WO2021219329A1 - Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen - Google Patents

Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen Download PDF

Info

Publication number
WO2021219329A1
WO2021219329A1 PCT/EP2021/058906 EP2021058906W WO2021219329A1 WO 2021219329 A1 WO2021219329 A1 WO 2021219329A1 EP 2021058906 W EP2021058906 W EP 2021058906W WO 2021219329 A1 WO2021219329 A1 WO 2021219329A1
Authority
WO
WIPO (PCT)
Prior art keywords
result data
data stream
forwarding device
result
link
Prior art date
Application number
PCT/EP2021/058906
Other languages
English (en)
French (fr)
Inventor
Rainer Mattes
Thomas Waschulzik
Reiner Heilmann
Frank Poignee
Igor ARNDT
Vitali Schneider
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to EP21721402.2A priority Critical patent/EP4127934A1/de
Priority to IL297685A priority patent/IL297685A/en
Publication of WO2021219329A1 publication Critical patent/WO2021219329A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • G06F11/1645Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Definitions

  • the project that led to this application received support from Shift2Rail Joint Undertaking (JU) under Grant Agreement No. 826098.
  • JU receives support from the European Union's Horizon 2020 research and development program and from members of the Shift2Rail Joint Undertaking that are not members of the European Union.
  • the invention relates to a method for performing safety functions of a safety-related system.
  • the safety-oriented system comprises two computing devices, a forwarding device and a communication network.
  • the procedure includes:
  • the link logic being a bit-wise link.
  • the invention is based on the knowledge that in previous solutions to achieve a safety-oriented system, individual hardware expansions were provided and dependencies with regard to the electrical wiring of these expansions had to be taken into account.
  • the extensions and dependencies are usually very complex.
  • the invention is based on the knowledge that previous solutions for processing security functions with high security requirements have the disadvantage that the hardware fault tolerance (HFT) of the computing devices is often insufficient.
  • HFT hardware fault tolerance
  • proving the reliability of error monitoring measures against random errors is often complex. This means that the proof of safety has to be repeated with every expansion or change to the hardware, software and the associated operating system. While this repetition of the Proof of safety in microcontrollers can be carried out with reasonable effort, the renewed verification in microprocessor systems is highly complex and can rarely be carried out in a simplified manner.
  • a core concept of the invention is to replace a single hardware component that meets high security requirements with at least two computing devices that only have to meet a lower security requirement.
  • the high security requirement is met by the overall system in that the calculation result data streams are linked bit by bit. The bit-by-bit link ensures systematic error propagation in the event that the two computation result data streams are different (although they would have to be the same if the computation was error-free).
  • the solution according to the invention has the significant advantage that previous systems are simplified in structure (or the complexity is reduced). This reduces development effort and systems with a high level of security can be produced cost-effectively and with less development risk. This also reduces the costs for approval, since the structure of the overall system can be conveyed to the expert more easily and therefore with less effort and the correct function can be verified.
  • Another essential advantage of the solution according to the invention is that the network bandwidth does not have to be increased by using two simpler subsystems.
  • the forwarding device only has to store the received computation result data streams for a short time with a suitable system configuration and consequently any costs for the storage are comparatively low.
  • the computing devices are preferably each designed as terminal devices that are connected to the communication network in terms of data technology. More preferably, the computing devices are designed as a control unit, more preferably as a central control unit (CCU: Central Control Unit).
  • CCU Central Control Unit
  • the computing devices are data-technically connected to the forwarding device, for example via the communication network.
  • the calculation by the computing devices is preferably used to perform the task as part or object of one of the safety functions of the safety-related system.
  • the computing devices preferably perform the task independently and in parallel.
  • the computing devices are designed essentially the same, for example.
  • the computation result data stream is preferably implemented according to the rules of so-called Safe Data Transmission (SDT). Version 2 of the Safe Data Transmission Protocol is described, for example, in Appendix B of IEC 61375-2-3.
  • the computation result data stream is preferably carried out according to the rules of version 4 of the Safe Data Transmission Protocol. Version 4 enables a safety integrity level 4 and is described, for example, on page 12 of the document available at https: // safe4rail .eu / downloads / technical-seminar-brussels / 03-Drive-by-Data .pdf.
  • the forwarding device provides the link result data stream to the communication network, preferably to the effect that the link result data stream is transmitted to a further communication subscriber via the communication network.
  • the forwarding device does not provide any of the computation result data streams if the link is executed correctly.
  • the forwarding device preferably processes the first incoming computation result data stream and temporarily stores it.
  • the forwarding device also preferably processes the second incoming arithmetic result data stream and temporarily stores it.
  • the buffered computation result data streams are then linked bit by bit.
  • the above-mentioned object is also achieved by a further method according to the invention for executing safety functions of a safety-oriented system.
  • the safety-oriented system comprises two computing devices, a forwarding device and a receiving device.
  • the procedure includes:
  • Each computing device falsifies the result in such a way that o the receiving device recognizes this falsification and o the falsification is canceled when linking according to the linking logic.
  • This further method according to the invention is based on the knowledge that an error can occur in the link.
  • the forwarding device transmits one of the two computation result data streams to the receiving device instead of the link result data stream.
  • the above-described error can be recognized by the receiving device.
  • the falsification is not canceled by linking in accordance with the linking, the falsified computation result data stream is forwarded to the receiving device.
  • the receiving device can recognize or detect the falsification with a residual error probability.
  • the further method according to the invention also has the advantage that an error in the link is recognized by the receiving device.
  • the forwarding device must therefore achieve a lower level of reliability than in previous solutions. This results in further technical and organizational advantages.
  • the forwarding device must be a component of the system, which is to achieve a certain security level, cannot itself be approved for this security level.
  • the receiving device preferably detects the falsification in the event that the forwarding device forwards one of the two calculation result data streams instead of the linkage result data stream for transmission to the receiving device.
  • the computation result data stream is preferably implemented according to the rules of so-called Safe Data Transmission (SDT). Version 2 of the Safe Data Transmission Protocol is described, for example, in Appendix B of IEC 61375-2-3.
  • the computation result data stream is preferably carried out according to the rules of version 4 of the Safe Data Transmission Protocol.
  • a special feature of this safety protocol is that a reserved area is provided in which the falsification can be made.
  • the reserved area is, for example, the area of the SDTv4 VDP called "reservedO1" on page 12 of the document available at https: // safe4rail .eu / downloads / technical-seminar-brussels / 03-Drive-by-Data .pdf ( VDP: Vital Data Packet) In other words: when SDTv4 is used, a corruption is made in the safety trailer or safety header.
  • the user data area can be expanded by one or more bytes.
  • the falsification can be carried out in this expanded area.
  • the additional bytes are pre-assigned with zeros.
  • the various bits are marked (i.e. falsified or masked).
  • the logic operation is a bit-wise AND operation.
  • the application of the bitwise AND operation is for the above-mentioned method according to the invention be particularly advantageous and expedient, since a cancellation of the falsification is achieved with this type of link.
  • the falsification comprises setting a reserved bit assigned to the computing device.
  • the reserved bit is set to 0 in the undistorted state. Setting the reserved bit in the event of corruption means that a 1 is set in the place of the reserved bit.
  • a significant advantage of this embodiment is that the corruption is canceled again by setting the reserved bit at a position assigned to the computing device in the bit-by-bit AND operation. This is of particular importance in the event that the forwarding device does not link the computation result data streams due to an error. If the forwarding device forwards one of the computation result data streams, for example, the receiving device is able to recognize the set bit and thus the corruption.
  • the forwarding device is a network device, preferably a network switch, in particular a TSN switch or a communication card in a PC.
  • a network device is already present in a communication network. This means that no additional hardware is required and the resulting complexity is lower than in a scenario in which additional hardware is introduced to implement the comparison, signing and communication of the result.
  • network device preferably to the effect that it is part of the communication network.
  • network components is also often used.
  • terminals are connected to the communication network, but not part of the communication network itself.
  • TSN Time Sensitive Networking
  • the switch is also preferably a so-called Consist Switch (CS), as mentioned on page 15 of the document which can be accessed at https: // safe4rail .eu / downloads / technical-seminar-brussels / 03-Drive-by-Data.pdf.
  • CS Consist Switch
  • the two computing devices are formed by a first computing device that generates a first computation result data stream and a second computing device that generates a second computation result data stream.
  • the safety-related system has at least one third computing device, which calculates a result of the same task as calculated by the first and second computing device and generates a computational result data stream which represents the result of the computation.
  • the respective calculation result data stream is transmitted to the forwarding device.
  • the calculated computational result data streams are logically linked by means of a linking unit of the forwarding device in accordance with a link.
  • the falsification comprises setting a reserved bit at a first position in a reserved area of the computation result data stream by means of the first computation device.
  • the falsification also includes setting a reserved bit at a second position in the reserved area of the arithmetic result data stream by means of the second arithmetic unit.
  • the falsification also includes setting a reserved bit at a third position in the reserved area of the computational result data stream by means of the third computing device.
  • Each of the plurality of computing devices is assigned a location in the reserved area at which a bit can be "falsified” by setting on the basis of the point in the reserved fourth area at which the falsification is present, it can be deduced from which of the computing devices the data stream (incorrectly) forwarded by the forwarding device originates.
  • the logic logic is a bit-wise AND operation of the first, second and / or third arithmetic result data stream.
  • Two of the calculation result data streams are linked to one another.
  • the bit-by-bit AND link is particularly advantageous for a falsification in which a 1 is set at a place in a reserved area provided for the computing device, which consists of a sequence of zeros.
  • An example illustrates this:
  • the calculation result data streams have a reserved area with zeros.
  • the bit sequence B N lies in the region of the arithmetic result data stream generated by the first arithmetic unit.
  • the bit sequence B M is located in the reserved area of the arithmetic result data stream calculated by the second arithmetic unit.
  • the reserved area therefore has a 0 at all positions after the bit-wise AND operation. The corruption in the form of the set bit has been removed. If the first, second or third arithmetic result data stream fails, the AND link still generates a valid link result data stream, since only one bit is set in each data stream, which is deleted by the AND link. Any data stream is thus made truly redundant and by linking the two valid data streams, an unadulterated data stream can still be generated.
  • the receiving device is formed by at least two computing devices, which each calculate a result of the same task and each generate a computational result data stream that represents the result of the respective calculation, the task receiving processing of the from the forwarding device nen link result data stream.
  • the receiving device is formed by two computing devices that can be operated according to the method according to the invention.
  • the receiving device itself is a combination of two computing devices according to the method according to the invention and can provide two computation result data streams within the meaning of the invention to a further forwarding device and, if necessary, a further receiving device.
  • the computing devices each have a hardware component which is designed to meet the safety integrity level 2 (SIL2) during operation.
  • the computing devices preferably each have a software component which is designed to meet the safety integrity level 4 (SIL4) when executed by means of the computing device.
  • the safety-related system is designed to meet safety integrity level 3 or safety integrity level 4 during operation.
  • the method according to the invention makes it possible to use computing devices whose hardware component has a lower security integrity level (than the required security integrity level). This is made possible, in particular, by the redundancy of the computing devices: With previous solutions, the probability of random errors, systematic errors or a combination of both types of errors was too great to form a system of the required SIL level on its own.
  • the safety integrity levels 2, 3 and 4 are defined in IEC61508, for example.
