise jeweils dazu vorgesehen, ein über einen Ringabschnitt ankommender Datenverkehr gemäß zumindest einer Filterregel zu prüfen und ggf. weiterzuleiten, z.B. in den nächsten Ringabschnitt, oder zu sperren .
Es kann in diesem Zusammenhang eine kompakte und bauteilspa¬ rende Ausführung erreicht werden, wenn mit den ringinternen Teilnehmern jeweils zumindest ein unterschiedliches Filtermo¬ dul gekoppelt ist. Besonders vorteilhaft sind ein Filtermodul und der zugeordnete ringinterne Teilnehmer von einer gemeinsamen, zusammenhängenden Baueinheit gebildet. Anders formu¬ liert weisen die ringinternen Teilnehmer jeweils zumindest ein Filtermodul auf.
In einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Filterungseinrichtung zumindest ein Fil-
termodul umfasst, welches zumindest mit einer Switch- Funktionalität ausgestattet ist, wodurch eine besonders ein¬ fache, durch weit verbreitete Mittel implementierbare Netz¬ werkverwaltung erreicht werden kann. Bevorzugt weist die Fil- terungseinrichtung einen Satz von Filtermodulen auf, die jeweils einem unterschiedlichen ringinternen Teilnehmer zugeordnet und zumindest mit einer Switch-Funktionalität ausge¬ stattet sind. In einer vorteilhaften Weiterbildung der Erfindung sind die ringinternen Teilnehmer vorzugsweise jeweils als Steuergerät ausgebildet. Die Steuergeräte sind dabei jeweils vorteilhaft¬ erweise zur Steuerung zumindest einer bestimmten Funktionali¬ tät der Einrichtung programmiert, die sich von einer reinen Steuerung eines Datenverkehrs im Datennetzwerk unterscheidet. Die Steuergeräte sind zweckmäßigerweise jeweils zur Steuerung von zumindest einer Sensoreinheit, einer Aktorikeinheit und/oder einer untergeordneten Steuereinheit vorgesehen. Besonders vorteilhaft sind die Steuergeräte als Speicherpro- grammierbare Steuerungen (oder „SPS") ausgebildet. Beispiels¬ weise können die ringinternen Teilnehmer von Bausteinen des Typen Simatic® gebildet sein. Vorteilhaft kann eines der Steuergeräte die Funktion eines zentralen Steuergeräts der Einrichtung implementieren. Die Steuergeräte können insbeson- dere selbst mit einer Switch-Funktionalität versehen sein. Dies ist besonders vorteilhaft, wenn ein Steuergerät des Rings die Schnittstelleneinheit und/oder ein Filtermodul der Filterungseinrichtung aufweist bzw. mehrere Steuergeräte des Rings jeweils eine Schnittstelleneinheit und/oder ein Filter- modul der Filterungseinrichtung aufweisen.
Die ringinternen Teilnehmer können in diesem Zusammenhang insbesondere für eine Steuerung eines Schienenfahrzeugs, ei¬ nes Landfahrzeugs oder eines Luftfahrzeugs vorgesehen sein. Hierbei bestehen herkömmlicherweise besonders starke Ein¬ schränkungen bezüglich der für den Ring, insbesondere im Ring einsetzbaren Security-Mechanismen . So können z.B. Filterregeln für den Ring bzw. im Ring ggf. nicht oder nur einge-
schränkt änderbar sein. Eine Maßnahme betreffend eine Teil¬ nehmerkennung ist in einer solchen Einsatzumgebung vorteilhaft anwendbar. Dies ist insbesondere bei einer Ausbildung der Einrichtung als Schienenfahrzeug von Vorteil, wenn der Ring für Echtzeitkommunikation und/oder für Safety-relevante Kommunikation verwendet wird. Die Verwaltung eines Datenverkehrs über den Ring unterliegt dabei strengen Anforderungen, sodass in anderen Anwendungsfällen übliche Security- Mechanismen ohne weiteres nicht einsetzbar sind. Sogenannte „Safety-Anforderungen" bei Schienenfahrzeugen sind insbesondere in den Normen EN 50128, 50159, 50126 und/oder 50129 de¬ finiert. Insbesondere zielen die Safety-Anforderungen auf den Personenschutz ab, wobei die Security-Anforderungen der allgemeinen Datensicherheit zugeordnet sind. Die Safety- Anforderungen sind demnach strenger als die Security- Anforderungen .
Gemäß einer bevorzugten Ausbildung der Erfindung wird vorgeschlagen, dass das Datennetzwerk eine Netzwerkzugangskont- rolleinheit aufweist, die zur Verwaltung eines Datenverkehrs¬ zugangs gemäß einem definierten Authentisierungsprotokoll vorgesehen ist, wobei die Kennungseinrichtung in zumindest einem Betriebsmodus dazu vorgesehen ist, die Maßnahme für ei¬ nen ringexternen Teilnehmer abhängig von der Zulassung dieses durch die Netzwerkzugangskontrolleinheit zu treffen. Hier¬ durch kann die Sicherheit in der Verwaltung eines Datenverkehrs im Datennetzwerk weiter erhöht werden. Die Netzwerkzu- gangskontrolleinheit ist zweckmäßigerweise von der Filte¬ rungseinrichtung zumindest softwaretechnisch unterschiedlich. Insbesondere wird in dem zumindest einen Betriebsmodus ein Vorgang für die Maßnahme der Kennungseinrichtung betreffend einen ringexternen Teilnehmer eingeleitet, erst nachdem ein Zulassungsvorgang der Netzwerkzugangskontrolleinheit für die¬ sen ringexternen Teilnehmer zumindest eingeleitet, insbeson- dere mit einer erfolgreichen Zulassung abgeschlossen wurde.
Unter einer „Verwaltung" des Datenverkehrszugangs soll zumindest ein Vorgang verstanden werden, der ein Zulassen oder ein Ablehnen des Zugangs umfasst. Dieser Zugang kann allgemein
ein Zugang zum Datennetzwerk sein, die Netzwerkzugangskont- rolleinheit ist jedoch vorteilhafterweise dazu vorgesehen, gezielt einen Datenverkehrszugang zum Ring zu verwalten. Dabei kann für einen ringexternen Teilnehmer mit von der Netz- werkzugangskontrolleinheit zugelassenem Zugang beispielsweise eine Schnittstelle bzw. ein Port der Schnittstelleneinheit freigegeben werden. Dabei kann die Netzwerkskontrolleinheit als „Ring-Zugangskontrolle" oder auch „Ring Access Control" bezeichnet sein.
Vorteilhafterweise erfolgt eine aufwändige und zu administ¬ rierende Authentisierung des ringexternen Teilnehmers durch die Netzwerkzugangskontrolleinheit , wodurch die Filterungs¬ einrichtung die Authentisierungsaufgäbe nicht selbst durch- führen und prüfen muss. Dies ist besonders vorteilhaft, wenn die Filterungseinrichtung Filtermodule aufweist, die von ringinternen Teilnehmern gebildet sind, da diese Filtermodule und daher die zugeordneten Teilnehmer des Rings mit dieser Aufgabe nicht belastet werden.
Als Authentisierungsprotokoll sind verschiedene, dem Fachmann als sinnvoll erscheinende Protokolle denkbar, wie insbesonde¬ re ein Protokoll gemäß 802. Ix, PANA nach RFC 5191, EAP-TLS- Authentisierung mittels Gerätezertifikats oder HTTPS mit zer- tifikatsbasierter Authentisierung. Insbesondere kann die
Netzwerkzugangskontrolleinheit eine erste Einheit und zumin¬ dest einen von der Einheit separaten Authentisierungs-Server aufweisen, welcher die Authentisierung des zuzulassenden ringexternen Teilnehmers prüft und der Einheit das Ergebnis des Authentisierungsvorgangs bereitstellt. Der Authentisie¬ rungs-Server kann Bestandteil des ringexternen Teilnehmers sein. Als weiteres Authentisierungsprotokoll kann eine einfa¬ che Authentisierung auf der Basis der MAC-Adresse erfolgen. Als weiteres Authentisierungsverfahren kann eine
Authentisierung mittels Nutzername und Passwort oder mittels eines Zugangscodes erfolgen. Diese können z.B. in ein HTML- Formular einer Web-Seite einzugeben sein. In einer weiteren Variante kann eine Authentisierung mittels eines physikali-
sehen Zugangstokens , z.B. eines mechanischen Schlüsselschal¬ ters oder eines RFID-Kartenlesers erfolgen.
