WO2018162161A1 - Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen - Google Patents

Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen Download PDF

Info

Publication number
WO2018162161A1
WO2018162161A1 PCT/EP2018/052869 EP2018052869W WO2018162161A1 WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1 EP 2018052869 W EP2018052869 W EP 2018052869W WO 2018162161 A1 WO2018162161 A1 WO 2018162161A1
Authority
WO
WIPO (PCT)
Prior art keywords
safety
critical network
network
information
critical
Prior art date
Application number
PCT/EP2018/052869
Other languages
English (en)
French (fr)
Inventor
Thomas Gehrke
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2018162161A1 publication Critical patent/WO2018162161A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks (3) in ein nicht sicherheitskritisches Netzwerk (4). Um eine eisenbahntechnische Anlage kostengünstiger zu gestalten, ist es erfindungsgemäß vorgesehen, dass die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) eingespeist werden. Die Erfindung betrifft weiterhin eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen.

Description

Beschreibung
VERFAHREN UND VORRICHTUNGEN ZUM RÜCKWIRKUNGSFREIEN ÜBERMITTELN VON INFORMATIONEN
Die Erfindung betrifft ein Verfahren und eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesonde- re Diagnoseinformationen, von wenigstens einem Teilnehmer ei- nes sicherheitskritischen Netzwerks in ein nicht sicherheits- kritisches Netzwerk.
Sicherheitskritische Netzwerke werden für sicherheitsrelevan¬ te Einrichtungen, wie beispielsweise eine eisenbahntechnische Anlage, eingesetzt, um eine Kommunikation zwischen sicher- heitskritischen Komponenten, wie beispielsweise Gleiskreisen, Achszählern etc., welche als Teilnehmer im sicherheitskriti¬ schen Netzwerk ausgebildet sind, zu gewährleisten. Sie sind beispielsweise nach dem Sicherheitsintegritätslevel SIL3 oder SIL4 ausgeführt. Über diese sicherheitskritischen Netzwerke werden Informationen zwischen den Komponenten und übergeordneten Systemen, wie beispielsweise Stellwerken, ausgetauscht. Bei eisenbahntechnischen Anlagen werden über ein solches sicherheitskritisches Netzwerk beispielsweise betriebliche Informationen zwischen den Teilnehmern übermittelt. Da sicherheitskritische Netzwerke sehr aufwendig sind, werden sie nur eingerichtet, wenn dies absolut notwendig ist.
Weiterhin gibt es in den genannten Einrichtungen, wie beispielsweise einer eisenbahntechnischen Anlage, auch nicht sicherheitskritische Bereiche und Netzwerke, in denen bei¬ spielsweise Diagnosedaten in einem Diagnosesystem verarbeitet werden. Da ein nicht sicherheitskritisches Netzwerk, wie bei¬ spielsweise ein Diagnosesystem, unsicher ist und nur SILO oder auch gar keine SIL-Zuordnung aufweist, darf es nicht mit dem sicherheitskritischen Netzwerk verbunden werden. Es könnte nämlich nicht garantiert werden, dass das Diagnosesystem die Sicherheit des sicherheitskritischen Netzwerks nicht ne¬ gativ beeinflusst. Solche Einflüsse können beispielsweise ei- ne Erzeugung von störender Last auf das sicherheitskritische Netzwerk oder Beeinflussungen der sicheren Teilnehmer sein, die die Sicherheit der eisenbahntechnischen Anlage gefährden könnten .
Um trotzdem ein nicht sicherheitskritisches Netzwerk, wie beispielsweise ein Diagnosenetzwerk, mit den nötigen Informationen wie Diagnoseinformationen und Diagnosedaten zu versorgen, weisen beispielsweise Komponenten einer eisenbahntechni- sehen Anlage teilweise Diagnoseschnittstellen auf, die speziell zur Verbindung mit dem nicht sicherheitskritischen Netzwerk ausgebildet sind. Diese Diagnoseschnittstellen sind intern so ausgestaltet, dass von ihnen keine Gefährdung für das sicherheitskritische Netzwerk ausgeht und sie insbesondere nicht direkt mit dem sicherheitskritischen Netzwerk verbunden sind. Über die Diagnoseschnittstellen können rückwirkungsfrei Diagnoseinformationen ausgelesen werden.