  • the computing devices are series-produced products, in particular components-off-the-shelf.
  • the respective hardware component of the computing devices is preferably a series-produced product.
  • the safety-oriented system is a safety-oriented system of a vehicle, in particular a lane-bound vehicle.
  • a vehicle in particular a lane-bound vehicle.
  • the use of one of the methods according to the invention in a vehicle is particularly expedient, in particular when the vehicle is being operated in an automated or partially automated manner.
  • the track-bound vehicle is, for example, a rail vehicle, in particular a multiple unit or a locomotive.
  • the respective computation result data stream is transmitted to a first forwarding device and to a second forwarding device.
  • the calculated arithmetic result data streams are each logically linked by means of a linking unit of the first and second forwarding device in accordance with a linking logic.
  • a first link result data stream which represents the result of the link, is generated by means of the first forwarding device.
  • a second link result data stream which represents the result of the link, is generated by means of the second forwarding device.
  • the first link result data stream and the second link data stream are transmitted to a receiving device.
  • This embodiment achieves a multiple, in particular redundant, design of the forwarding device in the system.
  • Each forwarding device provides its own output stream (first and second linkage result data stream).
  • first and second linkage result data stream first and second linkage result data stream.
  • the availability of the overall system can be increased, since the receiving device can receive both link result data streams and can use the other link result data stream in the event of a failure of one forwarding device.
  • hardware costs can remain constant as a result of this embodiment, with increased availability being achieved at the same time.
  • the invention also relates to a computer program, comprising commands which, when the program is executed by at least two computing devices, a forwarding device and / or a receiving device, cause them to execute the method of the type described above.
  • the invention also relates to a computer-readable storage medium, comprising instructions which, when executed by at least two computing devices, a forwarding device and / or a receiving device, cause them to execute the method of the type described above.
  • the invention also relates to a safety-related system for performing safety functions.
  • the safety-oriented system comprises at least two computing devices, a forwarding device and a communication network.
  • the computing devices are designed to each calculate a result of the same task and each generate a computation result data stream which represents the result of the respective calculation.
  • the communication network is designed to transmit the respective computation result data stream to the forwarding device.
  • the forwarding device comprises a linking unit which is designed to link the computed computation result data streams in accordance with a linking logic.
  • the forwarding device is designed to generate a link result data stream, which represents the result of the link, and to generate the link result data stream to provide to the communication network.
  • the link is a bit-wise link.
  • the bit-wise link is preferably a bit-wise AND link.
  • the invention also relates to a safety-related system for performing safety functions.
  • the safety-oriented system comprises at least two computing devices, a forwarding device and a receiving device.
  • the computing devices are designed to each calculate a result of the same task and each generate a computing result data stream which represents the result of the respective calculation.
  • the safety-oriented system is designed to transmit the respective arithmetic result data stream to the forwarding device.
  • the forwarding device comprises a linking unit which is designed to link the computed calculation result data streams according to a link.
  • the forwarding device is designed to generate a link result data stream which represents the result of the link and to send the link result data stream to the receiving device.
  • the computing devices are designed to falsify the result in such a way that this falsification can be recognized by means of the receiving device and the falsification can be canceled when linking in accordance with the linking logic.
  • FIG. 2 schematically shows the structure of a first exemplary embodiment of a safety-related system according to the invention
  • FIG. 3 schematically shows the structure of a second exemplary embodiment of the safety-related system according to the invention
  • FIG. 4 schematically shows the structure of a third exemplary embodiment of the safety-related system according to the invention.
  • FIG. 5 schematically shows the sequence of a second exemplary embodiment of the two methods according to the invention.
  • FIG. 1 shows a schematic flow diagram which represents the sequence of an exemplary embodiment of the two methods according to the invention for increasing the reliability of safety functions of a safety-oriented one.
  • FIG. 2 shows schematically the structure of a safety-oriented system 1 in which the reliability of the safety functions is increased in accordance with the exemplary embodiment of the two methods according to the invention shown in FIG.
  • the system 1 has two computing devices 12 and 14, which are designed as terminals 13 and 15 and are connected to a communication network 16.
  • a forwarding device 18 of the safety-related system 1 is formed as a network component 19 of the communication network 16 from.
  • the network component 19 is a network switch 20 (so-called switch), in particular a TSN switch (TSN: Time Sensitive Networking).
  • the computing devices 12 and 14 each have a hardware component which is designed to meet the safety integrity level 2 (SIL2) during operation.
  • the hardware component can be derived from a series-produced product (so-called. Component-Off-The-Shelf).
  • the computing devices 12 and 14 each have a software component which is designed to meet the safety integrity level 4 (SIL4) when executed by means of the computing device 12 and 14.
  • the safety-related system 1 is designed to meet safety integrity level 3 or safety integrity level 4 during operation, which is achieved in particular by the two methods according to the invention.
  • the computing devices 12 and 14 calculate in a procedural step A a result of the same task.
  • the calculation A is used to perform the task as part or object of one of the safety functions of the safety-related system 1.
  • the computing devices 12 and 14 perform the task independently and in parallel.
  • the computing devices 12 and 14 are, for example, designed essentially the same.
  • a method step B the computing devices 12 and 14 each generate a computation result data stream 22 and 24, which represents the result of the respective computation A.
  • the arithmetic result data stream 22 and 24 is implemented according to the rules of the so-called Safe Data Protocol (SDT). Version 4 of the SDT protocol (SDTv4) enables a security integrity level 4 and is available, for example, on page 12 of the document available at https://safe4rail.eu/downloads/technical-seminar- brussels / 03-Drive-by-Data .pdf described.
  • the calculation result data stream 22 and 24 can be implemented according to the rules of Safety over OPC UA.
  • the falsification C takes place in which, according to a method step CI, a bit is sent to one of the computing devices in a reserved area of the computation result data stream 22 or 24 12 or 14 assigned position is set.
  • a bit is sent to one of the computing devices in a reserved area of the computation result data stream 22 or 24 12 or 14 assigned position is set.
  • the reserved area is set to 0 in all places before the corruption. Setting the bit for corruption means that a 1 is set at this point.
  • the reserved area is, for example, the area of the SDTv4 VDP called "reservedOl" on page 12 of the document available at https://safe4rail.eu/downloads/technical-seminar- brussels / 03-Drive-by-Data .pdf ( VDP: Vital Data Packet)
  • the user data area can be expanded by one or more bytes and corruption can be carried out in this area.
  • a method step D the respective arithmetic result data stream 22 and 24 is transmitted to the forwarding device 18 via the communication network 16.
  • the forwarding device 18 has a linking unit 32.
  • the linking unit 32 is part of the so-called switching fabric of the network switch 20.
  • the forwarding device 18 processes the received computing result data stream 22 and temporarily stores it.
  • the forwarding device 18 processes the received computing result data stream 24 and temporarily stores it.
  • the linking unit 32 links the calculated computing result data streams 22 and 24 in a method step E according to a linking logic.
  • the logic operation is a bit-wise AND operation, in which of two bit sequences of the same length, namely the arithmetic result data streams 22 and 24, each pair of corresponding bits is linked in such a way that the result bit is 1 if both bits are 1 or 0 otherwise.
  • a method step F the forwarding device 18 generates a link result data stream 26 which represents the result of the link E.
  • the forwarding device 18 provides the linking result data stream 26 in a method step G to the communication network 16 in order to be transmitted via the communication network 16 to further communication participants.
  • the link result data stream 26 provided is transmitted in a method step H via the communication network 16 to a receiving device 30 of the system 1 that is safety-oriented.
  • the receiving device 30 is designed to meet the safety integrity level 4 in operation. In the structure shown in FIG. 2, the receiving device 30 is formed by a single hardware component with software, each of which fulfills the security integrity level 4.
  • the receiving device 30 detects the falsification in the form of the set in a method step J Bits in the reserved area.
  • FIG. 3 shows schematically the structure of the second embodiment example of the safety-related system 1. Identical or functionally identical elements are given the same reference numerals. Chen, as used in relation to Figure 2, verse hen.
  • the receiving device 130 is formed by two computing devices 112 and 114, which are constructed and operated analogously to the computing devices 12 and 14.
  • the computing devices 112 and 114 receive the link result data stream 26, which is transmitted to them by multicast, and process it. During the processing by means of the computing devices 112 and 114, a result of the same task is calculated in each case and a computation result data stream 122 and 124 is generated in each case. The linking of the generated calculation result data streams 122 and 124 is carried out in a downstream forwarding device.
  • FIG. 4 schematically shows the structure of the third exemplary embodiment of the safety-related system 1. Identical or functionally identical elements are given the same reference characters as are used in relation to FIG. 2. In contrast to the exemplary embodiment shown in FIG a third calculation result data stream 226 is generated in a method step BB.
  • a reserved bit is set at a first position in a reserved area of the arithmetic result data stream 222 by means of the first arithmetic unit 212.
  • a reserved bit is stored in a second position in the reserved area of the computing result data stream 224 is set by means of the second computing device 214.
  • a reserved bit is set at a third position in the reserved area of the arithmetic result data stream 226 by means of the third arithmetic unit 216.
  • arithmetic result data streams 222, 224 and 226 are transmitted to the forwarding device 18.
  • the computation result data streams 222, 224 and 226 are linked by means of the linking unit 32 of the forwarding device 18 in a method step EE as a bitwise AND link.
  • any one of the three calculation result data streams can fail and the linking operation is still carried out.
  • the third arithmetic unit could then possibly only introduce an error with a certain probability into the calculation and would rather reduce the availability than increase it.
  • the forwarding device 18 In a method step FF, the forwarding device 18 generates a link result data stream 326 which represents the result of the link EE.
  • the forwarding device 18 provides the link result data stream 326 in a method step GG to the communication network Maschinen 16 ready to be transmitted via the communication network 16 to further communication participants.
  • the forwarding device 18 In the event of a faulty operation of the forwarding device 18, there is the risk that, for example, one of the computing result data streams 222, 224 or 226 will be provided by the forwarding device 18 in method step GG.
  • the set bit at the first, second or third digit of the reserved area Bi, B 2 or B 3 can be used to identify that there is a faulty operation.
  • the exemplary embodiment shown in FIG. 2 shows two computing devices 12 and 14.
  • the exemplary embodiment shown in FIG. 4 shows three computing devices 212, 214 and 216. This makes it clear that the invention can also be easily scaled to more than three computing devices.
  • the forwarding device 18 shown in FIGS. 2, 3 and 4 can be provided multiple times or redundantly.
  • the respective computation result data stream is transmitted to a first forwarding device and to a second forwarding device.
  • the computed result data streams are each logically linked by means of a linking unit of the first and second forwarding device in accordance with a linking logic.
  • a first link result data stream, which represents the result of the link is generated by means of the first forwarding device.
  • a second link result data stream, which represents the result of the link is generated by means of the second forwarding device.
  • the first link result data stream and the second link data stream are transmitted to a receiving device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Hardware Redundancy (AREA)
  • Hydroponics (AREA)
  • Emergency Lowering Means (AREA)
  • Devices Affording Protection Of Roads Or Walls For Sound Insulation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungseinrichtung (18) und ein Kommunikationsnetzwerks (16) umfasst. Zur Vereinfachung des Sicherheitsgerichteten Systems (1) bei gleichzeitiger Erhöhung der Flexibilität bei der Verwendung und Entwicklung des Systems (1) umfasst das Verfahren: Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212, 214), Erzeugen (B) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen (12, 14, 212, 214), Übertragen (D) des jeweiligen Rechenergebnisdatenstroms (22, 24, 222, 224) an die Weiterleitungseinrichtung (18), logisches Verknüpfen (E) der berechneten Rechenergebnisdatenströme (22, 24, 222, 224) mittels einer Verknüpfungseinheit (32) der Weiterleitungseinrichtung (18) gemäß einer Verknüpfungslogik, Erzeugen (F) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung (18), Bereitstellen (G) des Verknüpfungsergebnisdatenstroms (26, 326) mittels der Weiterleitungseinrichtung (18) an das Kommunikationsnetzwerk (16), wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.

