WO2019081326A1 - Konzept zum betreiben eines schienenfahrzeugs - Google Patents

Konzept zum betreiben eines schienenfahrzeugs

Info

Publication number
WO2019081326A1
WO2019081326A1 PCT/EP2018/078501 EP2018078501W WO2019081326A1 WO 2019081326 A1 WO2019081326 A1 WO 2019081326A1 EP 2018078501 W EP2018078501 W EP 2018078501W WO 2019081326 A1 WO2019081326 A1 WO 2019081326A1
Authority
WO
WIPO (PCT)
Prior art keywords
control unit
safety
controller
logical
rail vehicle
Prior art date
Application number
PCT/EP2018/078501
Other languages
English (en)
French (fr)
Inventor
Matthias Alexander Weber
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of WO2019081326A1 publication Critical patent/WO2019081326A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
    • B61L15/0018Communication with or on the vehicle or vehicle train

Definitions

  • the invention relates to a method and a device for operating a rail vehicle.
  • the invention further relates to a rail vehicle and a computer program. After 3125 Tr 08 L 10 of the Federal Railway Authority a Change ⁇ tion of software for control units of rail vehicles without re-registration procedures may be performed when only non-safety related func ⁇ nen contains.
  • a method for operating a rail vehicle using a physical Steuerge ⁇ Raets comprising the steps of:
  • an apparatus for operating a rail vehicle comprising:
  • a physical control unit comprising a processor, wherein the processor is configured to execute a first logic control unit in order ⁇ ben, wherein the processor is configured to execute the rail vehicle to Operator Op a second logi ⁇ ULTRASONIC controller to be ⁇ drive the rail vehicle, wherein the first logical controller and the second logical controller are logically separated.
  • a rail vehicle is agreementsge ⁇ provides, which includes the device for operating a rail vehicle.
  • a computer program is provided which comprises program code for performing the method for operating a rail vehicle when the Com ⁇ computer program is executed on a computer.
  • the invention is based on the finding that the above on ⁇ handover can be achieved in that two logical Steuerge ⁇ boards are carried on a physical control unit.
  • the technical advantage is, for example, causes one of the two logical control devices capable of providing functions that only non-safety-relevant functions, whereas the other may provide the two logic control units functions which include security related functions. It can be effected in an advantageous manner ⁇ logical separation between non-safety-related functions and safety functions. This further causes the technical advantage that in a change to the non-safety-relevant functions a renewed approval by the Federal Railway Authority is no longer necessary.
  • a rail vehicle in the sense of the description refers to a vehicle which can travel or be guided on one or more rails.
  • the rail vehicle is an element selected from the following group of railway vehicles: locomotive, multiple unit, railcars, rail tractor, train service vehicle autotowers, two-way vehicle, rail cleaning ⁇ supply truck, rail car, wagon, rail bike and trolley.
  • a logical control device in the sense of the description is a software which encapsulates functions of a certain security requirement level or thematically related functions into a unit. Several logic controllers can work on one physical or multiple physical control devices are executed. The interaction, ie data exchange between two logical control devices takes place either via a virtual or a physical communication medium.
  • another physical control unit for operating the rails ⁇ vehicle is used, which is physically separated from the physical control device further physical control ⁇ device, wherein a third logical controller is carried out on the other phy ⁇ Cartesian controller to operate the rail vehicle.
  • Provision is made in accordance with this embodiment is that only logical control ⁇ device are executed on the physical control unit, which provide only non-safety-related functions, whereas only logic controllers are running on the further physical control unit, which include only security-related functions, or vice versa.
  • an effi ⁇ duck logical and physical separation of software allows, each for either exclusively non-Whosrele ⁇ relevant functions or in each case for at least one or more safety-related functions include.
  • the logic control devices are each assigned a predetermined level of safety integrity. This technical advantage is effected, for example, that the software used safely and reliably func ⁇ ned according to the predetermined safety integrity level.
  • safety integrity level can also be abbreviated to "SIL”.
  • the safety integrity levels are, according to one embodiment, the five safety integrity levels according to the EN50128 and EN50657 standards.
  • one or more or all of the logical controllers are assigned one of the security integrity levels 0 (Basic Integrity), 1, 2, 3, 4.
  • the first logical controller respectively to the second logical controller res ⁇ pektive the third logical control unit in each case a Budapest ⁇ certain Safety Integrity Level: is associated (for example, 0 (Basic Integrity), 1, 2, 3, 4) ,
  • the security integrity levels of the logical control devices are, for example, different or, for example, the same.
  • the technical advantage is achieved that an efficient and secure communication between the ⁇ sen control devices is possible. That means for example, that for the first logical controller, respectively, the second logical controller res ⁇ pektive the third logic control device is virtualized each cation interface a communi-.
  • the first logical control unit exclusively provides non-safety-relevant functions, wherein the second logical control device provides one or more safety-relevant functions.
  • the technical advantage for example, that when changing to a non-safety-relevant function, the associated logic control unit does not have to pass once again an approval procedure of the Federal Railway Authority in order to be allowed to operate the rail vehicle.
  • the technical advantage causes ⁇ the that a time required for this and technical effort can be efficiently reduced.
  • non-safety-relevant functions are selected from the following group of non-safety-relevant functions:
  • the one or more safety-relevant functions being ⁇ selected from the following group of safety-relevant functions: Control function (s) for braking, for train control systems for fire detection, a Makrofon and for a safety driving circuit.
  • the first respectively second and third logical control unit each provide only one or more security-related functions.
  • the first respectively second and third logical control device respectively provide one or more non-safety-related functions.
  • the first logical control device exclusively provides or comprises non-safety-relevant functions
  • the second logical control device exclusively provides or encompasses safety-relevant functions.
  • the device for operating a railway vehicle comprising a further physical control unit, said further physical control device is physically separate from the physical control device, wherein the wide ⁇ re physical control device includes a further processor, said further processor is arranged, a third To carry out ⁇ logical control unit to operate the rail vehicle.
