WO2023030735A1 - Verfahren und vorrichtung zum management von risiken eines technischen systems - Google Patents

Verfahren und vorrichtung zum management von risiken eines technischen systems Download PDF

Info

Publication number
WO2023030735A1
WO2023030735A1 PCT/EP2022/069749 EP2022069749W WO2023030735A1 WO 2023030735 A1 WO2023030735 A1 WO 2023030735A1 EP 2022069749 W EP2022069749 W EP 2022069749W WO 2023030735 A1 WO2023030735 A1 WO 2023030735A1
Authority
WO
WIPO (PCT)
Prior art keywords
technical
risk
determined
risks
management
Prior art date
Application number
PCT/EP2022/069749
Other languages
English (en)
French (fr)
Inventor
Jürgen Sept
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of WO2023030735A1 publication Critical patent/WO2023030735A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Definitions

  • the invention relates to a method and a device for managing risks in a technical system which has a number of technical devices.
  • Procedures for managing risks are generally known and are often based on the ISO 31000 standard.
  • the international standard IEC 62442-3-2 generally describes a procedure for determining and/or evaluating the IT security risk of an industrial automation and control system (Industrial Automation and Control System (IACS)). It is also explained that the risk should be reduced to a tolerable level by means of security measures.
  • IACS Intelligent Automation and Control System
  • the object of the invention is to specify a method by means of which the management of risks in one or more systems, which has a number of technical devices, is made possible.
  • a respective piece of risk information is determined for the plurality of technical devices, which represents a risk determined for a technical device.
  • the risk information is determined using a hierarchy in which at least one sub-device, which forms part of the technical device, is in a hierarchy level that is subordinate to a hierarchy level of the technical device.
  • the invention is based on the knowledge that the previous approaches for detecting and evaluating risks are singular are configured and an overall picture of the solution under consideration can only be achieved with a great deal of manual effort.
  • the solution according to the invention solves these problems, through the hierarchization or Structuring of the management of the risks of the technical system under consideration. In this way, the interaction of the sub-devices is taken into account in the management of risks.
  • various analysis artifacts and their interaction can be aggregated at the hierarchical level of the technical equipment in order to obtain an overall picture of a system or even an entire company. Accordingly, the method according to the invention makes it possible to integrate any number of systems and thus to carry out and regularly update the risk management of an entire company.
  • the solution according to the invention is also scalable and consequently suitable for the risk management of small installations (e.g. one vehicle) or large installations (e.g. an entire, turnkey railway system).
  • the method according to the invention has the significant advantage that an adjustment of the determined risks—for example, in the event of a changed risk situation—can be carried out in a particularly simple manner and with comparatively little expenditure of time. This reduces the effort involved in keeping all risk analyzes up to date.
  • Risk management preferably includes detecting, evaluating, aggregating, mitigating and controlling the risk of the technical system.
  • the wording according to which the sub-device forms part of the technical device means, for example, that the technical device consists of several of these sub-devices.
  • the technical device preferably includes a number of subsystems as sub-devices.
  • the respective subsystem preferably comprises a number of components adapted for use, each of which is based on a generic component.
  • the risk information is preferably residual risk information, which represents a residual risk determined for the technical device.
  • residual risk is preferably to be understood as the risk that exists after the implementation of countermeasures. It must be taken into account that the residual risk can change if the danger or threat situation changes. Risks that occur after the implementation of Countermeasures are not a residual risk, become part of the residual risk after a change in the threat situation The residual risk is designated and handled as such within the framework of risk management in particular if it exceeds a predefined risk level The risk level represents the risk defined as acceptable
  • Risk information is preferably determined for the respective subdevice, which represents a risk determined for a subdevice and is included in the determination of the risk information for the technical device.
  • the risk information determined is supplied to a computing device.
  • the computing device is used Risk management of a company that manages the technical facilities.
  • the risk information is fed into the risk management of the company that manages the technical facilities .
  • This risk management is carried out using a computer program, for example, which is executed using the computing device.
  • the computing device serves the company's risk management.
  • the computer program is, for example, a database-driven tool.
  • risk management of an enterprise or “management of corporate risks” is often referred to professionally as enterprise risk management.
  • the risk information determined is preferably based on a uniform determination, for example on a uniform measurement method, so that it can be easily compared in the company's risk management.
  • This embodiment is based on the knowledge that companies that handle multiple technical facilities need a solution that manages all of the company's risks.
  • D. H it is desirable to integrate all of the risks arising from the multiple technical setups into a risk management view for senior management to get a view of how vulnerable the entire organization is.
  • the management of risks is a management of information technology risks.
  • risks when risks are recorded and evaluated, risks are preferably recorded and evaluated which relate to the IT security of the system.
  • information technology security is to be understood as so-called cyber security, which relates to the security of the system against unauthorized entry, access or attack.
  • the method according to the invention is particularly suitable for the management of information technology risks, since risks of this type can be recorded, quantified and evaluated in an automated manner. In this way, these risks can be administered (managed) with particularly little effort in the hierarchy according to the invention.
  • the management of information technology risks has a direct influence on the technical design of the technical system. If, for example, a port of a network component (e.g. a switch) of the system is closed as a measure to reduce the risk, this affects the technical design of the technical system.
  • At least one device of the plurality of technical devices is a track-bound vehicle.
  • the subdevice is a subsystem of the rail-bound vehicle.
  • the track-bound vehicle is preferably a rail vehicle, for example a high-speed train for long-distance public transport, a city railway, a tram or an underground railway for local public transport.