Description

Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen
Das Projekt, das zu dieser Anmeldung geführt hat, erhielt Un terstützung von Shift2Rail Joint Undertaking (JU) gemäß der Vereinbarung Grant Agreement Nr. 826098. Das JU erhält Unter stützung von dem Forschungs- und Entwicklungsprogramm Horizon 2020 der Europäischen Union sowie von denjenigen Mitgliedern des Shift2Rail Joint Undertaking, die nicht Angehörige der Europäischen Union sind.
Die Erfindung betrifft ein Verfahren zum Ausführen von Si cherheitsfunktionen eines sicherheitsgerichteten Systems.
Grundsätzlich sind verschiedene Lösungen bekannt, um die Zu verlässigkeit von Sicherheitsfunktionen bzw. den Sicherheits anspruch an Sicherheitsfunktionen in einem sicherheitsgerich teten System zu erzielen. Vorgaben für Lösungen dieser Art sind beispielsweise in den Standards EN 50126, EN 50128, EN 50129 oder ISO 26262 beschrieben. Der grundlegende Standard IEC 61508 definiert Maßnahmen, um Hardware für die sogenannte Sicherheitsanforderungsstufe 4 bzw. das Sicherheitsintegri- tätslevel 4 zu befähigen.
Vor diesem Hintergrund ist es Aufgabe der Erfindung, die be kannten Verfahren und sicherheitsgerichteten Systeme zu ver bessern, insbesondere zu vereinfachen und gleichzeitig die Flexibilität bei der Verwendung und Entwicklung des Systems zu erhöhen.
Diese Aufgabe wird durch ein erfindungsgemäßes Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerich teten Systems gelöst. Das sicherheitsgerichtete System um fasst zwei Recheneinrichtungen, eine Weiterleitungseinrich tung und ein Kommunikationsnetzwerk. Das Verfahren umfasst:
- Berechnen jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen, - Erzeugen jeweils eines Rechenergebnisdatenstroms, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen,
- Übertragen des jeweiligen Rechenergebnisdatenstroms an die Weiterleitungseinrichtung,
- logisches Verknüpfen der berechneten Ergebnisdatenströme mittels einer Verknüpfungseinheit der Weiterleitungsein richtung gemäß einer Verknüpfungslogik,
- Erzeugen eines Verknüpfungsergebnisdatenstroms, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung,
- Bereitstellen des Verknüpfungsergebnisdatenstroms mittels der Weiterleitungseinrichtung an das Kommunikationsnetz werk, wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
Die Erfindung basiert auf der Erkenntnis, dass in bisherigen Lösungen zur Erzielung eines sicherheitsgerichteten Systems einzelne Hardware-Erweiterungen vorgesehen und Abhängigkeiten hinsichtlich der elektrischen Verdrahtung dieser Erweiterun gen berücksichtigt werden mussten. Die Erweiterungen und Ab hängigkeiten weisen in der Regel eine hohe Komplexität auf.
So ist es beispielsweise erforderlich, eine zusätzliche Zeit quelle und/oder einen zusätzlichen Mikroprozessor zur Über prüfung der Ausführung eines ersten Mikroprozessors vorzuse hen.
Zudem beruht die Erfindung auf der Erkenntnis, dass bisherige Lösungen zur Verarbeitung von Sicherheitsfunktionen mit hohen Sicherheitsanforderungen den Nachteil haben, dass die Hard ware-Fehlertoleranz (HFT, in Englisch: Hardware Fault Tole- rance) der Recheneinrichtungen häufig nicht ausreichend ist. In Systemen mit hohen Sicherheitsanforderungen ist der Nach weis der Zuverlässigkeit von Fehlerüberwachungsmaßnahmen ge gen zufällige Fehler häufig komplex. Dies führt dazu, dass der Sicherheitsnachweis mit jeder Erweiterung oder Änderung der Hardware, der Software und des zugehörigen Betriebssys tems wiederholt werden muss. Während diese Wiederholung des Sicherheitsnachweises bei Mikrocontrollern mit vertretbarem Aufwand durchführbar sein kann, ist der erneute Nachweis bei Mikroprozessor-Systemen hochkomplex und selten vereinfacht durchführbar.
Die erfindungsgemäße Lösung behebt diese Probleme, indem eine zusammengesetzte Struktur bestehend aus wenigstens zwei Re cheneinrichtungen gemeinsam mit einer Verknüpfungslogik der oben beschriebenen Art eingesetzt wird. Mit anderen Worten: Ein Kerngedanke der Erfindung liegt darin, eine einzelne Hardware-Komponente, die hohe Sicherheitsanforderungen er füllt, durch wenigstens zwei Recheneinrichtungen, die ledig lich eine geringere Sicherheitsanforderung erfüllen müssen, zu ersetzen. Dabei wird die hohe Sicherheitsanforderung durch das Gesamtsystem erfüllt, indem die Rechenergebnisdatenströme bitweise verknüpft werden. Durch die bitweise Verknüpfung wird eine systematische Fehlerfortpflanzung für den Fall er zielt, dass die beiden Rechenergebnisdatenströme unterschied lich sind (obwohl diese bei fehlerfreier Berechnung gleich sein müssten).
Zudem ergibt sich durch die erfindungsgemäße Lösung der we sentliche Vorteil, dass bisherige Systeme im Aufbau verein facht werden (bzw. die Komplexität reduziert wird). Dadurch wird Entwicklungsaufwand reduziert und Systeme mit hoher Si cherheit können kostengünstig und mit geringerem Entwick lungsrisiko hergestellt werden. Es werden dadurch auch die Kosten für eine Zulassung reduziert, da die Struktur des Ge samtsystems einfacher und damit auch mit geringerem Aufwand dem Gutachter zu vermitteln und die korrekte Funktion nachzu weisen ist.
Ein weiterer wesentlicher Vorteil der erfindungsgemäßen Lö sung besteht darin, dass die Netzwerk-Bandbreite durch die Nutzung von zwei einfacheren Teilsystemen nicht erhöht werden muss. Insbesondere ist es vorteilhaft, dass die Weiterleitungsein richtung die empfangenen Rechenergebnisdatenströme bei geeig neter Systemkonfiguration lediglich für eine kurze Zeit spei chern muss und folglich etwaige Kosten für die Speicherung vergleichsweise gering sind.
Die Recheneinrichtungen sind vorzugsweise jeweils als Endge räte, die an das Kommunikationsnetzwerk datentechnisch ange schlossen sind, ausgebildet. Weiter vorzugsweise sind die Re cheneinrichtungen als Steuereinheit, weiter vorzugsweise als zentrale Steuereinheit (CCU: Central Control Unit) ausgebil det.
Die Recheneinrichtungen sind beispielsweise über das Kommuni kationsnetzwerk mit der Weiterleitungseinrichtung datentech nisch verbunden.
Die Berechnung durch die Recheneinrichtungen dient vorzugs weise zur Ausführung der Aufgabe als Teil oder Gegenstand ei ner der Sicherheitsfunktionen des sicherheitsgerichteten Sys tems. Die Recheneinrichtungen führen die Aufgabe vorzugsweise unabhängig und parallel aus. Die Recheneinrichtungen sind beispielsweise im Wesentlichen gleich ausgeführt.
Der Rechenergebnisdatenstrom ist vorzugsweise nach den Regeln der sogenannten Safe Data Transmission (SDT) ausgeführt. Die Version 2 des Safe Data Transmission Protocol ist beispiels weise in Anhang B von IEC 61375-2-3 beschrieben. Bevorzugt wird der Rechenergebnisdatenstrom nach den Regeln der Version 4 des Safe Data Transmission Protocol ausgeführt. Die Version 4 ermöglicht ein Sicherheitsintegritätslevel 4 und ist bei spielsweise auf Seite 12 des unter https://safe4rail .eu/downloads/technical-seminar-brussels/03- Drive-by-Data .pdf abrufbaren Dokuments beschrieben. Alterna tive Ansätze sind unter https://opcfoundation.org/markets- collaboration/safety/ „Safety over OPC UA" oder PROFISAFE https://www.profibus .com/technology/profisafe/ zu finden. Der Fachmann versteht die Formulierung, dass die Weiterlei tungseinrichtung den Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitstellt, vorzugsweise dahinge hend, dass der Verknüpfungsergebnisdatenstrom an einen weite ren Kommunikationsteilnehmer über das Kommunikationsnetzwerk übertragen wird.
Vorzugsweise wird bei dem Bereitstellen des Verknüpfungser gebnisdatenstroms im fehlerfreien Betrieb der Weiterleitungs einrichtung ausschließlich der Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitgestellt. Mit anderen Worten: Die Weiterleitungseinrichtung stellt in fehlerfreier Ausführung der Verknüpfung keinen der Rechenergebnisdaten ströme bereit.
Vorzugsweise verarbeitet die Weiterleitungseinrichtung den ersten eingehenden Rechenergebnisdatenstrom und speichert diesen zwischen. Weiter vorzugsweise verarbeitet die Weiter leitungseinrichtung den zweiten eingehenden Rechenergebnisda tenstrom und speichert diesen zwischen. Die zwischengespei cherten Rechenergebnisdatenströme werden daraufhin bitweise verknüpft.
Die vorstehend genannte Aufgabe wird zudem durch ein weiteres erfindungsgemäßes Verfahren zum Ausführen von Sicherheits funktionen eines sicherheitsgerichteten Systems gelöst. Das sicherheitsgerichtete System umfasst zwei Recheneinrichtun gen, eine Weiterleitungseinrichtung und eine Empfangseinrich tung. Das Verfahren umfasst:
- Berechnen jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen,
- Erzeugen jeweils eines Rechenergebnisdatenstroms, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen,
- Übertragen des jeweiligen Rechenergebnisdatenstroms an die Weiterleitungseinrichtung, - logisches Verknüpfen der berechneten Ergebnisdatenströme mittels einer Verknüpfungseinheit der Weiterleitungsein richtung gemäß einer Verknüpfungslogik,
- Erzeugen eines Verknüpfungsergebnisdatenstroms, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der Weiterleitungseinrichtung,
- Übertragen des Verknüpfungsergebnisdatenstroms an die Empfangseinrichtung,
- wobei jede Recheneinrichtung das Ergebnis derart ver fälscht, dass o die Empfangseinrichtung diese Verfälschung erkennt und o die Verfälschung beim Verknüpfen gemäß der Verknüp fungslogik aufgehoben wird.
Dieses weitere erfindungsgemäße Verfahren beruht auf der Er kenntnis, dass bei der Verknüpfung ein Fehler auftreten kann. So ist es beispielsweise denkbar, dass die Weiterleitungsein richtung anstatt des Verknüpfungsergebnisdatenstroms einen der beiden Rechenergebnisdatenströme an die Empfangseinrich tung überträgt. Durch die Verfälschung des Rechenergebnisda tenstroms mittels der Recheneinrichtung kann der vorstehend beschriebene Fehler von der Empfangseinrichtung erkannt wer den. Mit anderen Worten: Wird die Verfälschung nicht durch das Verknüpfen gemäß der Verknüpfung aufgehoben, wird der verfälschte Rechenergebnisdatenstrom an die Empfangseinrich tung weitergeleitet. Die Empfangseinrichtung kann die Verfäl schung mit einer Restfehlerwahrscheinlichkeit erkennen bzw. detektieren.