Die Freischaltung kann in einer Variante temporär erfolgen. Die Freischaltung eines ringexternen Teilnehmers kann u.a. durch ein Abmelden dieses („EAPOL-Logoff" ) , ein „Time-Out- Kriterium" oder durch ein Lösen der physikalischen Netzwerkverbindung des ringexternen Teilnehmers mit dem Datennetzwerk beendet werden.
Falls der Datenverkehrszugang für einen ringexternen Teilnehmer von der Netzwerkzugangskontrolleinheit abgelehnt wird, kann ein Datenverkehr, an welchem dieser Teilnehmer teilnimmt, von der Netzwerkzugangskontrolleinheit geblockt wer- den. Alternativ kann die Netzwerkzugangskontrolleinheit an die Filterungseinrichtung eine Nachricht senden, welche eine den abgelehnten Teilnehmer kennzeichende Teilnehmerkennung enthält, sodass ein Datenverkehr über den Ring für diese Teilnehmerkennung von der Filterungseinrichtung gesperrt wird. In einer Ausführungsvariante kann alternativ oder zu¬ sätzlich eine Warnnachricht an weitere einrichtungsinterne Teilnehmer gesendet werden. Bei einer Ausführung der Einrichtung als Fahrzeug kann eine Warnnachricht an den Fahrzeugfüh¬ rer gesendet werden, welche akustisch und/optisch ausgegeben werden kann. Des Weiteren ist möglich, dass eine Nachricht erzeugt wird, die einen Betätigungsvorgang einer Antriebseinheit und/oder einer Bremsvorrichtung auslöst, wie z.B. ein Sperren eines Anfahrbetriebs oder eine automatische Bremsaus¬ lösung .
Die Netzwerkzugangskontrolleinheit und die Schnittstellenein¬ heit können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen physikalischen Baueinheit gebildet sein. Insbesondere kann zumindest die erste Einheit der Netzwerkzu- gangskontrolleinheit von der Schnittstelleneinheit gebildet sein. Die Schnittstelleneinheit und/oder die Netzwerkzugangs¬ kontrolleinheit und zumindest einer der ringinternen Teilnehmer können zumindest teilweise, vorteilhaft vollständig von
einer gemeinsamen physikalischen Baueinheit gebildet sein. Anders formuliert können die Schnittstelleneinheit und/oder die Netzwerkzugangskontrolleinheit zumindest teilweise, vor¬ teilhaft vollständig von der zweckmäßigerweise zusammenhän- genden Baueinheit eines ringinternen Teilnehmers gebildet sein .
Die Netzwerkzugangskontrolleinheit und die Kennungseinrich- tung können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen physikalischen Baueinheit gebildet sein.
Insbesondere kann zumindest die erste Einheit der Netzwerkzu- gangskontrolleinheit von der Kennungseinrichtung gebildet sein. Nach erfolgter Authentisierung des ringexternen Teilnehmers kann die Netzwerkzugangskontrolleinheit die Funktion der Kennungseinrichtung erfüllend eine Maßnahme betreffend eine Teilnehmerkennung des authentisierten ringexternen Teilnehmers derart, dass die Datenkommunikation des Teilnehmers hinsichtlich der Filterfunktion für eine Datenkommunikation im Ring anhand der Teilnehmerkennung als zulässig erkennbar ist. Die Kennungseinrichtung und/oder die Netzwerkzugangs¬ kontrolleinheit und zumindest einer der ringinternen Teilnehmer können außerdem zumindest teilweise, vorteilhaft voll¬ ständig von einer gemeinsamen physikalischen Baueinheit gebildet sein. Anders formuliert können die Kennungseinrichtung und/oder die Netzwerkzugangskontrolleinheit zumindest teil¬ weise, vorteilhaft vollständig von der zweckmäßigerweise zu¬ sammenhängenden Baueinheit eines ringinternen Teilnehmers ge¬ bildet sein. Weist die Filterungseinrichtung Filtermodule auf, die von ringinternen Teilnehmern gebildet sind, und ist die Netzwerkzugangskontrolleinheit zumindest teilweise, vor¬ teilhaft vollständig von der zweckmäßigerweise zusammenhän¬ genden Baueinheit eines ringinternen Teilnehmers gebildet, kann durch die vorteilhafte Trennung der Funktionen der Netz- werkzugangskontrolleinheit von der Funktion der Filterungs- einrichtung eine Belastung der Filtermodule und daher einer Vielzahl ringinterner Teilnehmer mit einer Authentisierungs- aufgabe vermieden werden. Diese kann mit der Beteiligung ei-
nes einzelnen ringinternen Teilnehmers durchgeführt werden, der die Netzwerkzugangskontrolleinheit bildet.
Zur Ausbildung der Teilnehmerkennung sind verschiedene Eigen- schaffen denkbar. Beispielsweise kann ein Teilnehmer durch ein besonders Transportprotokoll (z.B. TCP, UDP) charakteri¬ siert werden. Als weitere Teilnehmerkennung ist außerdem eine Port-Nummer oder eine VLAN-ID denkbar. Besonders vorteilhaft ist die Teilnehmerkennung eine Kennung eines Dienstzugangs- punkts des OSI-Schichtenmodells, wie z.B. eine IP-Adresse oder eine MAC-Adresse oder eine Portnummer. Es kann jedoch eine einfache Ausführung der Filterungseinrichtung erreicht werden, wenn die Teilnehmerkennung eine Kennung der OSI- Sicherungsschicht ist. Dies eignet sich insbesondere für eine Ausbildung der Schnittstelleneinheit als Switch. Insbesondere kann die Teilnehmerkennung als MAC-Adresse ausgebildet sein. Die OSI-Sicherungsschicht ist in der fachmännischen Sprache auch „Layer 2" genannt. Über die Schnittstelleneinheit kann ein Anschluss ringexter¬ ner Teilnehmer unterschiedlicher Art hergestellt werden. Insbesondere kann über die Schnittstelleneinheit zumindest ein ringexterner Teilnehmer des Satzes einrichtungsinterner Teilnehmer an den Ring angeschlossen sein. Dies ist insbesondere vorteilhaft, wenn der ringexterne, einrichtungsinterne Teil¬ nehmer, welcher für eine dauerhafte Anbindung an der Einrichtung vorgesehen ist, bei einem Neubau oder einer Wartung dieser installiert, neu konfiguriert und/oder rekonfiguriert wird. Insbesondere kann es sich um einen Teilnehmer handeln, welcher über einen sogenannten „Plug-And-Play-
Autokonfigurationsmechanismus" in das Datennetzwerk eingebun¬ den wird. Es kann insbesondere über die Schnittstelleneinheit ein Satz von einrichtungsinternen Teilnehmern an den Ring angeschlossen werden, indem die Schnittstelleneinheit einen An- schluss des Rings mit einer Busstruktur, an welcher dieser Satz von Teilnehmern angebunden ist, herstellt.
Alternativ oder zusätzlich dient die Schnittstelleneinheit dazu, als ringexternen Teilnehmer einen einrichtungsexternen Teilnehmer anzuschließen, der an der Einrichtung ungebunden ist oder dazu vorgesehen ist, gelegentlich an die Einrichtung gebunden zu werden. Besonders vorteilhaft kann über die
Schnittstelleneinheit ein Wartungsgerät - auch „Service- Gerät" genannt, an den Ring angeschlossen werden, wobei die Schnittstelleneinheit einen sogenannten „Service-Port" bil¬ det. Die Schnittstelleneinheit kann allgemein für einen drahtgebundenen und/oder einen drahtlosen, per Funk herstellbaren Anschluss des einrichtungsexternen Teilnehmers vorgese¬ hen sein.
In einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Filterungseinrichtung mehrere Filterregeln aufweist, die jeweils einem unterschiedlichen Betriebs¬ zustand der Einrichtung zugeordnet sind. Dadurch kann eine hohe, insbesondere dynamische Flexibilität in der Verwaltung des Datennetzwerks erreicht werden. Beispielweise kann die Filterungseinrichtung zumindest eine Filterregel für einen Normalbetrieb der Einrichtung und wenigstens eine unter¬ schiedliche Filterregel für einen Störungsbetrieb der Ein¬ richtung aufweisen. Ein Störungsbetrieb kann z.B. aufgrund einer Meldung einer Branddetektion ausgelöst werden. Des Weiteren kann ein Störungsbetrieb durch einen physikalischen Fehler des Datennetzwerks, wie z.B. eine Leitungsunterbre¬ chung, ausgelöst werden. Eine Filterregel für einen Störungs¬ betrieb kann insbesondere weniger strenge Anforderungen vorsehen als im Normalbetrieb der Einrichtung, um insbesondere einen schnellen Datenverkehr zu ermöglichen. Dies ist insbesondere in einem Notfall besonders vorteilhaft.
Außerdem wird vorgeschlagen, dass die Filterungseinrichtung zumindest eine Filteregel für einen Normalbetrieb der Ein- richtung und wenigstens eine unterschiedliche Filterregel für einen Initialisierungsbetrieb der Einrichtung aufweist. Unter einem „Initialisierungsbetrieb" soll insbesondere ein Be¬ triebsmodus der Einrichtung verstanden werden, welcher ausge-
hend von einem Ausschaltzustand oder Ruhezustand der Einrich¬ tung bis zum Starten des normalen Betriebs erfolgt. In der fachmännischen Sprache kann der Initialisierungsbetrieb auch als „Hochfahren" der Einrichtung bezeichnet werden. Eine Fil- terregel für den Initialisierungsbetrieb kann insbesondere weniger strenge Anforderungen vorsehen als im Normalbetrieb der Einrichtung, damit der normale Betrieb schnell und zuver¬ lässig hergestellt werden kann. Ist die Einrichtung als Fahrzeug ausgebildet, kann durch zumindest eine besondere Filter- regel im Initialisierungsbetrieb eine Aufnahme des Fahrbe¬ triebs schnell und zuverlässig erreicht werden. Durch die vorgeschlagene Lösung kann - bei einer Ausbildung der Einrichtung als Schienenfahrzeug - insbesondere die sogenannte Phase der „Zugtaufe" schnell und zuverlässig erfolgen.
Eine Filterregel im Störungs- und/oder Initialisierungsbe¬ trieb kann vorsehen, dass ein Datenverkehr über zumindest einen Teil des Rings mit minimaler Restriktion bezüglich einer Teilnehmerkennung gefiltert wird. Insbesondere kann gegenüber einer Filterregel des Normalbetriebs eine zweite Filterregel für den Störungs- und/oder Initialisierungsbetrieb vorgesehen sein, nach welcher die gemäß der Filterregel des Normalbe¬ triebs auf einer Teilnehmerkennung basierte Filterung eingestellt wird. Im Initialisierungsbetrieb kann insbesondere vorgesehen sein, dass eine Liste der von der Filterungseinrichtung autorisierten Teilnehmerkennungen durch eine Anmeldung aller einrichtungsinternen Teilnehmer aufgebaut wird. Eine hierzu erforderliche Anmeldenachricht, die an die Filte¬ rungseinrichtung gesendet wird, kann in und über den Ring ge- mäß der zweiten Filterregel uneingeschränkt übertragen wer¬ den, wobei weitere Nachrichten, deren Inhalt über diese Anmeldung hinausgeht und demnach weitere Nutzdaten umfasst, der Filterregel des Normalbetriebs unterliegen. Weist das Datennetzwerk wie oben beschrieben eine Netzwerkzu- gangskontrolleinheit auf, ist die Schnittstelleneinheit in zumindest einem Betriebszustand der Einrichtung vorteilhaft¬ erweise dazu vorgesehen, eine Schnittstelle für einen An-
schluss eines ringexternen, durch die Netzwerkzugangskont- rolleinheit ungeprüften Teilnehmers an den Ring freizugeben. Dadurch kann in einem bestimmten Betriebszustand, besonders vorteilhaft im Störungs- und/oder Initialisierungsbetrieb, für eine Zulassung für einen Datenverkehr des Rings eine Voraussetzung bezüglich eines erfolgreichen Zulassungsvorgangs durch die Netzwerkzugangskontrolleinheit gegenüber dem Nor¬ malbetrieb entfallen. So kann bei einer Ausbildung der Einrichtung als Schienenfahrzeug im Initialisierungsbetrieb des- selben vorgesehen sein, dass ein Datenverkehr im Initialisierungsbetrieb über zumindest einen Teil des Rings mit ringex¬ ternen Teilnehmern erfolgt, die nicht oder nicht abschließend durch die Netzwerkzugangskontrolleinheit authentisiert wur¬ den. Hierbei kann eine Authentisierungsschonzeit vorgesehen sein, in welcher ein Authentisierungserfordernis zwar ent¬ fällt, nach welcher jedoch ein erforderlicher Authentisie- rungsvorgang erfolgreich abgeschlossen werden muss. Nach Ablauf dieser Zeit kann entschieden werden, das Aufheben des Authentisierungserfordernisses zu verlängern oder den Daten- verkehr mit unauthentisierten Teilnehmern zu sperren.
Bei einer Ausführung der Einrichtung als Fahrzeug, insbesondere Schienenfahrzeug, kann der Normalbetrieb ein Fahrgastbe¬ trieb sein. Dieser kann unterschiedliche Phasen umfassen, wie z.B. ein Streckenfahrbetrieb und ein Haltbetrieb, für welche ggf. verschiedene Filterregeln vorgesehen sein können. Weitere Betriebszustände können wie oben erörtert ein Störungsbe¬ trieb, ein Initialisierungsbetrieb oder auch ein Wartungsbe¬ trieb, insbesondere ein Werkstattmodus oder ein Diagnosemodus sein. Im Wartungsbetrieb kann insbesondere eine Filterregel implementiert werden, welche den Zugang eines als Service- Gerät anerkannten einrichtungsexternen Teilnehmers zu einem Datenverkehr des Rings gegenüber dem Normalbetrieb vereinfacht .
Der Betriebszustand kann durch eine Sensorik, z.B. einen Geschwindigkeitsgeber, erfasst werden, oder er kann aktiv von einer Bedienperson durch Eingabe festgelegt werden, wie z.B.
mittels einer Schalteinheit im Führerstand zur Aktivierung eines Wartungsmodus.
Gemäß einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Kennungseinrichtung eine Einheit zur Kennungssetzung aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer diesem eine durch die Filterungseinrichtung autorisierte, insbesondere vordefinierte Teilnehmer¬ kennung zuzuweisen. Hierbei weist die Filterungseinrichtung vorteilhafterweise einen Satz von vordefinierten Teilnehmerkennungen auf, die bei Bedarf einem zumindest temporär zuzulassenden ringexternen Teilnehmer zugewiesen werden können. In dieser Ausführung weist die Filterungseinrichtung zumindest eine Liste von autorisierten Teilenehmerkennungen auf, die als statische bzw. uneditierbare Liste ausgebildet ist.
Der ringexterne Teilnehmer weist in dieser Ausführung für einen Datenverkehr des Rings eine Teilnehmerkennung aus dieser Liste auf, wobei diese Teilnehmerkennung von einer Teilnehmerkennung für einen Datenverkehr außerhalb des Rings unter- schiedlich sein kann. Die Einheit zur Kennungssetzung weist dabei zweckmäßigerweise eine Übersetzungsfunktion auf, durch welche eine eindeutige Verknüpfung zwischen beiden Teilnehmerkennungen eines gleichen ringexternen Teilnehmers herstellbar ist. Falls der Ring für Safety-Kommunikation verwen- det wird, kann eine Änderung der Filterregeln unzulässig sein oder eine Authentisierung eines Teilnehmers innerhalb des Rings nicht umsetzbar sein. Hier ist die Erfindung besonders vorteilhaft anwendbar, da eine relativ einfach realisierbare Filterung erfolgt, die bei einer Safety-Zulassung mit relativ geringem Aufwand überprüfbar ist und die im laufenden Betrieb nicht umkonfiguriert werden muss. Nach erfolgreicher
Authentisierung eines ringexternen Teilnehmers wird dessen Datenverkehr eine Teilnehmerkennung zugeordnet, die eine Kommunikation über den Ring zulässt, d.h. die nicht durch die Filterfunktion blockiert wird. In einer bevorzugten Variante werden die Filterregeln für den Ring dabei nicht verändert. Dies ist von besonderem Vorteil, wenn die Filterungseinrich-
tung Filtermodule aufweist, die von ringinternen Teilnehmern gebildet sind, und die Filterung daher im Ring erfolgt.