  • the method for operating a rail vehicle is performed or carried out by means of the device for operating a rail vehicle.
  • the device for operating a rail vehicle is designed or set up to execute or execute the method for operating a rail vehicle.
  • the processor of the physical control unit is designed to virtualize a respective communication interface for the first logical control unit or the second logical control unit so that they can communicate with each other.
  • the additional processor further physical control unit is configured to virtualize a communication interface for ⁇ said third logic control unit, so that it can communicate beispielswei ⁇ se with the first respectively the second logical controller.
  • the rail vehicle is designed or set up to carry out or carry out the method for operating a rail vehicle.
  • the computer on which the computer program is executed includes, for example, the physical control unit res ⁇ pective the further physical control unit.
  • logical controller may be abbreviated to "LOGG”.
  • a bus system is provided for communication. That is, according to one embodiment, the physical control unit, respectively the further physical control unit res ⁇ pektive the logic control devices are communicatively connected via a bus system MITEI ⁇ Nander.
  • the rail vehicle or the device comprises the bus system.
  • FIG. 1 shows a flow chart of a method for operating a
  • FIG. 2 shows a device for operating a rail vehicle
  • FIG. 3 shows a rail vehicle
  • FIG 6 shows a physical controller and another physical controller.
  • FIG. 1 shows a flow chart of a method for operating a rail vehicle using a physical controller.
  • the method starts at block 100 and includes the follow ⁇ the steps:
  • Executing 103 of a first logical controller on the physical controller to operate the rail vehicle executing 105 a second logical controller on the physical controller to operate the rail vehicle). ben, wherein the first logic controller and the second logical ⁇ logical control unit are logically separated.
  • the method ends at block 111.
  • FIG. 2 shows a device 201 for operating a slide ⁇ nenindis.
  • the apparatus 201 includes: a physical control unit 203 comprising a processor 205, the processor 205 is formed to perform a first lo ⁇ gical control unit to operate the rail vehicle, wherein the processor 205 is formed to perform a two-th logical control unit, to operate the rail running ⁇ imaging, wherein said first logical control unit and the second logical control unit are logically separated from each other.
  • a physical control unit 203 comprising a processor 205
  • the processor 205 is formed to perform a first lo ⁇ gical control unit to operate the rail vehicle
  • the processor 205 is formed to perform a two-th logical control unit, to operate the rail running ⁇ imaging, wherein said first logical control unit and the second logical control unit are logically separated from each other.
  • 3 shows a rail vehicle 301.
  • the rail vehicle 301 comprises the device 201 according to FIG. 2.
  • FIG. 4 shows a first logical control device 401, a second logical control device 403 and a third logical control device 405.
  • a first communication interface 407 is virtualized.
  • a second communication interface ⁇ point 409 virtualized.
  • a third communication interface 411 is virtualized ⁇ Siert.
  • the three logic controllers 401, 403, 405 communicate with each other, which is represented by double arrows.
  • the first logical controller 401 is assigned the security integrity level 0.
  • the second logic control unit 403 is assigned the security integrity level 0.
  • the third logical controller 405 is assigned the security integrity level 2.
  • the execution of the three logic control devices 401, 403, 405 can be carried out, for example, according to FIGS. 5 and 6
  • Embodiments be realized, which is described below ben ⁇ .
  • FIG. 5 shows a physical control device 501.
  • the physical controller 501 includes a processor 503.
  • the processor 503 is configured to execute the three logic controllers 401, 403, 405. Furthermore, the processor 503 is designed to virtualize the respective communication interface 407, 409, 411 of the three logic controllers 401, 403, 405.
  • the physical controller 601 includes a processor 605.
  • the further physical control unit 603 comprises a further processor 607.
  • the first logic control unit 401 and the second ⁇ logi cal control unit 403 are performed on the physical control unit 601 ⁇ .
  • the third logical controller 405 is executed on the further physical controller 603.
  • the processor 605 of the physical control device 601 executes the first logical control device 401 and the second logical control device 403.
  • the further processor 607 of the further physical control unit 603 executes the third logical control unit 405.
  • the two physical controllers 601, 603 are example ⁇ connected to each other via a bus system. This means in particular that the two physical control units 601, 603 can communicate with each other via the bus system.
  • the three logical control units 401, 403, 405 can then communicate with one another via the bus system.
  • this embodiment has the technical advantage that the requirements of the Federal Railway Authority can be met in a particularly simple and efficient manner in an advantageous manner.
  • the third logical control unit provides 405 functions wel ⁇ che comprise at least one safety-relevant function
  • the first logic control unit 401 and the second logical controller 403 only provide respectively comprise functions that comprises only non-safety ⁇ related functions.
  • the embodiment shown in FIG. 6, therefore, not only is there a logical separation between non-safety-relevant and safety-relevant function due to the use of logical control devices, but also a physical separation via the presence of the two physical control devices 601, 603.
  • a logical controller is defined by a software architecture pattern that rigidly encapsulates software functions thematically.
  • Each logical control unit is assigned, for example, exactly one SSAS stage and is, for example ent ⁇ neither a logic control unit of the stage SSASO or SSAS2.
  • An SSAS2 LOGG for example, advantageously si ⁇ cher and plausibility, for example, incoming data. For example, unauthorized data exchange at these interfaces, ie at the communication interfaces, is not permitted. Compliance with this rule is ⁇ example as part of the software creation process (15ge ⁇ provides.
  • the logic controllers are implemented, for example, on physi ⁇ cal control units for execution, for example, different constellations are possible, as vorste ⁇ base with reference to the figures 5 and 6 exemplified.
  • For example, is provided per ⁇ wells perform two logic controllers on different physical controllers.
  • two logical control devices are carried on a physical control unit, wherein on a further physical control unit, a third logic control unit from ⁇ is performed (see FIG. 6).
  • the concept of the invention has the technical advantage ⁇ rule that a common execution safe ⁇ standardized relevant and non-safety-related logic controllers on common hardware, the physical device control is possible.
  • the embodiment shown in FIG 5 has the technical advantage that a reduction in unit costs and an improvement in the availability can be guaranteed while meeting the agreement with the Federal Railway Authority.