Neben den vorstehend genannten Vorteilen in Bezug auf das er findungsgemäße Verfahren hat das weitere erfindungsgemäße Verfahren zudem den Vorteil, dass ein Fehler bei der Verknüp fung durch die Empfangseinrichtung erkannt wird. Daher muss die Weiterleitungseinrichtung eine geringere Zuverlässigkeit als bei bisherigen Lösungen erreichen. Daraus ergeben sich weitere technische als auch organisatorische Vorteile. Bei spielsweise muss die Weiterleitungseinrichtung als Komponente des Systems, welches ein bestimmtes Sicherheitslevel errei chen soll, selbst nicht für diese Sicherheitslevel zugelassen werden.
Vorzugsweise erkennt die Empfangseinrichtung die Verfälschung in dem Fall, dass die Weiterleitungseinrichtung einen der beiden Rechenergebnisdatenströme anstatt des Verknüpfungser gebnisdatenstroms zur Übertragung an die Empfangseinrichtung weiterleitet.
Der Rechenergebnisdatenstrom ist vorzugsweise nach den Regeln der sogenannten Safe Data Transmission (SDT) ausgeführt. Die Version 2 des Safe Data Transmission Protocol ist beispiels weise in Anhang B von IEC 61375-2-3 beschrieben. Bevorzugt wird der Rechenergebnisdatenstrom nach den Regeln der Version 4 des Safe Data Transmission Protocol ausgeführt. Eine Beson derheit bei diesem Safety-Protokoll ist, dass ein reservier ter Bereich vorgesehen ist, in dem die Verfälschung vorgenom men werden kann. Der reservierte Bereich ist beispielsweise der auf Seite 12 des unter https://safe4rail .eu/downloads/technical-seminar-brussels/03- Drive-by-Data .pdf abrufbaren Dokuments als „reservedO1 " be- zeichnete Bereich des SDTv4 VDP (VDP: Vital Data Packet). Mit anderen Worten: Es wird bei der Verwendung von SDTv4 eine Verfälschung im Safety-Trailer bzw. Safety-Header vorgenom men.
Bei anderen bestehenden Sicherheitsprotokollen, wie bei spielsweise OPC UA oder Profisafe, kann der Nutzdatenbereich um ein oder mehrere Bytes erweitert werden. In diesem erwei terten Bereich kann die Verfälschung vorgenommen werden. Da bei werden die weiterten Bytes mit Nullen vorbelegt. Vor dem Versenden des Paketes werden die verschiedenen Bits markiert (d. h. verfälscht bzw. maskiert).
Gemäß einer bevorzugten Ausführungsform der erfindungsgemäßen Verfahren ist die Verknüpfungslogik eine bitweise UND- Verknüpfung. Die Anwendung der bitweisen UND-Verknüpfung ist für die vorstehend genannten erfindungsgemäßen Verfahren be sonders vorteilhaft und zweckmäßig, da ein Aufheben der Ver fälschung mit dieser Art der Verknüpfung erzielt wird.
Der Fachmann versteht den Begriff „bitweise UND-Verknüpfung" als eine Verknüpfung von zwei Bitfolgen gleicher Länge, wobei jedes Paar korrespondierender Bits derart verknüpft wird, dass das Ergebnisbit 1 ist, falls beide Bits 1 sind, oder an sonsten 0 ist. Beispielsweise ist das Ergebnis BE der bitwei sen UND-Verknüpfung der Bitfolgen Bl = [0101] und B2 = [1001] BE = [0001].
Gemäß einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens umfasst die Verfälschung ein Setzen eines der Recheneinrichtung zugeordneten reservierten Bits.
Das reservierte Bit ist im unverfälschten Zustand auf 0 ge setzt. Das Setzen des reservierten Bits bei der Verfälschung bedeutet demnach, dass an der Stelle des reservierten Bits eine 1 gesetzt wird.
Ein wesentlicher Vorteil dieser Ausführungsform ist, dass die Verfälschung durch Setzen des reservierten Bits an einer der Recheneinrichtung zugeordneten Stelle bei der bitweisen UND- Verknüpfung wieder aufgehoben wird. Dies ist von besonderer Bedeutung für den Fall, dass die Weiterleitungseinrichtung aufgrund eines Fehlers keine Verknüpfung der Rechenergebnis datenströme durchführt. Leitet die Weiterleitungseinrichtung beispielsweise einen der Rechenergebnisdatenströme weiter, ist die Empfangseinrichtung in der Lage, das gesetzte Bit und somit die Verfälschung zu erkennen.
Bei einer weiteren bevorzugten Ausführungsform der erfin dungsgemäßen Verfahren ist die Weiterleitungseinrichtung eine Netzwerkeinrichtung, vorzugsweise eine Netzwerkweiche (Switch), insbesondere ein TSN-Switch oder eine Kommunikati onskarte in einem PC. Diese Ausführungsform ist besonders vorteilhaft, da eine Netzwerkeinrichtung ohnehin in einem Kommunikationsnetzwerk vorhanden ist. Somit ist keine zusätzliche Hardware erforder lich und die resultierende Komplexität fällt geringer aus als bei einem Szenario, bei dem eine zusätzliche Hardware einge führt wird, um den Vergleich, das Signieren und die Kommuni kation des Ergebnisses zu implementieren.
Der Fachmann versteht den Begriff Netzwerkeinrichtung vor zugsweise dahingehend, dass diese ein Teil des Kommunikati onsnetzwerks ist. Fachmännisch wird häufig auch von Netzwerk komponenten gesprochen. Im Unterschied dazu sind beispiels weise Endgeräte an das Kommunikationsnetzwerk angeschlossen, jedoch nicht Teil des Kommunikationsnetzwerks an sich.
Der Fachmann versteht den Begriff Switch als eine Netzwerk weiche. Der TSN-Switch (TSN: Time Sensitive Networking) ist nach dem fachmännischen Verständnis eine Netzwerkweiche, wel che die unter dem Oberbegriff TSN gefassten technischen Lö sungen unterstützt.
Weiter vorzugsweise ist der Switch ein sogenannter Consist Switch (CS), wie auf Seite 15 des unter https://safe4rail .eu/downloads/technical-seminar-brussels/03- Drive-by-Data.pdf anrufbaren Dokuments genannt.
Bei einer weiteren bevorzugten Ausführungsform der beiden vorstehend genannten erfindungsgemäßen Verfahren sind die zwei Recheneinrichtungen von einer ersten Recheneinrichtung, die einen ersten Rechenergebnisdatenstrom erzeugt, und einer zweiten Recheneinrichtung, die einen zweiten Rechenergebnis datenstrom erzeugt, gebildet. Das sicherheitsgerichtete Sys tem weist wenigstens eine dritte Recheneinrichtung auf, wel che ein Ergebnis derselben Aufgabe, wie sie von der ersten und zweiten Recheneinrichtung berechnet wird, berechnet und einen Rechenergebnisdatenstrom, welche das Ergebnis der Be rechnung repräsentiert, erzeugt. Der jeweilige Rechenergeb nisdatenstrom wird an die Weiterleitungseinrichtung übertra- gen. Die berechneten Rechenergebnisdatenströme werden mittels einer Verknüpfungseinheit der Weiterleitungseinrichtung gemäß einer Verknüpfung logisch verknüpft. Die Verfälschung umfasst ein Setzen eines reservierten Bits an einer ersten Stelle ei nes reservierten Bereichs des Rechenergebnisdatenstroms mit tels der ersten Recheneinrichtung. Die Verfälschung umfasst weiter ein Setzen eines reservierten Bits an einer zweiten Stelle des reservierten Bereichs des Rechenergebnisdaten stroms mittels der zweiten Recheneinrichtung. Die Verfäl schung umfasst weiter ein Setzen eines reservierten Bits an einer dritten Stelle des reservierten Bereichs des Rechener gebnisdatenstroms mittels der dritten Recheneinrichtung.
Die vorstehend beschriebene Ausführungsform verdeutlicht die Skalierbarkeit der beiden erfindungsgemäßen Verfahren, wobei zwei oder mehr als zwei Recheneinrichtung zu Berechnung eines Ergebnisses derselben Aufgabe vorgesehen sein können. Jeder der Mehrzahl von Recheneinrichtungen ist in dem reservierten Bereich eine Stelle zugeordnet, an welcher ein Bit durch Set zen „verfälscht" werden kann. In dem Fall, dass die Weiter leitungseinrichtung anstatt des Verknüpfungsergebnisdaten stroms einen der beiden Rechenergebnisdatenströme an die Emp fangseinrichtung überträgt, kann anhand der Stelle im reser vierten Bereich, an der die Verfälschung vorliegt, darauf ge schlossen werden, von welcher der Recheneinrichtungen der von der Weiterleitungseinrichtung (fälschlicherweise) weiterge leitete Datenstrom stammt.
Gemäß einer bevorzugten Weiterbildung ist die Verknüpfungslo gik eine bitweise UND-Verknüpfung des ersten, zweiten und/oder dritten Rechenergebnisdatenstroms. Dabei werden zwei der Rechenergebnisdatenströme miteinander verknüpft. Die bit weise UND-Verknüpfung ist besonders vorteilhaft für eine Ver fälschung, bei der an einer für die Recheneinrichtung vorge sehenen Stelle eines reservierten Bereichs, welcher aus einer Folge von Nullen besteht, eine 1 gesetzt wird. Ein Beispiel verdeutlicht dies: Die Rechenergebnisdatenströme weisen einen reservierten Bereich mit Nullen auf. In dem reservierten Be- reich des von der ersten Recheneinrichtung erzeugten Rechen ergebnisdatenstroms liegt die Bitfolge BN. In dem reservier ten Bereich des von der zweiten Recheneinrichtung berechneten Rechenergebnisdatenstroms liegt die Bitfolge BM. Wird die Bitfolge Bn = [...0...1...], bei der an der für die erste Rechen einrichtung vorgesehenen Stelle n eine 1 gesetzt ist, mit der Bitfolge Bm = [...1_ 0...], bei der an der für die zweiten Rechen einrichtung vorgesehenen Stelle m eine 1 gesetzt ist, bitwei se UND-verknüpft, ist das Ergebnis die Bitfolge BE = [...0...0...]. Der reservierte Bereich hat nach der bitweisen UND- Verknüpfung demnach an sämtlichen Stellen eine 0. Die Verfäl schung in Form des gesetzten Bits wurde aufgehoben. Fällt der erste, zweite oder dritte Rechenergebnisdatenstrom aus, wird durch die UND-Verknüpfung dennoch ein gültiger Verknüpfungs ergebnisdatenstrom erzeugt, da in jedem Datenstrom nur ein Bit gesetzt ist, welches durch die UND-Verknüpfung gelöscht wird. Somit ist ein beliebiger Datenstrom echt redundant aus gebildet und durch die Verknüpfung der zwei gültigen Daten ströme kann immer noch ein unverfälschter Datenstrom erzeugt werden.
Weitere Rechenergebnisströme sind möglich und können sinnvoll sein. Es werden oft drei aus vier Datenströmen verwendet, falls relativ häufig Fehler auftreten können. Dann kann man nicht nur Fehler erkennen, sondern auch beheben. Wenn dann in einem Datenstrom zu oft Fehler auftreten, wird dieser für ei ne gewisse Zeit nicht mehr verwendet, sondern es wird der vierte Datenstrom genutzt, bis sich das Fehlerbild wieder än dert.
Bei einer weiteren bevorzugten Ausführungsform des weiteren erfindungsgemäßen Verfahrens wird die Empfangseinrichtung von wenigstens zwei Recheneinrichtungen gebildet, welche jeweils ein Ergebnis derselben Aufgabe berechnen und jeweils einen Rechenergebnisdatenstrom, welche das Ergebnis der jeweiligen Berechnung repräsentiert, erzeugen, wobei die Aufgabe eine Verarbeitung des von der Weiterleitungseinrichtung empfange nen Verknüpfungsergebnisdatenstroms ist. Demnach wird die Empfangseinrichtung von zwei Recheneinrich tungen gebildet, die gemäß den erfindungsgemäßen Verfahren betrieben werden können. Mit anderen Worten: Die Empfangsein richtung stellt selbst eine Zusammensetzung aus zwei Rechen einrichtungen gemäß den erfindungsgemäßen Verfahren dar und kann zwei Rechenergebnisdatenströme im Sinne der Erfindung an eine weitere Weiterleitungseinrichtung und ggfs, eine weitere Empfangseinrichtung bereitstellen.