Alternativ oder zusätzlich kann die Kennungseinrichtung dazu vorgesehen sein, für einen ringexternen Teilnehmer, der Filterungseinrichtung eine diesem zugewiesene Teilnehmerkennung als autorisierte Kennung bekannt zu machen. Beispielsweise kann durch die Kennungseinrichtung eine Nachricht an die Filterungseinrichtung gesendet werden, wobei die Nachricht eine zugewiesene Teilnehmerkennung des zuzulassenden Teilnehmers enthält. Weist die Filterungseinrichtung einen Satz von Filtermodulen auf, kann die Kennungseinrichtung eine sogenannte „Multicast-,, oder „Broadcast-Nachricht" an die Filtermodule senden. Weist die Filterungseinrichtung eine Liste von auto- risierten Teilnehmerkennungen auf, kann diese Liste durch die vorgeschlagene Maßnahme der Kennungseinrichtung editiert, insbesondere mit der bereits zugewiesenen Teilnehmerkennung des zuzulassenden ringexternen Teilnehmers ergänzt werden. Durch Empfangen und Weiterleiten der Nachricht durch die Filtermodule können sich diese gegenseitig über die Teilnehmer¬ kennung des zuzulassenden Teilnehmers informieren. In einer vorteilhaften Ausführungsvariante wird vorgeschlagen, dass ein ringinterner Teilnehmer die Funktion eines Ring-Managers erfüllt und die Kennungseinrichtung dazu vorgesehen ist, eine die Teilnehmerkennung enthaltende Nachricht an den Ring- Manager zu senden. Hierdurch kann die Benachrichtigung der Filtermodule einfach durch eine Kommunikation mit dem Ring- Manager erfolgen.
Die Erfindung betrifft des Weiteren ein Verfahren zur Verwaltung eines Datennetzwerks einer Einrichtung, welches einen Satz von einrichtungsinternen Teilnehmern, zumindest einen Ring, in welchem ringinterne Teilnehmer des Satzes in einer Ringtopologie miteinander vernetzt sind, und wenigstens eine Schnittstelleneinheit aufweist, die dazu vorgesehen ist, ei¬ nen Anschluss wenigstens eines ringexternen Teilnehmers an den Ring herzustellen.
Es wird vorgeschlagen, dass ein Datenverkehr des Rings hinsichtlich zumindest einer Teilnehmerkennung gefiltert wird und für einen ringexternen Teilnehmer zumindest eine Maßnahme betreffend eine Teilnehmerkennung dieses Teilnehmers derart getroffen wird, dass diese hinsichtlich der Filterfunktion für einen Datenverkehr im Ring zulässig ist. Zu den vorteilhaften Wirkungen des vorgeschlagenen Verfahrens wird auf die obigen Ausführungen zum vorgeschlagenen Datennetzwerk verwiesen .
Es werden Ausführungsbeispiele der Erfindung anhand der
Zeichnungen näher erläutert. Es zeigen:
Figur 1: ein Schienenfahrzeug mit internen Funktionskompo¬ nenten in einer schematischen Seitenansicht,
Figur 2: ein die Funktionskomponenten verbindendes Datennetzwerk mit einem Ring, welchem eine Filterungseinrichtung zugeordnet ist,
Figur 3: eine Liste von Teilnehmerkennungen, die von der
Filterungseinrichtung zugelassen sind,
Figur 4: die Übertragung eines Datenpakets im Netzwerk der
Figur 2, mit einer Übersetzung einer Teilnehmerkennung,
Figur 5: eine Übersetzungstabelle für die Übersetzung aus
Figur 4,
Figur 6: die Benachrichtigung der Filterungseinrichtung über eine Teilnehmerkennung,
Figur 7: die Übertragung eines Datenpakets mit der Teilnehmerkennung nach der Benachrichtigung aus Figur 6,
Figur 8 : die Benachrichtigung eines Ring-Managers des Rings über eine Teilnehmerkennung und
Figur 9: einen zeitlichen Ablauf eines Initialisierungsbe¬ triebs des Schienenfahrzeugs.
Figur 1 zeigt ein als Schienenfahrzeug ausgebildetes Fahrzeug 10 in einer schematischen Seitenansicht. Das Fahrzeug 10 ist
als ein Verband von mehreren Wagen 12 ausgebildet, die mitei¬ nander mechanisch gekoppelt sind und eine Zugeinheit bilden. In der betrachteten Ausführung ist das Fahrzeug 10 als sogenannter Triebzug ausgebildet. Hierzu ist zumindest einer der Wagen 12 des Verbands mit einer Antriebseinheit 14 zum An¬ treiben einer Antriebsachse 16 versehen. Die Antriebseinheit 14 weist eine Leistungsversorgungseinheit auf, welche insbe¬ sondere mittels einer Leistungselektronik eine elektrische Leistung für einen Elektromotor (nicht gezeigt) erzeugt. In einer weiteren Ausführung ist denkbar, dass das Fahrzeug 10 als einzelner Triebwagen ausgebildet ist. Außerdem kann das Fahrzeug 10 einen Verband von antriebslosen Reisezugwagen aufweisen, welcher mit zumindest einem Triebfahrzeug, z.B. einer Lokomotive, gekoppelt ist.
Das Fahrzeug 10 weist bekannterweise eine Anzahl von Funkti¬ onskomponenten auf, die einen Betrieb des Fahrzeugs 10 ermög¬ lichen. Typische Funktionskomponenten, wie insbesondere Komponenten der Antriebseinheit 14, einer Bremseinrichtung 11 (beispielhaft und schematisch im Wagen 12.2 dargestellt), ei¬ ner Zugsicherung 13, einer Türeinheit 15 (beispielhaft und schematisch im Wagen 12.3 dargestellt), eines Klimatisie¬ rungsgeräts 17, eines Fahrgastinformationssystems 19, einer Bordnetzeinrichtung usw. sind allgemein bekannt und werden hier nicht näher erläutert. Funktionskomponenten des Fahrzeugs 10 können allgemein als Steuereinheit, Sensoreinheit und/oder Aktorikeinheit ausgebildet sein, wobei ein Satz von funktional zusammenhängenden Funktionskomponenten, die einer bestimmten Funktionalität, z.B. einer der oben aufgelisteten Funktionalitäten zugeordnet sind, auch „Subsystem" genannt werden kann. Die Funktionskomponenten, die im Fahrzeug 10 installiert und daher dauerhaft an der Fahrzeugstruktur gebunden sind, sind miteinander vernetzt und dabei Bestandteile eines Datennetzwerks 18 (siehe Figur 2) . Aus Sicht der Fahr- zeugleittechnik werden die dem Fahrzeug 10 zugehörigen Funktionskomponenten als „interne" Teilnehmer 20, 22 des Datennetzwerks 18 des Fahrzeugs 10 bezeichnet. Die internen Teil¬ nehmer 20, 22 sind mittels einer Buseinrichtung 24 datentech-
nisch miteinander verbunden, die selbst unterschiedliche Bus¬ strukturen aufweisen kann. Die Busstrukturen können sich in der Auslegung der jeweiligen Netzwerkhardware und/oder eines genutzten Netzwerkprotokolls voneinander unterscheiden.