  • the method according to the invention is particularly suitable for use in track-bound vehicles. Because manufacturers and operators of a fleet of several vehicles are faced with the problem of handling risk management appropriately. In particular, the complexity of the technical system, consisting of several vehicles, makes the use of the method according to the invention particularly desirable.
  • an element of the partial device is a component that is adapted for use in the subsystem and is based on a generic component.
  • the generic component is preferably a component that is provided by a supplier (supplier) and by the company that provides the technical facilities handles, is adapted for its own purposes, for example in the manufacture of the technical equipment.
  • COTS Component of f-the-shelf
  • the invention also relates to a computer program product, comprising instructions which, when the program is executed by a computing device, cause the computing device to carry out the method of the type described above.
  • the invention also relates to a provision device for the computer program product of the type described above, the provision device storing and/or providing the computer program product.
  • the provision device is, for example, a storage unit that stores and/or provides the computer program product.
  • the provision device is, for example, a network service, a computer system, a server system, in particular a distributed, for example cloud-based computer system and/or virtual computer system, which stores and/or provides the computer program product preferably in the form of a data stream.
  • the provision takes place in the form of a program data block as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the computer program. However, this provision can also be made, for example, as a partial download that consists of several parts.
  • a computer program is read into a system using the provision device, for example, so that the method according to the invention is carried out on a computer.
  • the computer program is preferably set up to securely manage (in terms of security) the data generated during execution.
  • the invention also relates to a device for managing risks in a technical system which has a number of technical devices.
  • the device includes a computing device which is set up to determine a respective piece of risk information for the plurality of technical devices, which represents a risk determined for a technical device.
  • the device also includes an aggregation device which is set up to aggregate the determined risk information for an assessment of the overall risk of the system.
  • the risk information can be determined using a hierarchy, in which at least one sub-device, which forms part of the technical device, is in a hierarchy level that is subordinate to a hierarchy level of the technical device.
  • Figure 1 shows schematically the structure of a
  • FIG. 1 shows a schematic representation of a technical system 1, which includes a number of technical devices 3, 5 and 7.
  • a device 2 is used to manage information technology risks of the technical system 1.
  • FIG. 1 shows in particular three technical devices 3, 5 and 7.
  • the solution according to the invention can obviously be applied to a system with more than three technical devices and is scalable in this respect.
  • the technical device 3, 5 or 7 is a rail vehicle 9, 11 or 13, in particular a rail vehicle.
  • Each track-bound vehicle 9, 11 and 13 has a plurality of subsystems 15, 17 and 19, respectively.
  • subsystems of this type are the drive system, brake system, doors, air conditioning, passenger information system, etc.
  • the respective subsystem 15, 17 or 19 comprises a number of components 21, 23 or 25 adapted for the use of the subsystem 15, 17 or 19
  • components of this type are: a sensor of a door control system, a display of a passenger information system, etc.
  • the adapted components 21, 23 and 25 are based on generic components 27, 29 and 31, for example so-called COTSs (COTS: Components off-the-shelf).
  • COTS Components off-the-shelf
  • the representation of the system 1 by several pyramids, each having several hierarchical levels, illustrates the hierarchy 20 on which the method according to the invention is based: the generic components 27, 29 and 31 are in a first hierarchical level 33. The adapted components are in a second hierarchical level 35 Components 21, 23 and 25. In a third hierarchy level 37 are the Subsystems 15, 17 and 19. The technical devices 3 , 5 and 7 are located in a fourth hierarchy level 39 . A fifth hierarchical level 41 represents the company 43 which manages the technical devices 3 , 5 and 7 .
  • FIG. 2 schematically shows the steps of the method according to the invention as a flowchart.
  • risk information RG which represents the risk of the generic components 27, 29 and 31, is provided by a supplier of these components.
  • the risk information RG is provided by a computing device 22 of the supplier and to a computing device
  • the suppliers of the company 43 are provided with a standardized interface for entering the residual risk information RS.
  • the risk information RG is included in the determination B.
  • the residual risk information RA is transmitted to a computing device 26 .
  • residual risk information RS which represents the risk of the subsystems 15, 17 and 19, is determined using the computing device 26. During the determination, among other things, an aggregation of the residual risk information RA takes place. The residual risk information RS is transmitted to a computing device 28 .
  • residual risk information RE which represents the residual risk determined for the technical devices 3, 5 and 7, is determined using the computing device 28.
  • an aggregation of the residual risk information RS takes place.
  • the method steps A to D described clarify the hierarchy 20 on which the determination of the residual risk information RE is based.
  • the residual risk information RE is supplied to a computing device 30 which is used for risk management by the company 43 .
  • the computing device 30 is set up to run a database-based tool in order to carry out risk management using the tool.
  • the computing devices 22, 24, 26, 28 and 30 described are part of the device 2 according to the invention.
  • the computing devices 22, 24, 26, 28 and 30 described can each be separate computing devices, for example a desktop computer.
  • the separate computing devices can be connected to one another in terms of data technology via a communications network.
  • some or all of these computing devices 22, 24, 26, 28 and 39 are designed as a common computing device, for example as a server.
  • a partial execution makes sense, for example, if a change is made to a subsystem.
  • the computing device 26 determines the residual risk information RS again on the basis of the changed subsystem. This leads to a new determination of the residual risk information RE, which can lead to change requests (so-called change requests) on the track-bound vehicle 9 , 11 and/or 13 .
  • the determined residual risk information RA, RS and RE are identified and handled as such in risk management, in particular if this is a predefined exceed risk level.
  • the risk level represents a risk defined as acceptable.