Nach einer weiteren bevorzugten Ausführungsform der erfin dungsgemäßen Verfahren weisen die Recheneinrichtungen jeweils einen Hardwareanteil auf, welcher ausgebildet ist, das Si cherheits-Integritätslevel 2 (SIL2) im Betrieb zu erfüllen. Die Recheneinrichtungen weisen vorzugsweise jeweils einen Softwareanteil auf, welcher ausgebildet ist, das Sicherheits- Integritätslevel 4 (SIL4) bei Ausführung mittels der Rechen einrichtung zu erfüllen. Dabei ist das sicherheitsgerichtete System ausgebildet, das Sicherheits-Integritätslevel 3 oder Sicherheits-Integritätslevel 4 im Betrieb zu erfüllen.
Das erfindungsgemäße Verfahren ermöglicht es, Recheneinrich tungen zu verwenden, deren Hardwareanteil ein geringeres Si cherheits-Integritätslevel (als das geforderte Sicherheits- Integritätslevel) erfüllen. Dies wird insbesondere auch durch die Redundanz der Recheneinrichtungen ermöglicht: Denn bei bisherigen Lösungen war die Wahrscheinlichkeit von zufälligen Fehlern, systematischen Fehlern oder einer Kombination von beiden Fehlerarten zu groß, um allein ein System der gefor derten SIL-Stufe zu bilden.
Die Sicherheits-Integritätslevel 2, 3 und 4 (SIL2, SIL3 und SIL4) sind beispielsweise in IEC61508 definiert.
Gemäß einer bevorzugten Weiterbildung sind die Recheneinrich tungen seriengefertigte Produkte, insbesondere Components- Off-The-Shelf. Vorzugsweise ist der jeweilige Hardwareanteil der Recheneinrichtungen ein seriengefertigtes Produkt. Diese Ausführung der Recheneinrichtungen ist besonders kostengüns tig. Mit anderen Worten: Die erfindungsgemäßen Verfahren er möglichen es, ein sicherheitsgerichtetes System nach SIL 4 bei Einsatz von seriengefertigten Produkten zu erzielen.
Nach einer weiteren bevorzugten Ausführungsform wenigstens eines der vorstehend genannten erfindungsgemäßen Verfahren ist das sicherheitsgerichtete System ein sicherheitsgerichte tes System eines Fahrzeugs, insbesondere eines spurgebundenen Fahrzeugs. Der Einsatz eines der erfindungsgemäßen Verfahren in einem Fahrzeug ist besonders zweckmäßig, insbesondere bei einem automatisierten oder teilautomatisierten Betrieb des Fahrzeugs.
Das spurgebundene Fahrzeug ist beispielsweise ein Schienen fahrzeug, insbesondere ein Triebzug oder eine Lok.
Gemäß einer weiteren bevorzugten Ausführungsform wenigstens eines der vorstehend genannten erfindungsgemäßen Verfahren wird der jeweilige Rechenergebnisdatenstrom an eine erste Weiterleitungseinrichtung und an einer zweite Weiterleitungs einrichtung übertragen. Die berechneten Rechenergebnisdaten ströme werden jeweils mittels einer Verknüpfungseinheit der ersten und zweiten Weiterleitungseinrichtung gemäß einer Ver knüpfungslogik logisch verknüpft. Ein erster Verknüpfungser gebnisdatenstrom, welcher das Ergebnis der Verknüpfung reprä sentiert, wird mittels der ersten Weiterleitungseinrichtung erzeugt. Ein zweiter Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der zweiten Weiterleitungseinrichtung erzeugt. Der erste Verknüp fungsergebnisdatenstrom und der zweite Verknüpfungsdatenstrom werden an eine Empfangseinrichtung übertragen.
Durch diese Ausführungsform wird eine mehrfache, insbesondere redundante, Ausführung der Weiterleitungseinrichtung im Sys tem erzielt. Dabei wird von jeder Weiterleitungseinrichtung ein eigener Ausgabestrom (erster und zweiter Verknüpfungser gebnisdatenstrom) zur Verfügung gestellt. Auf diese Weise kann die Verfügbarkeit des Gesamtsystems erhöht werden, da die Empfangseinrichtung beide Verknüpfungsergebnisdatenströme empfangen kann und bei einem Ausfall einer Weiterleitungsein richtung den jeweils anderen Verknüpfungsergebnisdatenstrom verwenden kann. Insbesondere bei System-Konstellationen, in denen wichtige Komponenten an zwei Netzwerke (und damit an zwei Switches) parallel angeschlossen sind, können Hardware kosten durch diese Ausführungsform konstant bleiben, wobei gleichzeitig eine erhöhte Verfügbarkeit erzielt wird.
Die Erfindung betrifft ferner ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch wenigs tens zwei Recheneinrichtungen, eine Weiterleitungseinrichtung und/oder eine Empfangseinrichtung diese veranlassen, das Ver fahren der vorstehend beschriebenen Art auszuführen.
Die Erfindung betrifft ferner ein computerlesbares Speicher medium, umfassend Befehle, die bei der Ausführung durch we nigstens zwei Recheneinrichtungen, eine Weiterleitungsein richtung und/oder eine Empfangseinrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art auszuführen.
Die Erfindung betrifft ferner ein sicherheitsgerichtetes Sys tem zum Ausführen von Sicherheitsfunktionen. Das sicherheits gerichtete System umfasst wenigstens zwei Recheneinrichtun gen, eine Weiterleitungseinrichtung und ein Kommunikations netzwerk. Die Recheneinrichtungen sind ausgebildet, jeweils ein Ergebnis derselben Aufgabe zu berechnen und jeweils einen Rechenergebnisdatenstrom, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen. Das Kommunikations netzwerk ist ausgebildet, den jeweiligen Rechenergebnisdaten strom an die Weiterleitungseinrichtung zu übertragen. Die Weiterleitungseinrichtung umfasst eine Verknüpfungseinheit, welche ausgebildet ist, die berechneten Rechenergebnisdaten ströme gemäß einer Verknüpfungslogik zu verknüpfen. Die Wei terleitungseinrichtung ist ausgebildet, einen Verknüpfungser gebnisdatenstrom, welche das Ergebnis der Verknüpfung reprä sentiert, zu erzeugen und den Verknüpfungsergebnisdatenstrom an das Kommunikationsnetzwerk bereitzustellen. Die Verknüp fung ist eine bitweise Verknüpfung.
Die bitweise Verknüpfung ist vorzugsweise eine bitweise UND- Verknüpfung.
Die Erfindung betrifft ferner ein sicherheitsgerichtetes Sys tem zum Ausführen von Sicherheitsfunktionen. Das sicherheits gerichtete System umfasst wenigstens zwei Recheneinrichtun gen, eine Weiterleitungseinrichtung und eine Empfangseinrich tung. Die Recheneinrichtungen sind ausgebildet, jeweils ein Ergebnis derselben Aufgabe zu berechnen und jeweils einen Re chenergebnisdatenstrom, welcher das Ergebnis der jeweiligen Berechnung repräsentiert, zu erzeugen. Das sicherheitsgerich tete System ist ausgebildet, den jeweiligen Rechenergebnisda tenstrom an die Weiterleitungseinrichtung zu übertragen. Die Weiterleitungseinrichtung umfasst eine Verknüpfungseinheit, welche ausgebildet ist, die berechneten Rechenergebnisdaten ströme gemäß einer Verknüpfung zu verknüpfen. Die Weiterlei tungseinrichtung ist ausgebildet, einen Verknüpfungsergebnis datenstrom, welcher das Ergebnis der Verknüpfung repräsen tiert, zu erzeugen und den Verknüpfungsergebnisdatenstrom an die Empfangseinrichtung zu senden. Die Recheneinrichtungen sind ausgebildet, das Ergebnis derart zu verfälschen, dass diese Verfälschung mittels der Empfangseinrichtung erkennbar ist und die Verfälschung beim Verknüpfen gemäß der Verknüp fungslogik aufhebbar ist.
Zu Vorteilen, Ausführungsformen und Ausführungsdetails der Merkmale des erfindungsgemäßen Computerprogramms, computer lesbaren Speichermediums und der beiden sicherheitsgerichte ten Systems kann auf die obige Beschreibung zu den entspre chenden Merkmalen der beiden erfindungsgemäßen Verfahren ver wiesen werden.
Ein Ausführungsbeispiel der Erfindung wird anhand der Zeich nungen erläutert. Es zeigen: Figur 1 schematisch den Ablauf eines Ausführungs beispiels der beiden erfindungsgemäßen Verfahren,
Figur 2 schematisch den Aufbau eines ersten Aus führungsbeispiels eines erfindungsgemäßen sicherheitsgerichteten Systems,
Figur 3 schematisch den Aufbau eines zweiten Aus führungsbeispiels des erfindungsgemäßen sicherheitsgerichteten Systems,
Figur 4 schematisch den Aufbau eines dritten Aus führungsbeispiels des erfindungsgemäßen sicherheitsgerichteten Systems und
Figur 5 schematisch den Ablauf eines zweiten Aus führungsbeispiels der beiden erfindungs gemäßen Verfahren.
Figur 1 zeigt ein schematisches Ablaufdiagramm, welches den Ablauf eines Ausführungsbeispiels der beiden erfindungsgemä ßen Verfahren zur Steigerung der Zuverlässigkeit von Sicher heitsfunktionen eines sicherheitsgerichteten repräsentiert.
Figur 2 zeigt schematisch den Aufbau eines sicherheitsgerich teten Systems 1, bei dem die Steigerung der Zuverlässigkeit der Sicherheitsfunktionen gemäß dem in Figur 1 gezeigten Aus führungsbeispiel der beiden erfindungsgemäßen Verfahrens er folgt. Das System 1 weist zwei Recheneinrichtungen 12 und 14 auf, die als Endgeräte 13 und 15 ausgebildet und an ein Kom munikationsnetzwerk 16 angeschlossen sind. Eine Weiterlei tungseirichtung 18 des sicherheitsgerichteten Systems 1 ist als Netzwerkkomponente 19 des Kommunikationsnetzwerks 16 aus gebildet. Die Netzwerkkomponente 19 ist eine Netzwerkweiche 20 (sogenannter Switch), insbesondere ein TSN-Switch (TSN: Time Sensitive Networking).
Die Recheneinrichtungen 12 und 14 weisen jeweils einen Hard wareanteil auf, welcher ausgebildet ist, das Sicherheits- Integritätslevel 2 (SIL2) im Betrieb zu erfüllen. Der Hard wareanteil kann von einem seriengefertigten Produkt (sog. Component-Off-The-Shelf) gebildet sein. Die Recheneinrichtun gen 12 und 14 weisen jeweils einen Softwareanteil auf, wel cher ausgebildet ist, das Sicherheits-Integritätslevel 4 (SIL4) bei Ausführung mittels der Recheneinrichtung 12 und 14 zu erfüllen. Dabei ist das sicherheitsgerichtete System 1 ausgebildet, das Sicherheits-Integritätslevel 3 oder das Si cherheits-Integritätslevel 4 im Betrieb zu erfüllen, was ins besondere durch die beiden erfindungsgemäßen Verfahren er zielt wird.
Die Recheneinrichtungen 12 und 14 berechnen in einem Verfah rensschritt A ein Ergebnis derselben Aufgabe. Die Berechnung A dient zur Ausführung der Aufgabe als Teil oder Gegenstand einer der Sicherheitsfunktionen des sicherheitsgerichteten Systems 1. Die Recheneinrichtungen 12 und 14 führen die Auf gabe unabhängig und parallel aus. Die Recheneinrichtungen 12 und 14 sind beispielsweise im Wesentlichen gleich ausgeführt.