Es wird in Figur 2 ein Teil des Datennetzwerks 18 näher dar¬ gestellt. Eine erste Busstruktur 26 der Buseinrichtung 24 verbindet die Teilnehmer 20 in einer geschlossenen Schleife derart zusammen, dass sie einen Ring 28 des Datennetzwerks 18 bilden. Um die internen Teilnehmer 20 im Ring 28 von den weiteren internen Teilnehmern 22 des Datennetzwerks 18 zu unterscheiden werden sie als „ringinterne Teilnehmer" bezeichnet, während die weiteren Teilnehmer 22 und externe Teilnehmer (siehe unten) als „ringexterne Teilnehmer" bezeichnet sind. In der fachmännischen Sprache sind die internen Teilnehmer 22 auch „Off-Ring-Komponenten" des Datennetzwerks 18 genannt. Die Busstruktur 26 des Rings 28 in der betrachteten Ausführung basiert auf einer unter dem Begriff „Industrial Ethernet" bekannten Technologie. Die ringinternen Teilnehmer 20 sind insbesondere jeweils als Steuergerät ausgebildet. Bei¬ spielsweise können die ringinternen Komponenten 20 jeweils als SPS ausgebildet sein. Die ringexternen Teilnehmer 22 sind in Figur 2 abstrakt dargestellt und können jeweils einer be¬ stimmten Funktionskomponente oder einem ganzen Subsystem des in Figur 1 dargestellten Fahrzeugs 10 entsprechen.
Das Datennetzwerk 18 weist Schnittstelleneinheiten 30, 32 auf, durch welche ringexterne Teilnehmer an den Ring 28 anschließbar sind. Die Schnittstelleneinheit 30 dient dazu, die internen Teilnehmer 22 an den Ring 28 anzuschließen. Diese sind selbst mittels einer Busstruktur 34, die sich von der Busstruktur 26 unterscheidet, miteinander vernetzt. Die
Schnittstelleneinheit 30 dient dabei dazu, die Busstruktur 34 und die an sie angeschlossenen Teilnehmer 22 an den Ring 28 anzuschließen. In einer beispielhaften Ausführung kann die Busstruktur 34 als MVB-Bus des TCN-Protokolls ausgebildet sein .
Die Schnittstelleneinheit 32 dient dazu, einen externen Teil¬ nehmer 36 an den Ring 28 anzuschließen. Ein externer Teilnehmer ist hierbei eine Funktionskomponente, die dazu vorgesehen ist, gelegentlich mit dem Datennetzwerk 18 gebunden zu wer- den. Beispielsweise kann der externe Teilnehmer 36 ein trag¬ bares Wartungsgerät sein, welches bei Bedarf mit dem Daten¬ netzwerk 18 datentechnisch zu verbinden ist, im normalen Einsatzbetrieb des Fahrzeugs 10 sonst mit dem Datennetzwerk 18 nicht verbunden ist. Die Schnittstelleneinheit 32 kann zur Herstellung einer kabelgebundenen und/oder drahtlosen Verbindung des Rings 28 mit dem externen Teilnehmer 36 vorgesehen sein .
Die Schnittstelleneinheiten 30, 32 sind neben einer physika- lischen (oder hardwaretechnischen) Anschlussmöglichkeit 31 bzw. 33 jeweils zumindest mit einer Switchfunktionalität aus¬ gestattet. Sie sind außerdem jeweils mit einem ringinternen Teilnehmer 20 direkt mechanisch gekoppelt. Insbesondere sind der jeweilige ringinterne Teilnehmer 20 und die gekoppelte Schnittstelleneinheit 30 bzw. 32 in einer gleichen, zusammenhängenden Baueinheit angeordnet. Die ringinternen Teilnehmer 20 in der betrachteten Ausführung sind insbesondere jeweils als Steuergerät mit Switchfunktionalität ausgebildet. Das Datennetzwerk 18 weist außerdem eine Filtereinrichtung 38 mit einer Filterfunktion auf, die dazu vorgesehen ist, einen Datenverkehr des Rings 28 hinsichtlich zumindest einer Teilnehmerkennung zu filtern. Die für die Filterung berücksichtigte Teilnehmerkennung ist in der betrachteten Ausführung eine Kennung der OSI- Sicherungsschicht. Insbesondere wird zu Filterungszwecken zumindest eine MAC-Adresse eines Teilneh¬ mers gemäß zumindest einer Filterregel geprüft. Dabei handelt es sich um einen Teilnehmer - intern oder extern - welcher an einer Datenübertragung beteiligt ist, die über zumindest ei- nen Teil des Rings 28 erfolgt bzw. erfolgen soll. Die Filte¬ rungseinrichtung 38 weist einen Satz von Filtermodulen 40 auf. Ein Datenverkehr über den Ring 28 kann in zwei Richtungen - Uhrzeigersinn oder gegen den Uhrzeigersinn -erfolgen.
Den ringinternen Teilnehmern 20 ist jeweils ein Paar von Filtermodulen 40 zugeordnet. Ein erstes Filtermodul 40 des Paa¬ res überwacht für eine gegebene Richtung des Datenverkehrs im Ring 28 den auf den Teilnehmer 20 gerichteten Datenfluss, während das zweite Filtermodul 40 des Paares den in entgegen¬ gesetzter Richtung des Datenverkehrs auf den Teilnehmer 20 gerichteten Datenfluss überwacht. In einer alternativen Ausführung kann ein Datenverkehr in lediglich einer Richtung möglich sein.
Die Filterungseinrichtung 38 weist außerdem Filtermodule 39, 41 auf, die jeweils einer Schnittstelleneinheit 30, 32 zuge¬ ordnet und insbesondere mit dieser gekoppelt sind. Durch die¬ se Filtermodule 39, 41 kann ein Datenverkehr, welcher auf den Ring 28 gerichtet ist, gefiltert werden, bevor Daten in den
Ring 28 gelangen. Außerdem kann durch die Filtermodule 39, 41 ein Datenverkehr gefiltert werden, welcher aus dem Ring 28 stammt und auf einen ringexternen Teilnehmer gerichtet ist. In einer besonderen Ausführung kann auf diese zusätzlichen Filtermodule 39, 41 verzichtet werden. Die Beschreibung unten betrifft die Filtermodule 40 und gilt dementsprechend auch für die Filtermodule 39, 41.
Die Filterungseinrichtung 38 ist mit einer ersten Filterregel programmiert, welche die Überwachung von Datenpaketen durchführt, deren Übertragung über zumindest einen Teil des Rings 28 erfolgt bzw. erfolgen soll. Wie oben bereits beschrieben erfolgt die Überwachung auf der Basis einer Teilnehmerkennung, die der MAC-Adresse eines an einer Übertragung eines Datenpakets teilnehmenden Teilnehmers entspricht. Dabei kann es sich um den als Sender ausgebildeten Teilnehmer und/oder um den als Empfänger des Pakets ausgebildeten Teilnehmer handeln. Die den ringinternen Teilnehmern 20 zugeordneten Filtermodule 40 bewirken eine Filterung des über zumindest einen Teil des Rings 28 erfolgenden Datenverkehrs, indem ein auf den jeweiligen Teilnehmer 20 gerichtetes Datenpaket nur dann von diesem Teilnehmer 20 weitergeleitet wird, wenn die gemäß der Filterregel in diesem Datenpaket zu überwachende Teilneh-
merkennung oder Teilnehmerkennungen einer Liste zugelassener Teilnehmerkennungen gehört bzw. gehören. Diese Liste ist in Figur 3 dargestellt. Als Filterregeln können außerdem weitere Regeln implementiert sein, die üblichen Firewallregeln ent- sprechen.