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung (2) zum Management von Risiken eines technischen Systems (1), welches mehrere technische Einrichtungen (3, 5, 7) aufweist. Zur Verbesserung des Managements von Risiken wird bei dem Verfahren für die mehreren technischen Einrichtungen (3, 5, 7) eine jeweilige Risikoinformation (RS) ermittelt, welche ein für die technische Einrichtung (3, 5, 7) ermitteltes Risiko repräsentiert. Die Risikoinformation (RS) wird anhand einer Hierarchie (20) ermittelt, bei der wenigstens eine Teileinrichtung (15, 17, 19), welche einen Teil der technischen Einrichtung (3, 5, 7) bildet, in einer Hierarchieebene (33, 35, 37) liegt, die einer Hierarchieebene (39) der technischen Einrichtung (3, 5, 7) untergeordnet ist.

Description

Beschreibung
Verfahren und Vorrichtung zum Management von Risiken eines technischen Systems
Die Erfindung betri f ft ein Verfahren und eine Vorrichtung zum Management von Risiken eines technischen Systems , welches mehrere technische Einrichtungen aufweist .
Verfahren zum Management von Risiken sind grundsätzlich bekannt und beruhen häufig auf der Norm ISO 31000 .
Der internationale Standard IEC 62442-3-2 beschreibt allgemein eine Vorgehensweise zur Ermittlung und/oder Bewertung des IT-Security-Risikos eines industriellen Automatisierungs- und Steuerungssystems ( in Englisch : Industrial Automation and Control System ( IACS ) ) . Zudem wird erläutert , dass anhand von Sicherheitsmaßnahmen das Risiko auf ein tolerierbares Level reduziert werden soll .
Vor diesem Hintergrund ist es Aufgabe der Erfindung, ein Verfahren anzugeben, mittels dessen das Management von Risiken eines oder mehrerer Systeme , welches mehrere technische Einrichtungen aufweist , zu ermöglichen .
Diese Aufgabe wird durch ein Verfahren der eingangs genannten Art gelöst , bei welchem für die mehreren technischen Einrichtungen eine j eweilige Risikoinformation ermittelt wird, welche ein für eine technische Einrichtung ermitteltes Risiko repräsentiert . Die Risikoinformation wird anhand einer Hierarchie ermittelt , bei der wenigstens eine Teileinrichtung, welche einen Teil der technischen Einrichtung bildet , in einer Hierarchieebene liegt , die einer Hierarchieebene der technischen Einrichtung untergeordnet ist .
Die Erfindung beruht auf der Erkenntnis , dass die bisherigen Ansätze für das Erfassen und Bewerten von Risiken singulär ausgestaltet sind und ein Gesamtbild der betrachteten Lösung ausschließlich mit einem großen manuellen Aufwand erzielt werden kann .
Zudem wurde mit der Erfindung erkannt , dass eine zyklische Aktualisierung (beispielsweise bei geänderter Bedrohungslage ) mit einem großen Aufwand verbunden ist .
Die erfindungsgemäße Lösung behebt diese Probleme , durch die Hierarchisierung bzw . Strukturierung des Managements der Risiken des betrachteten technischen Systems . Dadurch wird das Zusammenwirken der Teileinrichtungen bei dem Management von Risiken berücksichtigt . Zudem können verschiedene Analyse-Artefakte und deren Interaktion auf der Hierarchieebene der technischen Einrichtungen aggregiert werden, um ein Gesamtbild für eine System oder gar ein ganzes Unternehmen zu erhalten . Entsprechend ermöglicht das erfindungsgemäße Verfahren, beliebig viele Systeme zu integrieren und damit das Risikomanagement eines ganzen Unternehmens durchzuführen und regelmäßig zu aktualisieren .
Die erfindungsgemäß Lösung ist zudem skalierbar und folglich für das Risikomanagement von kleinen Anlagen ( z . B . ein Fahrzeug) oder großen Anlagen ( z . B . ein gesamtes , schlüssel fertiges Eisenbahnsystem) geeignet .
Außerdem hat das erfindungsgemäße Verfahren den wesentlichen Vorteil , dass eine Anpassung der ermittelten Risiken - beispielsweise bei einer geänderten Risikolage - besonders einfach und mit vergleichsweise geringem Zeitaufwand vorgenommen werden kann . Dadurch wird der Aufwand, aller Risikoanalysen auf aktuellem Stand zu halten, verringert .
Schließlich wird die Risikoermittlung durch die erfindungsgemäße Lösung konkretisiert und standardisiert . Die Standardisierung ergibt sich zwingend, da die definierte Hierarchie ohne eine Standardisierung nicht implementiert werden kann . Das Management von Risiken umfasst vorzugsweise das Erfassen, Bewerten, Aggregieren, Mitigieren und Kontrollieren des Risikos des technischen Systems .
Die Formulierung, wonach die Teileinrichtung einen Teil der technischen Einrichtung bildet , bedeutet beispielsweise , dass die technische Einrichtung aus mehreren dieser Teileinrichtungen besteht . Die technische Einrichtung umfasst vorzugsweise mehrere Subsysteme als Teileinrichtungen . Das j eweilige Subsystem umfasst vorzugsweise mehrere für den Einsatz angepasste Komponenten, die j eweils auf einer generischen Komponente basieren .