Allerdings erhöhen sich die Kosten der Komponenten durch die zusätzliche Diagnoseschnittstelle. Außerdem sind insbesondere ältere Komponenten einer eisenbahntechnischen Anlage häufig nicht oder noch nicht mit solchen Diagnoseschnittstellen ausgestattet, so dass solche Komponenten nicht in ein modernes Diagnosesystem eingebunden werden können.
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, durch die die Kosten reduziert werden können und auch eine Einbindung von älteren Komponenten möglich ist.
Erfindungsgemäß wird die Aufgabe gelöst durch ein Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicher- heitskritisches Netzwerk, bei dem die Informationen von dem Teilnehmer in das sicherheitskritische Netzwerk eingespeist werden und bei dem die Informationen von einer mit dem sicherheitskritischen Netzwerk verbundenen Leseeinrichtung rückwirkungsfrei gelesen und in das nicht sicherheitskriti¬ sche Netzwerk eingespeist werden.
Weiterhin wird die Erfindung gelöst durch eine Anordnung zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer eines sicherheitskritischen Netzwerks in ein nicht sicherheits¬ kritisches Netzwerk, mit wenigstens einer mit dem sicher¬ heitskritischen und dem nicht sicherheitskritischen Netzwerk verbindbaren Leseeinrichtung, die zum rückwirkungsfreien Lesen der vom Teilnehmer in das sicherheitskritische Netzwerk eingespeisten Informationen und zum Einspeisen der gelesenen Information in das sicherheitskritische Netzwerk ausgebildet ist .
Die erfindungsgemäße Lösung hat den Vorteil, dass keine zu¬ sätzliche Diagnoseschnittstelle an Teilnehmern zur Verbindung mit dem nicht sicherheitsrelevanten Netzwerk nötig ist und dadurch die Kosten reduziert werden können. Die Informatio- nen, die für das nicht sicherheitsrelevante Netzwerk bestimmt sind, können vom Teilnehmer einfach über das sicherheitskritische Netzwerk versendet werden, in das der Teilnehmer bereits eingebunden ist. Die Einspeisung der Informationen in das nicht sicherheitskritische Netzwerk wird zentral von der Leseeinrichtung übernommen. So können auch bestehende Systeme sehr einfach umgerüstet werden und mit einem modernen Diagnosesystem verbunden werden.
Die erfindungsgemäße Lösung kann durch vorteilhafte Ausge- staltungen weiter entwickelt werden, die im Folgenden beschrieben sind.
So kann bei dem erfindungsgemäßen Verfahren wenigstens ein Aufforderungssignal in das sicherheitskritische Netzwerk ein- gespeist werden und aufgrund des Aufforderungssignals ein Einspeisen der Informationen in das sicherheitskritische Netzwerk durchgeführt werden. Dies hat den Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen abgeben und einspeisen können, in beispielsweise ein Diagnosesystem eingebunden werden können. Das Aufforderungssignal kann von einem anderen Teilnehmer des sicherheitskritischen Netzwerks erzeugt werden. So kann das Aufforderungssignal zentral von einem Teilnehmer kostengünstig erzeugt werden, der beispiels¬ weise ein einfacher Rechner ist.
Um nicht alle Teilnehmer gleichzeitig zum Senden der Informa¬ tionen aufzufordern, kann das Aufforderungssignal an wenigs- tens einen bestimmten Teilnehmer des sicherheitskritischen
Netzwerks adressiert werden. Das gleichzeitige Einspeisen der Informationen von allen Teilnehmern in das sicherheitskritische Netzwerk könnte nämlich negative Auswirkungen für den Zustand des sicherheitskritischen Netzwerks haben.
Ferner kann das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist werden. In Abhängigkeit von den Komponenteneigenschaften der Teilnehmer kann so ein Zeitintervall gewählt werden, in dem der Teilnehmer besonders gut in der Lage ist, Informationen zu senden und in seiner normalen Funktion nicht gestört wird. Ferner können mehrere für unterschiedliche Teilnehmer adressierte Aufforderungssignale in unterschiedlichen Zeitintervallen eingespeist werden. Um eine Überlastung des sicherheitskritischen Netzwerks in jedem Fall zu vermeiden, kann wenigstens eine Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers erfasst und das Aufforderungssignal in Abhängig¬ keit von der wenigstens einen Eigenschaft gesendet werden. So ist jederzeit sichergestellt, dass keine Überlastung des sicherheitskritischen Netzwerks durch die eingespeisten Informationen geschieht.