Die Filtermodule 40 sind jeweils von einer Einrichtung mit Switch-Funktionalität gebildet. Sie können dabei von einem separaten Switch gebildet sein, welcher vom zugeordneten ringinternen Teilnehmer 20 getrennt ausgebildet ist. In der betrachteten Ausführung sind sie jedoch jeweils mit dem zugeordneten ringinternen Teilnehmer 20 direkt mechanisch gekoppelt. Insbesondere sind der jeweilige ringinterne Teilneh¬ mer 20 und das zugeordnete Filtermodul 40 in einer gleichen, zusammenhängenden Baueinheit angeordnet. Die ringinternen
Teilnehmer 20 in der betrachteten Ausführung sind insbesondere jeweils als Steuergerät mit Switchfunktionalität ausgebil¬ det . Das Datennetzwerk 18 weist ferner Netzwerkzugangskontrollein- heiten 42, 44 auf, die jeweils einer unterschiedlichen
Schnittstelleneinheit 30 bzw. 32 zugeordnet sind. Sie dienen jeweils dazu, den Datenverkehrszugang zum Ring 28 für ringexterne Teilnehmer 22 bzw. 36 gemäß einem definierten Authenti- sierungsprotokoll zu verwalten, insbesondere zu genehmigen oder abzulehnen. Bei zugelassenem Datenverkehrszugang des ringexternen Teilnehmers kann dieser an einer Datenübertragung teilnehmen, die über zumindest einen Teil des Rings 28 erfolgt. Ist eine Authentisierung eines ringexternen Teilneh- mers 22, 36 durch die Netzwerkzugangskontrolleinheit 42 bzw. 44 mit einer Zulassung erfolgreich abgeschlossen, wird von der zugeordneten Schnittstelleneinheit 30 bzw. 32 eine
Schnittstelle (auch „Port") für einen Zugang des ringexternen Teilnehmers zum Ring 28 freigegeben. Das Authentisierungspro- tokoll kann z.B. ein Protokoll nach IEEE 802. Ix sein, wie insbesondere in der Form einer EAP-TLS-Authentisierung mittels Gerätezertifikats.
Die Funktionen der Netzwerkzugangskontrolleinheiten 42, 44 und der Filterungseinrichtung 38 werden zunächst am Beispiel des Anschlusses eines externen Teilenehmers 36 erläutert. Der Datenverkehrszugang für den externen Teilnehmer 36, welcher als Wartungsgerät gelegentlich an das Datennetzwerk 18 angebunden wird, wird mittels der Netzwerkzugangskontrollein- heit 44 verwaltet. Nach Herstellung einer kabelgebundenen oder drahtlosen Datenverbindung des externen Teilnehmers 36 mit der Schnittstelleneinheit 32 erfolgt eine Authentisierung des Teilnehmers 36 durch die zugeordnete Netzwerkzugangskont- rolleinheit 44 gemäß einem Protokoll der oben genannten Art. Hierzu ist beispielsweise ein Authentisierungsmodul 45 (oder „Authenticator" ) vorgesehen, welches jeweils in den ringex- fernen Teilnehmern 22, 36 implementiert ist und mit der entsprechenden Netzwerkzugangskontrolleinheit 42 bzw. 44 zusam¬ menwirkt. Falls sich der externe Teilnehmer 36 erfolgreich gegenüber der Netzwerkzugangskontrolleinheit 44 authenti- siert, gilt ein Datenverkehr, welcher über einen freigegebe- nen Port der zugeordneten Schnittstelleneinheit 32 und zumin¬ dest einen Teil des Rings 28 erfolgt und an dem der externe Teilnehmer 36 teilnimmt, als zugelassen. Die Netzwerkzugangs¬ kontrolleinheiten 42, 44 sind jeweils mit einer Switch- Funktionalität ausgestattet und können jeweils als sogenannte „Access-Switch" ausgebildet sein.
Damit dieser Datenverkehr auch hinsichtlich der oben beschriebenen Filterfunktion der Filterungseinrichtung 38 zulässig ist, sollen entsprechenden Maßnahmen getroffen werden. Hierzu ist der Schnittstelleneinheit 32 eine Kennungseinrich- tung 46 zugeordnet. Die Kennungseinrichtung 46 dient dazu, eine Maßnahme betreffend eine Teilnehmerkennung des externen Teilnehmers 36 zu treffen, sodass die bei einer aus dem ex¬ ternen Teilnehmer 36 stammenden Datenübertragung im Ring 28 verwendete Teilnehmerkennung gemäß der gültigen Filterregel zugelassen ist. Hierzu sind mehrere Varianten möglich.
Gemäß einer ersten, in Figur 4 gezeigten Variante weist die Kennungseinrichtung 46 eine Einheit 48 zur Kennungssetzung auf, die dazu vorgesehen ist, für den externen Teilnehmer 36 diesem eine durch die Filterungseinrichtung 38 autorisierte Teilnehmerkennung TK zuzuweisen. Hierzu ist in der oben genannten, in Figur 3 gezeigten Liste zumindest eine Kennung TK, in der betrachteten Ausführung eine MAC-Adresse, enthalten, die bei Bedarf einem externen Teilnehmer 36 zugewiesen werden kann. Diese Kennung ist eine sogenannte „freie" Ken- nung, die vor dem Hinzufügen des externen Teilnehmers 36 ins Datennetzwerk 18 nicht verwendet wurde. Zur Setzung einer gegenüber der Filtereinrichtung 38 zulässigen Teilnehmerkennung TK weist die Einheit 48 vorzugsweise eine Übersetzungsfunkti¬ on auf. Hierzu erzeugt die Einheit 48 eine in Figur 5 gezeig- te Übersetzungstabelle, die eine eindeutige Verknüpfung zwi¬ schen der eigentlichen Teilnehmerkennung, insbesondere MAC- Adresse MA, des anzubindenden, ringexternen Teilnehmers 36 und einer in der Liste der Filterungseinrichtung 38 eingetragenen, freien Teilnehmerkennung TK. Diese Übersetzungstabelle kann in der fachmännischen Sprache „MAC Address Translation Table" genannt werden.
In Figur 4 ist ein von dem externen Teilnehmer 36 erzeugtes, an den ringinternen, in der Figur links oben dargestellten Teilnehmer 20. a adressiertes Datenpaket DPI dargestellt. Die Kennungseinrichtung 46, welches das Datenpaket DPI empfängt, ersetzt mittels der Einheit 48 die Absenderadresse, d.h. die als MAC-Adresse ausgebildete Teilnehmerkennung MA durch eine freie Teilnehmerkennung TK der in Figur 3 gezeigten Liste. Das von der Kennungseinrichtung 46 weitergeleitete Datenpaket DP2 enthält nunmehr als Absenderadresse diese Teilnehmerken¬ nung TK. Da diese von der Filterungseinrichtung 38, d.h. von den Filtermodulen 40 zugelassen ist, wird das Datenpaket DP2 bis zum Empfänger (Teilnehmer 20. a) weitergeleitet. Entspre- chend wird bei einer Datenkommunikation, welche in Richtung auf den externen Teilnehmer 36 gerichtet ist, die Teilnehmerkennung, welche im Ring 28 als zugelassene Teilnehmerkennung TK des Zieles verwendet wird, in die eigentliche Teilnehmer-
kennung MA des externen Teilnehmers 36 von der Einheit 48 zur Kennungssetzung gemäß der in Figur 5 gezeigten Übersetzungstabelle zurück übersetzt. Eine doppelte Umsetzung der Teil¬ nehmerkennung kann für eine Datenkommunikation erfolgen, die zwischen dem externen Teilnehmer 36 und einem internen Teilnehmer 22 über den Ring 28 hergestellt wird.
Ausführungsvarianten sind in Figur 6 und 8 gezeigt. In diesen Ausführungen wird die eigentliche Teilnehmerkennung MA des externen Teilnehmers 36 für die Teilnahme an einem Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, verwendet. Insbesondere wird als Teilnehmerkennung MA die MAC-Adresse des externen Teilnehmers 36 für diesen Datenver¬ kehr verwendet. Damit dieser ohne Ausfilterung durch die Filterungseinrichtung 38 erfolgen kann, muss die dem externen Teilnehmer 36 bereits zugewiesene Teilnehmerkennung MA als hinsichtlich der geltenden Filterregel autorisierte Kennung bei den Filtermodulen 40 bekannt gemacht werden. In den betrachteten Ausführungsvarianten erfolgt demnach ein Aktualisierungsvorgang der in Figur 3 gezeigten Liste der von der Filterungseinrichtung 38 zugelassenen Teilnehmerkennungen. Der Aktualisierungsvorgang wird von der Kennungseinrichtung eingeleitet. Hierzu sind zumindest zwei Vorgänge möglich. Zur Unterscheidung der Ausführungsvarianten voneinander werden die Bezugszeichen 46 λ und 46 λ λ für die Kennungseinrichtung eingeführt .