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Schienenfahrzeugs unter Verwendung eines physischen Steuergeräts, umfassend die folgenden Schritte: Ausführen eines ersten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug zu betreiben, Ausführen eines zweiten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug zu betreiben, wobei das erste logische Steuergerät und das zweite logische Steuergerät logisch voneinander getrennt sind. Die Erfindung betrifft ferner eine Vorrichtung zum Betreiben eines Schienenfahrzeugs, ein Schienenfahrzeug sowie ein Computerprogramm.

Description

Beschreibung
Konzept zum Betreiben eines Schienenfahrzeugs
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betreiben eines Schienenfahrzeugs. Die Erfindung betrifft ferner ein Schienenfahrzeug sowie ein Computerprogramm. Nach 3125 Tr 08 L 10 des Eisenbahnbundesamts darf eine Ände¬ rung an Software für Steuergeräte von Schienenverkehrsfahrzeugen ohne erneutes Zulassungsverfahren durchgeführt werden, wenn diese ausschließlich nicht-sicherheitsrelevante Funktio¬ nen enthält.
In der Praxis werden jedoch nicht-sicherheitsrelevante und sicherheitsrelevante Funktionen auf Steuergeräten gebündelt, um Stückkosten sowie Fertigungskosten zu reduzieren. Dies führt dazu, dass Änderungen an nicht-sicherheitsrelevanten Funktionen Zulassungsaufwände induzieren, da die Rückwirkungsfreiheit der Änderungen auf sicherheitsrelevante Funkti¬ onen nachzuweisen ist. Die der Erfindung zugrundeliegende Aufgabe ist daher darin zu sehen, ein effizientes Konzept zum effizienten Betreiben eines Schienenfahrzeugs bereitzustellen.
Diese Aufgabe wird mittels des jeweiligen Gegenstands der un- abhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von jeweils abhängigen Unteransprü¬ chen .
Nach einem Aspekt wird ein Verfahren zum Betreiben eines Schienenfahrzeugs unter Verwendung eines physischen Steuerge¬ räts bereitgestellt, umfassend die folgenden Schritte:
Ausführen eines ersten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug zu betreiben, Ausführen eines zweiten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug zu betreiben, wobei das erste logische Steuergerät und das zweite logische Steuergerät logisch voneinander getrennt sind.
Nach einem anderen Aspekt wird eine Vorrichtung zum Betreiben eines Schienenfahrzeugs bereitgestellt, umfassend:
ein physisches Steuergerät aufweisend einen Prozessor, wobei der Prozessor ausgebildet ist, ein erstes logisches Steuergerät auszuführen, um das Schienenfahrzeug zu betrei¬ ben, wobei der Prozessor ausgebildet ist, ein zweites logi¬ sches Steuergerät auszuführen, um das Schienenfahrzeug zu be¬ treiben, wobei das erste logische Steuergerät und das zweite logische Steuergerät logisch voneinander getrennt sind.
Nach einem anderen Aspekt wird ein Schienenfahrzeug bereitge¬ stellt, welches die Vorrichtung zum Betreiben eines Schienenfahrzeugs umfasst. Nach einem anderen Aspekt wird ein Computerprogramm bereitgestellt, welches Programmcode zur Durchführung des Verfahrens zum Betreiben eines Schienenfahrzeugs umfasst, wenn das Com¬ puterprogramm auf einem Computer ausgeführt wird. Die Erfindung basiert auf der Erkenntnis, dass die obige Auf¬ gabe dadurch gelöst werden kann, dass zwei logische Steuerge¬ räte auf einem physischen Steuergerät ausgeführt werden. Da¬ durch wird zum Beispiel der technische Vorteil bewirkt, dass eines der beiden logischen Steuergeräte Funktionen bereit- stellen kann, die ausschließlich nicht-sicherheitsrelevante Funktionen sind, wohingegen das andere der beiden logischen Steuergeräte Funktionen bereitstellen kann, die auch sicherheitsrelevante Funktionen umfassen. Es kann also in vorteil¬ hafter Weise eine logische Trennung zwischen nicht-sicher- heitsrelevante Funktionen und sicherheitsrelevanten Funktionen bewirkt werden. Dadurch wird weiter der technische Vorteil bewirkt, dass bei einer Änderung an den nicht-sicherheitsrelevanten Funktionen eine erneute Zulassung seitens des Eisenbahnbundesamtes nicht mehr notwendig ist.
Bei einem logischen Steuergerät, welches sowohl sicherheits¬ relevante als auch nicht-sicherheitsrelevante Funktionen um- fasst respektive bereitstellt, muss, wie vorstehend in der Beschreibungseinleitung ausgeführt, bei einer Änderung an ei- ner nicht-sicherheitsrelevanten Funktion dennoch stets eine erneute Zulassung erlangt werden.
Der damit verbundene zeitliche und technische Aufwand kann somit in vorteilhafter Weise vermieden, mindestens reduziert, werden.
Dadurch können beispielsweise Ausfallzeiten des Schienenfahrzeugs, die sich aufgrund der Durchführung eines Zulassungs¬ verfahrens ergeben, reduziert respektive vermieden werden.
Somit wird also ein effizientes Konzept zum effizienten Be¬ treiben eines Schienenfahrzeugs bereitgestellt.
Ein Schienenfahrzeug im Sinne der Beschreibung bezeichnet ein Fahrzeug, welches auf einer oder auf mehreren Schienen fahren oder geführt werden kann.
Nach einer Ausführungsform ist das Schienenfahrzeug ein Element ausgewählt aus der folgenden Gruppe von Schienenfahrzeu- gen: Lokomotive, Triebzug, Triebwagen, Schienentraktor, Bahndienstfahrzeug, Turmwagen, Zweiwegefahrzeug, Schienenreini¬ gungsfahrzeug, Schienenautomobil, Wagon, Schienenfahrrad und Draisine . Ein logisches Steuergerät im Sinne der Beschreibung ist eine Software, die Funktionen einer bestimmten Sicherheitsanforde- rungsstufe bzw. thematisch verwandte Funktionen zu einer Einheit kapselt. Mehrere logische Steuergeräte können auf einem physikalischen oder mehreren physischen Steuergeräten zur Ausführung gebracht werden. Die Interaktion, d.h. Datenaustausch zwischen zwei logischen Steuergeräten erfolgt entweder über ein virtuelles oder ein physisches Kommunikationsmedium.