Die Risikoinformation ist vorzugsweise eine Restrisikoinformation, welche ein für die technische Einrichtung ermitteltes Restrisiko repräsentiert . Der Begri f f „Restrisiko" ist vorzugsweise als das Risiko zu verstehen, welches nach der Implementierung von Gegenmaßnahmen vorliegt . Dabei ist zu berücksichtigen, dass das Restrisiko sich bei geänderter Gefahren- bzw . Bedrohungslage ändern kann . So können Risiken, die nach einer Implementierung von Gegenmaßnahmen kein Restrisiko sind, nach einer Änderung der Bedrohungslage Teil des Restrisikos werden . Das Restrisiko wird im Rahmen des Risikomanagements insbesondere dann als solches bezeichnet und gehandhabt , wenn es ein vordefiniertes Risikoniveau übersteigt . Das Risikoniveau repräsentiert das als akzeptabel definierte Risiko .
Vorzugsweise wird für die j eweilige Teileinrichtung eine Risikoinformation ermittelt , welche ein für eine Teileinrichtung ermitteltes Risiko repräsentiert und bei der Ermittlung der Risikoinformation für die technische Einrichtung eingeht .
Gemäß einer bevorzugten Aus führungs form des erfindungsgemäßen Verfahrens werden die ermittelten Risikoinformationen einer Recheneinrichtung zugeführt . Die Recheneinrichtung dient dem Risikomanagement eines Unternehmens , durch das die technischen Einrichtungen gehandhabt werden .
Mit anderen Worten : Die Risikoinformationen werden dem Risikomanagement des Unternehmens zugeführt , welches die technischen Einrichtungen handhabt . Dieses Risikomanagement wird beispielsweise anhand eines Computerprogramms durchgeführt , welches mittels der Recheneinrichtung ausgeführt wird . In diesem Sinne dient die Recheneinrichtung dem Risikomanagement des Unternehmens .
Das Computerprogramm ist beispielsweise ein datenbankbasiertes Tool .
Der Begri f f „Risikomanagement eines Unternehmens" oder „Management von Unternehmensrisiken" wird fachmännisch häufig als Enterprise Risk Management bezeichnet .
Der Fachmann versteht die Formulierung „Unternehmen, durch das die technische Einrichtung gehandhabt wird" beispielsweise als ein Unternehmen, welches Hersteller der technischen Einrichtung, Betreiber der technischen Einrichtung, Verleiher der technischen Einrichtung, Lieferant einer Komponente der technischen Einrichtung, etc . ist . Mit anderen Worten : Der Begri f f „Handhaben" ist im Rahmen der vorliegenden Erfindung vorzugsweise als Herstellen, Anbieten, Betreiben, Verleihen, Liefern, etc . zu verstehen .
Beispiele für Unternehmen dieser Art sind Betreiber von Schienenfahrzeugen zur Personenbeförderung, Betreiber kritischer Infrastrukturen, Energieversorger, Telekommunikationsanbieter, Finanzanbieter, etc . Diese Betreiber sind ein Beispiel für Asset Owner, die die Verantwortung für das Risikomanagement tragen . So muss dieser die verschiedenen Artefakte der Lieferkette zu einem Gesamtkonstrukt integrieren . Das Aus führungsbeispiel löst dieses Problem . Vorzugsweise basieren die ermittelten Risikoinformationen auf einer einheitlichen Ermittlung, beispielsweise auf einer einheitlichen Messmethode , damit diese beim Risikomanagement des Unternehmens einfach verglichen werden können .
Diese Aus führungs form beruht auf der Erkenntnis , dass Unternehmen, die mehrere technische Einrichtungen handhaben, eine Lösung benötigen, welche sämtliche Risiken des Unternehmens verwaltet . D . h . es ist wünschenswert , sämtliche Risiken, die sich aus den mehreren technischen Einrichtungen ergeben, in einer Sicht auf das Risikomanagement für die Geschäftsleitung zu integrieren, um einen Überblick zu erhalten, wie verwundbar das gesamte Unternehmen ist .
Durch diese Möglichkeit zur Verwaltung sämtlicher Risiken auf Unternehmensebene , können gesetzliche Verpflichtungen erfüllt werden . Beispiele für gesetzliche Verpflichtungen dieser Art sind das Gesetz zur Erhöhung der Sicherheit inf ormationstechnischer Systeme ( IT-Sicherheitsgesetz ) und der EU Cybersecurity Act .
Bei einer weiteren bevorzugten Aus führungs form des erfindungsgemäßen Verfahrens ist das Management von Risiken ein Management von inf ormationstechnischen Risiken . Mit anderen Worten : Bei dem Erfassen und Bewerten von Risiken werden vorzugsweise Risiken erfasst und bewertet , welche die inf ormationstechnische Sicherheit des Systems betref fen . Insbesondere ist die inf ormationstechnische Sicherheit als sogenannte Cyber-Security zu verstehen, welche die Sicherheit des Systems vor unerlaubtem Zugang, Zugri f f oder Angri f f betri f ft .
Das erfindungsgemäße Verfahren ist besonders für das Management von inf ormationstechnischen Risiken geeignet , da sich Risiken dieser Art automatisiert erfassen, quanti fi zieren und bewerten lassen . So können diese Risiken in der erfindungsgemäßen Hierarchie besonders aufwandsarm verwaltete ( gemanagt ) werden . Zudem hat das Management von inf ormationstechnischen Risiken einen unmittelbaren Einfluss auf die technische Ausgestaltung des technischen Systems . Wird als Maßnahme zum Senken des Risikos beispielsweise ein Port einer Netzwerkkomponente ( z . B . eines Switches ) des Systems geschlossen, wirkt sich dies auf die technische Ausgestaltung des technischen Systems aus .