In einer vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung kann die Anordnung wenigstens eine Aufforderungs- einrichtung aufweisen, die mit dem sicherheitskritischen Netzwerk verbindbar und zur Erzeugung wenigstens eines Aufforderungssignals ausgebildet ist, wobei das Aufforderungs- signal den wenigstens einen Teilnehmer zur Einspeisung der Information in das sicherheitskritische Netzwerk veranlasst. Dies hat den oben bereits beschriebenen Vorteil, dass auch Teilnehmer, die nicht selbständig die Informationen aussenden können, sehr leicht eingebunden werden können.
In einer vorteilhaften Ausgestaltung kann die Aufforderungs- einrichtung wenigstens eine Schnittstelle zum nicht sicher¬ heitskritischen Netzwerk aufweisen und so ausgebildet sein, dass das sicherheitskritische Netzwerk von dem nicht sicher¬ heitskritischen Netzwerk getrennt ist. Dies hat den Vorteil, dass gegebenenfalls konkrete Kommandos aus dem nicht sicher¬ heitskritischen Netzwerk an die AuffOrderungseinrichtung übertragen werden können. Die Kommandos können beispielweise von einem Diagnosesystem kommen.
Ferner kann die Anordnung wenigstens ein Erfassungsmittel aufweisen, das zum Erfassen von wenigstens einer Eigenschaft des sicherheitskritischen Netzwerks und/oder des wenigstens einen Teilnehmers ausgebildet ist. Dies hat den oben bereits beschriebenen Vorteil, dass ein Zustand des Netzwerks bzw. der Teilnehmer erfasst werden kann und die Anordnung das Aufforderungssignal in einem für das sicherheitskritische Netz¬ werk oder die Teilnehmer günstigen Moment abgeben kann. Dies stellt sicher, dass keine negativen Beeinträchtigungen vom Senden des Aufforderungssignals und den anschließenden einspeisenden Informationen ausgeht.
Die Erfindung betrifft weiterhin ein sicherheitskritisches Netzwerk, insbesondere einer eisenbahntechnischen Anlage, mit wenigstens einem Teilnehmer, der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netzwerk ausgebildet ist. Um die Kosten einer sicherheitskritischen Anlage zu senken, ist erfindungsgemäß vorgesehen, dass das sicherheitskritische Netzwerk wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen aufweist. Im Folgenden wird die Erfindung mit Bezug auf die beispiel¬ haften Ausführungsformen in den beigefügten Zeichnungen beschrieben . Es zeigen:
Figur 1 eine schematische Darstellung einer beispielhaften
Ausführungsform einer erfindungsgemäßen Anordnung in einer eisenbahntechnischen Anlage;
Figur 2 eine schematische Darstellung einer weiteren Ausführungsform einer erfindungsgemäßen Anordnung.
Die in Figur 1 schematisch dargestellte beispielhafte Ausfüh- rung der Erfindung zeigt eine eisenbahntechnische Anlage 1, die mehrere Komponenten 2, ein sicherheitskritisches Netzwerk 3, ein nicht sicherheitskritisches Netzwerk 4 und ein Diagno¬ sesystem 5 aufweist. Die eisenbahntechnische Anlage 1 umfasst weiterhin eine erfindungsgemäße Anordnung 6, die wiederum ei- ne Leseeinrichtung 7 und eine AuffOrderungseinrichtung 8 aufweist.
Die Komponenten 2 der eisenbahntechnischen Anlage 1 sind beispielsweise Gleiskreise, Achszähler, Weichen, Lichtsignale oder auch Stellwerke, die den Betrieb der eisenbahntechnischen Anlage 1 steuern. Dies sind alles sicherheitskritische Komponenten 2, die daher zur Kommunikation untereinander in das sicherheitskritische Netzwerk 3 als Teilnehmer 9 einge¬ bunden sind. Weitere Teilnehmer 9 des sicherheitskritischen Netzwerks 3 sind Router 10 und die AuffOrderungseinrichtung 8 der Anordnung 6. Die Komponenten 2 tauschen über das sicherheitskritische Netzwerk 3 betriebliche Informationen aus, wie beispielsweise Gleisfreimeldungen, Meldungen zum Erreichen von Endlagen, Bestätigungen eines LichtZeichens und ähnliches betreffen. Die Komponenten 2 geben aber erfindungsgemäß auch Diagnoseinformationen, beispielsweise über ihren Betriebszustand oder andere von dem Diagnosesystem 5 auswertbare Infor- mationen, über das sicherheitskritische Netzwerk 3 ab. Dies wird im Folgenden noch genauer erläutert.