Nach einer anderen Ausführungsform ist vorgesehen, dass ein weiteres physisches Steuergerät zum Betreiben des Schienen¬ fahrzeugs verwendet wird, wobei das weitere physische Steuer¬ gerät physisch getrennt von dem physischen Steuergerät ist, wobei ein drittes logisches Steuergerät auf dem weiteren phy¬ sischen Steuergerät ausgeführt wird, um das Schienenfahrzeug zu betreiben.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass das Schienenfahrzeug weiter effizient betrieben werden kann .
Insbesondere die Verwendung eines weiteren physischen Steuergeräts, welches ein drittes logisches Steuergerät ausführen kann, bewirkt insbesondere den technischen Vorteil, dass den technischen Anforderungen des Eisenbahnbundesamtes effizient entsprochen werden kann.
Beispielsweise ist es gemäß dieser Ausführungsform vorgese- hen, dass auf dem physischen Steuergerät nur logische Steuer¬ geräte ausgeführt werden, die ausschließlich nicht- sicherheitsrelevante Funktionen bereitstellen, wohingegen auf dem weiteren physischen Steuergerät nur logische Steuergeräte ausgeführt werden, die ausschließlich sicherheitsrelevante Funktionen umfasst, oder umgekehrt.
Somit ist beispielsweise in vorteilhafter Weise eine effizi¬ ente logische und physische Trennung von Softwares (über die Verwendung von logischen Steuergeräten) ermöglicht, die je- weils für sich entweder ausschließlich nicht-sicherheitsrele¬ vante Funktionen oder jeweils für sich mindestens eine oder mehrere sicherheitsrelevante Funktionen umfassen. Nach einer Ausführungsform ist vorgesehen, dass den logischen Steuergeräten jeweils ein vorbestimmter Sicherheits-Integri- tätslevel zugeordnet ist. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die verwendete Software entsprechend dem vorbestimmten Sicherheits-Integritätslevel sicher und zuverlässig funktio¬ niert . Der Begriff "Sicherheits-Integritätslevel" kann auch mit "SIL" abgekürzt werden.
Bei den Sicherheits-Integritätsleveln handelt es sich gemäß einer Ausführungsform um die fünf Sicherheits-Integritäts- leveln gemäß der Normen EN50128 sowie EN50657.
Gemäß einer Ausführungsform ist eines oder sind mehrere oder sind alle der logischen Steuergeräte einer der Sicherheits- Integritätslevel 0 (Basic Integrity) , 1, 2, 3, 4 zugeordnet.
Das heißt also beispielsweise, dass dem ersten logischen Steuergerät respektive dem zweiten logischen Steuergerät res¬ pektive dem dritten logischen Steuergerät jeweils ein vorbe¬ stimmter Sicherheits-Integritätslevel (zum Beispiel: 0 (Basic Integrity), 1, 2, 3, 4) zugeordnet ist.
Die Sicherheits-Integritätslevel der logischen Steuergeräte sind beispielsweise unterschiedlich oder beispielsweise gleich .
Nach einer anderen Ausführungsform ist vorgesehen, dass für zumindest zwei der logischen Steuergeräte jeweils eine Kommu¬ nikationsschnittstelle virtualisiert wird, so dass diese mit¬ einander kommunizieren können.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine effiziente und sichere Kommunikation zwischen die¬ sen Steuergeräten ermöglicht ist. Das heißt also beispielsweise, dass für das erste logische Steuergerät respektive das zweite logische Steuergerät res¬ pektive das dritte logische Steuergerät jeweils eine Kommuni- kationsschnittstelle virtualisiert wird.
Nach einer anderen Ausführungsform ist vorgesehen, dass das erste logische Steuergerät ausschließlich nicht- sicherheitsrelevante Funktionen bereitstellt, wobei das zwei- te logische Steuergerät eine oder mehrere sicherheitsrelevan¬ te Funktionen bereitstellt.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass bei einer Änderung an einer nicht-sicherheitsrelevanten Funktion das zugehörige logische Steuergerät nicht noch ein¬ mal ein Zulassungsverfahren des Eisenbahnbundesamtes durchlaufen muss, um zum Betrieb des Schienenfahrzeugs zugelassen zu werden. Dadurch kann zum Beispiel der technische Vorteil bewirkt wer¬ den, dass ein hierfür notwendiger Zeitaufwand und technischer Aufwand effizient verringert werden können.
In einer Ausführungsform ist vorgesehen, dass die nicht- sicherheitsrelevanten Funktionen ausgewählt aus der folgenden Gruppe von nicht-sicherheitsrelevanten Funktionen sind:
Steuerungsfunktion (en) für eine Maschinenraumbeleuchtung, für eine Innenraumbeleuchtung Führerraum, für eine Fußbodenheizung, für einen Lüfter, für ein automatisches Fahren und Bremsen (Tempomat) .
Nach einer weiteren Ausführungsform ist vorgesehen, dass die eine oder die mehreren sicherheitsrelevante Funktionen ausge¬ wählt aus der folgenden Gruppe von sicherheitsrelevanten Funktionen ist: Steuerungsfunktion (en) für Bremsen, für Zugsicherungssysteme, für eine Branderkennung, für ein Makrofon und für eine Sicherheitsfahrschaltung. Beispielsweise stellt das erste respektive zweite respektive dritte logische Steuergerät jeweils ausschließlich eine oder mehrere sicherheitsrelevante Funktionen bereit. Beispielsweise stellt das erste respektive zweite respektive dritte logische Steuergerät jeweils eine oder mehrere nicht- sicherheitsrelevante Funktionen bereit.
