WO2018162161A1 - Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen - Google Patents

Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen Download PDF

Info

Publication number
WO2018162161A1
WO2018162161A1 PCT/EP2018/052869 EP2018052869W WO2018162161A1 WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1 EP 2018052869 W EP2018052869 W EP 2018052869W WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1
Authority
WO
WIPO (PCT)
Prior art keywords
safety
critical network
network
information
critical
Prior art date
Application number
PCT/EP2018/052869
Other languages
English (en)
French (fr)
Inventor
Thomas Gehrke
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2018162161A1 publication Critical patent/WO2018162161A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Definitions

  • the invention relates to a method and an arrangement for the feedback-free transmission of information, in particular diagnostic information, from at least one subscriber of a safety-critical network to a non-safety-critical network.
  • Safety-critical networks are used for composingsrelevan ⁇ te devices, such as a railroad technical facility in order to ensure communication between safety-critical components, such as track circuits, axle counters, etc., which are formed as a participant in Describeskriti ⁇ rule network. They are designed, for example, to the safety integrity level SIL3 or SIL4. These safety-critical networks exchange information between the components and higher-level systems, such as signal boxes. In railway engineering facilities, for example, operational information is transmitted between the participants via such a safety-critical network. Because safety-critical networks are very expensive, they are only set up when absolutely necessary.
  • non-safety-critical areas and networks in which are processed at ⁇ game as diagnostic data in a diagnostic system.
  • a non-safety-critical network as ⁇ play, a diagnostic system, is uncertain and only SILO or none SIL assignment has, it must not be connected to the safety-critical network. It could not be guaranteed namely that the diagnostic system is not ne ⁇ gativ affect the safety of safety-critical network. Such influences can be generating disturbing loads on the safety-critical network or influencing the safe participants, which could jeopardize the safety of the railway installation.
  • components of a railway technical system partially have diagnostic interfaces which are specially designed for connection to the non-safety-critical network.
  • diagnostic interfaces are internally designed in such a way that they pose no threat to the safety-critical network and, in particular, are not directly connected to the safety-critical network. Diagnostic information can be read out without any reaction via the diagnostic interfaces.
  • the object is achieved by a method for feedback-free transmission of information, in particular diagnostic information from at least one participant of a safety-critical network in a non-safety-critical network, in which the information from the participant in the safety-critical network are fed and in which the information from a reader connected to the safety-critical network be read without reaction and fed into the non .skriti ⁇ cal network.
  • the invention is achieved by an arrangement for the reaction-free transmission of information, in particular diagnostic information from at least one subscriber of a safety-critical network in a non-security ⁇ critical network, integrated critical with at least one with the safe ⁇ and connected to the non-safety-critical network reading means to feedback-free reading of the information fed by the subscriber into the safety-critical network and for feeding the information read into the safety-critical network is formed.
  • the inventive solution has the advantage that no additional ⁇ to diagnostic interface of participants to connect to the non-security network is needed and thus the cost can be reduced.
  • the information intended for the non-safety-relevant network can easily be sent by the subscriber via the safety-critical network in which the subscriber is already integrated.
  • the feeding of the information into the non-safety-critical network is taken over centrally by the reading device. This means that even existing systems can be easily converted and connected to a modern diagnostic system.
  • At least one request signal can be fed into the safety-critical network and, on the basis of the request signal, an injection of the information into the safety-critical network can be carried out.
  • the request signal can be generated by another participant of the safety-critical network.
  • the request signal can be generated centrally by a subscriber at low cost, the example ⁇ example is a simple computer.
  • the request signal tolves- can least a particular subscriber of the safety-critical