Gemäß einer bevorzugten Aus führungs form des erfindungsgemäßen Verfahrens ist wenigstens eine Einrichtung der mehreren technischen Einrichtungen ein spurgebundenes Fahrzeug . Die Teileinrichtung ist ein Subsystem des spurgebundenen Fahrzeugs .
Das spurgebundene Fahrzeug ist vorzugsweise ein Schienenfahrzeug, beispielsweise ein Hochgeschwindigkeits zug des öf fentlich Personenfernverkehrs , eine Stadtbahn, eine Straßenbahn oder eine U-Bahn des öf fentlichen Personennahverkehrs .
Das erfindungsgemäße Verfahren ist besonders für die Anwendung bei spurgebundenen Fahrzeugen geeignet . Denn Hersteller und Betreiber einer Flotte von mehreren Fahrzeugen stehen vor dem Problem, das Risikomanagement geeignet zu handhaben . Insbesondere die Komplexität des technischen Systems , bestehend aus mehreren Fahrzeugen, macht die Anwendung des erfindungsgemäßen Verfahrens besonders wünschenswert .
Bei einer weiteren Weiterbildung der Aus führungs form ist ein Element der Teileinrichtung eine für den Einsatz in dem Subsystem angepasste Komponente , die auf einer generischen Komponente basiert .
Die generische Komponente ist vorzugsweise eine Komponente , die von einem Lieferanten ( Zulieferer ) bereitgestellt wird und von dem Unternehmen, das die technischen Einrichtungen handhabt , für die eigenen Zwecke , beispielsweise bei der Herstellung der technischen Einrichtung, angepasst wird .
Beispielsweise ist die generische Komponente eine sogenannte COTS ( COTS : Component of f-the-shel f ) .
Die Erfindung betri f ft ferner ein Computerprogrammprodukt , umfassend Befehle , die bei der Aus führung des Programms durch eine Recheneinrichtung diese veranlassen, das Verfahren der vorstehend beschriebenen Art aus zuführen .
Die Erfindung betri f ft ferner eine Bereitstellungsvorrichtung für das Computerprogrammprodukt der vorstehend beschriebenen Art , wobei die Bereitstellungsvorrichtung das Computerprogrammprodukt speichert und/oder bereitstellt . Die Bereitstellungsvorrichtung ist beispielsweise eine Speichereinheit , die das Computerprogrammprodukt speichert und/oder bereitstellt . Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst , ein Computersystem, ein Serversystem, insbesondere ein verteiltes , beispielsweise cloudbasiertes Computersystem und/oder virtuelles Rechnersystem, welches das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt .
Die Bereitstellung erfolgt in Form eines Programmdatenblocks als Datei , insbesondere als Downloaddatei , oder als Datenstrom, insbesondere als Downloaddatenstrom, des Computerprogramms . Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfolgen, der aus mehreren Teilen besteht . Ein solches Computerprogramm wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in ein System eingelesen, sodass das erfindungsgemäße Verfahren auf einem Computer zur Aus führung gebracht wird . Das Computerprogramm ist vorzugsweise eingerichtet , die bei der Aus führung entstehenden Daten sicher ( im Sinne von Security) zu verwalten .
Die Erfindung betri f ft ferner eine Vorrichtung zum Management von Risiken eines technischen Systems , welches mehrere technische Einrichtungen aufweist . Die Vorrichtung umfasst eine Recheneinrichtung, welche eingerichtet ist , für die mehreren technischen Einrichtungen eine j eweilige Risikoinformation, welche ein für eine technische Einrichtung ermitteltes Risiko repräsentiert , zu ermitteln . Die Vorrichtung umfasst ferner eine Aggregationseinrichtung, welche eingerichtet ist , die ermittelten Risikoinformationen für eine Bewertung des Gesamtrisikos des Systems zu aggregieren . Die Risikoinformation ist anhand einer Hierarchie ermittelbar, bei der wenigstens eine Teileinrichtung, welche einen Teil der technischen Einrichtung bildet , in einer Hierarchieebene liegt , die einer Hierarchieebene der technischen Einrichtung untergeordnet ist .
Zu Vorteilen, Aus führungs formen und Ausgestaltungsdetails des erfindungsgemäßen Computerprogrammprodukts , der erfindungsgemäßen Bereitstellungsvorrichtung und der erfindungsgemäßen Vorrichtung kann auf die vorstehende Beschreibung zu den entsprechenden Merkmalen des erfindungsgemäßen Verfahrens verwiesen werden .
Ein Aus führungsbeispiel der Erfindung wird anhand der Zeichnungen erläutert . Es zeigen :
Figur 1 schematisch den Aufbau eines
Aus führungsbeispiels einer erfindungsgemäßen Vorrichtung zum Risikomanagement eines technischen Systems , welches mehrere technische Einrichtungen umfasst , und Figur 2 schematisch den Ablauf eines
Ausführungsbeispiels des erfindungsgemäßen Verfahrens .
Figur 1 zeigt eine schematische Darstellung eines technischen Systems 1, welches mehrere technische Einrichtungen 3, 5 und 7 umfasst. Eine Vorrichtung 2 dient zum Management von inf ormationstechnischen Risiken des technischen System 1.
Figur 1 zeigt insbesondere drei technische Einrichtungen 3, 5 und 7. Die erfindungsgemäße Lösung lässt sich jedoch sinnfällig auf ein System mit mehr als drei technischen Einrichtungen anwenden und ist in dieser Hinsicht skalierbar.