In einem Verfahrensschritt B erzeugen die Recheneinrichtungen 12 und 14 jeweils einen Rechenergebnisdatenstrom 22 und 24, welcher das Ergebnis der jeweiligen Berechnung A repräsen tiert. Der Rechenergebnisdatenstrom 22 und 24 ist nach den Regeln des sogenannten Safe Data Protocol (SDT) ausgeführt. Die Version 4 des SDT-Protocol (SDTv4) ermöglicht ein Sicher heitsintegritätslevel 4 und ist beispielsweise auf Seite 12 des unter https://safe4rail.eu/downloads/technical-seminar- brussels/03-Drive-by-Data .pdf abrufbaren Dokuments beschrie ben. Alternativ kann der Rechenergebnisdatenstrom 22 und 24 nach den Regeln von Safety over OPC UA ausgeführt sein.
Bei dem Erzeugen B des Rechenergebnisdatenstroms 22 und 24 wird bei einem Verfahrensschritt C das Ergebnis der jeweili gen Berechnung A verfälscht: Die Verfälschung C erfolgt, in dem gemäß einem Verfahrensschritt CI in einem reservierten Bereich des Rechenergebnisdatenstroms 22 bzw. 24 ein Bit an einer der Recheneinrichtung 12 bzw. 14 zugeordneten Stelle gesetzt wird. Mit anderen Worten: Für jede der beiden Rechen einrichtungen 12 und 14 ist eine eigene Stelle im reservier- ten Bereich vorgesehen. Der reservierte Bereich ist vor der Verfälschung an allen Stellen auf 0 gesetzt. Das Setzen des Bits bei der Verfälschung bedeutet demnach, dass an der Stel le eine 1 gesetzt wird.
Der reservierte Bereich ist beispielsweise der auf Seite 12 des unter https://safe4rail.eu/downloads/technical-seminar- brussels/03-Drive-by-Data .pdf abrufbaren Dokuments als „re- servedOl" bezeichnete Bereich des SDTv4 VDP (VDP: Vital Data Packet). Bei anderen bestehenden Sicherheitsprotokollen kann (anstatt der Verwendung des reservierten Bereichs) der Nutz datenbereich um ein oder mehrere Bytes erweitert werden und in diesem Bereich die Verfälschung vorgenommen werden.
In einem Verfahrensschritt D wird der jeweilige Rechenergeb nisdatenstrom 22 und 24 über das Kommunikationsnetzwerk 16 an die Weiterleitungseinrichtung 18 übertragen.
Die Weiterleitungseinrichtung 18 weist eine Verknüpfungsein heit 32 auf. Die Verknüpfungseinheit 32 ist Teil des soge nannten Switching-Fabric der Netzwerkweiche 20. Die Weiter leitungseinrichtung 18 verarbeitet den empfangenen Rechener gebnisdatenstrom 22 und speichert diesen zwischen. Zudem ver arbeitet die Weiterleitungseinrichtung 18 den empfangenen Re chenergebnisdatenstrom 24 und speichert diesen zwischen.
Die Verknüpfungseinheit 32 verknüpft die berechneten Rechen ergebnisdatenströme 22 und 24 in einem Verfahrensschritt E gemäß einer Verknüpfungslogik. Die Verknüpfungslogik ist eine bitweise UND-Verknüpfung, bei welcher von zwei Bitfolgen gleicher Länge, nämlich den Rechenergebnisdatenströmen 22 und 24, jedes Paar korrespondierender Bits derart verknüpft wird, dass das Ergebnisbit 1 ist, falls beide Bits 1 sind, oder an sonsten 0 ist.
Die Verfälschung C, welche durch das gesetzte Bit gemäß dem Verfahrensschritt CI erzielt ist, wird durch die bitweise UND-Verknüpfung gemäß einem Verfahrensschritt El aufgehoben. Mit anderen Worten: An der Stelle, an der das Bit auf 1 ge setzt wurde, steht nach der Verknüpfung eine 0. Ist bei dem Rechenergebnisdatenstrom 22 beispielsweise an einer ersten Stelle des reservierten Bereichs eine 1 gesetzt, z. B.
[...01...], und bei dem Rechenergebnisdatenstrom 24 an einer zweiten Stelle des reservierten Bereichs eine 1 gesetzt, z. B. [...10...], ergibt die bitweise UND-Verknüpfung an beiden Stellen eine Null: [...00...].
In einem Verfahrensschritt F erzeugt die Weiterleitungsein richtung 18 einen Verknüpfungsergebnisdatenstrom 26, welcher das Ergebnis der Verknüpfung E repräsentiert.
Die Weiterleitungseinrichtung 18 stellt den Verknüpfungser gebnisdatenstrom 26 in einem Verfahrensschritte G an das Kom munikationsnetzwerk 16 bereit, um über das Kommunikations netzwerk 16 an weitere Kommunikationsteilnehmer übertragen zu werden. Der bereitgestellte Verknüpfungsergebnisdatenstrom 26 wird in einem Verfahrensschritt H über das Kommunikations netzwerk 16 an eine Empfangseinrichtung 30 des sicherheitsge richteten Systems 1 übertragen. Die Empfangseinrichtung 30 ist ausgebildet, das Sicherheits-Integritätslevel 4 im Be trieb zu erfüllen. Die Empfangseinrichtung 30 wird bei dem in Figur 2 gezeigten Aufbau von einer einzelnen Hardware- Komponente mit Software gebildet, die jeweils das Sicher heitsintegritätslevel 4 erfüllen.
In dem Fall, dass die Weiterleitungseinrichtung 18 einen der Rechenergebnisdatenströme 22 oder 24 zur Übertragung an die Empfangseinrichtung 30 weiterleitet (anstatt dass der Ver knüpfungsergebnisdatenstrom 26 an die Empfangseinrichtung 30 übertragen wird), erkennt die Empfangseinrichtung 30 in einem Verfahrensschritt J die Verfälschung in Form des gesetzten Bits in dem reservierten Bereich.
Figur 3 zeigt schematisch den Aufbau des zweiten Ausführungs beispiels des sicherheitsgerichteten Systems 1. Gleiche oder funktionsgleiche Elemente sind dabei mit denselben Bezugszei- chen, wie sie in Bezug auf Figur 2 verwendet werden, verse hen. Im Unterschied zu der in Figur 2 gezeigten Empfangsein richtung 30 wird die Empfangseinrichtung 130 von zwei Rechen einrichtungen 112 und 114 gebildet, die analog zu den Rechen einrichtungen 12 und 14 aufgebaut sind und betrieben werden.
Die Recheneinrichtungen 112 und 114 empfangen den Verknüp fungsergebnisdatenstrom 26, welcher per Multicast an diese übertragen wird, und verarbeiten diesen. Bei der Verarbeitung mittels der Recheneinrichtungen 112 und 114 wird jeweils ein Ergebnis derselben Aufgabe berechnet und jeweils ein Rechen ergebnisdatenstrom 122 und 124 erzeugt. Die Verknüpfung der erzeugten Rechenergebnisdatenströme 122 und 124 wird in einer nachgelagerten Weiterleitungseinrichtung durchgeführt.
Figur 4 zeigt schematisch den Aufbau des dritten Ausführungs beispiels des sicherheitsgerichteten Systems 1. Gleiche oder funktionsgleiche Elemente sind dabei mit denselben Bezugszei chen, wie sie in Bezug auf Figur 2 verwendet werden, verse hen. Im Unterschied zu dem in Figur 2 gezeigten Ausführungs bespiel wird in einem Verfahrensschritt AA mittels einer ers ten Recheneinrichtung 212, einer zweiten Recheneinrichtung 214 und einer dritten Recheneinrichtung 216 jeweils ein Er gebnis derselben Aufgabe berechnet und ein erster Rechener gebnisdatenstrom 222, ein zweiter Rechenergebnisdatenstrom 224 und ein dritter Rechenergebnisdatenstrom 226 in einem Verfahrensschritt BB erzeugt.
In einem Verfahrensschritt CC werden die Rechenergebnisdaten ströme 222, 224 und 226 verfälscht. Die Verfälschung CC er folgt, indem in einem Verfahrensschritt CC1 ein reserviertes Bit an einer ersten Stelle eines reservierten Bereichs des Rechenergebnisdatenstroms 222 mittels der ersten Rechenein richtung 212 gesetzt wird. Beispielsweise wird der reservier te Bereich Bi = [...000...] gesetzt zu Bx = [...001...].
Zudem wird in dem Verfahrensschritt CC1 ein reserviertes Bit an einer zweiten Stelle des reservierten Bereichs des Rechen- ergebnisdatenstroms 224 mittels der zweiten Recheneinrichtung 214 gesetzt. Beispielsweise wird der reservierte Bereich B2 = [...000...] gesetzt zu B2 = [...010...].
Des Weiteren wird in dem Verfahrensschritt CC1 ein reservier tes Bit an einer dritten Stelle des reservierten Bereichs des Rechenergebnisdatenstroms 226 mittels der dritten Rechenein richtung 216 gesetzt. Beispielsweise wird der reservierte Be reich B3 = [...000...] gesetzt zu B3 = [...100...].
In einem Verfahrensschritt DD werden die Rechenergebnisdaten ströme 222, 224 und 226 an die Weiterleitungseinrichtung 18 übertragen.
Die Verknüpfung der Rechenergebnisdatenströme 222, 224 und 226 erfolgt mittels der Verknüpfungseinheit 32 der Weiterlei tungseinrichtung 18 in einem Verfahrensschritt EE als bitwei se UND-Verknüpfung. Sobald zwei Rechenergebnisdatenströme 222 und 224 oder 222 und 226 oder 224 und 226 (bei der Weiterlei tungseinrichtung 18) verfügbar sind, berechnet die Switching- Fabric die UND-Verknüpfung aus den beiden Rechenergebnisda tenströmen. Beispielsweise führt die bitweise UND-Verknüpfung in dem jeweiligen reservierten Bereich dazu, dass die Verfäl schung gemäß einem Verfahrensschritt EE2 aufgehoben wird: Bi & B2 = [...000...] oder Bi & B3 = [...000...] oder B2 & B3 = [...000...] (wobei &: bitweise UND-Verknüpfung). Dadurch kann ein belie biger der drei Rechenergebnisdatenströme ausfallen und die Verknüpfungsoperation wird trotzdem ausgeführt. Die dritte Recheneinheit könnte dann ggf. nur noch einen Fehler mit ei ner gewissen Wahrscheinlichkeit in die Berechnung einbringen und würde die Verfügbarkeit eher verringern als erhöhen.
In einem Verfahrensschritt FF erzeugt die Weiterleitungsein richtung 18 einen Verknüpfungsergebnisdatenstrom 326, welcher das Ergebnis der Verknüpfung EE repräsentiert. Die Weiterlei tungseinrichtung 18 stellt den Verknüpfungsergebnisdatenstrom 326 in einem Verfahrensschritte GG an das Kommunikationsnetz- werk 16 bereit, um über das Kommunikationsnetzwerk 16 an wei tere Kommunikationsteilnehmer übertragen zu werden.
Bei einem fehlerhaften Betrieb der Weiterleitungseinrichtung 18, besteht die Gefahr, dass beispielsweise einer der Rechen ergebnisdatenströme 222, 224 oder 226 von der Weiterleitungs einrichtung 18 in dem Verfahrensschritt GG bereitgestellt wird. Je nachdem, welcher Rechenergebnisdatenstrom weiterge leitet wird, kann anhand des gesetzten Bits an der ersten, zweiten oder dritten Stelle des reservierten Bereich Bi, B2 oder B3 erkannt werden, dass ein fehlerhafter Betrieb vor liegt.
Das in Figur 2 gezeigte Ausführungsbeispiel zeigt zwei Re cheneinrichtungen 12 und 14. Das in Figur 4 gezeigte Ausfüh rungsbeispiel zeigt drei Recheneinrichtungen 212, 214 und 216. Dies verdeutlicht, dass die Erfindung in einfacher Weise auch auf mehr als drei Recheneinrichtungen skalierbar ist.
Die in den Figuren 2, 3 und 4 jeweils gezeigte Weiterlei tungseinrichtung 18 kann mehrfach bzw. redundant vorgesehen sein. Dabei wird der jeweilige Rechenergebnisdatenstrom an eine erste Weiterleitungseinrichtung und an eine zweite Wei terleitungseinrichtung übertragen. Die berechneten Rechener gebnisdatenströme werden jeweils mittels einer Verknüpfungs einheit der ersten und zweiten Weiterleitungseinrichtung ge mäß einer Verknüpfungslogik logisch verknüpft. Ein erster Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Ver knüpfung repräsentiert, wird mittels der ersten Weiterlei tungseinrichtung erzeugt. Ein zweiter Verknüpfungsergebnisda tenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, wird mittels der zweiten Weiterleitungseinrichtung erzeugt. Der erste Verknüpfungsergebnisdatenstrom und der zweite Ver knüpfungsdatenstrom werden an eine Empfangseinrichtung über tragen.
Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können von dem Fachmann hie raus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungs einrichtung (18) und ein Kommunikationsnetzwerk (16) umfasst, wobei das Verfahren umfasst:
- Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212,
214),
- Erzeugen (B, BB) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneirichtungen (12, 14, 212, 214),
- Übertragen (D, DD) des jeweiligen Rechenergebnisdaten stroms (22, 24, 222, 224) an die Weiterleitungseinrich tung (18),
- logisches Verknüpfen (E, EE) der berechneten Rechenergeb nisdatenströme (22, 24, 222, 224) mittels einer Verknüp fungseinheit (32) der Weiterleitungseinrichtung (18) ge mäß einer Verknüpfungslogik,
- Erzeugen (F, FF) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsen tiert, mittels der Weiterleitungseinrichtung (18),
- Bereitstellen (G, GG) des Verknüpfungsergebnisdatenstroms (26, 326) mittels der Weiterleitungseinrichtung (18) an das Kommunikationsnetzwerk (16), wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
2. Verfahren zum Ausführen von Sicherheitsfunktionen eines sicherheitsgerichteten Systems (1), welches wenigstens zwei Recheneinrichtungen (12, 14, 212, 214), eine Weiterleitungs einrichtung (18) und eine Empfangseinrichtung (30) umfasst, wobei das Verfahren umfasst:
- Berechnen (A, AA) jeweils eines Ergebnisses derselben Aufgabe mittels der Recheneinrichtungen (12, 14, 212,
214),
- Erzeugen (B, BB) jeweils eines Rechenergebnisdatenstroms (22, 24, 222, 224), welcher das Ergebnis der jeweiligen Berechnung repräsentiert, mittels der Recheneinrichtungen (12, 14, 212, 214),
- Übertragen (D, DD) des jeweiligen Rechenergebnisdaten stroms (22, 24, 222, 224) an die Weiterleitungseinrich tung (18),
- logisches Verknüpfen (E, EE) der berechneten Rechenergeb nisdatenströme (22, 24, 222, 224) mittels einer Verknüp fungseinheit (32) der Weiterleitungseinrichtung (18) ge mäß einer Verknüpfungslogik,
- Erzeugen (F, FF) eines Verknüpfungsergebnisdatenstroms (26, 326), welcher das Ergebnis der Verknüpfung repräsen tiert, mittels der Weiterleitungseinrichtung (18),
- Übertragen (H, HH) des Verknüpfungsergebnisdatenstroms (26, 326) an die Empfangseinrichtung (30),
- wobei die Recheneinrichtungen (12, 14) das Ergebnis der art verfälschen (C, CC), dass o die Empfangseinrichtung (30) die Verfälschung (C, CC) erkennt (H) und o die Verfälschung beim Verknüpfen gemäß der Verknüp fungslogik aufgehoben wird (El, EE1). 3. Verfahren nach Anspruch 1 oder 2, wobei die Verknüpfungslogik eine bitweise UND-Verknüpfung ist. 4. Verfahren nach Anspruch 2 oder 3, wobei die Verfälschung ein Setzen (CI, CC1) eines der Rechen einrichtung (12, 14, 212, 214) zugeordneten reservierten Bits umfasst.
5. Verfahren nach wenigstens einem der vorhergehenden Ansprü che 1 bis 4, wobei die Weiterleitungseinrichtung (18) eine Netzwerkwei cheneinrichtung (19), vorzugsweise eine Netzwerkweiche (20), insbesondere ein TSN-Switch, ist.
6. Verfahren nach wenigstens einem der vorhergehenden Ansprü che, wobei
- die zwei Recheneinrichtungen (212, 214) gebildet sind von o einer ersten Recheneinrichtung (212), die einen ersten Rechenergebnisdatenstrom (222) erzeugt (BB), und o einer zweiten Recheneinrichtung (214), die einen zweiten Rechenergebnisdatenstrom (224) erzeugt (BB),
- das sicherheitsgerichtete System (1) wenigstens eine dritte Recheneinrichtung (216) aufweist, welche o ein Ergebnis derselben Aufgabe, wie sie von der ersten und zweiten Recheneinrichtung (212, 214) be rechnet wird, berechnet (AA), o einen Rechenergebnisdatenstrom (226), welcher das Ergebnis der Berechnung repräsentiert, erzeugt (BB) und
- der jeweilige Rechenergebnisdatenstrom (222, 224, 226) an die Weiterleitungseinrichtung (18) übertragen wird,
- die berechneten Rechenergebnisdatenströme (222, 224,
226) mittels einer Verknüpfungseinheit (32) der Weiter leitungseinrichtung (18) gemäß einer Verknüpfungslogik logisch verknüpft werden (EE) und
- die Verfälschung (EE1) o ein Setzen eines reservierten Bits an einer ersten Stelle eines reservierten Bereichs (Bi) des ersten Rechenergebnisdatenstroms (222) mittels der ersten Recheneinrichtung (212), o ein Setzen eines reservierten Bits an einer zweiten Stelle des reservierten Bereichs (B2) des Rechener gebnisdatenstroms (224) mittels der zweiten Rechen einrichtung (214) und o ein Setzen eines reservierten Bits an einer dritten Stelle des reservierten Bereichs (B3) des Rechener gebnisdatenstroms (226) mittels der dritten Rechen einrichtung (216) umfasst.
7. Verfahren nach Anspruch 6, wobei die Verknüpfungslogik eine bitweise UND-Verknüpfung des ersten, zweiten und/oder dritten Rechenergebnisdatenstroms (222, 224, 226) ist.
8. Verfahren nach wenigstens einem der vorhergehenden Ansprü che 2-7, wobei die Empfangseinrichtung (30) von wenigstens zwei Re cheneinrichtungen (112, 114) gebildet wird, welche
- jeweils ein Ergebnis derselben Aufgabe berechnen und
- jeweils einen Rechenergebnisdatenstrom (122, 124), wel cher das Ergebnis der jeweiligen Berechnung repräsen tiert erzeugen, wobei die Aufgabe eine Verarbeitung des von der Weiterlei tungseinrichtung (18) empfangenen Verknüpfungsergebnisdaten stroms (26) ist.
9. Verfahren nach wenigstens einem der vorhergehenden Ansprü che, wobei die Recheneinrichtungen (12, 14)
- jeweils einen Hardwareanteil aufweisen, welcher ausge bildet ist, das Sicherheits-Integritätslevel 2 (SIL2) im Betrieb zu erfüllen, wobei das sicherheitsgerichtete System (1) ausgebildet ist, das Sicherheits-Integritätslevel 3 oder das Sicherheits- Integritätslevel 4 im Betrieb zu erfüllen.
10. Verfahren nach Anspruch 9, wobei die Recheneinrichtungen (12, 14) seriengefertigte Pro dukte, insbesondere Components-Off-The-Shelf, sind.
11. Verfahren nach wenigstens einem der vorhergehenden An sprüche, wobei das sicherheitsgerichtete System (1) ein sicherheitsge richtetes System eines Fahrzeugs, insbesondere eines spurge bundenen Fahrzeugs, ist.
12. Verfahren nach wenigstens einem der vorhergehenden An sprüche, wobei
- der jeweilige Rechenergebnisdatenstrom an eine erste Wei terleitungseinrichtung und an einer zweite Weiterlei tungseinrichtung übertragen wird,
- die berechneten Rechenergebnisdatenströme jeweils mittels einer Verknüpfungseinheit der ersten und zweiten Weiter leitungseinrichtung gemäß einer Verknüpfungslogik logisch verknüpft werden,
- ein erster Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der ers ten Weiterleitungseinrichtung erzeugt wird und ein zwei ter Verknüpfungsergebnisdatenstrom, welcher das Ergebnis der Verknüpfung repräsentiert, mittels der zweiten Wei terleitungseinrichtung erzeugt wird und
- der erste Verknüpfungsergebnisdatenstrom und der zweite Verknüpfungsdatenstrom an eine Empfangseinrichtung über tragen werden.
13. Computerprogramm, umfassend Befehle, die bei der Ausfüh rung des Programms durch wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und/oder eine Empfangseinrichtung (30) diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
14. Computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und/oder eine Empfangseinrichtung (30) diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 12 auszuführen.
15. Sicherheitsgerichtetes System zum Ausführen von Sicher heitsfunktionen, welches wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und ein Kommu nikationsnetzwerk (16) umfasst, wobei
- die Recheneinrichtungen (12, 14) ausgebildet sind, o jeweils ein Ergebnis derselben Aufgabe zu berechnen und o jeweils einen Rechenergebnisdatenstrom (22, 24), welcher das Ergebnis der jeweiligen Berechnung re präsentiert, zu erzeugen,
- das Kommunikationsnetzwerk (16) ausgebildet ist, den je weiligen Rechenergebnisdatenstrom (22, 24) an die Weiter leitungseinrichtung (18) zu übertragen,
- die Weiterleitungseinrichtung (18) eine Verknüpfungsein heit (20) umfasst, welche ausgebildet ist, die berechne ten Rechenergebnisdatenströme (22, 24) gemäß einer Ver knüpfungslogik zu verknüpfen,
- die Weiterleitungseinrichtung (18) ausgebildet ist, o einen Verknüpfungsergebnisdatenstrom (26), welcher das Ergebnis der Verknüpfung repräsentiert, zu er zeugen und o den Verknüpfungsergebnisdatenstrom (26) an das Kom munikationsnetzwerk (16) bereitzustellen, wobei die Verknüpfungslogik eine bitweise Verknüpfung ist.
16. Sicherheitsgerichtetes System zum Ausführen von Sicher heitsfunktionen, welches wenigstens zwei Recheneinrichtungen (12, 14), eine Weiterleitungseinrichtung (18) und eine Emp fangseinrichtung (30) umfasst, wobei
- die Recheneinrichtungen (12, 14) ausgebildet sind, o jeweils ein Ergebnis derselben Aufgabe zu berechnen und o jeweils einen Rechenergebnisdatenstrom (22, 24), welcher das Ergebnis der jeweiligen Berechnung re präsentiert, zu erzeugen,
- das sicherheitsgerichtete System (1) ausgebildet ist, den jeweiligen Rechenergebnisdatenstrom (22, 24) an die Wei terleitungseinrichtung (18) zu übertragen,
- die Weiterleitungseinrichtung (18) eine Verknüpfungsein heit (20) umfasst, welche ausgebildet ist, die berechne ten Rechenergebnisdatenströme (22, 24) gemäß einer Ver knüpfungslogik zu verknüpfen,
- die Weiterleitungseinrichtung (18) ausgebildet ist, o einen Verknüpfungsergebnisdatenstrom (26), welcher das Ergebnis der Verknüpfung repräsentiert, zu er zeugen und o den Verknüpfungsergebnisdatenstrom (26) an die Emp fangseinrichtung (30) zu senden,
- wobei die Recheneinrichtungen (12, 14) ausgebildet sind, das Ergebnis derart zu verfälschen, dass o die Verfälschung mittels der Empfangseinrichtung (30) erkennbar ist und o die Verfälschung beim Verknüpfen gemäß der Verknüp fungslogik aufhebbar ist.
PCT/EP2021/058906 2020-04-30 2021-04-06 Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen WO2021219329A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP21721402.2A EP4127934A1 (de) 2020-04-30 2021-04-06 Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
IL297685A IL297685A (en) 2020-04-30 2021-04-06 A safety-oriented method and system for performing safety functions