Die Router 10 sind in an sich bekannter Weise ausgebildet, können allerdings ebenfalls Diagnoseinformationen, wie beispielsweise Eigendiagnoseinformation, in das sicherheitskritische Netzwerk 3 einspeisen und damit zum Diagnosesystem 5 übertragen . Die Leseeinrichtung 7 ist kein Teilnehmer des sicherheitskritischen Netzwerks 3, aber so mit ihm verbunden, dass der Datenverkehr im sicherheitskritischen Netzwerk 3 von ihm gelesen werden kann. Die Leseeinrichtung 7 ist beispielsweise als ein Netzwerktap ausgebildet, der den Datenverkehr des sicher- heitskritischen Netzwerks 3 rückwirkungsfrei, also ohne Aus¬ wirkungen auf das sicherheitskritische Netzwerk 3 und seine Teilnehmer 9, mitschreiben und mitlesen kann. Erfindungsgemäß ist die Leseeinrichtung 7 in ihrer Hardwarekonstruktion so ausgestaltet, dass ein Rückwirken auf das sicherheitskriti- sehe Netzwerk 3 ausgeschlossen ist.
Die AuffOrderungseinrichtung 8 ist im Gegensatz zur Leseeinrichtung 7 als ein Teilnehmer 9 des sicherheitskritischen Netzwerks 3 ausgebildet, so dass sie aktiv sicherheitskriti- sehen Netzwerk 3 agieren kann und Kommandos und Nachrichten einspeisen kann. Die AuffOrderungseinrichtung 8 ist zum Erzeugen eines Aufforderungssignals ausgebildet, das sie in das sicherheitskritische Netzwerk 3 einspeist. Das Aufforderungs¬ signal, das auch als Polling-Signal bezeichnet werden könnte, stößt ein Senden von Informationen bei den Teilnehmern 9 an. Das Aufforderungssignal kann entweder an einen oder mehrere bestimmte Teilnehmer 9 adressiert sein oder auch an alle Teilnehmer 9 des sicherheitskritischen Netzwerks 3. Die Aufforderungseinrichtung 8 weist ein Erfassungsmittel 11 auf, das Eigenschaften des sicherheitskritischen Netzwerks 3 er- fasst, wie z. B. eine aktuelle Belastung. In Abhängigkeit von den durch das Erfassungsmittel 11 erfassten Eigenschaften des sicherheitskritischen Netzwerks 3 sendet die Aufforderungs- einrichtung 8 das Aufforderungssignal aus, wenn der Zustand des sicherheitskritischen Netzwerks 3 geeignet ist, also ein besonders günstiger Zeitpunkt vorliegt. Dadurch ist sicherge¬ stellt, dass das sicherheitskritische Netzwerk 3 durch das Einspeisen von Informationen von den Teilnehmern 9 nicht negativ belastet wird. Die AuffOrderungseinrichtung 8 ist in der in Figur 1 dargestellten beispielhaften Ausführungsform nicht mit dem nicht sicherheitskritischen Netzwerk 4 verbunden, sondern nur mit dem sicherheitskritischen Netzwerk 3.
Die Leseeinrichtung 7 ist als ein Teilnehmer 12 des nicht sicherheitskritischen Netzwerks 4 ausgebildet und kann daher Informationen, die im sicherheitskritischen Netzwerk 3 gelesen wurden, in das nicht sicherheitskritische Netzwerk 4 ein- speisen.
Das Diagnosesystem 5 ist in an sich bekannter Weise ausgebildet und verarbeitet Diagnoseinformationen und gegebenenfalls auch andere Informationen der eisenbahntechnischen Anlage 1 zu Diagnosezwecken. Um die Diagnosequalität zu erhöhen, kann das Diagnosesystem 5 neben den Diagnoseinformationen beispielsweise auch die betrieblichen Informationen aus dem sicherheitskritischen Netzwerk 3 auswerten. So lassen sich beispielsweise Funktionen wie Root Cause Analysis, die einen für eine Störung ursächlichen Fehler identifiziert, sowie Predictive Maintenance, die einen Fehler erkennt bevor er passiert, realisieren. Da das Diagnosesystem 5 als ein sicherheitstechnisch nicht sicheres System, beispielsweise nach Sicherheitslevel SILO, ausgebildet ist, darf es keine Verbindung zum sicherheitskritischen Netzwerk 3, das z. B. SIL3 oder SIL4 ist, aufweisen. Das Diagnosesystem 5 erhält erfindungsgemäß die nötigen Informationen durch die erfindungsgemäße Anordnung 6 und insbesondere die Leseeinrichtung 7 über das nicht sicherheitskritische Netzwerk 4. Anstatt des Diagnosesystems 5 kann auch ein beliebiges anderes System eingesetzt werden, das die Informationen verarbeitet, wie z.B. ein Reporting System oder ein System für Datenanalyse. Die Aufforderungseinrichtung 8 kann beispielsweise