Das heißt also beispielsweise, dass das erste logische Steu- ergerät ausschließlich nicht-sicherheitsrelevante Funktionen bereitstellt respektive umfasst, wobei das zweite logische Steuergerät ausschließlich sicherheitsrelevante Funktionen bereitstellt respektive umfasst. Nach einer anderen Ausführungsform umfasst die Vorrichtung zum Betreiben eines Schienenfahrzeugs ein weiteres physisches Steuergerät, wobei das weitere physische Steuergerät physisch getrennt von dem physischen Steuergerät ist, wobei das weite¬ re physische Steuergerät einen weiteren Prozessor umfasst, wobei der weitere Prozessor ausgebildet ist, ein drittes lo¬ gisches Steuergerät auszuführen, um das Schienenfahrzeug zu betreiben .
Nach einer Ausführungsform ist vorgesehen, dass das Verfahren zum Betreiben eines Schienenfahrzeugs mittels der Vorrichtung zum Betreiben eines Schienenfahrzeugs aus- oder durchgeführt wird .
Nach einer Ausführungsform ist vorgesehen, dass die Vorrich- tung zum Betreiben eines Schienenfahrzeugs ausgebildet oder eingerichtet ist, das Verfahren zum Betreiben eines Schienenfahrzeugs aus- oder durchzuführen.
Technische Funktionalitäten der Vorrichtung zum Betreiben ei- nes Schienenfahrzeugs ergeben sich analog unmittelbar aus entsprechenden technischen Funktionalitäten des Verfahrens zum Betreiben eines Schienenfahrzeugs. Ausführungen, die im Zusammenhang mit der Vorrichtung gemacht sind, gelten analog für das Verfahren und umgekehrt.
Das heißt also insbesondere, dass sich Vorrichtungsmerkmale aus entsprechenden Verfahrensmerkmalen und umgekehrt ergeben.
Nach einer Ausführungsform ist vorgesehen, dass der Prozessor des physischen Steuergeräts ausgebildet ist, für das erste logische Steuergerät respektive das zweite logische Steuerge- rät jeweils eine Kommunikationsschnittstelle zu virtualisie- ren, sodass diese miteinander kommunizieren können.
Nach einer Ausführungsform ist vorgesehen, dass der weitere Prozessor des weiteren physischen Steuergeräts ausgebildet ist, für das dritte logische Steuergerät eine Kommunikations¬ schnittstelle zu virtualisieren, so dass dieses beispielswei¬ se mit dem ersten respektive dem zweiten logischen Steuergerät kommunizieren kann. Gemäß einer Ausführungsform ist vorgesehen, dass das Schienenfahrzeug ausgebildet oder eingerichtet ist, das Verfahren zum Betreiben eines Schienenfahrzeugs aus- oder durchzuführen . Der Computer, auf welchem das Computerprogramm ausgeführt wird, umfasst beispielsweise das physische Steuergerät res¬ pektive das weitere physische Steuergerät.
Die Formulierung "logisches Steuergerät" kann beispielsweise mit "LOGG" abgekürzt werden.
Die Formulierung "respektive" umfasst insbesondere die Formu¬ lierung "und/oder". Gemäß einer Ausführungsform ist zur Kommunikation ein Bussystem vorgesehen. Das heißt, dass gemäß einer Ausführungsform das physische Steuergerät respektive das weitere physische Steuergerät res¬ pektive die logischen Steuergeräte über ein Bussystem mitei¬ nander kommunikationstechnisch verbunden sind.
In einer Ausführungsform umfasst das Schienenfahrzeug respektive die Vorrichtung das Bussystem.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden, wobei
FIG 1 ein Ablaufdiagramm eines Verfahrens zum Betreiben eines
Schienenfahrzeugs ,
FIG 2 eine Vorrichtung zum Betreiben eines Schienenfahrzeugs, FIG 3 ein Schienenfahrzeug,
FIG 4 drei logische Steuergeräte,
FIG 5 ein physisches Steuergerät und
FIG 6 ein physisches Steuergerät und ein weiteres physisches Steuergerät zeigen.
FIG 1 zeigt ein Ablaufdiagramm eines Verfahrens zum Betreiben eines Schienenfahrzeugs unter Verwendung eines physischen Steuergeräts .
Das Verfahren startet beim Block 100 und umfasst die folgen¬ den Schritte:
Ausführen 103 eines ersten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug zu betreiben, Ausführen 105 eines zweiten logischen Steuergeräts auf dem physischen Steuergerät, um das Schienenfahrzeug) zu betrei- ben, wobei das erste logische Steuergerät und das zweite lo¬ gische Steuergerät logisch voneinander getrennt sind.
Das Verfahren endet beim Block 111.
FIG 2 zeigt eine Vorrichtung 201 zum Betreiben eines Schie¬ nenfahrzeugs .
Die Vorrichtung 201 umfasst: ein physisches Steuergerät 203 aufweisend einen Prozessor 205, wobei der Prozessor 205 ausgebildet ist, ein erstes lo¬ gisches Steuergerät auszuführen, um das Schienenfahrzeug zu betreiben, wobei der Prozessor 205 ausgebildet ist, ein zwei- tes logisches Steuergerät auszuführen, um das Schienenfahr¬ zeug zu betreiben, wobei das erste logische Steuergerät und das zweite logische Steuergerät logisch voneinander getrennt sind . FIG 3 zeigt ein Schienenfahrzeug 301.
Das Schienenfahrzeug 301 umfasst die Vorrichtung 201 gemäß FIG 2. FIG 4 zeigt ein erstes logisches Steuergerät 401, ein zweites logisches Steuergerät 403 und ein drittes logisches Steuerge¬ rät 405.
Für das erste logische Steuergerät 401 ist eine erste Kommu- nikationsschnittstelle 407 virtualisiert . Für das zweite lo¬ gische Steuergerät 403 ist eine zweite Kommunikationsschnitt¬ stelle 409 virtualisiert. Für das dritte logische Steuergerät 405 ist eine dritte Kommunikationsschnittstelle 411 virtuali¬ siert .
Über diese Kommunikationsschnittstellen können die drei logischen Steuergeräte 401, 403, 405 untereinander kommunizieren, was durch Doppelpfeile dargestellt ist. Beispielsweise ist dem ersten logischen Steuergerät 401 der Sicherheits-Integritätslevel 0 zugeordnet. Beispielsweise ist dem zweiten logischen Steuergerät 403 der Sicherheits- Integritätslevel 0 zugeordnet. Beispielsweise ist dem dritten logischen Steuergerät 405 der Sicherheits-Integritätslevel 2 zugeordnet .