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102020205502.5 2020-04-30
DE102020205502 2020-04-30
DE102020209363.6A DE102020209363A1 (de) 2020-04-30 2020-07-24 Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen
DE102020209363.6 2020-07-24

Publications (1)

Publication Number Publication Date
WO2021219329A1 true WO2021219329A1 (de) 2021-11-04

Family

ID=78267635

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/058906 WO2021219329A1 (de) 2020-04-30 2021-04-06 Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen

Country Status (4)

Country Link
EP (1) EP4127934A1 (de)
DE (1) DE102020209363A1 (de)
IL (1) IL297685A (de)
WO (1) WO2021219329A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US20170075345A1 (en) * 2015-09-16 2017-03-16 Profire Energy, Inc. Distributed networking system and method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008434A1 (de) 2000-02-23 2001-09-20 Phoenix Contact Gmbh & Co Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006007844A1 (de) * 2004-08-17 2007-08-23 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US20170075345A1 (en) * 2015-09-16 2017-03-16 Profire Energy, Inc. Distributed networking system and method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BERTIERI DUCCIO ET AL: "Practical Experience Report: Implementation, Verification and Validation of a Safe and Secure Communication Protocol for the Railway Domain", 2019 9TH LATIN-AMERICAN SYMPOSIUM ON DEPENDABLE COMPUTING (LADC), IEEE, 19 November 2019 (2019-11-19), pages 1 - 6, XP033716721, DOI: 10.1109/LADC48089.2019.8995727 *

Also Published As

Publication number Publication date
IL297685A (en) 2022-12-01
DE102020209363A1 (de) 2021-11-04
EP4127934A1 (de) 2023-02-08

Similar Documents

Publication Publication Date Title
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
DE102006054124B4 (de) Verfahren und System zur sicheren Datenübertragung
EP2814193B1 (de) Verfahren und system zur erkennung von fehlern bei der übertragung von daten von einem sender zu zumindest einem empfänger
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE102011082969A1 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
DE10152235A1 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
WO2020173682A1 (de) Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
EP3110061A1 (de) Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems
EP3659317B1 (de) Verfahren zum bereitstellen eines sicheren telegramms
EP4127934A1 (de) Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
WO2013153057A1 (de) Verfahren zum übertragen von prozessdaten in einer automatisiert gesteuerten anlage
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP3550748A1 (de) Verfahren zur erkennung von datenverfälschungen bei einer datenübertragung über eine fehlersichere kommunikationsverbindung
EP4232905A1 (de) Datenverarbeitungsnetzwerk zur datenverarbeitung
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102015218882A1 (de) Verfahren und Vorrichtung zum Prüfen von Berechnungsergebnissen in einem System mit mehreren Recheneinheiten
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102019201728A1 (de) Verfahren zum Absichern von Daten unter Verwendung von wenigstens zwei Recheneinheiten und einer mit den wenigstens zwei Recheneinheiten in Kommunikationsverbindung stehenden Entscheidungseinheit
DE102019109353B3 (de) Dynamische Anomalieerkennung und -behandlung
DE102004046292A1 (de) Verfahren zur Durchführung eines Votings von redundanten Informationen
WO2016138956A1 (de) Fehlerrobuste steuerung für eine automatisierungsanlage
EP3002652B1 (de) Verfahren zur Zustandsüberwachung innerhalb eines industriellen Automatisierungssystems und Steuerungsprogramm
WO2021151612A1 (de) Verfahren zur überprüfung einer signalverbindung
EP4295228A1 (de) Datenverarbeitungsverfahren

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21721402

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2021721402

Country of ref document: EP

Effective date: 20221026

NENP Non-entry into the national phase

Ref country code: DE