als ein separater Rechner im sicherheitskritischen Netzwerk 3 ausgebildet sein und könnte auch als Polling Trigger bezeichnet werden. Die Aufforderungseinrichtung 8 kennt die IP-Adressen der einzelnen Teilnehmer 9 und kann so auch bestimmte Teilnehmer 9 mit individuellen Aufforderungssignalen gezielt zum Senden von Diagnoseinformationen auffordern. Die Aufforde- rungssignale können in bestimmten Zeitintervallen ausgesendet werden, die auch für einzelne Teilnehmer 9 konfigurierbar sind. Die Zeitintervalle hängen beispielsweise von bestimmten Eigenschaften der Komponenten 2 ab. Beispielsweise kann eine Komponente 2 nicht in der Lage sein, parallel zu ihrer Funk¬ tion auch noch Diagnosedaten zu senden. Die Aufforderungseinrichtung 8 sendet die Aufforderungssignale so aus, dass die Netzwerkeigenschaften des sicherheitskritischen Netzwerks 3 nicht negativ beeinflusst werden. Zu den Netzwerkeigenschaf¬ ten gehören eine maximale Last sowie ein möglichst effektives Nutzen der Netzwerkressourcen. Das Aufforderungssignal wird von der Aufforderungseinrichtung 8 an wenigstens einen Teil- nehmer 9, insbesondere an die Komponenten 2, gesendet. Die Komponenten 2 oder Teilnehmer 9 registrieren das Aufforderungssignal und speisen als Reaktion auf das Aufforderungs¬ signal die angefragten Diagnosedaten bzw. Diagnoseinformatio¬ nen in das sicherheitskritische Netzwerk 3 ein. Die durch das Aufforderungssignal angeforderten Informationen können anschließend von der Leseeinrichtung 7 mitgelesen werden und so an das Diagnosesystem 5 über das nicht sicherheitskritische Netzwerk 4 übertragen werden. Die betrieblichen Informationen der Komponenten 2, die ohne Aufforderungssignal von den Komponenten 2 gesendet werden, werden durch die Leseeinrichtung 7 ebenfalls mitgelesen und an das Diagnosesystem 5 übertragen. Um die Sicherheitseigenschaften des sicherheitskritischen Netzwerks 3 zu erfüllen, ist die Aufforderungseinrichtung 8 auf einer geeigneten Rechnerplattform realisiert, die die notwendigen Sicherheitsbe¬ dingungen erfüllt. Durch die erfindungsgemäße Lösung erhält das Diagnosesystem 5, das nicht sicher ausgeführt ist, trotzdem alle erforderli¬ chen Informationen aus dem sicherheitskritischen Netzwerk 3. So ist die Diagnosequalität der erfindungsgemäßen eisenbahn- technischen Anlage 1 besonders hoch, ohne dass Komponenten 2 eingesetzt werden müssen, die spezielle Diagnoseschnittstel¬ len aufweisen.
Im Folgenden wird die weitere beispielhafte Ausführungsform der Erfindung mit Bezug auf Figur 2 beschrieben. Der Einfachheit halber wird lediglich auf die Unterschiede zu der Aus¬ führungsform in Figur 1 eingegangen.
Im Gegensatz zu der Ausführungsform in Figur 1 weist die Auf- forderungseinrichtung 8 der erfindungsgemäßen Anordnung 6 bei der beispielhaften Ausführungsform in Figur 2 eine zusätzliche Schnittstelle 13 auf. Die Schnittstelle 13 ist mit dem nicht sicherheitskritischen Netzwerk 4 verbunden. Durch die Verbindung des Diagnosesystems 5 mit der Aufforderungsein- richtung 8 über die Schnittstelle 13 und das nicht sicher¬ heitskritische Netzwerk 4 können Konfigurationsdaten und gegebenenfalls konkrete Kommandos von dem Diagnosesystem 5 an die Aufforderungseinrichtung 8 übertragen werden. Auch ist ein Setzen von Parametern durch das Diagnosesystem 5 möglich. Solche Parameter können z.B. die Häufigkeit des Aufforde- rungssignals für einen Teilnehmer 9 oder eine maximal zuläs¬ sige Netzlast durch die Aufforderungssignale auf dem sicher¬ heitskritischen Netz 3 sein. So können bestimmte Informationen gezielt vom Diagnosesystem 5 angefordert werden. Um die Sicherheit des sicherheitskritischen Netzwerks 3 nicht zu ge¬ fährden, ist die Aufforderungseinrichtung 8 intern mit einer Netzwerktrennung versehen, die eine Trennung zwischen dem nicht sicherheitskritischen Netzwerk 4 und dem sicherheitskritischen Netzwerk 3 garantiert.
In beiden Ausführungsformen der Figuren 1 und 2 ist das sicherheitskritische Netzwerk 3 mit einem hohen Sicherheits¬ level ausgestattet, beispielsweise nach SIL3 oder SIL4.