Das Ausführen der drei logischen Steuergeräte 401, 403, 405 kann beispielsweise gemäß den in FIG 5 und FIG 6 gezeigten
Ausführungsformen realisiert sein, was nachfolgend beschrie¬ ben wird.
FIG 5 zeigt ein physisches Steuergerät 501.
Das physische Steuergerät 501 umfasst einen Prozessor 503. Der Prozessor 503 ist ausgebildet, die drei logischen Steuergeräte 401, 403, 405 auszuführen. Ferner ist der Prozessor 503 ausgebildet, die jeweilige Kommunikationsschnittstelle 407, 409, 411 der drei logischen Steuergeräte 401, 403, 405 zu virtualisieren .
Das heißt also, dass gemäß der in FIG 5 gezeigten Ausfüh¬ rungsform vorgesehen ist, auf einem physischen Steuergerät drei logische Steuergeräte auszuführen.
FIG 6 zeigt ein physisches Steuergerät 601 und ein weiteres physisches Steuergerät 603. Das physische Steuergerät 601 umfasst einen Prozessor 605.
Das weitere physische Steuergerät 603 umfasst einen weiteren Prozessor 607.
Gemäß der in FIG 6 gezeigten Ausführungsform ist vorgesehen, dass das erste logische Steuergerät 401 und das zweite logi¬ sche Steuergerät 403 auf dem physischen Steuergerät 601 aus¬ geführt werden. Das dritte logische Steuergerät 405 wird auf dem weiteren physischen Steuergerät 603 ausgeführt.
Es ist also vorgesehen, dass der Prozessor 605 des physischen Steuergeräts 601 das erste logische Steuergerät 401 und das zweite logische Steuergerät 403 ausführt.
Der weitere Prozessor 607 des Weiteren physischen Steuergeräts 603 führt das dritte logische Steuergerät 405 aus.
Die beiden physischen Steuergeräte 601, 603 sind beispiels¬ weise über ein Bussystem miteinander verbunden. Das heißt also insbesondere, dass die beiden physischen Steuergeräte 601, 603 über das Bussystem miteinander kommunizieren können.
Entsprechend können dann die drei logischen Steuergeräte 401, 403, 405 über das Bussystem miteinander kommunizieren.
Diese Ausführungsform weist insbesondere den technischen Vor- teil auf, dass hier den Anforderungen des Eisenbahnbundesamtes in vorteilhafter Weise besonders einfach und effizient entsprochen werden kann. Dies insbesondere dann, wenn das dritte logische Steuergerät 405 Funktionen bereitstellt, wel¬ che mindestens eine sicherheitsrelevante Funktion umfassen, wohingegen das erste logische Steuergerät 401 und das zweite logischen Steuergerät 403 nur Funktionen bereitstellen respektive umfassen, welche ausschließlich nicht-sicherheits¬ relevante Funktionen umfasst. Gemäß der in FIG 6 gezeigten Ausführungsform findet also somit nicht nur eine logische Trennung zwischen nicht-sicherheitsrelevanten und sicherheitsrelevanten Funktion aufgrund der Verwendung von logischen Steuergeräten statt, sondern über das Vorhandensein der beiden physischen Steuergeräte 601, 603 auch eine physische Trennung statt.
Zusammenfassend basiert die Erfindung auf der Verwendung lo¬ gischer Steuergeräte (LOGG) . Ein logisches Steuergerät ist durch ein Software-Architektur- Muster definiert, welches Software-Funktionen thematisch starr kapselt. Jedes logische Steuergerät wird beispielsweise genau einer SSAS-Stufe zugeordnet und ist beispielsweise ent¬ weder ein logisches Steuergerät der Stufe SSASO oder SSAS2.
Eine Interaktion, also insbesondere eine Kommunikation, verschiedener LOGGs ist beispielsweise nur über streng definier- te Schnittstellen erlaubt.
Ein SSAS2-LOGG ist beispielsweise in vorteilhafter Weise si¬ cher und plausibilisiert beispielsweise eingehende Daten. Ein unerlaubter Datenaustausch an diesen Schnittstellen, also an den Kommunikationsschnittstellen, vorbei ist beispielsweise nicht erlaubt. Die Einhaltung dieser Regel wird beispiels¬ weise im Rahmen des Softwareerstellungsprozesses sicherge¬ stellt .
Die logischen Steuergeräte werden beispielsweise auf physi¬ schen Steuergeräten zur Ausführung gebracht, wobei beispielsweise verschiedene Konstellationen möglich sind, wie vorste¬ hend unter Verweis auf die FIG 5 und 6 beispielhaft erläu- tert.
So ist beispielsweise vorgesehen, zwei oder mehr als zwei lo¬ gische Steuergeräte auf einem gemeinsamen physischen Steuergerät auszuführen (vgl. FIG 5) .
Beispielsweise ist vorgesehen, zwei logische Steuergeräte je¬ weils auf verschiedenen physischen Steuergeräten auszuführen. Beispielsweise werden auf einem physischen Steuergerät zwei logische Steuergeräte ausgeführt, wobei auf einem weiteren physischen Steuergerät ein drittes logisches Steuergerät aus¬ geführt wird (vgl. FIG 6) . Das erfindungsgemäße Konzept weist insbesondere den techni¬ schen Vorteil auf, dass eine gemeinsame Ausführung sicher¬ heitsrelevanter und nicht-sicherheitsrelevanter logischer Steuergeräte auf gemeinsamer Hardware, dem physischen Steuer- gerät, möglich ist.
Das Ändern von Funktionen in nicht-sicherheitsrelevanten logischen Steuergeräten ist somit in vorteilhafter Weise ohne eine Neuzulassung möglich.
Insbesondere die in FIG 5 gezeigte Ausführungsform weist den technischen Vorteil auf, dass eine Senkung von Stückkosten und eine Verbesserung der Verfügbarkeit bei gleichzeitiger Erfüllung der Vereinbarung mit dem Eisenbahnbundesamt gewähr- leistet werden können.
Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele ein- geschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .

Claims

Patentansprüche
1. Verfahren zum Betreiben eines Schienenfahrzeugs (301) un¬ ter Verwendung eines physischen Steuergeräts (203, 501, 601), umfassend die folgenden Schritte:
Ausführen (103) eines ersten logischen Steuergeräts (401) auf dem physischen Steuergerät (203, 501, 601), um das Schienen¬ fahrzeug (301) zu betreiben,
Ausführen (105) eines zweiten logischen Steuergeräts (403) auf dem physischen Steuergerät (201, 501, 601), um das Schie¬ nenfahrzeug (301) zu betreiben,
wobei das erste logische Steuergerät (401) und das zweite lo¬ gische Steuergerät (403) logisch voneinander getrennt sind.
2. Verfahren nach Anspruch 1, wobei ein weiteres physisches Steuergerät (603) zum Betreiben des Schienenfahrzeugs (301) verwendet wird, wobei das weitere physische Steuergerät (603) physisch getrennt von dem physischen Steuergerät (203, 501, 601) ist, wobei ein drittes logisches Steuergerät (405) auf dem weiteren physischen Steuergerät (603) ausgeführt wird, um das Schienenfahrzeug (301) zu betreiben.
3. Verfahren nach Anspruch 1 oder 2, wobei den logischen Steuergeräten (401, 403, 405) jeweils ein vorbestimmter
Sicherheits-Integritätslevel zugeordnet ist.
4. Verfahren nach einem der vorherigen Ansprüche, wobei für zumindest zwei der logischen Steuergeräte (401, 403, 405) je¬ weils eine Kommunikationsschnittstelle (407, 409, 411) vir- tualisiert wird, so dass diese miteinander kommunizieren kön¬ nen .
5. Verfahren nach einem der vorherigen Ansprüche, wobei das erste logische Steuergerät ausschließlich nicht-sicherheits- relevante Funktionen bereitstellt, wobei das zweite logische Steuergerät eine oder mehrere sicherheitsrelevante Funktionen bereitstellt .
6. Verfahren nach Anspruch 5, wobei die nicht-sicherheits¬ relevanten Funktionen ausgewählt aus der folgenden Gruppe von nicht-sicherheitsrelevanten Funktionen sind: Steuerungsfunktion (en) für eine Maschinenraumbeleuchtung, für eine Innen- raumbeleuchtung, für eine Fußbodenheizung, für einen Lüfter, für ein automatisches Fahren und Bremsen.
7. Verfahren nach Anspruch 5 oder 6, wobei die sicherheitsrelevante Funktion ausgewählt aus der folgenden Gruppe von sicherheitsrelevanten Funktionen ist: Steuerungsfunktion (en) für einen Scheibenwischer, ein Signallicht, ein Makrofon, eine Sicherheitsfahrschaltung.
8. Vorrichtung (201) zum Betreiben eines Schienenfahrzeugs (301), umfassend:
ein physisches Steuergerät (203, 501, 601) aufweisend einen Prozessor (205, 503, 605),
wobei der Prozessor (205, 503, 605) ausgebildet ist, ein ers¬ tes logisches Steuergerät (401) auszuführen, um das Schienen- fahrzeug (301) zu betreiben,
wobei der Prozessor (205, 503, 605) ausgebildet ist, ein zweites logisches Steuergerät (403) auszuführen, um das
Schienenfahrzeug (301) zu betreiben,
wobei das erste logische Steuergerät (401) und das zweite lo- gische Steuergerät (403) logisch voneinander getrennt sind.
9. Vorrichtung (201) nach Anspruch 8, umfassend ein weiteres physisches Steuergerät (603), wobei das weitere physische Steuergerät (603) physisch getrennt von dem physischen Steu- ergerät (203, 501, 601) ist, wobei das weitere physische
Steuergerät (603) einen weiteren Prozessor (607) umfasst, wo¬ bei der weitere Prozessor (607) ausgebildet ist, ein drittes logisches Steuergerät (405) auszuführen, um das Schienenfahr¬ zeug (301) zu betreiben.
10. Schienenfahrzeug (301), umfassend die Vorrichtung (201) nach Anspruch 8 oder 9.
11. Computerprogramm, umfassend Programmcode zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 7, wenn das Computerprogramm auf einem Computer ausgeführt wird.
PCT/EP2018/078501 2017-10-26 2018-10-18 Konzept zum betreiben eines schienenfahrzeugs WO2019081326A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017219186 2017-10-26
DE102017219186.4 2017-10-26