  • the request signal can be fed in a predetermined time interval. Depending on the component characteristics of the subscribers, a time interval can be selected in which the subscriber is particularly well able to send information and is not disturbed in his normal function. Furthermore, a plurality of request signals addressed for different subscribers can be fed in at different time intervals. In order to avoid an overload of the safety-critical network in each case, detects at least one property of the safety-critical network and / or the at least one subscriber and the request signal are sent in Depending ⁇ speed of the at least one property. This ensures at all times that no overloading of the safety-critical network occurs due to the information fed into it.
  • the arrangement can have at least one prompting device, which can be connected to the safety-critical network and is designed to generate at least one request signal, the requesting signal causes the at least one participant to feed the information into the safety-critical network.
  • the solicitation can means includes at least an interface for not sure ⁇ critical standardized network and have to be designed such that the safety-critical network is separated from the non-secure ⁇ critical standardized network.
  • This has the advantage that, where appropriate, specific commands from the unsure ⁇ ness critical network can be transferred to the prompter.
  • the commands can come from a diagnostic system, for example.
  • the arrangement can have at least one detection means which is designed to detect at least one property of the safety-critical network and / or the at least one subscriber. This has the advantage already described above that a state of the network and the subscriber can be detected, and the arrangement, the demand signal can output in a favorable for the safety-critical power ⁇ factory or the subscriber moment. This ensures that there are no adverse effects from the transmission of the request signal and the subsequent feeding information.
  • the invention further relates to a safety-critical network, in particular a railway technical installation, with at least one subscriber who is designed to feed information, in particular diagnostic information, into the safety-critical network.
  • a safety-critical network in particular a railway technical installation
  • the safety-critical network has at least one arrangement according to one of the abovementioned embodiments.
  • Figure 1 is a schematic representation of an exemplary
  • Figure 2 is a schematic representation of another embodiment of an inventive arrangement.
  • FIG. 1 The schematically illustrated in Figure 1 exemplary execution tion of the invention shows a railway engineering installation 1 comprising a plurality of components 2, a safety-critical network 3, a non-safety-critical network 4, and a diagnostics system Diagno ⁇ . 5
  • the railway technical system 1 further comprises an arrangement 6 according to the invention, which in turn has a reading device 7 and a loading device 8.
  • the components 2 of the railway technical system 1 are, for example, track circuits, axle counters, switches, light signals or interlockings that control the operation of the railway technical system 1. These are all safety-critical components 2, which are therefore connected to communicate with each other in the safety-critical network 3 as a subscriber 9 ⁇ . Further subscribers 9 of the safety-critical network 3 are routers 10 and the AuffOrd mecanics worn 8 of the arrangement 6.
  • the components 2 exchange information about the safety-critical network 3 operational information, such as track vacancies, messages for reaching end positions, confirmations of a light sign and the like.
  • the components 2 also provide diagnostic information, for example about their operating state or other information that can be evaluated by the diagnostic system 5. from the safety-critical network 3. This will be explained in more detail below.
  • the routers 10 are designed in a manner known per se, but may also feed diagnostic information, such as self-diagnosis information, into the safety-critical network 3 and thus transmit it to the diagnostic system 5.
  • the reading device 7 is not a participant in the safety-critical network 3, but connected to it so that the data traffic in the safety-critical network 3 can be read by him.
  • the reading device 7 is formed for example as a Netzwerktap that can traffic of security-critical network 3 without reaction, without out ⁇ effects on the safety-critical network 3 and its participants 9, take notes and read along.
  • the reading device 7 is configured in its hardware construction in such a way that a retroactive effect on the safety-critical network 3 is ruled out.
  • the AuffOrdans worn 8 is formed in contrast to the reading device 7 as a participant 9 of the safety-critical network 3, so they can actively see safety-critical network 3 and can feed commands and messages.
  • the AuffOrdans worn 8 is designed to generate a request signal, which feeds them into the safety-critical network 3.
  • the request ⁇ signal which could also be referred to as a polling signal, triggers a sending of information to the participants 9.
  • the request signal can either be addressed to one or more specific subscribers 9 or also to all subscribers 9 of the safety-critical network 3.
  • the requesting device 8 has a detection means 11 which records properties of the safety-critical network 3, such as eg. B. a current load.