Claims

Patentansprüche
1. Verfahren zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netzwerks
(3) in ein nicht sicherheitskritisches Netzwerk (4), bei dem die Informationen von dem Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeist werden und bei dem die In¬ formationen von einer mit dem sicherheitskritischen Netzwerk (3) verbundenen Leseeinrichtung (7) rückwirkungsfrei gelesen und in das nicht sicherheitskritische Netzwerk (4) einge¬ speist werden.
2. Verfahren nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens ein Aufforderungssignal in das sicherheitskriti¬ sche Netzwerk (3) eingespeist wird und aufgrund des Aufforde¬ rungssignals das Einspeisen der Informationen in das sicherheitskritische Netzwerk (4) durchgeführt wird.
3. Verfahren nach Anspruch 2,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal von einem anderen Teilnehmer (9) des sicherheitskritischen Netzwerks (3) erzeugt wird.
4. Verfahren nach einem der Ansprüche 2 bis 3,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal an wenigstens einen bestimmten Teil¬ nehmer des sicherheitskritischen Netzwerks (3) adressiert wird.
5. Verfahren nach einem der Ansprüche 2 bis 4,
d a d u r c h g e k e n n z e i c h n e t , dass
das Aufforderungssignal in einem vorbestimmten Zeitintervall eingespeist wird.
6. Verfahren nach einem der Ansprüche 2 bis 5,
d a d u r c h g e k e n n z e i c h n e t , dass mehrere für unterschiedliche Teilnehmer adressierte Aufforde¬ rungssignale in unterschiedlichen Zeitintervallen eingespeist werden .
7. Verfahren nach einem der Ansprüche 2 bis 6,
d a d u r c h g e k e n n z e i c h n e t , dass
wenigstens eine Eigenschaft des sicherheitskritischen Netz¬ werks (3) und/oder des wenigstens einen Teilnehmers (9) er- fasst und das Aufforderungssignal in Abhängigkeit von der we- nigstens einen Eigenschaft gesendet wird.
8. Anordnung (6) zum rückwirkungsfreien Übermitteln von Informationen, insbesondere Diagnoseinformationen, von wenigstens einem Teilnehmer (9) eines sicherheitskritischen Netz- werks (3) in ein nicht sicherheitskritisches Netzwerk (4), mit wenigstens einer mit dem sicherheitskritischen Netzwerk (3) und dem nicht sicherheitskrischen Netzwerk (4)
verbindbaren Leseeinrichtung (7), die zum rückwirkungsfreien Lesen der vom Teilnehmer (9) in das sicherheitskritische Netzwerk (3) eingespeisten Informationen und zum Einspeisen der gelesenen Informationen in das nicht sicherheitskritische Netzwerk (4) ausgebildet ist.
9. Anordnung (6) nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens eine AuffOrderungseinrichtung (8) aufweist, die mit dem sicherheitskritischen Netzwerk (3) verbindbar und zur Erzeugung wenigstens eines Aufforderungs- signals ausgebildet ist, wobei das Aufforderungssignal den wenigstens einen Teilnehmer (9) zur Einspeisung der Information in das sicherheitskritische Netzwerk (3) veranlasst.
10. Anordnung (6) nach Anspruch 9,
d a d u r c h g e k e n n z e i c h n e t , dass
die AuffOrderungseinrichtung (8) wenigstens eine Schnittstel¬ le (13) zum nicht sicherheitskritischen Netzwerk (4) aufweist und so ausgebildet ist, dass das sicherheitskritische Netz- werk (3) von dem nicht sicherheitskritischen Netzwerk (4) getrennt ist.
11. Anordnung (6) nach Anspruch 9 oder 10,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung wenigstens ein Erfassungsmittel (11) aufweist, das zum Erfassen von wenigstens einer Eigenschaft des sicher¬ heitskritischen Netzwerks (3) und/oder des wenigstens einen Teilnehmers (9) ausgebildet ist.
12. Sicherheitskritisches Netzwerk (3), insbesondere einer eisenbahntechnischen Anlage (1), mit wenigstens einem Teil¬ nehmer (9), der zum Einspeisen von Informationen, insbesondere Diagnoseinformationen, in das sicherheitskritische Netz- werk (3) ausgebildet ist,
d a d u r c h g e k e n n z e i c h n e t , dass
das sicherheitskritische Netzwerk (3) wenigstens eine Anord¬ nung (6) nach einem der oben genannten Ansprüchen 8 bis 11 aufweist .
PCT/EP2018/052869 2017-03-06 2018-02-06 Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen WO2018162161A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017203590.0 2017-03-06
DE102017203590.0A DE102017203590A1 (de) 2017-03-06 2017-03-06 Verfahren und Anordnung zum rückwirkungsfreien Übermitteln von Informationen