In der Variante gemäß Figur 6 sendet die Kennungseinrichtung 46 λ eine Nachricht N in den Ring 28 derart, dass alle Filter- module 40 - d.h. in der konkret betrachteten Ausführungsform der Filtereinrichtung 38 - alle ringinterne Teilnehmer 20 diese Nachricht N empfangen. Diese Nachricht N enthält, wie in der Figur gezeigt die zuzulassende Teilnehmerkennung MA des externen Teilnehmers 36. Nach Erhalt der Nachricht N er- weitern die Filtermodule 40 jeweils ihre Liste der zuzulas¬ senden Teilnehmerkennungen um die Teilnehmerkennung MA des externen Teilnehmers 36. Die Nachricht N wird von der Ken¬ nungseinrichtung 46 λ vorzugsweise als Multicast- oder Broad-
castnachricht gesendet. Die Nachricht N ist in der Form eines Datenpakets gesendet, mit der MAC-Adresse der Kennungsein- richtung 46 λ als Absenderadresse und - in der betrachteten Ausführung - die für ein Broadcast vorgesehene Adresse FF-FF- FF-FF-FF-FF als Zieladresse. Der Informationsgehalt der Nach¬ richt N enthält einen Befehl („RegisterOffRingDevice" ) , wo¬ nach die Liste der zuzulassenden Teilnehmerkennungen um die Teilnehmerkennung MA von den adressierten Filtermodulen 40 zu erweitern ist.
Figur 7 zeigt die Übertragung des Datenpakets DPI, welches unverändert bis zum Empfänger (Teilnehmer 20. a) von den auf der Übertragungsstrecke angeordneten Filtermodulen 40 weitergeleitet wird. Im Unterschied zu Figur 4 enthält das Datenpa- ket DPI als Absenderadresse die eigentliche Teilnehmerkennung MA des externen Teilnehmers 36, welche nach der oben be¬ schriebenen Maßnahme der Kennungseinrichtung 46 λ in der Liste der Figur 3 eingetragen ist. In der Variante gemäß Figur 8 weist der Ring 28 einen soge¬ nannten Ringmanager RM auf. Dieser ist von einem der ringinternen Teilnehmer 20 gebildet, der gegenüber den weiteren ringinternen Teilnehmern 20 bestimmte Verwaltungsfunktionen besitzt. Die Kennungseinrichtung 46 λ λ sendet die Nachricht N an den Ring-Manager RM, welcher nach Erhalt dieser einen Aktualisierungsvorgang der Listen der durch die Filtermodule 40 zugelassenen Teilnehmerkennungen auslöst. Der Ring-Manager RM verteilt die Information, z.B. durch Sendung einer Multicast- oder Broadcastnachricht oder per Einzeladressierung an die Filtermodule 40. Der Datenverkehr kann dann wie in Figur 7 gezeigt erfolgen.
Die Nachricht N in beiden Ausführungsvarianten kann in der fachmännischen Sprache als „FilterUpdate-Message" bezeichnet werden. Sie wird vorzugsweise in einer kryptischen Form gesendet. Insbesondere kann sie eine kryptographische Prüfsumme aufweisen, z.B. gemäß AES-CBC-MAC, HMAC-SHA1, HMAC-SHA256, RSA-Signatur, DSA-Signatur, ECDSA-Signatur .
In den oben beschriebenen Ausführungen weist die Filterungseinrichtung 38 eine Filterregel auf, die den Datenverkehr hinsichtlich von zumindest einer Teilnehmerkennung filtert. Es wird ein Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, nur dann zugelassen, wenn die entspre¬ chenden Datenpakete Teilnehmerkennungen enthalten, die in der Liste gemäß Figur 3 enthalten sind. Wenn dies nicht der Fall ist, wird ein Datenpaket von einem Filtermodul 40 gesperrt und zum nächsten ringinternen Teilnehmer 20 nicht weitergeleitet. Die von der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ getroffene Maßnahme betreffend eine Teilnehmerkennung wird zu¬ dem nur dann getroffen, wenn sich der ringexterne Teilnehmer 36 erfolgreich gegenüber der Netzwerkzugangskontrolleinheit 44 authentisieren konnte. Die oben beschriebenen Maßnahmen der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ werden demnach abhängig von der Zulassung des externen Teilnehmers 36 durch die Netzwerkzugangskontrolleinheit 44 getroffen. Die Funktionen der Netzwerkzugangskontrolleinheiten 42, 44 und der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ wurden oben am Beispiel der Netzwerkzugangskontrolleinheit 44 erläutert, die für den Anschluss von externen Teilnehmern, wie z.B. des externen Teilnehmers 36, eingesetzt wird.
Die Netzwerkzugangskontrolleinheit 42 wird für den Anschluss von ringexternen Teilnehmern eingesetzt, die als interne Teilnehmer 22 ausgebildet sind bzw. in das Fahrzeug 10 neu oder nach Instandsetzung erneut eingebaut werden. Sie ist der Schnittstelleneinheit 30 zugeordnet. Wie bezüglich der Netz- werkzugangskontrolleinheit 44 erläutert ist der Schnittstel¬ leneinheit 30 eine Kennungseinrichtung 50 zugeordnet. Zur Be¬ schreibung der Funktionsweise der Netzwerkzugangskontrolleinheit 42 und der Kennungseinrichtung 50 wird auf den obigen Text zu der entsprechenden Netzwerkzugangskontrolleinheit 44 und der Kennungseinrichtung 46 hingewiesen. Wie für die Kennungseinrichtung 46 weist diese in der ersten, in Figur 4 gezeigten Ausführungsvariante eine Einheit 52 zur Kennungsset-
zung, deren Funktionsweise zu der Funktionsweise der Einheit 48 identisch ist. In den Ausführungsvarianten gemäß Figuren 6 und 8 werden zur Unterscheidung die Bezugszeichen 50 λ und 50 λ λ eingeführt.
Die Schnittstelleneinheit 30 und die dieser zugeordneten Netzwerkzugangskontrolleinheit 42 und Kennungseinrichtung 50 können als voneinander getrennte Baueinheiten gebildet sein. Wie in betrachteten Ausführung zu sehen ist jedoch vorteil- haft, wenn sie Bestandteile einer gemeinsamen, zusammenhängenden Baueinheit sind. Insbesondere entspricht diese Bauein¬ heit einem der ringinternen Teilnehmer 20, wie in den Figuren zu sehen. Dabei umfasst der ringinterne Teilnehmer 20 die Schnittstelleneinheit 30 und die zugeordneten Netzwerkzu- gangskontrolleinheit 42 und Kennungseinrichtung 50. Dabei kann er mit den Funktionen dieser Vorrichtungen programmiert sein. Die obigen Ausführungen gelten auch für die Schnittstelleneinheit 32 und die zugeordneten Netzwerkzugangskont¬ rolleinheit 44 und Kennungseinrichtung 46.
In der betrachteten Ausführung weist die Filtereinrichtung 38 mehrere Filterregeln auf, die jeweils einem unterschiedlichen Betriebszustand des Fahrzeugs 10 zugeordnet sind. Beispielsweise kann es erforderlich sein, dass eine DatenKom- munikation, die zumindest über einen Teil des Rings 28 er¬ folgt, derart verwaltet wird, dass ein Hochfahren der an das Datennetzwerk 18 angeschlossenen Funktionskomponenten bzw. internen Teilnehmer 22 innerhalb einer kurzen Zeitspanne er- folgen kann. Hierzu gilt während dieser Hochfahrphase des Fahrzeugs 10 eine Filterregel, die gegenüber der oben be¬ schriebenen Filterregel im normalen Betrieb modifiziert ist. Außerdem werden während der Hochfahrphase zumindest die Netz- werkzugangskontrolleinheit 42 in einem Betriebsmodus betrie- ben, welcher sich vom oben erläuterten, im normalen Betrieb des Fahrzeugs 10 angewandten Betriebsmodus unterscheidet.
Dies ist in Figur 9 dargestellt. Für die Netzwerkzugangskont- rolleinheit 42 und die Filtereinrichtung 38 wird eine soge¬ nannte „Grace-Period" implementiert, in welcher gegenüber dem Normalbetrieb weniger strenge Anforderungen gelten. In der betrachteten Ausführung der Einrichtung als Fahrzeug 10 entspricht der normale Betrieb einem „regulären Fahrbetrieb". Dieser wird erst freigegeben, nachdem die Authentisierung aller internen Teilnehmer 20, 22 durch die Netzwerkzugangskont- rolleinheit 42 erfolgreich beendet wurde.
Während der Hochfahrphase HFP (siehe Figur 9) ist die im Nor¬ malbetrieb des Fahrzeugs 10 beschriebene Filterregel der Fil¬ tereinrichtung 38, die anhand der Liste zugelassener Teilnehmerkennungen definiert ist, außer Kraft. Es gilt demnach eine zweite Filterregel der Filtereinrichtung 38, wonach jeglicher Datenverkehr über zumindest einen Teil des Rings 28 von der Filtereinrichtung 38 zugelassen wird. Dadurch kann ein über den Ring 28 erfolgender Datenverkehr, welcher insbesondere für den Aufbau des Datennetzwerks 18 und für die
Authentisierung der internen Teilnehmer 20, 22 erforderlich ist, ohne Einschränkung durch die Filtermodule 40 erfolgen. Die Hochfahrphase HFP kann in mehreren Phasen unterteilt werden. In einer ersten Phase PI baut sich das Datennetzwerk 18 auf. In einer weiteren, sich daran anschließenden Phase P2 erfolgt eine Initialisierung der Datenkommunikation zwischen einem der internen Teilnehmer 20, 22, welcher die Funktion eines zentralen Steuergeräts hat, mit den ihm zugeordneten internen Teilnehmern 20, 22. Dieses Steuergerät kann z.B. als ein ringexterner Teilnehmer 22 ausgebildet sein. Dieser
Schritt entspricht der Initialisierung des vom zentralen Steuergerät kontrollierten Steuernetzwerks.
In den ersten Phasen PI und P2 werden die Netzwerkzugangs- kontrolleinheit 42 und die Filtereinrichtung 38 derart be- trieben, dass die internen Teilnehmer 20, 22 bezüglich einer Beteiligung an einem Datenverkehr über den Ring 28 zugelassen sind, obwohl diese einer Authentisierung durch die Netzwerk- zugangskontrolleinheit 42 noch nicht unterlagen. Dabei ist
insbesondere ein Anschluss aller ringexternen Teilnehmer 22 an den Ring 28 über zumindest eine Schnittstelle (oder Port) der Schnittstelleneinheit 30 möglich, wobei diese Schnitt¬ stelle von der Schnittstelleneinheit 30 freigegeben wird, ob- wohl alle ringexternen Teilnehmer 22 durch die zugeordnete Netzwerkzugangskontrolleinheit 42 noch nicht geprüft oder nicht abschließend geprüft wurden.
Nachdem die Phase P2 zu Ende geführt wurde, erfolgen die oben beschriebenen Authentisierungsvorgänge der internen Teilnehmer, also der ringinternen Teilnehmer 20 und der ringexternen Teilnehmer 22 durch die Netzwerkzugangskontrolleinheit 42 während einer Phase P3 gemäß einem der oben erwähnten Authen- tisierungsprotokolle, insbesondere mittels einer zertifikats- basierten Authentisierung . Mit erfolgreichem Abschluss der
Authentisierungsvorgänge endet die Hochfahrphase HFP und mit ihr die Grace-Period der Filtereinrichtung 38. Im anschlie¬ ßenden, freigegebenen normalen Betrieb NB, insbesondere regulären Fahrbetrieb gilt die weiter oben erläuterte Filterregel auf der Basis der Teilnehmerkennungen. Die Hochfahrphase HFP ist auch „Initialisierungsbetrieb" des Fahrzeugs 10 genannt. Bei der betrachteten Ausführung des Fahrzeugs 10 als Schie¬ nenfahrzeug erfolgt während des Initialisierungsbetriebs ins¬ besondere die sogenannte „Zugtaufe".
Der im Initialisierungsbetrieb verwendete Betriebsmodus der Netzwerkzugangskontrolleinheit 42 und der Filterungseinrich¬ tung 38 kann außerdem beim Vorliegen eines gestörten Betriebs des Fahrzeugs 10 aktiviert werden. Ein derartiger Betrieb kann z.B. durch die Auslösung eines Notbremssignals oder durch eine Brandmeldung aktiviert werden.
Es sind weitere Betriebszustände denkbar, für die eine unter¬ schiedliche Filter- und/oder Authentisierungsregel als im normalen Betrieb des Fahrzeugs 10 vorgesehen ist. So kann insbesondere in einem Wartungsmodus oder in einem Hersteller- Werkstattmodus eine Filterregel vorgesehen sein, die der zweiten Filterregel entspricht. In diesen Modi ist demnach
ein über zumindest einen Teil des Rings 28 erfolgender Datenverkehr ohne Einschränkung möglich.
Es ist außerdem auch denkbar, dass eine Filterregel der Fil- terungseinrichtung 38 und/oder der Authentisierungsvorgang der Netzwerkzugangskontrolleinheiten 42, 44 im normalen Betrieb, d.h. im betrachteten Beispiel im regulären Fahrbetrieb, umkonfigurierbar oder anders formuliert für ein
Umkonfigurieren gesperrt sind. Diese Sperre kann beispiels- weise beim Aktivieren eines weiteren Betriebsmodus, wie z.B. des Wartungsmodus, aufgehoben werden.
Ein Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, kann für einen bestimmten externen Teilnehmer, der sich bereits zumindest ein Mal erfolgreich im Datennetzwerk 18 authentisieren konnte, durch eine Filterregel der Filterungseinrichtung 38 und/oder einen Betriebsmodus der Netzwerkzugangskontrolleinheit 44 im normalen Betrieb expli¬ zit gesperrt sein. Beispielsweise kann im regulären Fahrbe- trieb des Fahrzeugs 10 ein Datenverkehr mit dem externen Teilnehmer 36, welcher sich zwar in einem vorherigen Wartungsmodus erfolgreich authentisieren konnte, durch die Filterungseinrichtung 38 und/oder die Netzwerkzugangskontroll¬ einheit 44 gesperrt sein.
In den in den Figuren gezeigten Ausführungen kann ein Datenverkehr in unterschiedlichen Richtungen, d.h. im Uhrzeigersinn oder gegen den Uhrzeigersinn, im Ring 28 erfolgen. Dadurch sind potentielle Übertragungswege mit unterschiedlichen Längen möglich, wobei vorzugsweise der Übertragungsweg mit der niedrigsten Länge für den Datenverkehr ausgewählt wird. Es ist außerdem auch möglich, dass einer der ringinternen Teilnehmer 20 die Funktion eines Masters (oder „Medien Redundanz Master Switch") implementiert, welcher den Ring 28 an einer bestimmten Stelle logisch unterbricht.
In einer bevorzugten Variante sind die Filterregeln der Filterungseinrichtung 38 unabhängig von der Übertragungsrichtung
eines Datenpakets unabhängig. Dies hat den Vorteil, dass bei einer Umkonfiguration des Rings, insbesondere aufgrund eines Fehlerfalls, eine Umkonfiguration der Filterregeln nicht erforderlich ist. Es können jedoch auch Filterregeln der Filte- rungseinrichtung 38 zur Filterung von Datenpaketen vorgesehen sein, die von der Richtung der Übertragung eines Datenpakets über den Ring 28 abhängig sind. Gemäß einer Filterregel kann für ein Filtermodul 40 vorgesehen sein, dass ein Datenpaket nur in eine bestimmte Richtung weitergeleitet wird und in der Gegenrichtung gesperrt ist. In diesem Fall kann eine automa¬ tische Umkonfiguration der Filterregeln für die ringinternen Teilnehmer 20 erfolgen, um die unterschiedliche Übertragungs¬ richtung zu berücksichtigen. In einer anderen Variante erfolgt keine automatische Umkonfiguration der Filterregeln. In diesem Fall müssen sich die internen Teilnehmer 20, 22 erneut authentisieren, sodass daraufhin passende Filtereinträge ein¬ gerichtet werden können.
In einer weiteren Variante erfolgt eine automatische
Umkonfiguration der Filterregeln für die ringinternen Teilnehmer 20, während sich die ringexternen Teilnehmer 22 erneut authentisieren müssen.