  • the request message device 8 the request signal when the state of the safety-critical network 3 is suitable, so there is a particularly favorable time.
  • This is embarkge ⁇ provides that the safety-critical network 3 9 is not negatively impacted by the feeding of information by the participants.
  • the AuffOrd réelles worn 8 is not connected in the exemplary embodiment shown in Figure 1 with the non-safety-critical network 4, but only with the safety-critical network 3rd
  • the reading device 7 is designed as a subscriber 12 of the non-safety-critical network 4 and can therefore feed in information that was read in the safety-critical network 3 into the non-safety-critical network 4.
  • the diagnostic system 5 is formed in a manner known per se and processes diagnostic information and possibly also other information of the railway technical system 1 for diagnostic purposes. In order to increase the quality of the diagnosis, the diagnostic system 5 can evaluate not only the diagnostic information, but also, for example, the operational information from the safety-critical network 3. For example, functions such as Root Cause Analysis, which identifies an error that causes a malfunction, and Predictive Maintenance, which detects an error before it happens, can be implemented. Since the diagnostic system 5 is designed as a safety-not secure system, for example, after security level SILO, it must not connect to the safety-critical network 3, the z. B. SIL3 or SIL4, have.
  • the diagnostic system 5 receives the necessary information through the inventive arrangement 6 and in particular the reading device 7 on the non-safety-critical network 4.
  • the diagnostic system 5 can also be used any other system that processes the information, such as a reporting system or a System for data analysis.
  • the requesting device 8 can be designed, for example, as a separate computer in the safety-critical network 3 and could also be referred to as a polling trigger.
  • the request device 8 knows the IP addresses of the individual subscribers 9 and can thus specifically request specific subscribers 9 with individual request signals for sending diagnostic information.
  • the request signals can be transmitted at certain time intervals, which can also be configured for individual subscribers 9. The time intervals depend, for example, on certain properties of the components 2.
  • a component 2 can not be in a position parallel also to send to their radio ⁇ tion diagnostic data.
  • the request device 8 sends out the request signals in such a way that the network properties of the safety-critical network 3 are not adversely affected.
  • the network properties include a maximum load and the most effective use of network resources.
  • the request signal is sent from the request device 8 to at least one subscriber 9, in particular to the components 2.
  • the components 2 or 9 subscriber register the request signal and feed in response to the prompt ⁇ signal the requested diagnostic data or Diagnoseinformatio ⁇ NEN into the safety-critical network. 3
  • the information requested by the request signal can then be read by the reading device 7 and thus transmitted to the diagnostic system 5 via the non-safety-critical network 4.
  • the operational information of the components 2, which are sent without a request signal from the components 2, are also read by the reading device 7 and transmitted to the diagnostic system 5.
  • the request means 8 is implemented on a suitable computing platform that satisfies the necessaryforcebe ⁇ conditions.
  • the diagnostic system 5 that is not carried out safely still gets all REQUIRED ⁇ chen information from the safety-critical network 3.
  • the diagnostic quality of the railway-engineering plant 1 according to the invention is particularly high, without components 2 must be used, the having special diagnostic interfaces .
  • the charging device 8 of the arrangement 6 according to the invention has an additional interface 13 in the exemplary embodiment in FIG.
  • the interface 13 is connected to the non-safety-critical network 4.
  • configuration data and possibly specific commands can be transmitted from the diagnostic system 5 to the requesting device 8.
  • parameters may include the frequency of the signal Aufforde- approximately 9 or a maximum of zuläs ⁇ SiGe network load by the demand signals on the secure integrated ⁇ critical network 3 for a subscriber, for example.
  • specific information can be requested specifically by the diagnostic system 5.
  • the request means 8 is provided internally with a network separation, which guarantees a separation between the non-safety-critical network 4 and the safety-critical network. 3
  • the safety-critical network 3 is equipped with a high security level ⁇ , for example after SIL 3 or SIL 4.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4). Um eine eisenbahntechnische Anlage kostengünstiger zu gestalten, ist es erfindungsgemäß vorgesehen, dass die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) eingespeist werden. Die Erfindung betrifft weiterhin eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen.