Publications (1)

Publication Number Publication Date
WO2018162161A1 true WO2018162161A1 (de) 2018-09-13

Family

ID=61283161

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/052869 WO2018162161A1 (de) 2017-03-06 2018-02-06 Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen

Country Status (2)

Country Link
DE (1) DE102017203590A1 (de)
WO (1) WO2018162161A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226398A1 (de) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102015214993A1 (de) * 2015-08-06 2017-02-09 Siemens Aktiengesellschaft Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226398A1 (de) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102015214993A1 (de) * 2015-08-06 2017-02-09 Siemens Aktiengesellschaft Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken

Also Published As

Publication number Publication date
DE102017203590A1 (de) 2018-09-06

Similar Documents

Publication Publication Date Title
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE3201768C2 (de)
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
EP3102475B1 (de) Ersatz-ressource für einen defekten rechnerkanal eines schienenfahrzeugs
DE102014218823A1 (de) Netzknoten, Steuermodul für eine Komponente und Ethernet Ring
EP2613463B1 (de) Verfahren zur überwachung eines transmitters und entsprechender transmitter
EP0214474B1 (de) Verfahren und Schaltungsanordnung zum Ubertragen von Datensignalen zwischen über ein Ringleitungssystem miteinander verbundenen Steuereinrichtungen
EP3964419A1 (de) Übertragung von daten zwischen einem spurgebundenen fahrzeug und einer landseitigen einrichtung
DE102006017302A1 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
DE102005046373A1 (de) Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1085705A2 (de) Netzwerk mit mehreren Netzknoten und wenigstens einem Sternknoten
WO2018162161A1 (de) Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen
DE602004007130T2 (de) Fehlererkennung und unterdrückung in einem tdma-basierten netzknoten
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
DE102016108997A1 (de) Vorrichtung zum Auslesen von Daten aus einem sicherheitskritischen Steuergerät
DE10247637B4 (de) Schaltungsanordnung zur Ermittlung eines ein wake-up-Signal sendenden Steuergeräts eines Bus-Systems mit mehreren weiteren Steuergeräten
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
EP0905623B1 (de) Verfahren zum Austausch von Datenpaketen innerhalb eines sicheren Mehrrechnersystems und Mehrrechnersystem zur Ausführung des Verfahrens
WO2023222358A1 (de) Verfahren und system zur automatisierten ermittlung der zugintegrität eines zugverbands
DE102016110148A1 (de) Endsystemeinrichtung mit integrierter Schalteinrichtung
DE102006007844A1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18707246

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18707246

Country of ref document: EP

Kind code of ref document: A1