Publications (1)

Publication Number Publication Date
WO2019081326A1 true WO2019081326A1 (de) 2019-05-02

Family

ID=64024006

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/078501 WO2019081326A1 (de) 2017-10-26 2018-10-18 Konzept zum betreiben eines schienenfahrzeugs

Country Status (1)

Country Link
WO (1) WO2019081326A1 (de)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060180709A1 (en) * 2005-02-11 2006-08-17 Luc Breton Method and system for IP train inauguration
DE102005061393A1 (de) * 2005-12-22 2007-07-05 Robert Bosch Gmbh Verfahren zur Verteilung von Softwaremodulen
WO2013126852A2 (en) * 2012-02-24 2013-08-29 Missing Link Electronics, Inc. Partitioning systems operating in multiple domains
EP2125482B1 (de) * 2006-12-22 2014-05-14 Central Signal, LLC Vitale festkörpersteuerung
DE102014115800A1 (de) * 2013-11-01 2015-05-07 Infineon Technologies Ag Elektronischer Sicherheitspfad
EP3035135A1 (de) * 2014-12-19 2016-06-22 Clearsy Notabschaltungsverfahren und entsprechendes sicherheitssystem
US20160231989A1 (en) * 2012-04-09 2016-08-11 Dana Belgium N.V. Functional architecture pattern for safety related applications
WO2017118520A1 (de) * 2016-01-07 2017-07-13 Siemens Aktiengesellschaft Verfahren zum betreiben einer etcs-mobilfunkantennenanordnung und etcs-bahnfahrzeug mit einer etcs-mobilfunkantennenanordnung

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060180709A1 (en) * 2005-02-11 2006-08-17 Luc Breton Method and system for IP train inauguration
DE102005061393A1 (de) * 2005-12-22 2007-07-05 Robert Bosch Gmbh Verfahren zur Verteilung von Softwaremodulen
EP2125482B1 (de) * 2006-12-22 2014-05-14 Central Signal, LLC Vitale festkörpersteuerung
WO2013126852A2 (en) * 2012-02-24 2013-08-29 Missing Link Electronics, Inc. Partitioning systems operating in multiple domains
US20160231989A1 (en) * 2012-04-09 2016-08-11 Dana Belgium N.V. Functional architecture pattern for safety related applications
DE102014115800A1 (de) * 2013-11-01 2015-05-07 Infineon Technologies Ag Elektronischer Sicherheitspfad
EP3035135A1 (de) * 2014-12-19 2016-06-22 Clearsy Notabschaltungsverfahren und entsprechendes sicherheitssystem
WO2017118520A1 (de) * 2016-01-07 2017-07-13 Siemens Aktiengesellschaft Verfahren zum betreiben einer etcs-mobilfunkantennenanordnung und etcs-bahnfahrzeug mit einer etcs-mobilfunkantennenanordnung

Similar Documents

Publication Publication Date Title
EP3209996B1 (de) Verfahren und vorrichtung zur ausführung eines testvorgangs betreffend ein schienenfahrzeug
DE102016200734A1 (de) Verfahren und Vorrichtung zum Überwachen einer fahrerlosen Fahrt eines Kraftfahrzeugs innerhalb eines Parkplatzes
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
DE102015108064B4 (de) Testsystem und Verfahren zum automatisierten Testen von wenigstens zwei gleichzeitig an das Testsystem angeschlossenen Steuergeräten sowie Steuergeräte-Anschluss- und Steuergeräte-Umschalteinheit zur Verwendung in einem solchen Testsystem
DE102021000369A1 (de) Verfahren zur Steuerung eines automatisiert fahrenden Fahrzeuges
DE10211278A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE102015211587A1 (de) Steueranordnung für ein Fahrzeug
WO2007074009A1 (de) Verfahren zur verteilung von softwaremodulen
EP3353650B1 (de) System und verfahren zur verteilung und/oder aktualisierung von software in vernetzten steuereinrichtungen eines fahrzeugs
DE112013003521B4 (de) Verfahren und Vorrichtung zum Austausch von Daten in einem Kraftfahrzeug zum Betreiben eines Aktors einer automatisierten Reibungskupplung und/oder eines automatisierten Getriebes
DE102012216391A1 (de) Kommunikation zwischen Wagen eines Schienenfahrzeugs
DE102013201031A1 (de) Verfahren zur Inbetriebnahme zumindest eines Funktionsgeräts und Schienenfahrzeugsverband
DE10208866A1 (de) Einrichtung und Verfahren zur Beurteilung und Erzielung von Sicherheit bei Systemen sowie entsprechendes Computerprogramm
WO2019081326A1 (de) Konzept zum betreiben eines schienenfahrzeugs
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
EP3483033A1 (de) Verfahren und onboard-steuereinheit zum steuern und/oder überwachen von komponenten eines schienenfahrzeugs
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102020007309A1 (de) Fahrerkarten für automatisierte Fahrzeuge
EP2962162B1 (de) Verfahren zur einrichtung oder aktualisierung einer programmierung eines steuergerätes eines verkehrsmittels
WO2021219327A2 (de) Eisenbahnanlage mit diagnosesystem und verfahren zu deren betrieb
DE102012007321A1 (de) Verfahren zum Betreiben eines Diagnosesystems und Diagnosesystem
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
EP1853979A1 (de) Maschinensteuerung mit sicherheitsfunktion
EP3720056B1 (de) Verfahren und system zur parallelen echtzeitanalyse bei funktionsprüfungen von hardware und software von steuergeräten
DE102021206145A1 (de) Verfahren zum Bremsen eines autonom fahrenden Kraftfahrzeugs

Legal Events

Date Code Title Description
DPE2 Request for preliminary examination filed before expiration of 19th month from priority date (pct application filed from 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18793617

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18793617

Country of ref document: EP

Kind code of ref document: A1