Description

Beschreibung
VERFAHREN UND VORRICHTUNGEN ZUM RÜCKWIRKUNGSFREIEN ÜBERMITTELN VON INFORMATIONEN
Die Erfindung betrifft ein Verfahren und eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesonde- re Diagnoseinformationen, von wenigstens einem Teilnehmer ei- nes sicherheitskritischen Netzwerks in ein nicht sicherheits- kritisches Netzwerk.
Sicherheitskritische Netzwerke werden für sicherheitsrelevan¬ te Einrichtungen, wie beispielsweise eine eisenbahntechnische Anlage, eingesetzt, um eine Kommunikation zwischen sicher- heitskritischen Komponenten, wie beispielsweise Gleiskreisen, Achszählern etc., welche als Teilnehmer im sicherheitskriti¬ schen Netzwerk ausgebildet sind, zu gewährleisten. Sie sind beispielsweise nach dem Sicherheitsintegritätslevel SIL3 oder SIL4 ausgeführt. Über diese sicherheitskritischen Netzwerke werden Informationen zwischen den Komponenten und übergeordneten Systemen, wie beispielsweise Stellwerken, ausgetauscht. Bei eisenbahntechnischen Anlagen werden über ein solches sicherheitskritisches Netzwerk beispielsweise betriebliche Informationen zwischen den Teilnehmern übermittelt. Da sicherheitskritische Netzwerke sehr aufwendig sind, werden sie nur eingerichtet, wenn dies absolut notwendig ist.
Weiterhin gibt es in den genannten Einrichtungen, wie beispielsweise einer eisenbahntechnischen Anlage, auch nicht sicherheitskritische Bereiche und Netzwerke, in denen bei¬ spielsweise Diagnosedaten in einem Diagnosesystem verarbeitet werden. Da ein nicht sicherheitskritisches Netzwerk, wie bei¬ spielsweise ein Diagnosesystem, unsicher ist und nur SILO oder auch gar keine SIL-Zuordnung aufweist, darf es nicht mit dem sicherheitskritischen Netzwerk verbunden werden. Es könnte nämlich nicht garantiert werden, dass das Diagnosesystem die Sicherheit des sicherheitskritischen Netzwerks nicht ne¬ gativ beeinflusst. Solche Einflüsse können beispielsweise ei- ne Erzeugung von störender Last auf das sicherheitskritische Netzwerk oder Beeinflussungen der sicheren Teilnehmer sein, die die Sicherheit der eisenbahntechnischen Anlage gefährden könnten .
Um trotzdem ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosenetzwerk, mit den nötigen Informationen wie Diagnoseinformationen und Diagnosedaten zu versorgen, weisen beispielsweise Komponenten einer eisenbahntechni- sehen Anlage teilweise Diagnoseschnittstellen auf, die speziell zur Verbindung mit dem nicht sicherheitskritischen Netzwerk ausgebildet sind. Diese Diagnoseschnittstellen sind intern so ausgestaltet, dass von ihnen keine Gefährdung für das sicherheitskritische Netzwerk ausgeht und sie insbesondere nicht direkt mit dem sicherheitskritischen Netzwerk verbunden sind. Über die Diagnoseschnittstellen können rückwirkungsfrei Diagnoseinformationen ausgelesen werden.
Allerdings erhöhen sich die Kosten der Komponenten durch die zusätzliche Diagnoseschnittstelle. Außerdem sind insbesondere ältere Komponenten einer eisenbahntechnischen Anlage häufig nicht oder noch nicht mit solchen Diagnoseschnittstellen ausgestattet, so dass solche Komponenten nicht in ein modernes Diagnosesystem eingebunden werden können.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, durch die die Kosten reduziert werden können und auch eine Einbindung von älteren Komponenten möglich ist.
Erfindungsgemäß wird die Aufgabe gelöst durch ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicher- heitskritisches Netzwerk, bei dem die Informationen von dem Teilnehmer in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk verbundenen Leseeinrichtung rückwirkungsfrei gelesen und in das nicht sicherheitskriti¬ sche Netzwerk eingespeist werden.
Weiterhin wird die Erfindung gelöst durch eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheits¬ kritisches Netzwerk, mit wenigstens einer mit dem sicher¬ heitskritischen und dem nicht sicherheitskritischen Netzwerk verbindbaren Leseeinrichtung, die zum rückwirkungsfreien Lesen der vom Teilnehmer in das sicherheitskritische Netzwerk eingespeisten Informationen und zum Einspeisen der gelesenen Information in das sicherheitskritische Netzwerk ausgebildet ist .
Die erfindungsgemäße Lösung hat den Vorteil, dass keine zu¬ sätzliche Diagnoseschnittstelle an Teilnehmern zur Verbindung mit dem nicht sicherheitsrelevanten Netzwerk nötig ist und dadurch die Kosten reduziert werden können. Die Informatio- nen, die für das nicht sicherheitsrelevante Netzwerk bestimmt sind, können vom Teilnehmer einfach über das sicherheitskritische Netzwerk versendet werden, in das der Teilnehmer bereits eingebunden ist. Die Einspeisung der Informationen in das nicht sicherheitskritische Netzwerk wird zentral von der Leseeinrichtung übernommen. So können auch bestehende Systeme sehr einfach umgerüstet werden und mit einem modernen Diagnosesystem verbunden werden.