Die technische Einrichtung 3, 5 bzw. 7 ist ein spurgebundenes Fahrzeug 9, 11 bzw. 13, insbesondere ein Schienenfahrzeug.
Jedes spurgebundene Fahrzeug 9, 11 bzw. 13 weist mehrere Subsysteme 15, 17 bzw. 19 auf. Beispiele für Subsysteme dieser Art sind das Antriebssystem, Bremssystem, Türen, Klimaanlage, Fahrgastinf ormationssystem, etc. Das jeweilige Subsystem 15, 17 bzw. 19 umfasst mehrere für den Einsatz des Subsystems 15, 17 bzw. 19 angepasste Komponenten 21, 23 bzw. 25. Beispiele für Komponenten dieser Art sind: ein Sensor eines Türsteuersystems, eine Anzeige eines Fahrgastinf ormat ions systems , etc .
Die angepassten Komponenten 21, 23 bzw. 25 basieren auf generischen Komponenten 27, 29 bzw. 31, beispielsweise sogenannten COTSs (COTS: Components off-the-shelf) .
Die Darstellung des Systems 1 durch mehrere Pyramiden, die jeweils mehrere Hierarchieebenen aufweisen, verdeutlicht die Hierarchie 20, auf der das erfindungsgemäße Verfahren basiert: In einer ersten Hierarchieebene 33 liegen die generischen Komponenten 27, 29 und 31. In einer zweiten Hierarchieebene 35 liegen die angepassten Komponenten 21, 23 und 25. In einer dritten Hierarchieebene 37 liegen die Subsysteme 15 , 17 und 19 . In einer vierten Hierarchieebene 39 liegen die technischen Einrichtungen 3 , 5 und 7 . Eine fünfte Hierarchieebene 41 stellt das Unternehmen 43 dar, durch das die technische Einrichtungen 3 , 5 und 7 gehandhabt wird .
Figur 2 zeigt schematisch die Schritte des erfindungsgemäßen Verfahrens als Ablaufdiagramm .
In einem ersten Verfahrensschritt A werden Risikoinformationen RG, welche das Risiko der generischen Komponenten 27 , 29 und 31 repräsentieren, durch einen Lieferanten dieser Komponenten bereitgestellt . Insbesondere wird die Risikoinformation RG durch eine Recheneinrichtung 22 des Lieferanten bereitgestellt und an eine Recheneinrichtung
24 des Unternehmens 43 übertragen . Beispielsweise wird den Lieferanten des Unternehmens 43 eine standardisierte Schnittstelle zur Eingabe der Restrisikoinformation RS zur Verfügung gestellt .
In einem Verfahrensschritt B werden Restrisikoinformationen RA, welche das Restrisiko der angepassten Komponenten 21 , 23 ,
25 repräsentieren, mittels der Recheneinrichtung 24 ermittelt . Bei der Ermittlung B gehen die Risikoinformationen RG ein . Die Restrisikoinformationen RA werden an eine Recheneinrichtung 26 übertragen .
In einem Verfahrensschritt C werden Restrisikoinformationen RS , welche das Risiko der Subsysteme 15 , 17 und 19 repräsentieren, mittels der Recheneinrichtung 26 , ermittelt . Bei der Ermittlung findet unter anderem eine Aggregation der Restrisikoinformationen RA statt . Die Restrisikoinformationen RS werden an eine Recheneinrichtung 28 übertragen .
In einem Verfahrensschritt D werden Restrisikoinformationen RE , welche das für die technischen Einrichtungen 3 , 5 und 7 ermittelte Restrisiko repräsentieren, mittels der Recheneinrichtung 28 ermittelt . Bei der Ermittlung findet unter anderem eine Aggregation der Restrisikoinformationen RS statt .
Die beschrieben Verfahrensschritt A bis D verdeutlichen die Hierarchie 20 , auf der die Ermittlung der Restrisikoinformationen RE basiert .
In einem Verfahrensschritt E werden die Restrisikoinformationen RE einer Recheneinrichtung 30 zugeführt , welche dem Risikomanagement des Unternehmens 43 dient . Die Recheneinrichtung 30 ist eingerichtet , ein datenbankbasiertes Tool aus zuführen, um das Risikomanagement anhand des Tools durchzuführen .
Die beschriebenen Recheneinrichtungen 22 , 24 , 26 , 28 und 30 sind Teil der erfindungsgemäßen Vorrichtung 2 . Die beschriebenen Recheneinrichtungen 22 , 24 , 26 , 28 und 30 können getrennte Recheneinrichtungen, beispielsweise j eweils ein Desktopcomputer sein . Die getrennten Recheneinrichtungen können über ein Kommunikationsnetz datentechnische miteinander verbunden sein . Alternativ ist ein Teil oder sämtliche dieser Recheneinrichtungen 22 , 24 , 26 , 28 und 39 als eine gemeinsame Recheneinrichtung, beispielsweise als Server, ausgeführt .
Das beschriebene Verfahren kann in Teilen ausgeführt werden . Eine Teilaus führung ist beispielsweise sinnvoll , wenn eine Änderung eines Subsystems vorgenommen wird . In diesem Fall ermittelt die Recheneinrichtung 26 auf Basis des geänderten Subsystems erneut die Restrisikoinformation RS . Dies führt zu einer neuen Ermittlung der Restrisikoinformationen RE , was zu Änderungswünschen ( sogenannter Change Request ) an dem spurgebundenen Fahrzeug 9 , 11 und/oder 13 führen kann .
Die ermittelten Restrisikoinformationen RA, RS und RE werden insbesondere dann beim Risikomanagement als solche identi fi ziert und gehandhabt , wenn diese ein vordefiniertes Risikoniveau übersteigen . Das Risikoniveau repräsentiert dabei ein als akzeptabel definiertes Risiko .
Obwohl die Erfindung im Detail durch das bevorzugte Aus führungsbeispiel näher illustriert und beschrieben wurde , so ist die Erfindung nicht durch die of fenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .

Claims

Patentansprüche
1. Verfahren zum Management von Risiken eines technischen Systems (1) , welches mehrere technische Einrichtungen (3, 5, 7) aufweist, bei welchem: für die mehreren technischen Einrichtungen (3, 5, 7) eine jeweilige Risikoinformation (RS) ermittelt wird, welche ein für eine technische Einrichtung (3, 5, 7) ermitteltes Risiko repräsentiert, und
- die Risikoinformation (RS) anhand einer Hierarchie (20) ermittelt wird, bei der wenigstens eine Teileinrichtung (15, 17, 19) , welche einen Teil der technischen Einrichtung (3, 5, 7) bildet, in einer Hierarchieebene (33, 35, 37) liegt, die einer Hierarchieebene (39) der technischen Einrichtung (3, 5, 7) untergeordnet ist.
2. Verfahren nach Anspruch 1, bei welchem die ermittelten Risikoinformationen (RS) einer Recheneinrichtung (30) zugeführt werden (E) , welche dem Risikomanagement eines Unternehmens (43) , durch das die technischen Einrichtungen (3, 5, 7) gehandhabt werden, dient.
3. Verfahren nach Anspruch 1 oder 2, bei welchem das Management von Risiken ein Management von inf ormationstechnischen Risiken ist.
4. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, bei welchem wenigstens eine Einrichtung der mehreren technischen Einrichtungen (3, 5, 7) ein spurgebundenes Fahrzeug (9, 11, 13) ist und die Teileinrichtung (15, 17, 19) ein Subsystem des spurgebundenen Fahrzeugs (9, 11, 13) ist.
5. Verfahren nach Anspruch 4, bei welchem ein Element der Teileinrichtung eine für den Einsatz in dem Subsystem angepasste Komponente (21, 23, 25) ist, die auf einer generischen Komponente (27, 29, 31) basiert.
6. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung durch eine Recheneinrichtung diese veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 5 auszuführen .
7. Bereitstellungsvorrichtung für das Computerprogrammprodukt nach Anspruch 6, wobei die Bereitstellungsvorrichtung das Computerprogrammprodukt speichert und/oder bereitstellt .
8. Vorrichtung zum Management von Risiken eines technischen Systems (1) , welches mehrere technische Einrichtungen (3, 5, 7) aufweist, umfassend : eine Recheneinrichtung (28) , welche eingerichtet ist, für die mehreren technischen Einrichtungen (3, 5, 7) eine jeweilige Risikoinformation (RS) , welche ein für eine technische Einrichtung (3, 5, 7) ermitteltes Risiko repräsentiert, zu ermitteln, wobei die Risikoinformation (RS) anhand einer Hierarchie (20) ermittelbar ist, bei der wenigstens eine Teileinrichtung (15, 17, 19) , welche einen Teil der technischen Einrichtung (3, 5, 7) bildet, in einer Hierarchieebene (33, 35, 37) liegt, die einer Hierarchieebene (39) der technischen Einrichtung (3, 5, 7) untergeordnet ist.
PCT/EP2022/069749 2021-08-31 2022-07-14 Verfahren und vorrichtung zum management von risiken eines technischen systems WO2023030735A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021209540.2 2021-08-31
DE102021209540.2A DE102021209540A1 (de) 2021-08-31 2021-08-31 Verfahren und Vorrichtung zum Management von Risiken eines technischen Systems

Publications (1)

Publication Number Publication Date
WO2023030735A1 true WO2023030735A1 (de) 2023-03-09

Family

ID=82846150

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/069749 WO2023030735A1 (de) 2021-08-31 2022-07-14 Verfahren und vorrichtung zum management von risiken eines technischen systems

Country Status (2)

