WO2018162161A1 - Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen - Google Patents
Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen Download PDFInfo
- Publication number
- WO2018162161A1 WO2018162161A1 PCT/EP2018/052869 EP2018052869W WO2018162161A1 WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1 EP 2018052869 W EP2018052869 W EP 2018052869W WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- safety
- critical network
- network
- information
- critical
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4). Um eine eisenbahntechnische Anlage kostengünstiger zu gestalten, ist es erfindungsgemäß vorgesehen, dass die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) eingespeist werden. Die Erfindung betrifft weiterhin eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen.
Description
Beschreibung
VERFAHREN UND VORRICHTUNGEN ZUM RÜCKWIRKUNGSFREIEN ÜBERMITTELN VON INFORMATIONEN
Die Erfindung betrifft ein Verfahren und eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesonde- re Diagnoseinformationen, von wenigstens einem Teilnehmer ei- nes sicherheitskritischen Netzwerks in ein nicht sicherheits- kritisches Netzwerk.
Sicherheitskritische Netzwerke werden für sicherheitsrelevan¬ te Einrichtungen, wie beispielsweise eine eisenbahntechnische Anlage, eingesetzt, um eine Kommunikation zwischen sicher- heitskritischen Komponenten, wie beispielsweise Gleiskreisen, Achszählern etc., welche als Teilnehmer im sicherheitskriti¬ schen Netzwerk ausgebildet sind, zu gewährleisten. Sie sind beispielsweise nach dem Sicherheitsintegritätslevel SIL3 oder SIL4 ausgeführt. Über diese sicherheitskritischen Netzwerke werden Informationen zwischen den Komponenten und übergeordneten Systemen, wie beispielsweise Stellwerken, ausgetauscht. Bei eisenbahntechnischen Anlagen werden über ein solches sicherheitskritisches Netzwerk beispielsweise betriebliche Informationen zwischen den Teilnehmern übermittelt. Da sicherheitskritische Netzwerke sehr aufwendig sind, werden sie nur eingerichtet, wenn dies absolut notwendig ist.
Weiterhin gibt es in den genannten Einrichtungen, wie beispielsweise einer eisenbahntechnischen Anlage, auch nicht sicherheitskritische Bereiche und Netzwerke, in denen bei¬ spielsweise Diagnosedaten in einem Diagnosesystem verarbeitet werden. Da ein nicht sicherheitskritisches Netzwerk, wie bei¬ spielsweise ein Diagnosesystem, unsicher ist und nur SILO oder auch gar keine SIL-Zuordnung aufweist, darf es nicht mit dem sicherheitskritischen Netzwerk verbunden werden. Es könnte nämlich nicht garantiert werden, dass das Diagnosesystem die Sicherheit des sicherheitskritischen Netzwerks nicht ne¬ gativ beeinflusst. Solche Einflüsse können beispielsweise ei-
ne Erzeugung von störender Last auf das sicherheitskritische Netzwerk oder Beeinflussungen der sicheren Teilnehmer sein, die die Sicherheit der eisenbahntechnischen Anlage gefährden könnten .
Um trotzdem ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosenetzwerk, mit den nötigen Informationen wie Diagnoseinformationen und Diagnosedaten zu versorgen, weisen beispielsweise Komponenten einer eisenbahntechni- sehen Anlage teilweise Diagnoseschnittstellen auf, die speziell zur Verbindung mit dem nicht sicherheitskritischen Netzwerk ausgebildet sind. Diese Diagnoseschnittstellen sind intern so ausgestaltet, dass von ihnen keine Gefährdung für das sicherheitskritische Netzwerk ausgeht und sie insbesondere nicht direkt mit dem sicherheitskritischen Netzwerk verbunden sind. Über die Diagnoseschnittstellen können rückwirkungsfrei Diagnoseinformationen ausgelesen werden.
Allerdings erhöhen sich die Kosten der Komponenten durch die zusätzliche Diagnoseschnittstelle. Außerdem sind insbesondere ältere Komponenten einer eisenbahntechnischen Anlage häufig nicht oder noch nicht mit solchen Diagnoseschnittstellen ausgestattet, so dass solche Komponenten nicht in ein modernes Diagnosesystem eingebunden werden können.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, durch die die Kosten reduziert werden können und auch eine Einbindung von älteren Komponenten möglich ist.
Erfindungsgemäß wird die Aufgabe gelöst durch ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicher- heitskritisches Netzwerk, bei dem die Informationen von dem Teilnehmer in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk verbundenen Leseeinrichtung
rückwirkungsfrei gelesen und in das nicht sicherheitskriti¬ sche Netzwerk eingespeist werden.
Weiterhin wird die Erfindung gelöst durch eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheits¬ kritisches Netzwerk, mit wenigstens einer mit dem sicher¬ heitskritischen und dem nicht sicherheitskritischen Netzwerk verbindbaren Leseeinrichtung, die zum rückwirkungsfreien Lesen der vom Teilnehmer in das sicherheitskritische Netzwerk eingespeisten Informationen und zum Einspeisen der gelesenen Information in das sicherheitskritische Netzwerk ausgebildet ist .
Die erfindungsgemäße Lösung hat den Vorteil, dass keine zu¬ sätzliche Diagnoseschnittstelle an Teilnehmern zur Verbindung mit dem nicht sicherheitsrelevanten Netzwerk nötig ist und dadurch die Kosten reduziert werden können. Die Informatio- nen, die für das nicht sicherheitsrelevante Netzwerk bestimmt sind, können vom Teilnehmer einfach über das sicherheitskritische Netzwerk versendet werden, in das der Teilnehmer bereits eingebunden ist. Die Einspeisung der Informationen in das nicht sicherheitskritische Netzwerk wird zentral von der Leseeinrichtung übernommen. So können auch bestehende Systeme sehr einfach umgerüstet werden und mit einem modernen Diagnosesystem verbunden werden.
Die erfindungsgemäße Lösung kann durch vorteilhafte Ausge- staltungen weiter entwickelt werden, die im Folgenden beschrieben sind.
So kann bei dem erfindungsgemäßen Verfahren wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk ein- gespeist werden und aufgrund des Aufforderungssignals ein Einspeisen der Informationen in das sicherheitskritische Netzwerk durchgeführt werden. Dies hat den Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen abgeben
und einspeisen können, in beispielsweise ein Diagnosesystem eingebunden werden können. Das Aufforderungssignal kann von einem anderen Teilnehmer des sicherheitskritischen Netzwerks erzeugt werden. So kann das Aufforderungssignal zentral von einem Teilnehmer kostengünstig erzeugt werden, der beispiels¬ weise ein einfacher Rechner ist.
Um nicht alle Teilnehmer gleichzeitig zum Senden der Informa¬ tionen aufzufordern, kann das Aufforderungssignal an wenigs- tens einen bestimmten Teilnehmer des sicherheitskritischen
Netzwerks adressiert werden. Das gleichzeitige Einspeisen der Informationen von allen Teilnehmern in das sicherheitskritische Netzwerk könnte nämlich negative Auswirkungen für den Zustand des sicherheitskritischen Netzwerks haben.
Ferner kann das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist werden. In Abhängigkeit von den Komponenteneigenschaften der Teilnehmer kann so ein Zeitintervall gewählt werden, in dem der Teilnehmer besonders gut in der Lage ist, Informationen zu senden und in seiner normalen Funktion nicht gestört wird. Ferner können mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden. Um eine Überlastung des sicherheitskritischen Netzwerks in jedem Fall zu vermeiden, kann wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers erfasst und das Aufforderungssignal in Abhängig¬ keit von der wenigstens einen Eigenschaft gesendet werden. So ist jederzeit sichergestellt, dass keine Überlastung des sicherheitskritischen Netzwerks durch die eingespeisten Informationen geschieht.
In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung kann die Anordnung wenigstens eine Aufforderungs- einrichtung aufweisen, die mit dem sicherheitskritischen Netzwerk verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungs-
signal den wenigstens einen Teilnehmer zur Einspeisung der Information in das sicherheitskritische Netzwerk veranlasst. Dies hat den oben bereits beschriebenen Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen aussenden können, sehr leicht eingebunden werden können.
In einer vorteilhaften Ausgestaltung kann die Aufforderungs- einrichtung wenigstens eine Schnittstelle zum nicht sicher¬ heitskritischen Netzwerk aufweisen und so ausgebildet sein, dass das sicherheitskritische Netzwerk von dem nicht sicher¬ heitskritischen Netzwerk getrennt ist. Dies hat den Vorteil, dass gegebenenfalls konkrete Kommandos aus dem nicht sicher¬ heitskritischen Netzwerk an die AuffOrderungseinrichtung übertragen werden können. Die Kommandos können beispielweise von einem Diagnosesystem kommen.
Ferner kann die Anordnung wenigstens ein Erfassungsmittel aufweisen, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers ausgebildet ist. Dies hat den oben bereits beschriebenen Vorteil, dass ein Zustand des Netzwerks bzw. der Teilnehmer erfasst werden kann und die Anordnung das Aufforderungssignal in einem für das sicherheitskritische Netz¬ werk oder die Teilnehmer günstigen Moment abgeben kann. Dies stellt sicher, dass keine negativen Beeinträchtigungen vom Senden des Aufforderungssignals und den anschließenden einspeisenden Informationen ausgeht.
Die Erfindung betrifft weiterhin ein sicherheitskritisches Netzwerk, insbesondere einer eisenbahntechnischen Anlage, mit wenigstens einem Teilnehmer, der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk ausgebildet ist. Um die Kosten einer sicherheitskritischen Anlage zu senken, ist erfindungsgemäß vorgesehen, dass das sicherheitskritische Netzwerk wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen aufweist.
Im Folgenden wird die Erfindung mit Bezug auf die beispiel¬ haften Ausführungsformen in den beigefügten Zeichnungen beschrieben . Es zeigen:
Figur 1 eine schematische Darstellung einer beispielhaften
Ausführungsform einer erfindungsgemäßen Anordnung in einer eisenbahntechnischen Anlage;
Figur 2 eine schematische Darstellung einer weiteren Ausführungsform einer erfindungsgemäßen Anordnung.
Die in Figur 1 schematisch dargestellte beispielhafte Ausfüh- rung der Erfindung zeigt eine eisenbahntechnische Anlage 1, die mehrere Komponenten 2, ein sicherheitskritisches Netzwerk 3, ein nicht sicherheitskritisches Netzwerk 4 und ein Diagno¬ sesystem 5 aufweist. Die eisenbahntechnische Anlage 1 umfasst weiterhin eine erfindungsgemäße Anordnung 6, die wiederum ei- ne Leseeinrichtung 7 und eine AuffOrderungseinrichtung 8 aufweist.
Die Komponenten 2 der eisenbahntechnischen Anlage 1 sind beispielsweise Gleiskreise, Achszähler, Weichen, Lichtsignale oder auch Stellwerke, die den Betrieb der eisenbahntechnischen Anlage 1 steuern. Dies sind alles sicherheitskritische Komponenten 2, die daher zur Kommunikation untereinander in das sicherheitskritische Netzwerk 3 als Teilnehmer 9 einge¬ bunden sind. Weitere Teilnehmer 9 des sicherheitskritischen Netzwerks 3 sind Router 10 und die AuffOrderungseinrichtung 8 der Anordnung 6. Die Komponenten 2 tauschen über das sicherheitskritische Netzwerk 3 betriebliche Informationen aus, wie beispielsweise Gleisfreimeldungen, Meldungen zum Erreichen von Endlagen, Bestätigungen eines LichtZeichens und ähnliches betreffen. Die Komponenten 2 geben aber erfindungsgemäß auch Diagnoseinformationen, beispielsweise über ihren Betriebszustand oder andere von dem Diagnosesystem 5 auswertbare Infor-
mationen, über das sicherheitskritische Netzwerk 3 ab. Dies wird im Folgenden noch genauer erläutert.
Die Router 10 sind in an sich bekannter Weise ausgebildet, können allerdings ebenfalls Diagnoseinformationen, wie beispielsweise Eigendiagnoseinformation, in das sicherheitskritische Netzwerk 3 einspeisen und damit zum Diagnosesystem 5 übertragen . Die Leseeinrichtung 7 ist kein Teilnehmer des sicherheitskritischen Netzwerks 3, aber so mit ihm verbunden, dass der Datenverkehr im sicherheitskritischen Netzwerk 3 von ihm gelesen werden kann. Die Leseeinrichtung 7 ist beispielsweise als ein Netzwerktap ausgebildet, der den Datenverkehr des sicher- heitskritischen Netzwerks 3 rückwirkungsfrei, also ohne Aus¬ wirkungen auf das sicherheitskritische Netzwerk 3 und seine Teilnehmer 9, mitschreiben und mitlesen kann. Erfindungsgemäß ist die Leseeinrichtung 7 in ihrer Hardwarekonstruktion so ausgestaltet, dass ein Rückwirken auf das sicherheitskriti- sehe Netzwerk 3 ausgeschlossen ist.
Die AuffOrderungseinrichtung 8 ist im Gegensatz zur Leseeinrichtung 7 als ein Teilnehmer 9 des sicherheitskritischen Netzwerks 3 ausgebildet, so dass sie aktiv sicherheitskriti- sehen Netzwerk 3 agieren kann und Kommandos und Nachrichten einspeisen kann. Die AuffOrderungseinrichtung 8 ist zum Erzeugen eines Aufforderungssignals ausgebildet, das sie in das sicherheitskritische Netzwerk 3 einspeist. Das Aufforderungs¬ signal, das auch als Polling-Signal bezeichnet werden könnte, stößt ein Senden von Informationen bei den Teilnehmern 9 an. Das Aufforderungssignal kann entweder an einen oder mehrere bestimmte Teilnehmer 9 adressiert sein oder auch an alle Teilnehmer 9 des sicherheitskritischen Netzwerks 3. Die Aufforderungseinrichtung 8 weist ein Erfassungsmittel 11 auf, das Eigenschaften des sicherheitskritischen Netzwerks 3 er- fasst, wie z. B. eine aktuelle Belastung. In Abhängigkeit von den durch das Erfassungsmittel 11 erfassten Eigenschaften des sicherheitskritischen Netzwerks 3 sendet die Aufforderungs-
einrichtung 8 das Aufforderungssignal aus, wenn der Zustand des sicherheitskritischen Netzwerks 3 geeignet ist, also ein besonders günstiger Zeitpunkt vorliegt. Dadurch ist sicherge¬ stellt, dass das sicherheitskritische Netzwerk 3 durch das Einspeisen von Informationen von den Teilnehmern 9 nicht negativ belastet wird. Die AuffOrderungseinrichtung 8 ist in der in Figur 1 dargestellten beispielhaften Ausführungsform nicht mit dem nicht sicherheitskritischen Netzwerk 4 verbunden, sondern nur mit dem sicherheitskritischen Netzwerk 3.
Die Leseeinrichtung 7 ist als ein Teilnehmer 12 des nicht sicherheitskritischen Netzwerks 4 ausgebildet und kann daher Informationen, die im sicherheitskritischen Netzwerk 3 gelesen wurden, in das nicht sicherheitskritische Netzwerk 4 ein- speisen.
Das Diagnosesystem 5 ist in an sich bekannter Weise ausgebildet und verarbeitet Diagnoseinformationen und gegebenenfalls auch andere Informationen der eisenbahntechnischen Anlage 1 zu Diagnosezwecken. Um die Diagnosequalität zu erhöhen, kann das Diagnosesystem 5 neben den Diagnoseinformationen beispielsweise auch die betrieblichen Informationen aus dem sicherheitskritischen Netzwerk 3 auswerten. So lassen sich beispielsweise Funktionen wie Root Cause Analysis, die einen für eine Störung ursächlichen Fehler identifiziert, sowie Predictive Maintenance, die einen Fehler erkennt bevor er passiert, realisieren. Da das Diagnosesystem 5 als ein sicherheitstechnisch nicht sicheres System, beispielsweise nach Sicherheitslevel SILO, ausgebildet ist, darf es keine Verbindung zum sicherheitskritischen Netzwerk 3, das z. B. SIL3 oder SIL4 ist, aufweisen. Das Diagnosesystem 5 erhält erfindungsgemäß die nötigen Informationen durch die erfindungsgemäße Anordnung 6 und insbesondere die Leseeinrichtung 7 über das nicht sicherheitskritische Netzwerk 4. Anstatt des Diagnosesystems 5 kann auch ein beliebiges anderes System eingesetzt werden, das die Informationen verarbeitet, wie z.B. ein Reporting System oder ein System für Datenanalyse.
Die Aufforderungseinrichtung 8 kann beispielsweise als ein separater Rechner im sicherheitskritischen Netzwerk 3 ausgebildet sein und könnte auch als Polling Trigger bezeichnet werden. Die Aufforderungseinrichtung 8 kennt die IP-Adressen der einzelnen Teilnehmer 9 und kann so auch bestimmte Teilnehmer 9 mit individuellen Aufforderungssignalen gezielt zum Senden von Diagnoseinformationen auffordern. Die Aufforde- rungssignale können in bestimmten Zeitintervallen ausgesendet werden, die auch für einzelne Teilnehmer 9 konfigurierbar sind. Die Zeitintervalle hängen beispielsweise von bestimmten Eigenschaften der Komponenten 2 ab. Beispielsweise kann eine Komponente 2 nicht in der Lage sein, parallel zu ihrer Funk¬ tion auch noch Diagnosedaten zu senden. Die Aufforderungseinrichtung 8 sendet die Aufforderungssignale so aus, dass die Netzwerkeigenschaften des sicherheitskritischen Netzwerks 3 nicht negativ beeinflusst werden. Zu den Netzwerkeigenschaf¬ ten gehören eine maximale Last sowie ein möglichst effektives Nutzen der Netzwerkressourcen. Das Aufforderungssignal wird von der Aufforderungseinrichtung 8 an wenigstens einen Teil- nehmer 9, insbesondere an die Komponenten 2, gesendet. Die Komponenten 2 oder Teilnehmer 9 registrieren das Aufforderungssignal und speisen als Reaktion auf das Aufforderungs¬ signal die angefragten Diagnosedaten bzw. Diagnoseinformatio¬ nen in das sicherheitskritische Netzwerk 3 ein. Die durch das Aufforderungssignal angeforderten Informationen können anschließend von der Leseeinrichtung 7 mitgelesen werden und so an das Diagnosesystem 5 über das nicht sicherheitskritische Netzwerk 4 übertragen werden. Die betrieblichen Informationen der Komponenten 2, die ohne Aufforderungssignal von den Komponenten 2 gesendet werden, werden durch die Leseeinrichtung 7 ebenfalls mitgelesen und an das Diagnosesystem 5 übertragen. Um die Sicherheitseigenschaften des sicherheitskritischen Netzwerks 3 zu erfüllen, ist die Aufforderungseinrichtung 8 auf einer geeigneten Rechnerplattform realisiert, die die notwendigen Sicherheitsbe¬ dingungen erfüllt.
Durch die erfindungsgemäße Lösung erhält das Diagnosesystem 5, das nicht sicher ausgeführt ist, trotzdem alle erforderli¬ chen Informationen aus dem sicherheitskritischen Netzwerk 3. So ist die Diagnosequalität der erfindungsgemäßen eisenbahn- technischen Anlage 1 besonders hoch, ohne dass Komponenten 2 eingesetzt werden müssen, die spezielle Diagnoseschnittstel¬ len aufweisen.
Im Folgenden wird die weitere beispielhafte Ausführungsform der Erfindung mit Bezug auf Figur 2 beschrieben. Der Einfachheit halber wird lediglich auf die Unterschiede zu der Aus¬ führungsform in Figur 1 eingegangen.
Im Gegensatz zu der Ausführungsform in Figur 1 weist die Auf- forderungseinrichtung 8 der erfindungsgemäßen Anordnung 6 bei der beispielhaften Ausführungsform in Figur 2 eine zusätzliche Schnittstelle 13 auf. Die Schnittstelle 13 ist mit dem nicht sicherheitskritischen Netzwerk 4 verbunden. Durch die Verbindung des Diagnosesystems 5 mit der Aufforderungsein- richtung 8 über die Schnittstelle 13 und das nicht sicher¬ heitskritische Netzwerk 4 können Konfigurationsdaten und gegebenenfalls konkrete Kommandos von dem Diagnosesystem 5 an die Aufforderungseinrichtung 8 übertragen werden. Auch ist ein Setzen von Parametern durch das Diagnosesystem 5 möglich. Solche Parameter können z.B. die Häufigkeit des Aufforde- rungssignals für einen Teilnehmer 9 oder eine maximal zuläs¬ sige Netzlast durch die Aufforderungssignale auf dem sicher¬ heitskritischen Netz 3 sein. So können bestimmte Informationen gezielt vom Diagnosesystem 5 angefordert werden. Um die Sicherheit des sicherheitskritischen Netzwerks 3 nicht zu ge¬ fährden, ist die Aufforderungseinrichtung 8 intern mit einer Netzwerktrennung versehen, die eine Trennung zwischen dem nicht sicherheitskritischen Netzwerk 4 und dem sicherheitskritischen Netzwerk 3 garantiert.
In beiden Ausführungsformen der Figuren 1 und 2 ist das sicherheitskritische Netzwerk 3 mit einem hohen Sicherheits¬ level ausgestattet, beispielsweise nach SIL3 oder SIL4.
Claims
1. Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netzwerks
(3) in ein nicht sicherheitskritisches Netzwerk (4), bei dem die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeist werden und bei dem die In¬ formationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) einge¬ speist werden.
2. Verfahren nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens ein Aufforderungssignal in das sicherheitskriti¬ sche Netzwerk (3) eingespeist wird und aufgrund des Aufforde¬ rungssignals das Einspeisen der Informationen in das sicherheitskritische Netzwerk (4) durchgeführt wird.
3. Verfahren nach Anspruch 2,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal von einem anderen Teilnehmer (9) des sicherheitskritischen Netzwerks (3) erzeugt wird.
4. Verfahren nach einem der Ansprüche 2 bis 3,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal an wenigstens einen bestimmten Teil¬ nehmer des sicherheitskritischen Netzwerks (3) adressiert wird.
5. Verfahren nach einem der Ansprüche 2 bis 4,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist wird.
6. Verfahren nach einem der Ansprüche 2 bis 5,
d a d u r c h g e k e n n z e i c h n e t , dass
mehrere für unterschiedliche Teilnehmer adressierte Aufforde¬ rungssignale in unterschiedlichen Zeitintervallen eingespeist werden .
7. Verfahren nach einem der Ansprüche 2 bis 6,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens eine Eigenschaft des sicherheitskritischen Netz¬ werks (3) und/oder des wenigstens einen Teilnehmers (9) er- fasst und das Aufforderungssignal in Abhängigkeit von der we- nigstens einen Eigenschaft gesendet wird.
8. Anordnung (6) zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netz- werks (3) in ein nicht sicherheitskritisches Netzwerk (4), mit wenigstens einer mit dem sicherheitskritischen Netzwerk (3) und dem nicht sicherheitskrischen Netzwerk (4)
verbindbaren Leseeinrichtung (7), die zum rückwirkungsfreien Lesen der vom Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeisten Informationen und zum Einspeisen der gelesenen Informationen in das nicht sicherheitskritische Netzwerk (4) ausgebildet ist.
9. Anordnung (6) nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens eine AuffOrderungseinrichtung (8) aufweist, die mit dem sicherheitskritischen Netzwerk (3) verbindbar und zur Erzeugung wenigstens eines Aufforderungs- signals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer (9) zur Einspeisung der Information in das sicherheitskritische Netzwerk (3) veranlasst.
10. Anordnung (6) nach Anspruch 9,
d a d u r c h g e k e n n z e i c h n e t , dass
die AuffOrderungseinrichtung (8) wenigstens eine Schnittstel¬ le (13) zum nicht sicherheitskritischen Netzwerk (4) aufweist und so ausgebildet ist, dass das sicherheitskritische Netz-
werk (3) von dem nicht sicherheitskritischen Netzwerk (4) getrennt ist.
11. Anordnung (6) nach Anspruch 9 oder 10,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens ein Erfassungsmittel (11) aufweist, das zum Erfassen von wenigstens einer Eigenschaft des sicher¬ heitskritischen Netzwerks (3) und/oder des wenigstens einen Teilnehmers (9) ausgebildet ist.
12. Sicherheitskritisches Netzwerk (3), insbesondere einer eisenbahntechnischen Anlage (1), mit wenigstens einem Teil¬ nehmer (9), der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netz- werk (3) ausgebildet ist,
d a d u r c h g e k e n n z e i c h n e t , dass
das sicherheitskritische Netzwerk (3) wenigstens eine Anord¬ nung (6) nach einem der oben genannten Ansprüchen 8 bis 11 aufweist .
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017203590.0 | 2017-03-06 | ||
DE102017203590.0A DE102017203590A1 (de) | 2017-03-06 | 2017-03-06 | Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018162161A1 true WO2018162161A1 (de) | 2018-09-13 |
Family
ID=61283161
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2018/052869 WO2018162161A1 (de) | 2017-03-06 | 2018-02-06 | Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102017203590A1 (de) |
WO (1) | WO2018162161A1 (de) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014226398A1 (de) * | 2014-12-18 | 2016-06-23 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten |
DE102015214993A1 (de) * | 2015-08-06 | 2017-02-09 | Siemens Aktiengesellschaft | Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken |
-
2017
- 2017-03-06 DE DE102017203590.0A patent/DE102017203590A1/de not_active Withdrawn
-
2018
- 2018-02-06 WO PCT/EP2018/052869 patent/WO2018162161A1/de active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014226398A1 (de) * | 2014-12-18 | 2016-06-23 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten |
DE102015214993A1 (de) * | 2015-08-06 | 2017-02-09 | Siemens Aktiengesellschaft | Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken |
Also Published As
Publication number | Publication date |
---|---|
DE102017203590A1 (de) | 2018-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3207683B1 (de) | Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten | |
DE3201768C2 (de) | ||
EP3295645B1 (de) | Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken | |
EP3102475B1 (de) | Ersatz-ressource für einen defekten rechnerkanal eines schienenfahrzeugs | |
DE102014218823A1 (de) | Netzknoten, Steuermodul für eine Komponente und Ethernet Ring | |
EP2613463B1 (de) | Verfahren zur überwachung eines transmitters und entsprechender transmitter | |
EP0214474B1 (de) | Verfahren und Schaltungsanordnung zum Ubertragen von Datensignalen zwischen über ein Ringleitungssystem miteinander verbundenen Steuereinrichtungen | |
EP3964419A1 (de) | Übertragung von daten zwischen einem spurgebundenen fahrzeug und einer landseitigen einrichtung | |
DE102006017302A1 (de) | Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals | |
DE102005046373A1 (de) | Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug | |
DE102018220605B4 (de) | Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks | |
EP1085705A2 (de) | Netzwerk mit mehreren Netzknoten und wenigstens einem Sternknoten | |
WO2018162161A1 (de) | Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen | |
DE602004007130T2 (de) | Fehlererkennung und unterdrückung in einem tdma-basierten netzknoten | |
DE102018212657A1 (de) | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz | |
DE102017217301A1 (de) | Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten | |
DE102016113322A1 (de) | Slave-Steuerung für Ethernet-Netzwerk | |
DE102016108997A1 (de) | Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät | |
DE10247637B4 (de) | Schaltungsanordnung zur Ermittlung eines ein wake-up-Signal sendenden Steuergeräts eines Bus-Systems mit mehreren weiteren Steuergeräten | |
DE10329196A1 (de) | Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten | |
DE102021127310B4 (de) | System und Verfahren zur Datenübertragung | |
EP0905623B1 (de) | Verfahren zum Austausch von Datenpaketen innerhalb eines sicheren Mehrrechnersystems und Mehrrechnersystem zur Ausführung des Verfahrens | |
WO2023222358A1 (de) | Verfahren und system zur automatisierten ermittlung der zugintegrität eines zugverbands | |
DE102016110148A1 (de) | Endsystemeinrichtung mit integrierter Schalteinrichtung | |
DE102006007844A1 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18707246 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 18707246 Country of ref document: EP Kind code of ref document: A1 |