Die erfindungsgemäße Lösung kann durch vorteilhafte Ausge- staltungen weiter entwickelt werden, die im Folgenden beschrieben sind.
So kann bei dem erfindungsgemäßen Verfahren wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk ein- gespeist werden und aufgrund des Aufforderungssignals ein Einspeisen der Informationen in das sicherheitskritische Netzwerk durchgeführt werden. Dies hat den Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen abgeben und einspeisen können, in beispielsweise ein Diagnosesystem eingebunden werden können. Das Aufforderungssignal kann von einem anderen Teilnehmer des sicherheitskritischen Netzwerks erzeugt werden. So kann das Aufforderungssignal zentral von einem Teilnehmer kostengünstig erzeugt werden, der beispiels¬ weise ein einfacher Rechner ist.
Um nicht alle Teilnehmer gleichzeitig zum Senden der Informa¬ tionen aufzufordern, kann das Aufforderungssignal an wenigs- tens einen bestimmten Teilnehmer des sicherheitskritischen
Netzwerks adressiert werden. Das gleichzeitige Einspeisen der Informationen von allen Teilnehmern in das sicherheitskritische Netzwerk könnte nämlich negative Auswirkungen für den Zustand des sicherheitskritischen Netzwerks haben.
Ferner kann das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist werden. In Abhängigkeit von den Komponenteneigenschaften der Teilnehmer kann so ein Zeitintervall gewählt werden, in dem der Teilnehmer besonders gut in der Lage ist, Informationen zu senden und in seiner normalen Funktion nicht gestört wird. Ferner können mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden. Um eine Überlastung des sicherheitskritischen Netzwerks in jedem Fall zu vermeiden, kann wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers erfasst und das Aufforderungssignal in Abhängig¬ keit von der wenigstens einen Eigenschaft gesendet werden. So ist jederzeit sichergestellt, dass keine Überlastung des sicherheitskritischen Netzwerks durch die eingespeisten Informationen geschieht.
In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung kann die Anordnung wenigstens eine Aufforderungs- einrichtung aufweisen, die mit dem sicherheitskritischen Netzwerk verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungs- signal den wenigstens einen Teilnehmer zur Einspeisung der Information in das sicherheitskritische Netzwerk veranlasst. Dies hat den oben bereits beschriebenen Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen aussenden können, sehr leicht eingebunden werden können.
In einer vorteilhaften Ausgestaltung kann die Aufforderungs- einrichtung wenigstens eine Schnittstelle zum nicht sicher¬ heitskritischen Netzwerk aufweisen und so ausgebildet sein, dass das sicherheitskritische Netzwerk von dem nicht sicher¬ heitskritischen Netzwerk getrennt ist. Dies hat den Vorteil, dass gegebenenfalls konkrete Kommandos aus dem nicht sicher¬ heitskritischen Netzwerk an die AuffOrderungseinrichtung übertragen werden können. Die Kommandos können beispielweise von einem Diagnosesystem kommen.
Ferner kann die Anordnung wenigstens ein Erfassungsmittel aufweisen, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers ausgebildet ist. Dies hat den oben bereits beschriebenen Vorteil, dass ein Zustand des Netzwerks bzw. der Teilnehmer erfasst werden kann und die Anordnung das Aufforderungssignal in einem für das sicherheitskritische Netz¬ werk oder die Teilnehmer günstigen Moment abgeben kann. Dies stellt sicher, dass keine negativen Beeinträchtigungen vom Senden des Aufforderungssignals und den anschließenden einspeisenden Informationen ausgeht.
Die Erfindung betrifft weiterhin ein sicherheitskritisches Netzwerk, insbesondere einer eisenbahntechnischen Anlage, mit wenigstens einem Teilnehmer, der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk ausgebildet ist. Um die Kosten einer sicherheitskritischen Anlage zu senken, ist erfindungsgemäß vorgesehen, dass das sicherheitskritische Netzwerk wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen aufweist. Im Folgenden wird die Erfindung mit Bezug auf die beispiel¬ haften Ausführungsformen in den beigefügten Zeichnungen beschrieben . Es zeigen:
Figur 1 eine schematische Darstellung einer beispielhaften
Ausführungsform einer erfindungsgemäßen Anordnung in einer eisenbahntechnischen Anlage;
Figur 2 eine schematische Darstellung einer weiteren Ausführungsform einer erfindungsgemäßen Anordnung.
Die in Figur 1 schematisch dargestellte beispielhafte Ausfüh- rung der Erfindung zeigt eine eisenbahntechnische Anlage 1, die mehrere Komponenten 2, ein sicherheitskritisches Netzwerk 3, ein nicht sicherheitskritisches Netzwerk 4 und ein Diagno¬ sesystem 5 aufweist. Die eisenbahntechnische Anlage 1 umfasst weiterhin eine erfindungsgemäße Anordnung 6, die wiederum ei- ne Leseeinrichtung 7 und eine AuffOrderungseinrichtung 8 aufweist.
Die Komponenten 2 der eisenbahntechnischen Anlage 1 sind beispielsweise Gleiskreise, Achszähler, Weichen, Lichtsignale oder auch Stellwerke, die den Betrieb der eisenbahntechnischen Anlage 1 steuern. Dies sind alles sicherheitskritische Komponenten 2, die daher zur Kommunikation untereinander in das sicherheitskritische Netzwerk 3 als Teilnehmer 9 einge¬ bunden sind. Weitere Teilnehmer 9 des sicherheitskritischen Netzwerks 3 sind Router 10 und die AuffOrderungseinrichtung 8 der Anordnung 6. Die Komponenten 2 tauschen über das sicherheitskritische Netzwerk 3 betriebliche Informationen aus, wie beispielsweise Gleisfreimeldungen, Meldungen zum Erreichen von Endlagen, Bestätigungen eines LichtZeichens und ähnliches betreffen. Die Komponenten 2 geben aber erfindungsgemäß auch Diagnoseinformationen, beispielsweise über ihren Betriebszustand oder andere von dem Diagnosesystem 5 auswertbare Infor- mationen, über das sicherheitskritische Netzwerk 3 ab. Dies wird im Folgenden noch genauer erläutert.
Die Router 10 sind in an sich bekannter Weise ausgebildet, können allerdings ebenfalls Diagnoseinformationen, wie beispielsweise Eigendiagnoseinformation, in das sicherheitskritische Netzwerk 3 einspeisen und damit zum Diagnosesystem 5 übertragen . Die Leseeinrichtung 7 ist kein Teilnehmer des sicherheitskritischen Netzwerks 3, aber so mit ihm verbunden, dass der Datenverkehr im sicherheitskritischen Netzwerk 3 von ihm gelesen werden kann. Die Leseeinrichtung 7 ist beispielsweise als ein Netzwerktap ausgebildet, der den Datenverkehr des sicher- heitskritischen Netzwerks 3 rückwirkungsfrei, also ohne Aus¬ wirkungen auf das sicherheitskritische Netzwerk 3 und seine Teilnehmer 9, mitschreiben und mitlesen kann. Erfindungsgemäß ist die Leseeinrichtung 7 in ihrer Hardwarekonstruktion so ausgestaltet, dass ein Rückwirken auf das sicherheitskriti- sehe Netzwerk 3 ausgeschlossen ist.
Die AuffOrderungseinrichtung 8 ist im Gegensatz zur Leseeinrichtung 7 als ein Teilnehmer 9 des sicherheitskritischen Netzwerks 3 ausgebildet, so dass sie aktiv sicherheitskriti- sehen Netzwerk 3 agieren kann und Kommandos und Nachrichten einspeisen kann. Die AuffOrderungseinrichtung 8 ist zum Erzeugen eines Aufforderungssignals ausgebildet, das sie in das sicherheitskritische Netzwerk 3 einspeist. Das Aufforderungs¬ signal, das auch als Polling-Signal bezeichnet werden könnte, stößt ein Senden von Informationen bei den Teilnehmern 9 an. Das Aufforderungssignal kann entweder an einen oder mehrere bestimmte Teilnehmer 9 adressiert sein oder auch an alle Teilnehmer 9 des sicherheitskritischen Netzwerks 3. Die Aufforderungseinrichtung 8 weist ein Erfassungsmittel 11 auf, das Eigenschaften des sicherheitskritischen Netzwerks 3 er- fasst, wie z. B. eine aktuelle Belastung. In Abhängigkeit von den durch das Erfassungsmittel 11 erfassten Eigenschaften des sicherheitskritischen Netzwerks 3 sendet die Aufforderungs- einrichtung 8 das Aufforderungssignal aus, wenn der Zustand des sicherheitskritischen Netzwerks 3 geeignet ist, also ein besonders günstiger Zeitpunkt vorliegt. Dadurch ist sicherge¬ stellt, dass das sicherheitskritische Netzwerk 3 durch das Einspeisen von Informationen von den Teilnehmern 9 nicht negativ belastet wird. Die AuffOrderungseinrichtung 8 ist in der in Figur 1 dargestellten beispielhaften Ausführungsform nicht mit dem nicht sicherheitskritischen Netzwerk 4 verbunden, sondern nur mit dem sicherheitskritischen Netzwerk 3.
Die Leseeinrichtung 7 ist als ein Teilnehmer 12 des nicht sicherheitskritischen Netzwerks 4 ausgebildet und kann daher Informationen, die im sicherheitskritischen Netzwerk 3 gelesen wurden, in das nicht sicherheitskritische Netzwerk 4 ein- speisen.
Das Diagnosesystem 5 ist in an sich bekannter Weise ausgebildet und verarbeitet Diagnoseinformationen und gegebenenfalls auch andere Informationen der eisenbahntechnischen Anlage 1 zu Diagnosezwecken. Um die Diagnosequalität zu erhöhen, kann das Diagnosesystem 5 neben den Diagnoseinformationen beispielsweise auch die betrieblichen Informationen aus dem sicherheitskritischen Netzwerk 3 auswerten. So lassen sich beispielsweise Funktionen wie Root Cause Analysis, die einen für eine Störung ursächlichen Fehler identifiziert, sowie Predictive Maintenance, die einen Fehler erkennt bevor er passiert, realisieren. Da das Diagnosesystem 5 als ein sicherheitstechnisch nicht sicheres System, beispielsweise nach Sicherheitslevel SILO, ausgebildet ist, darf es keine Verbindung zum sicherheitskritischen Netzwerk 3, das z. B. SIL3 oder SIL4 ist, aufweisen. Das Diagnosesystem 5 erhält erfindungsgemäß die nötigen Informationen durch die erfindungsgemäße Anordnung 6 und insbesondere die Leseeinrichtung 7 über das nicht sicherheitskritische Netzwerk 4. Anstatt des Diagnosesystems 5 kann auch ein beliebiges anderes System eingesetzt werden, das die Informationen verarbeitet, wie z.B. ein Reporting System oder ein System für Datenanalyse. Die Aufforderungseinrichtung 8 kann beispielsweise als ein separater Rechner im sicherheitskritischen Netzwerk 3 ausgebildet sein und könnte auch als Polling Trigger bezeichnet werden. Die Aufforderungseinrichtung 8 kennt die IP-Adressen der einzelnen Teilnehmer 9 und kann so auch bestimmte Teilnehmer 9 mit individuellen Aufforderungssignalen gezielt zum Senden von Diagnoseinformationen auffordern. Die Aufforde- rungssignale können in bestimmten Zeitintervallen ausgesendet werden, die auch für einzelne Teilnehmer 9 konfigurierbar sind. Die Zeitintervalle hängen beispielsweise von bestimmten Eigenschaften der Komponenten 2 ab. Beispielsweise kann eine Komponente 2 nicht in der Lage sein, parallel zu ihrer Funk¬ tion auch noch Diagnosedaten zu senden. Die Aufforderungseinrichtung 8 sendet die Aufforderungssignale so aus, dass die Netzwerkeigenschaften des sicherheitskritischen Netzwerks 3 nicht negativ beeinflusst werden. Zu den Netzwerkeigenschaf¬ ten gehören eine maximale Last sowie ein möglichst effektives Nutzen der Netzwerkressourcen. Das Aufforderungssignal wird von der Aufforderungseinrichtung 8 an wenigstens einen Teil- nehmer 9, insbesondere an die Komponenten 2, gesendet. Die Komponenten 2 oder Teilnehmer 9 registrieren das Aufforderungssignal und speisen als Reaktion auf das Aufforderungs¬ signal die angefragten Diagnosedaten bzw. Diagnoseinformatio¬ nen in das sicherheitskritische Netzwerk 3 ein. Die durch das Aufforderungssignal angeforderten Informationen können anschließend von der Leseeinrichtung 7 mitgelesen werden und so an das Diagnosesystem 5 über das nicht sicherheitskritische Netzwerk 4 übertragen werden. Die betrieblichen Informationen der Komponenten 2, die ohne Aufforderungssignal von den Komponenten 2 gesendet werden, werden durch die Leseeinrichtung 7 ebenfalls mitgelesen und an das Diagnosesystem 5 übertragen. Um die Sicherheitseigenschaften des sicherheitskritischen Netzwerks 3 zu erfüllen, ist die Aufforderungseinrichtung 8 auf einer geeigneten Rechnerplattform realisiert, die die notwendigen Sicherheitsbe¬ dingungen erfüllt. Durch die erfindungsgemäße Lösung erhält das Diagnosesystem 5, das nicht sicher ausgeführt ist, trotzdem alle erforderli¬ chen Informationen aus dem sicherheitskritischen Netzwerk 3. So ist die Diagnosequalität der erfindungsgemäßen eisenbahn- technischen Anlage 1 besonders hoch, ohne dass Komponenten 2 eingesetzt werden müssen, die spezielle Diagnoseschnittstel¬ len aufweisen.
Im Folgenden wird die weitere beispielhafte Ausführungsform der Erfindung mit Bezug auf Figur 2 beschrieben. Der Einfachheit halber wird lediglich auf die Unterschiede zu der Aus¬ führungsform in Figur 1 eingegangen.
Im Gegensatz zu der Ausführungsform in Figur 1 weist die Auf- forderungseinrichtung 8 der erfindungsgemäßen Anordnung 6 bei der beispielhaften Ausführungsform in Figur 2 eine zusätzliche Schnittstelle 13 auf. Die Schnittstelle 13 ist mit dem nicht sicherheitskritischen Netzwerk 4 verbunden. Durch die Verbindung des Diagnosesystems 5 mit der Aufforderungsein- richtung 8 über die Schnittstelle 13 und das nicht sicher¬ heitskritische Netzwerk 4 können Konfigurationsdaten und gegebenenfalls konkrete Kommandos von dem Diagnosesystem 5 an die Aufforderungseinrichtung 8 übertragen werden. Auch ist ein Setzen von Parametern durch das Diagnosesystem 5 möglich. Solche Parameter können z.B. die Häufigkeit des Aufforde- rungssignals für einen Teilnehmer 9 oder eine maximal zuläs¬ sige Netzlast durch die Aufforderungssignale auf dem sicher¬ heitskritischen Netz 3 sein. So können bestimmte Informationen gezielt vom Diagnosesystem 5 angefordert werden. Um die Sicherheit des sicherheitskritischen Netzwerks 3 nicht zu ge¬ fährden, ist die Aufforderungseinrichtung 8 intern mit einer Netzwerktrennung versehen, die eine Trennung zwischen dem nicht sicherheitskritischen Netzwerk 4 und dem sicherheitskritischen Netzwerk 3 garantiert.
In beiden Ausführungsformen der Figuren 1 und 2 ist das sicherheitskritische Netzwerk 3 mit einem hohen Sicherheits¬ level ausgestattet, beispielsweise nach SIL3 oder SIL4.

Claims

Patentansprüche
1. Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netzwerks
(3) in ein nicht sicherheitskritisches Netzwerk (4), bei dem die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeist werden und bei dem die In¬ formationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) einge¬ speist werden.
2. Verfahren nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens ein Aufforderungssignal in das sicherheitskriti¬ sche Netzwerk (3) eingespeist wird und aufgrund des Aufforde¬ rungssignals das Einspeisen der Informationen in das sicherheitskritische Netzwerk (4) durchgeführt wird.
3. Verfahren nach Anspruch 2,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal von einem anderen Teilnehmer (9) des sicherheitskritischen Netzwerks (3) erzeugt wird.
4. Verfahren nach einem der Ansprüche 2 bis 3,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal an wenigstens einen bestimmten Teil¬ nehmer des sicherheitskritischen Netzwerks (3) adressiert wird.
5. Verfahren nach einem der Ansprüche 2 bis 4,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist wird.
6. Verfahren nach einem der Ansprüche 2 bis 5,
d a d u r c h g e k e n n z e i c h n e t , dass mehrere für unterschiedliche Teilnehmer adressierte Aufforde¬ rungssignale in unterschiedlichen Zeitintervallen eingespeist werden .
7. Verfahren nach einem der Ansprüche 2 bis 6,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens eine Eigenschaft des sicherheitskritischen Netz¬ werks (3) und/oder des wenigstens einen Teilnehmers (9) er- fasst und das Aufforderungssignal in Abhängigkeit von der we- nigstens einen Eigenschaft gesendet wird.
8. Anordnung (6) zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netz- werks (3) in ein nicht sicherheitskritisches Netzwerk (4), mit wenigstens einer mit dem sicherheitskritischen Netzwerk (3) und dem nicht sicherheitskrischen Netzwerk (4)
verbindbaren Leseeinrichtung (7), die zum rückwirkungsfreien Lesen der vom Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeisten Informationen und zum Einspeisen der gelesenen Informationen in das nicht sicherheitskritische Netzwerk (4) ausgebildet ist.
9. Anordnung (6) nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens eine AuffOrderungseinrichtung (8) aufweist, die mit dem sicherheitskritischen Netzwerk (3) verbindbar und zur Erzeugung wenigstens eines Aufforderungs- signals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer (9) zur Einspeisung der Information in das sicherheitskritische Netzwerk (3) veranlasst.
10. Anordnung (6) nach Anspruch 9,
d a d u r c h g e k e n n z e i c h n e t , dass
die AuffOrderungseinrichtung (8) wenigstens eine Schnittstel¬ le (13) zum nicht sicherheitskritischen Netzwerk (4) aufweist und so ausgebildet ist, dass das sicherheitskritische Netz- werk (3) von dem nicht sicherheitskritischen Netzwerk (4) getrennt ist.
11. Anordnung (6) nach Anspruch 9 oder 10,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens ein Erfassungsmittel (11) aufweist, das zum Erfassen von wenigstens einer Eigenschaft des sicher¬ heitskritischen Netzwerks (3) und/oder des wenigstens einen Teilnehmers (9) ausgebildet ist.
12. Sicherheitskritisches Netzwerk (3), insbesondere einer eisenbahntechnischen Anlage (1), mit wenigstens einem Teil¬ nehmer (9), der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netz- werk (3) ausgebildet ist,
d a d u r c h g e k e n n z e i c h n e t , dass
das sicherheitskritische Netzwerk (3) wenigstens eine Anord¬ nung (6) nach einem der oben genannten Ansprüchen 8 bis 11 aufweist .
PCT/EP2018/052869 2017-03-06 2018-02-06 Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen WO2018162161A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017203590.0 2017-03-06
DE102017203590.0A DE102017203590A1 (de) 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen

Publications (1)

Publication Number Publication Date
WO2018162161A1 true WO2018162161A1 (de) 2018-09-13

Family

ID=61283161

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/052869 WO2018162161A1 (de) 2017-03-06 2018-02-06 Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen

Country Status (2)

Country Link
DE (1) DE102017203590A1 (de)
WO (1) WO2018162161A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226398A1 (de) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102015214993A1 (de) * 2015-08-06 2017-02-09 Siemens Aktiengesellschaft Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226398A1 (de) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102015214993A1 (de) * 2015-08-06 2017-02-09 Siemens Aktiengesellschaft Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken

Also Published As

Publication number Publication date
DE102017203590A1 (de) 2018-09-06

Similar Documents

Publication Publication Date Title
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE3201768C2 (de)
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102014218823A1 (de) Netzknoten, Steuermodul für eine Komponente und Ethernet Ring
EP2613463B1 (de) Verfahren zur überwachung eines transmitters und entsprechender transmitter
DE102006017302A1 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP0214474B1 (de) Verfahren und Schaltungsanordnung zum Ubertragen von Datensignalen zwischen über ein Ringleitungssystem miteinander verbundenen Steuereinrichtungen
EP3102475A1 (de) Ersatz-ressource für einen defekten rechnerkanal eines schienenfahrzeugs
EP3964419A1 (de) Übertragung von daten zwischen einem spurgebundenen fahrzeug und einer landseitigen einrichtung
DE102005046373A1 (de) Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1085705A2 (de) Netzwerk mit mehreren Netzknoten und wenigstens einem Sternknoten
WO2018162161A1 (de) Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen
DE602004007130T2 (de) Fehlererkennung und unterdrückung in einem tdma-basierten netzknoten
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
DE102016108997A1 (de) Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät
DE10247637B4 (de) Schaltungsanordnung zur Ermittlung eines ein wake-up-Signal sendenden Steuergeräts eines Bus-Systems mit mehreren weiteren Steuergeräten
EP3984856A1 (de) Verfahren zum erkennen der fahrzeuggattung eines schienenfahrzeugs und zur anwendung des verfahrens geeignete vorrichtung
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
EP0905623B1 (de) Verfahren zum Austausch von Datenpaketen innerhalb eines sicheren Mehrrechnersystems und Mehrrechnersystem zur Ausführung des Verfahrens
WO2023222358A1 (de) Verfahren und system zur automatisierten ermittlung der zugintegrität eines zugverbands
DE102016110148A1 (de) Endsystemeinrichtung mit integrierter Schalteinrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18707246

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18707246

Country of ref document: EP

Kind code of ref document: A1