Country Link
DE (1) DE102021209540A1 (de)
WO (1) WO2023030735A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT505232A2 (de) * 2007-05-11 2008-11-15 Sbc Stallinger Beteiligung & C Verfahren zur bewertung der betriebsgüte einer modularen betriebsleiteinrichtung
US20140337086A1 (en) * 2013-05-09 2014-11-13 Rockwell Authomation Technologies, Inc. Risk assessment for industrial systems using big data
WO2021028209A1 (de) * 2019-08-12 2021-02-18 Siemens Aktiengesellschaft Emergente risiken eines technischen systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3047827A1 (fr) 2016-02-12 2017-08-18 Alstom Transp Tech Procede et systeme de gestion de risques pour un systeme de transport terrestre
CN108520359A (zh) 2018-04-11 2018-09-11 北京交通大学 城市轨道交通系统的风险网络模型的构建方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT505232A2 (de) * 2007-05-11 2008-11-15 Sbc Stallinger Beteiligung & C Verfahren zur bewertung der betriebsgüte einer modularen betriebsleiteinrichtung
US20140337086A1 (en) * 2013-05-09 2014-11-13 Rockwell Authomation Technologies, Inc. Risk assessment for industrial systems using big data
WO2021028209A1 (de) * 2019-08-12 2021-02-18 Siemens Aktiengesellschaft Emergente risiken eines technischen systems

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CLAUDIA LUTZE ET AL: "Cybersecurity-Normen - Aktueller Stand, Leitfaden für Betreiber bei der Systemspezifikation - Cybersecurity standards - the current status, system specification guidelines for asset owners", SIGNAL UND DRAHT: SIGNALLING & DATACOMMUNICATION, vol. 110, no. 11, 1 November 2018 (2018-11-01), DE, pages 16 - 25, XP055522316, ISSN: 0037-4997 *
DIN EN ISO 12100:2011-03: "Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze - Risikobeurteilung und Risikominderung (ISO 12100:2010); Deutsche Fassung EN ISO 12100:2010", DIN EN ISO 12100, 1 March 2011 (2011-03-01), pages 1 - 88, XP055524940 *
GUNNAR BOSSE: "Grundlagen fürr ein generisches Referenzsystem für die Betriebsverfahren spurgeführter Verkehrssysteme", 1 January 2011 (2011-01-01), XP055362445, Retrieved from the Internet <URL:https://publikationsserver.tu-braunschweig.de/servlets/MCRFileNodeServlet/digibib_derivate_00018330/DissertationGBosse.pdf> [retrieved on 20170406] *
HOLGER SCHLINGLOFF ET AL: "Betrachtung zur Softwareentwicklung im Eisenbahnbereich", EBA FORSCHUNGSBERICHT, 1 February 2019 (2019-02-01), pages 1 - 63, XP055947352, ISSN: 2627-9851 *
TECHNICAL SPECIFICATION CLC/TS 50701, RAILWAY APPLICATIONS - CYBERSECURITY: "PNW 9-2810 ED1: Railway applications - Cybersecurity", 30 July 2021 (2021-07-30), pages 1 - 164, XP082033178, Retrieved from the Internet <URL:https://api.iec.ch/harmonized/documents/download/1171084> [retrieved on 20220218] *

Also Published As

Publication number Publication date
DE102021209540A1 (de) 2023-03-02

Similar Documents

Publication Publication Date Title
DE102014113371A1 (de) Verfahren zur Überwachung und Diagnose von Komponenten eines Schienenfahrzeugs, mit erweiterbarer Auswertungssoftware
DE102007042098A1 (de) Leistungsanalysator für eine Lieferketteneinrichtung
EP3811563A1 (de) Verfahren und vorrichtung zum vereinbaren einer zusammenarbeit zwischen einem ersten system und einem zweiten system
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
EP1966008B1 (de) Verfahren zur verteilung von softwaremodulen
DE102019214453A1 (de) Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
DE102019115727A1 (de) Elektronische Steuervorrichtung, Überwachungsverfahren, Aufzeichungsmedium und Gateway-Vorrichtung
DE102008022343A1 (de) Zugsicherungseinrichtung
DE102019208746A1 (de) Kabelloser Zustandsüberwachungssensor mit Nahfeldkommunikations-Untersuchungshardware
WO2023030735A1 (de) Verfahren und vorrichtung zum management von risiken eines technischen systems
DE102018216140B4 (de) Verfahren zur Durchführung einer Fahrzeugdiagnose zu einer Testfahrt eines Fahrzeugs, Steuereinrichtung und Fahrzeug
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
DE102018202626A1 (de) Verfahren zur rechnergestützten Parametrierung eines technischen Systems
WO2021219327A2 (de) Eisenbahnanlage mit diagnosesystem und verfahren zu deren betrieb
DE102017108555A1 (de) Verfahren zur Abwicklung von Daten-Übertragungsvorgängen in Industrieanlagen
WO2024042174A1 (de) Verfahren und system zur instandhaltung eines fahrzeugs
WO2022179837A1 (de) Verfahren, computerprogramm, computerlesbares speichermedium und system zum bereitstellen von zu schützenden informationen eines personenbeförderungsfahrzeuges
WO2024104805A1 (de) Verfahren und system zur technischen konfiguration eines spurgebundenen fahrzeugs
EP3070552B1 (de) Verknüpfung eines automatisierunsgerätes mit einem datenverarbeitungssystem
EP4273725A1 (de) Verfahren zur ermittlung von kritischen schwachstellenketten
WO2021063606A1 (de) Verfahren zum anzeigen einer fahrzeuginformation in bezug auf ein fahrzeug zur personenbeförderung
WO2022258276A1 (de) Verfahren und fahrgastzählvorrichtung zum zählen von fahrgästen
Schnieder et al. Generic structure of safety cases for automated vehicle systems of level 3
DE102021002221A1 (de) Verfahren zur Erfassung eines Haltewunsches eines Fahrgastes in einem Verkehrsmittel
EP4368475A1 (de) Verfahren zur wiederinbetriebnahme eines schienenfahrzeugs

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22751692

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE