WO2024002687A1 - Verfahren zur absicherung einer datenverbindung - Google Patents
Verfahren zur absicherung einer datenverbindung Download PDFInfo
- Publication number
- WO2024002687A1 WO2024002687A1 PCT/EP2023/065879 EP2023065879W WO2024002687A1 WO 2024002687 A1 WO2024002687 A1 WO 2024002687A1 EP 2023065879 W EP2023065879 W EP 2023065879W WO 2024002687 A1 WO2024002687 A1 WO 2024002687A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- transmission
- rail vehicle
- radio
- control point
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000004891 communication Methods 0.000 claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims description 92
- 230000001939 inductive effect Effects 0.000 claims description 6
- 239000004020 conductor Substances 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 2
- 238000011156 evaluation Methods 0.000 claims 1
- 238000011161 development Methods 0.000 description 9
- 230000018109 developmental process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000003908 quality control method Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0018—Communication with or on the vehicle or train
- B61L15/0027—Radio-based, e.g. using GSM-R
Definitions
- the invention relates to a method for securing a data connection between a rail vehicle and a control point referred to as the “land side”.
- a secure, highly available and tamper-proof data connection is required between a rail vehicle in question and the control point.
- the high availability of the data connection is particularly required when vehicle functions that are important for ferry operations and/or for the safety of the rail vehicle are controlled from the land side.
- this data connection must be protected against unintentional data corruption due to the underlying security classifications of the implemented vehicle functions.
- the data connection must meet specified IT security requirements in order to secure the data connection and the data transmitted with it against unauthorized access by third parties and to protect the data against intentional or unintentional misuse.
- the rail network operator's own infrastructure is arranged along the railway lines and uses, for example, line cables laid in the track, Eurobalises, WLAN components, etc. , to which components of the infrastructure and rail vehicles traveling on them are connected in terms of data.
- the invention relates to a method for securing a data connection between a rail vehicle and a preferably stationary control center or control center, known as the “land side”.
- the data connection is set up and operated between the rail vehicle and the control point, so that data that is relevant for the control of vehicle functions is transmitted through the data connection between the rail vehicle and the onshore infrastructure or control body to be transferred.
- the data connection includes at least two communication connections via which the data transmission is carried out in parallel and independently of one another.
- the data is then evaluated in terms of its quality and validity and used for vehicle functions that are transmitted from the land side or are controlled from the control point and are important for ferry operations or for the safety of the rail vehicle.
- two independent radio channels of a first radio system are used as communication connections, with the first radio system connecting the rail vehicle and the control point to one another.
- the first radio system has a first transmitter and a first receiver, which are connected to one another via the two radio channels.
- conventional radio technology in particular mobile radio technology, is used. used .
- the data is created as user data by the rail vehicle and is combined with a safety or Security code supplied by the rail vehicle to the first radio system.
- the con- The trolling point then converts the received data into useful data and evaluates the redundantly transmitted data.
- the VPN-based data transmission protects the data against unauthorized access.
- the user data is converted into two data telegrams on the transmission side, the data telegrams being identical in content with regard to the user data.
- the two data telegrams are then transmitted parallel to one another and preferably at the same time via the two radio channels.
- the availability of the data or User data and the data connection are increased: if the data telegram transmitted via a first radio channel is not transmitted or is transmitted incorrectly, the data telegram transmitted via a second radio channel is used on the receiving side.
- Each data telegram is made up of a so-called “header”, a UID identifier, a channel identifier, the user data and the safety code.
- the header becomes
- the identification of the transmitter is used to allow an assignment on the land side to which subsystem the data telegram belongs (e.g. to doors, to the drive, etc.).
- the identification of the recipient is required in order to individually address a selected recipient in a land-based system with several “reading” recipients.
- the version identifier is required in order to be able to use different telegram versions from different vehicles at the same time in a life cycle under consideration.
- the vehicle position is required in order to be able to carry out quality control on the one hand and control aspects on the other.
- a marking or Serial number is used, which is individually assigned to the rail vehicle and is unique for it.
- the UID identifier is identical for both data telegrams and allows them to be clearly identified, so that related data telegrams can be assigned on the receiving side.
- Successive data telegrams are assigned new UID identifiers, even if their user data content is identical to the previous data telegram. If the data telegram transmitted via the first radio channel is not transmitted or is not transmitted correctly, it is rejected by the receiver. In this case, the data telegram that was transmitted via the second radio channel is used, provided that it was assessed as “correctly and completely transmitted” at the receiving end.
- the channel identifier specifies a number of a radio channel that is to be used for data telegram transmission.
- the safety code is created and used to protect the data telegram against data corruption.
- the safety code is selected and used according to a safety level to be used (preferably according to EN 50129 and EN 50128 or EN 50657), so that a given data integrity can be checked on the receiving side.
- the data telegrams or The data connection uses a time stamp and a data telegram counter when transmitting the data telegrams.
- a suitable time service such as e.g. B. NTP according to RFC 5905 can be used.
- the vehicle side preferably adopts the time on the land side.
- m-out-of-n selection more than two separate radio channels are used for data telegram transmission in order to increase both data availability and data security on the receiving side.
- n radio channels are used, from which m ⁇ n m radio channels are selected on the receiving side in order to compare and evaluate their data.
- At least two separate communication connections are used.
- te radio systems are used that connect the rail vehicle and the control point.
- a first radio system has a first transmitter and a first receiver, which are connected to one another via a first radio channel.
- a second radio system has a second transmitter and a second receiver, which are connected to one another via a second radio channel.
- This configuration additionally increases data availability because failures and/or hardware malfunctions do not cause any restrictions during data transmission.
- the data is formed as user data by the rail vehicle and fed in parallel to the first radio system and the second radio system.
- Assigned transmitters of the rail vehicle radio systems transmit the respective data preferably in the form of two files. telegrams and parallel to each other to assigned receivers of the radio systems of the land-based control point.
- the control center then sets the received data or Converts user data and evaluates the redundantly transmitted data.
- the two radio systems use the advantageous developments for the data telegram, the time stamp, the data telegram counter and the m-out-of-n selection accordingly and as described above.
- the user data is again converted into two data telegrams on the transmission side, which are identical in terms of the user data they contain.
- the two data telegrams are then transmitted separately in parallel and preferably at the same time via the two radio systems.
- Each data telegram is preferably composed of the “header”, the UID identifier, the user data and the safety code.
- An optional radio system identifier specifies the radio system to be used for transmitting the respective data telegram.
- n radio systems are used, from which m radio systems are selected on the receiving side with m ⁇ n in order to compare and evaluate their data.
- At least two separate transmission systems are used as communication connections, which connect the rail vehicle and the control point with one another.
- the two transmission systems are physically different from each other.
- a radio system is used as the first transmission system for parallel data transmission.
- an infrastructure-based system is used as the second transmission system, for example a line cable laid in the track.
- Inductive coupling enables data transmission between the rail vehicle and the control point via the line conductor.
- the diverse hardware systems prevent the systems used from failing if the same type of error occurs.
- the data is formed as useful data by the rail vehicle and fed in parallel to the first transmission system and the second transmission system.
- Assigned transmitters of the rail vehicle-side transmission systems transmit the respective data, preferably in the form of two data telegrams and in parallel to one another, to assigned receivers of the transmission systems of the land-side control point.
- the control center then converts the received data into useful data and evaluates the redundantly transmitted data.
- the two transmission systems use the advantageous developments for the data telegram, the time stamp, the data telegram counter and the m-out-of-n selection accordingly and as described above.
- the user data is again converted on the transmission side into two data telegrams with identical content related to the data.
- the two data telegrams are then transmitted separately in parallel and preferably at the same time via the two transmission systems.
- Each data telegram is preferably composed of the “header”, the UID identifier, the user data and the safety code.
- an additional identifier is used in the data telegram for data transmission, which specifies the transmission system to be used. characterizes.
- n transmission systems are used, from which m ⁇ n m transmission systems are selected on the receiving side in order to compare and evaluate their data.
- this reaction includes the following measures, for example:
- continuous monitoring of the communication is additionally carried out along the entire route of the rail vehicle. This ensures the security and availability of data transmission permanently and under changing environmental influences.
- the time required for transmission from the sender to the receiver is calculated on the land side for all received data telegrams based on the transmitted time stamps.
- Additional information about the data telegrams is recorded on the receiving side, including the date, time, transmission location and required transmission time and stored permanently.
- This information is recorded for all rail vehicles and journeys and is continuously evaluated as data transmission quality data for changes in the transmission time depending on the date, time and transmission location.
- the present invention is based on the idea of a diversity transmission method.
- the present invention achieves a secure and highly available data connection that is suitable for use in safety-relevant control functions between the rail vehicle on the one hand and the land side or the control body on the other hand is suitable.
- the present invention makes the data connection or The transmission of data in both directions (i.e. from the rail vehicle to the control point or from the control point to the rail vehicle) is secured redundantly.
- the present invention meets the requirements of the data connection with regard to high availability and protection against unintentional or intentional data corruption.
- the present invention avoids the effects of transmission interference in the data connection and achieves a safe state during operation of the rail vehicle.
- the present invention makes it possible to implement control tasks of the rail vehicle via the land side with little effort.
- the present invention can be implemented using a simple software architecture, so that only low costs are incurred for its implementation. This enables accelerated time to market and offers the advantage of low software maintenance costs.
- FIG. 1 shows a first embodiment of the invention
- 2 shows an associated data telegram with reference to FIG. 1
- FIG. 3 shows a second embodiment of the invention
- FIG. 4 shows a third embodiment of the invention.
- FIG. 1 shows a first embodiment of the invention, in which two independent radio channels FK1, FK2 of a first radio system FS 1 are used as communication connections.
- the first radio system FS 1 connects the SFZ rail vehicle and the KS control point.
- the first radio system FS 1 has a first transmitter and a first receiver, which are connected to one another via the two radio channels FK, FK2.
- a conventional radio technology in particular a mobile radio technology, is used or used .
- Data is formed as user data ND by the rail vehicle SFZ in a control system LT and, as described below, with a safety or Security code SAVC, provided with a channel identifier and a header and fed to the first radio system FS 1 by the rail vehicle SFZ.
- SAVC safety or Security code
- the control center KS then converts the received data into user data ND in a control center LS and evaluates the redundantly transmitted data. The same applies to the data transmission from the KS control point to the SFZ rail vehicle.
- VPN-based data transmission protects the data against unauthorized access.
- FIG. 2 shows an associated data telegram DATEL with reference to FIG. 1.
- the user data ND is converted into two DATEL data telegrams on the transmission side, which contain identical user data.
- the two DATEL data telegrams are then transmitted parallel to one another and preferably simultaneously via the two radio channels FK1, FK2.
- Each data telegram DATEL is composed of a so-called “header” HD, a UID identifier UID, a channel identifier KK, the user data ND and the safety code SAVC.
- the header HD is, as stated above, for
- the identification of the transmitter is used to allow an assignment on the land side to which subsystem the data telegram belongs (e.g. to doors, to the drive, etc.).
- the identification of the recipient is required in order to individually address a selected recipient in a land-based system with several “reading” recipients.
- the version identifier is required in order to be able to use different telegram versions from different vehicles at the same time in a life cycle under consideration.
- the vehicle position is required in order to be able to carry out quality control on the one hand and control aspects on the other.
- a marking or Serial number is used, which is individually assigned to the SFZ rail vehicle when it is newly registered and is unique for it.
- the UID identifier UID is identical for both DATEL data telegrams and allows them to be uniquely identified, so that DATEL data telegrams that belong together can be assigned on the receiving side.
- the channel identifier KK specifies the number of the radio channel - i.e. either radio channel FK1 or radio channel FK2 - which is to be used for data telegram transmission DATEL.
- the safety code SAVC is created and used to protect the DATEL data telegram against data corruption.
- 3 shows a second embodiment of the invention, in which at least two separate radio systems FS 1, FS2 are used as communication connections, which connect the rail vehicle SFZ and the control point KS with one another.
- a first radio system FS 1 has a first transmitter and a first receiver, which are connected to one another via a first radio channel FK1.
- a second radio system FS2 has a second transmitter and a second receiver, which are connected to one another via a second radio channel FK2.
- the data is formed as user data ND by the rail vehicle in a control system LT and fed in parallel to the first radio system FS 1 and the second radio system FS2.
- Assigned transmitters of the rail vehicle-side radio systems FS 1, FS2 transmit the respective data preferably in the form of two data telegrams and in parallel to one another to assigned receivers of the radio systems FS 1, FS2 of the land-side control center KS.
- the control center KS then converts the received data into useful data ND in a control center LS and evaluates the redundantly transmitted data. The same applies to the data transmission from the KS control point to the SFZ rail vehicle.
- the two radio systems FS 1, FS2 use the advantageous developments for the data telegram, the time stamp, the data telegram counter and the m-out-of-n selection accordingly and as described above.
- FIG. 4 shows a third embodiment of the invention, in which at least two separate transmission systems UEB1, UEB2 are used as communication connections, which connect the rail vehicle SFZ and the control point KS with one another.
- the two transmission systems UEB1, UEB2 are physically different from each other.
- a radio system is used as the first transmission system UEB1 for parallel data transmission.
- an infrastructure-based system is used as the second transmission system UEB2, for example a line cable laid in the track.
- Inductive coupling enables data transmission between the rail vehicle and the control point via the line conductor.
- the second transmission system is UEB2
- the data is formed as useful data ND by the rail vehicle SFZ in a control system LT and fed in parallel to the first transmission system UEB1 and the second transmission system UEB2.
- Assigned transmitters of the rail vehicle-side transmission systems transmit the respective data, preferably in the form of two data telegrams and in parallel to one another, to assigned receivers of the transmission systems of the land-side control point.
- the control center KS then converts the received data into user data ND in a control center LS and evaluates the redundantly transmitted data.
- the two transmission systems UEB1, UEB2 use the advantageous developments for the data telegram, the time stamp, the data telegram counter and the m-out-of-n selection accordingly and as described above.
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
- Communication Control (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug (SFZ) und einer Kontrollstelle (KS). Eine Datenverbindung wird zwischen einem Schienenfahrzeug (SFZ) und einer Kontrollstelle (KS) eingerichtet und betrieben. Daten, die für die Steuerung von Fahrzeugfunktionen des Schienenfahrzeugs (SFZ) durch die Kontrollstelle (KS) relevant sind, werden zwischen den beiden (KS, SFZ) über die Datenverbindung übertragen. Die Daten werden als Nutzdaten (ND) über mindestens zwei voneinander unabhängige Kommunikationsverbindungen (FK1, FK2, FS1, FS2, UEB1, UEB2), die Bestandteile der Datenverbindung sind, parallel zueinander übertragen. Die Nutzdaten werden nach ihrem Empfang hinsichtlich ihrer Qualität und Gültigkeit bewertet.
Description
Beschreibung
Verfahren zur Absicherung einer Datenverbindung
Die Erfindung betri f ft ein Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer als „Landseite" bezeichneten Kontrollstelle .
Für die Steuerung von Funktionen von Schienenfahrzeugen durch eine als „Landseite" bezeichnete , bevorzugt orts feste Kontrollstelle wird eine sichere , hoch verfügbare und verfälschungssichere Datenverbindung zwischen einem betrachteten Schienenfahrzeug und der Kontrollstelle benötigt .
Die hohe Verfügbarkeit der Datenverbindung wird insbesondere benötigt , wenn Fahrzeugfunktionen von der Landseite aus gesteuert werden, die für den Fährbetrieb und/oder für die Sicherheit des Schienenfahrzeugs wichtig sind .
Zugleich ist diese Datenverbindung wegen zugrunde liegender Sicherheitseinstufungen der realisierten Fahrzeugfunktionen gegen eine unbeabsichtigte Datenverfälschung abzusichern .
Darüber hinaus muss die Datenverbindung vorgegebenen IT- Sicherheitsanforderungen entsprechen, um die Datenverbindung sowie die damit übertragenen Daten gegen unberechtigte Zugri f fe Dritter abzusichern und die Daten gegen absichtlichen oder unabsichtlichen Missbrauch zu schützen .
Es ist bekannt , Datenverbindungen zwischen Schienenfahrzeugen und der Landseite unter Verwendung von bekannten Mobil funknetzen, mit Hil fe einer Schienennetz-Betreiber eigenen Infrastruktur oder mit Hil fe des „digitalen Zugfunks" durchzufüh- ren .
Dabei werden Datensicherungsmaßnahmen, beispielsweise die Verwendung von Safety-Codes , VPN-Kanälen oder Telegramm- Zählern, j e nach Anwendungs fall verwendet .
Die Schienennetz-Betreiber eigene Infrastruktur ist dabei entlang der Bahnlinien angeordnet und verwendet beispielsweise im Gleis verlegte Linienleiter, Eurobalisen, WLAN- Komponenten, etc . , mit denen Komponenten der Infrastruktur und darauf fahrender Schienenfahrzeuge Daten-technisch verbunden sind .
Die genannten Möglichkeiten verwirklichen die oben genannten Anforderungen an die Datenverbindung j edoch nur teilweise , so dass bei einer konkreten Gestaltung der Datenverbindung mit Nachteilen behaftete Kompromisse eingegangen werden müssen .
Es ist daher die Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer orts festen, d . h . „landseitigen" Kontrollstelle anzugeben .
Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst . Vorteilhafte Weiterbildungen sind in den abhängigen Patentansprüchen angegeben .
Die Erfindung betri f ft ein Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer als „Landseite" bezeichneten, bevorzugt orts festen Kontrollstelle bzw . Leitstelle .
Die Datenverbindung wird zwischen dem Schienenfahrzeug und der Kontrollstelle eingerichtet und betrieben, so dass Daten, die für die Steuerung von Fahrzeugfunktionen relevant sind, durch die Datenverbindung zwischen dem Schienenfahrzeug und
der landseitigen Infrastruktur bzw . Kontrollstelle übertragen werden .
Die Datenverbindung umfasst mindestens zwei Kommunikationsverbindungen, über die die Datenübertragung parallel und unabhängig voneinander durchgeführt wird .
Empfangsseitig werden dann die Daten hinsichtlich ihrer Qualität und Gültigkeit bewertet und für Fahrzeugfunktionen verwendet , die von der Landseite bzw . von der Kontrollstelle aus gesteuert werden und die für den Fährbetrieb oder für die Sicherheit des Schienenfahrzeugs wichtig sind .
In einer vorteilhaften ersten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zwei voneinander unabhängige Funkkanäle eines ersten Funksystems verwendet , wobei das erste Funksystem das Schienenfahrzeug und die Kontrollstelle miteinander verbindet .
Beispielsweise weist das erste Funksystem einen ersten Sender und einen ersten Empfänger auf , die über die beiden Funkkanäle miteinander verbunden sind .
Zur Realisierung des ersten Funksystems wird eine herkömmliche Funktechnologie , insbesondere eine Mobil funk-Technologie eingesetzt bzw . verwendet .
Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und mit einem Safety- bzw . Sicherheitscode versehen seitens des Schienenfahrzeugs dem ersten Funksystem zugeführt .
Dieses verwendet die beiden unabhängigen Funkkanäle für eine VPN-basierte Datenübertragung zur Kontrollstelle . Die Kon-
trollstelle setzt dann die empfangenen Daten in Nutzdaten um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .
Durch die VPN-basierte Datenübertragung werden die Daten gegen unbefugten Zugri f f geschützt .
In einer bevorzugten Weiterbildung werden die Nutzdaten sendeseitig in zwei Datentelegramme umgesetzt , wobei die Datentelegramme bezüglich der Nutzdaten inhaltlich identisch sind .
Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funkkanäle übertragen .
Durch das parallele Versenden der Datentelegramme über die beiden Funkkanäle wird die Verfügbarkeit der Daten bzw . Nutzdaten sowie die Datenverbindung erhöht : falls das über einen ersten Funkkanal übertragene Datentelegramm nicht oder verfälscht übertragen wird, wird das über einen zweiten Funkkanal übertragene Datentelegramm empfangsseitig verwendet .
Jedes Datentelegramm setzt sich zusammen aus einem sogenannten „Header" , aus einer UID-Kennung, aus einer Kanal-Kennung, aus den Nutzdaten und aus dem Safety-Code .
Der Header wird zur
- Identi fikation des Schienenfahrzeugs ,
- Identi fikation eines sendenden Geräts bzw . Senders ,
- Identi fikation eines adressierten Empfängers ,
- Versionskennung des Datentelegramms , und/oder zur
- Identi fikation der Fahrzeugposition
verwendet .
Die Identi fikation des Senders wird verwendet , um auf der Landseite eine Zuordnung zu erlauben, zu welchem Subsystem das Datentelegramm gehört ( z . B . zu Türen, zum Antrieb, etc . ) .
Die Identi fikation des Empfängers wird benötigt , um bei einem landseitigen System mit mehreren „mitlesenden" Empfängern einen ausgewählten Empfänger individuell zu adressieren .
Die Versionskennung wird benötigt , um in einem betrachteten Lebens zyklus unterschiedliche Telegrammversionen von verschiedenen Fahrzeugen zur gleichen Zeit verwenden zu können .
Die Fahrzeugposition wird benötigt , um einerseits eine Qualitätskontrolle und andererseits Steuerungsaspekte durchführen zu können .
Bevorzugt wird für die Identi fikation des Schienenfahrzeugs beim Header eine Kennzeichnung bzw . Serien-Nummer verwendet , die dem Schienenfahrzeug individuell zugeordnet und für dieses eindeutig ist .
Hier bietet sich im europäischen Raum die UIC-Kennzeichnung bzw . UIC-Nummer an .
Die UID-Kennung ist für beide Datentelegramme identisch und erlaubt deren eindeutige Identi fi zierung, so dass zusammengehörige Datentelegramme empfangsseitig zuordenbar sind .
Aufeinander folgende Datentelegramme bekommen neue UID- Kennungen zugeordnet , selbst wenn deren Nutzdaten- Inhalt identisch zum vorhergehenden Datentelegramm sein sollte .
Wird das über den ersten Funkkanal übertragene Datentelegramm nicht oder nicht korrekt übertragen, wird es vom Empfänger verworfen . In diesem Fall wird das Datentelegramm verwendet , das über den zweiten Funkkanal übertragen wurde , sofern dieses empfangsseitig als „korrekt und vollständig übertragen" bewertet wurde .
Die Kanal-Kennung legt eine Nummer eines Funkkanals fest , der zur Datentelegramm-Übertragung verwendet werden soll .
Der Safety-Code wird zur Absicherung des Datentelegramms gegen Datenverfälschung gebildet und eingesetzt .
Der Safety-Code wird gemäß einer zu verwendenden Safety- Sicherheitsstuf e (bevorzugt nach EN 50129 und EN 50128 bzw . EN 50657 ) gewählt und verwendet , so dass empfangsseitig eine gegebene Datenintegrität überprüfbar ist .
In einer vorteilhaften Weiterbildung werden zur empfangsseitigen Bewertung der Datentelegramme bzw . der Datenverbindung bei der Übertragung der Datentelegramme ein Zeitstempel und ein Datentelegramm-Zähler verwendet .
Damit werden unterschiedliche Lauf zeiten der Datentelegramme , benötigte Übertragungs zeiten und Datentelegramm-Verluste erkennbar .
Diese Kenntnisse sind für die Realisierung von Steuerungsaufgaben besonders wichtig - der Empfänger bewertet , ob eine benötigte Übertragungs zeit für eine zugeordnete Steuerungsaufgabe auseichend gewählt war, ob die Daten für eine Verwendung aktuell genug sind, etc .
Da für die Realisierung von Steuerungsaufgaben häufig zyklische Daten verwendet werden, ist neben dem Datentelegramm- Zähler insbesondere der korrekt übertragene Zeitstempel wichtig . Dieser ermöglicht die empfängerseitige Beurteilung, ob die übertragenen Daten für eine umzusetzende Funktion ausreichend aktuell sind oder nicht .
Um den Zeitstempel korrekt bewerten zu können, ist es erforderlich, dass die Kontrollstelle und das Schienenfahrzeug mit hinreichender Genauigkeit eine identische Uhrzeit verwenden .
Dafür wird bevorzugt beim Kommunikationsaufbau, mindestens j edoch einmal am Tag, die Uhrzeit zwischen der Kontrollstelle und den beteiligten Schienenfahrzeugen synchronisiert .
Hierzu kann ein geeigneter Uhrzeit-Dienst , wie z . B . NTP gemäß RFC 5905 , verwendet werden .
Bevorzugt übernimmt die Fahrzeugseite die Uhrzeit der Landseite .
In einer vorteilhaften und nachfolgend als „m-aus-n Auswahl" bezeichneten Weiterbildung werden mehr als zwei getrennte Funkkanäle zur Datentelegramm-Ubertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Da- ten-Sicherheit zu erhöhen .
Beispielsweise werden n-Funkkanäle verwendet , aus denen mit m<n empfangsseitig m-Funkkanäle ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .
In einer vorteilhaften zweiten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zumindest zwei getrenn-
te Funksysteme verwendet , die das Schienenfahrzeug und die Kontrollstelle miteinander verbinden .
Zur Realisierung der beiden Funksysteme werden herkömmliche Funktechnologien, insbesondere Mobil funk-Technologien, eingesetzt bzw . verwendet .
Beispielsweise weist ein erstes Funksystem einen ersten Sender und einen ersten Empfänger auf , die über einen ersten Funkkanal miteinander verbunden sind . Entsprechend weist ein zweites Funksystem einen zweiten Sender und einen zweiten Empfänger auf , die über einen zweiten Funkkanal miteinander verbunden sind .
Im Vergleich zur ersten Ausgestaltung der Erfindung sind hier also senderseitig und empfängerseitig verwendete Hardware- bzw . Kommunikations-Komponenten voneinander getrennt und doppelt ausgeführt .
Diese Ausgestaltung erhöht die Daten-Verfügbarkeit zusätzlich, weil Aus fälle und/oder Störungen der Hardware bei der Datenübertragung keine Einschränkungen verursachen .
Zusätzlich ermöglicht die Verwendung getrennter Hardware eine Verwendung von unterschiedlichen Funkanbietern, was die Verfügbarkeit der Hardware auf der Landseite in der Praxis deutlich erhöht .
Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und dem ersten Funksystem und dem zweiten Funksystem parallel zugeführt .
Zugeordnete Sender der Schienenfahrzeug-seitigen Funksysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Da-
tentelegramme und parallel zueinander an zugeordnete Empfänger der Funksysteme der landseitigen Kontrollstelle .
Die Kontrollstelle setzt dann die empfangenen Daten bzw . Nutzdaten um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .
Die beiden Funksysteme verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m- aus-n Auswahl .
Beim Datentelegramm werden wieder die Nutzdaten sendeseitig in zwei Datentelegramme umgesetzt , die bezüglich der enthaltenen Nutzdaten identisch sind .
Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funksysteme getrennt übertragen .
Bevorzugt setzt sich j edes Datentelegramm zusammen aus dem „Header" , aus der UID-Kennung, aus den Nutzdaten und aus dem Safety-Code .
Eine optionale Funksystem-Kennung legt das zu verwendende Funksystem für die Übertragung des j eweiligen Datentelegramms f est .
Bei der m-aus-n Auswahl werden entsprechend mehr als zwei getrennte Funksysteme zur Datentelegramm-Übertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Daten-Sicherheit zu erhöhen .
Beispielsweise werden n-Funksysteme verwendet , aus denen mit m<n empfangsseitig m- Funksysteme ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .
In einer vorteilhaften dritten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zumindest zwei getrennte Übertragungssysteme verwendet , die das Schienenfahrzeug und die Kontrollstelle miteinander verbinden .
Die beiden Übertragungssysteme unterscheiden sich physikalisch voneinander .
Beispielsweise wird für die parallele Datenübertragung als erstes Übertragungssystem ein Funksystem verwendet .
Als zweites Übertragungssystem wird beispielsweise ein Infra- struktur-basiertes System verwendet , beispielsweise ein im Gleis verlegter Linienleiter . Über den Linienleiter wird durch induktive Kopplung eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle ermöglicht .
Alternativ dazu wird als zweites Übertragungssystem
- ein WLAN-basiertes System, oder
- der herkömmliche Zugfunk, oder
- eine induktive Übertragung über eine Hochspannungsleitung, die das Schienenfahrzeug mit Energie versorgt , oder
- weitere Komponenten des Schienensystems verwendet , um eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle durchzuführen .
Die zugehörige Verwendung von diversitären Hardware-Systemen stellt ein besonders hohes Maß an Datensicherheit und Übertragungsverfügbarkeit sicher, um eine Wahrscheinlichkeit für
einen Aus fall der Datenverbindung und die Wahrscheinlichkeit für eine unerkannte Datenverfälschung zu minimieren .
Durch die diversitären Hardware-Systeme wird verhindert , dass bei einem gleichen Fehlertyp ein Aus fall der verwendeten Systeme erfolgt .
Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und dem ersten Übertragungssystem und dem zweiten Übertragungssystem parallel zugeführt .
Zugeordnete Sender der Schienenfahrzeug-seitigen Übertragungssysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Übertragungssysteme der landseitigen Kontrollstelle .
Die Kontrollstelle setzt dann die empfangenen Daten in Nutzdaten um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .
Die beiden Übertragungssysteme verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .
Beim Datentelegramm werden wieder die Nutzdaten sendeseitig in zwei auf die Daten bezogene inhaltlich identische Datentelegramme umgesetzt . Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Übertragungssysteme getrennt übertragen .
Bevorzugt setzt sich j edes Datentelegramm zusammen aus dem „Header" , aus der UID-Kennung, aus den Nutzdaten und aus dem Safety-Code .
Optional wird beim Datentelegramm zur Datenübertragung eine zusätzliche Kennung verwendet , die das zu verwendende Übertragungssystem festlegt bzw . kennzeichnet .
Bei der m-aus-n Auswahl werden entsprechend mehr als zwei getrennte Ubertragungssysteme zur Datentelegramm-Übertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Daten-Sicherheit zu erhöhen .
Beispielsweise werden n- Übertragungssysteme verwendet , aus denen mit m<n empfangsseitig m- Übertragungssysteme ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .
Für die oben beschriebenen Ausgestaltungen der Erfindung wird bei einer erkannten Übertragungsstörung bzw . bei einer dauerhaft als falsch erkannten Übertragung eine entsprechende , auf die Fahrzeugsicherheit gerichtete Reaktion seitens des Schienenfahrzeugs initiiert .
Diese Reaktion beinhaltet j e nach gestörter Funktion des Schienenfahrzeugs beispielhaft folgende Maßnahmen :
- Information des Fahrzeugführers bzw . des Betriebspersonals über die Störung,
- automatische Überführung des Schienenfahrzeugs in einen gesicherten Fährbetrieb (beispielsweise Reduzierung der Fahrzeug-Geschwindigkeit auf einen Wert < 50 km/h) ,
- Anhalten des Schienenfahrzeugs an einer ausgewählten, geeigneten Stelle ,
- Umschalten der landseitig gesteuerten Funktionen des Schienenfahrzeugs auf autarke Funktionen, die keine landseitige Kommunikation benötigen .
Für die oben beschriebenen Ausgestaltungen der Erfindung wird in einer bevorzugten Weiterbildung zusätzlich eine kontinuierliche Überwachung der Kommunikation entlang des gesamten Fahrwegs des Schienenfahrzeugs durchgeführt . Damit werden Sicherheit und Verfügbarkeit der Datenübertragung dauerhaft und unter wechselnden Umwelteinflüssen gewährleistet .
Zu diesem Zweck werden auf der Landseite zu allen empfangenen Datentelegrammen anhand der übertragenen Zeitstempel die für die Übertragung vom Sender zum Empfänger benötigte j eweilige Zeit berechnet .
Zu den Datentelegrammen werden empfangsseitig als weitere Informationen das Datum, die Zeit , der Sende-Ort und die benötigte Übertragungs zeit erfasst und dauerhaft gespeichert .
Diese Informationen werden für alle Schienenfahrzeuge und Fahrten erfasst und als Qualitätsdaten der Datenübertragung auf Veränderungen der Ubertragungs zeit in Abhängigkeit von Datum, Zeit sowie Sende-Ort kontinuierlich bewertet .
Dadurch lassen sich örtliche Qualitätsunterschiede sowie der zeitliche Verlauf von Qualitätsänderungen bei der Datenübertragung erkennen und bewerten . Werden gravierende Unterschiede erkannt , die die Sicherheit und Verfügbarkeit der Datenübertragung negativ beeinflussen, werden entsprechende Gegenmaßnahmen eingeleitet .
Die vorliegende Erfindung beruht auf der Idee eines Diversi- ty-Übertragungsverf ährens .
Durch die vorliegende Erfindung wird eine sichere und hochverfügbare Datenverbindung erreicht , die für die Verwendung in sicherheitsrelevanten Steuerungs funktionen zwischen Schienenfahrzeug einerseits und der Landseite bzw . der Kontrollstelle andererseits geeignet ist .
Durch die vorliegende Erfindung ist die Datenverbindung bzw . die Übertragung der Daten in beiden Richtungen ( d . h . vom Schienenfahrzeug zur Kontrollstelle bzw . von der Kontrollstelle zum Schienenfahrzeug) redundant abgesichert .
Durch die vorliegende Erfindung werden die an die Datenverbindung gerichteten Erfordernisse bezüglich der hohen Verfügbarkeit und der Absicherung gegen unbeabsichtigte oder beabsichtigte Datenverfälschung erfüllt .
Durch die vorliegende Erfindung werden Auswirkungen von Übertragungsstörungen bei der Datenverbindung vermieden und ein sicherer Zustand beim Betrieb des Schienenfahrzeugs erreicht .
Durch die vorliegende Erfindung wird bei geringem Aufwand eine Realisierung von Steuerungsaufgaben des Schienenfahrzeugs über die Landseite ermöglicht .
Die vorliegende Erfindung ist durch eine einfache Software- Architektur umsetzbar, so dass für deren Realisierung lediglich geringe Kosten entstehen . Dies ermöglicht eine beschleunigte Markteinführung und bietet den Vorteil von geringen Software-Wartungskosten .
Nachfolgend wird die Erfindung mit Hil fe einer Zeichnung näher erläutert . Dabei zeigt :
FIG 1 eine erste Ausgestaltung der Erfindung,
FIG 2 mit Bezug auf FIG 1 ein zugehöriges Datentelegramm, FIG 3 eine zweite Ausgestaltung der Erfindung, und FIG 4 eine dritte Ausgestaltung der Erfindung .
FIG 1 zeigt eine erste Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zwei voneinander unabhängige Funkkanäle FK1 , FK2 eines ersten Funksystems FS 1 verwendet werden .
Das erste Funksystem FS 1 verbindet das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander .
Beispielsweise weist das erste Funksystem FS 1 einen ersten Sender und einen ersten Empfänger auf , die über die beiden Funkkanäle FK, FK2 miteinander verbunden sind .
Zur Realisierung des ersten Funksystems FS 1 wird eine herkömmliche Funktechnologie , insbesondere eine Mobil funk- Technologie , eingesetzt bzw . verwendet .
Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs SFZ in einer Leittechnik LT gebildet und wie nachfolgend beschrieben mit einem Safety- bzw . Sicherheitscode SAVC, mit einer Kanalkennung sowie mit einem Header versehen und seitens des Schienenfahrzeugs SFZ dem ersten Funksystem FS 1 zugeführt .
Dieses verwendet die beiden unabhängigen Funkkanäle FK1 , FK2 für eine VPN-basierte Datenübertragung zur Kontrollstelle KS .
Die Kontrollstelle KS setzt dann die empfangenen Daten in Nutzdaten ND in einer Leitstelle LS um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ.
Durch die VPN-basierte Datenübertragung werden die Daten gegen unbefugten Zugriff geschützt.
FIG 2 zeigt mit Bezug auf FIG 1 ein zugehöriges Datentelegramm DATEL.
Die Nutzdaten ND werden sendeseitig in zwei Datentelegramme DATEL umgesetzt, die identische Nutzdaten enthalten.
Die beiden Datentelegramme DATEL werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funkkanäle FK1, FK2 übertragen.
Jedes Datentelegramm DATEL setzt sich zusammen aus einem sogenannten „Header" HD, aus einer UID-Kennung UID, aus einer Kanal-Kennung KK, aus den Nutzdaten ND und aus dem Safety- Code SAVC.
Der Header HD wird, wie vorstehend ausgeführt, zur
- Identifikation des Schienenfahrzeugs SFZ,
- Identifikation eines sendenden Geräts bzw. Senders,
- Identifikation eines adressierten Empfängers,
- Versionskennung, und/oder zur
- Identifikation der Fahrzeugposition verwendet .
Die Identifikation des Senders wird verwendet, um auf der Landseite eine Zuordnung zu erlauben, zu welchem Subsystem das Datentelegramm gehört (z.B. zu Türen, zum Antrieb, etc.) .
Die Identi fikation des Empfängers wird benötigt , um bei einem landseitigen System mit mehreren „mitlesenden" Empfängern einen ausgewählten Empfänger individuell zu adressieren .
Die Versionskennung wird benötigt , um in einem betrachteten Lebens zyklus unterschiedliche Telegrammversionen von verschiedenen Fahrzeugen zur gleichen Zeit verwenden zu können .
Die Fahrzeugposition wird benötigt , um einerseits eine Qualitätskontrolle und andererseits Steuerungsaspekte durchführen zu können .
Bevorzugt wird für die Identi fikation des Schienenfahrzeugs SFZ beim Header HD eine Kennzeichnung bzw . Serien-Nummer verwendet , die dem Schienenfahrzeug SFZ bei der Neuzulassung individuell zugeordnet und für dieses eindeutig ist .
Bevorzugt wird für das Schienenfahrzeug SFZ als Header HD eine UIC-Kennzeichnung bzw . UIC-Nummer verwendet .
Die UID-Kennung UID ist für beide Datentelegramme DATEL identisch und erlaubt deren eindeutige Identi fi zierung, so dass zusammengehörige Datentelegramme DATEL empfangsseitig zuordenbar sind .
Die Kanal-Kennung KK legt die Nummer des Funkkanals fest - also entweder Funkkanal FK1 oder Funkkanal FK2 - der zur Da- tentelegramm-Ubertragung DATEL verwendet werden soll .
Sie dient zudem zur Kontrolle auf der Empfängerseite , ob die Datentelegramme über den richtigen Kanal übertragen wurden .
Der Safety-Code SAVC wird zur Absicherung des Datentelegramms DATEL gegen Datenverfälschung gebildet und eingesetzt .
FIG 3 zeigt eine zweite Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zumindest zwei getrennte Funksysteme FS 1 , FS2 verwendet werden, die das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander verbinden .
Zur Realisierung der beiden Funksysteme FS 1 , FS2 werden herkömmliche Funktechnologien, insbesondere Mobil funk- Technologien, eingesetzt bzw . verwendet .
Beispielsweise weist ein erstes Funksystem FS 1 einen ersten Sender und einen ersten Empfänger auf , die über einen ersten Funkkanal FK1 miteinander verbunden sind . Entsprechend weist ein zweites Funksystem FS2 einen zweiten Sender und einen zweiten Empfänger auf , die über einen zweiten Funkkanal FK2 miteinander verbunden sind .
Im Vergleich zur ersten Ausgestaltung der Erfindung sind hier also senderseitig und empfängerseitig verwendete Hardware- bzw . Kommunikations-Komponenten voneinander getrennt und doppelt ausgeführt .
Die Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs in einer Leittechnik LT gebildet und dem ersten Funksystem FS 1 und dem zweiten Funksystem FS2 parallel zugeführt .
Zugeordnete Sender der Schienenfahrzeug-seitigen Funksysteme FS 1 , FS2 übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Funksysteme FS 1 , FS2 der landseitigen Kontrollstelle KS .
Die Kontrollstelle KS setzt dann in einer Leistelle LS die empfangenen Daten in Nutzdaten ND um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ .
Die beiden Funksysteme FS 1 , FS2 verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .
FIG 4 zeigt eine dritte Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zumindest zwei getrennte Übertragungssysteme UEB1 , UEB2 verwendet werden, die das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander verbinden .
Die beiden Übertragungssysteme UEB1 , UEB2 unterscheiden sich physikalisch voneinander .
Beispielsweise wird für die parallele Datenübertragung als erstes Übertragungssystem UEB1 ein Funksystem verwendet .
Als zweites Übertragungssystem UEB2 wird beispielsweise ein Inf rastruktur-basiertes System verwendet , beispielsweise ein im Gleis verlegter Linienleiter . Über den Linienleiter wird durch induktive Kopplung eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle ermöglicht .
Alternativ dazu wird als zweites Übertragungssystem UEB2
- ein WLAN-basiertes System, oder
- der herkömmliche Zugfunk, oder
- eine induktive Übertragung über eine Hochspannungsleitung, die das Schienenfahrzeug mit Energie versorgt , oder
- weitere Komponenten des Schienensystems
verwendet , um eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle durchzuführen .
Die Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs SFZ in einer Leittechnik LT gebildet und dem ersten Übertragungssystem UEB1 und dem zweiten Übertragungssystem UEB2 parallel zugeführt .
Zugeordnete Sender der Schienenfahrzeug-seitigen Übertragungssysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Übertragungssysteme der landseitigen Kontrollstelle .
Die Kontrollstelle KS setzt dann die empfangenen Daten in Nutzdaten ND in einer Leitstelle LS um und bewertet die redundant übertragenen Daten .
Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ .
Die beiden Übertragungssysteme UEB1 , UEB2 verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .
Claims
Patentansprüche
1. Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug (SFZ) und einer Kontrollstelle (KS) ,
- bei dem eine Datenverbindung zwischen einem Schienenfahrzeug (SFZ) und einer Kontrollstelle (KS) eingerichtet und betrieben wird,
- bei dem Daten, die für die Steuerung von Fahrzeugfunktionen des Schienenfahrzeugs (SFZ) durch die Kontrollstelle (KS) relevant sind, zwischen den beiden (KS, SFZ) über die Datenverbindung übertragen werden,
- bei dem die Daten als Nutzdaten (ND) über mindestens zwei voneinander unabhängige Kommunikationsverbindungen (FK1, FK2, FS1, FS2, UEB1, UEB2 ) , die Bestandteile der Datenverbindung sind, parallel zueinander übertragen werden,
- bei dem die Nutzdaten nach ihrem Empfang hinsichtlich ihrer Qualität und Gültigkeit bewertet werden.
2. Verfahren nach Anspruch 1, bei dem als Kommunikationsverbindungen voneinander unabhängige Funkkanäle (FK1, FK2 ) eines Funksystems (ESI) verwendet werden, wobei das Funksystem (FS1) über jeweilige Sender und Empfänger das Schienenfahrzeug und die Kontrollstelle miteinander verbindet .
3. Verfahren nach Anspruch 2, bei dem die unabhängigen Funkkanäle (FK1, FK2 ) für eine VPN-basierte Datenübertragung verwendet werden.
Verfahren nach Anspruch 1,
- bei dem als Kommunikationsverbindungen zumindest zwei getrennte Funksysteme (FS1, FS2) verwendet werden, die das Schienenfahrzeug (SFZ) und die Kontrollstelle (KS) miteinander verbinden,
- bei dem ein erstes Funksystem (FS1) als Komponenten einen Sender und einen Empfänger zur Datenübertragung verwendet,
- bei dem ein zweites Funksystem (FS2) als Komponenten einen Sender und einen Empfänger zur Datenübertragung verwendet,
- wobei die Komponenten der beiden Funksysteme (FS1, FS2) in ihrer Funktionalität getrennt ausgeführt sind und unabhängig voneinander betrieben werden. Verfahren nach Anspruch 1,
- bei dem als Kommunikationsverbindungen zumindest zwei Übertragungssysteme (UEB1, UEB2) verwendet werden, die das Schienenfahrzeug (SFZ) und die Kontrollstelle (KS) miteinander verbinden,
- bei dem sich die Übertragungssysteme (UEB1, UEB2) im verwendeten Übertragungsverfahren voneinander unterscheiden . Verfahren nach Anspruch 5, bei dem als erstes Übertragungssystem (UEB1) ein Funksystem verwendet wird. Verfahren nach Anspruch 5 oder 6, bei dem als zweites Übertragungssystem (UEB2) ein Inf rastruktur-basiertes System verwendet wird, insbesondere ein im Gleis verlegter Linienleiter, der durch induktive Kopplung eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle ermöglicht.
Verfahren nach Anspruch 5 oder 6, bei dem als zweites Übertragungssystem (UEB2) ein WLAN-basiertes System, oder ein Zugfunk, oder eine induktive Übertragung über eine Hochspannungsleitung, die das Schienenfahrzeug mit Energie versorgt, oder weitere Komponenten des Schienensystems verwendet werden, um eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle durchzuführen. Verfahren nach einem der vorhergehenden Ansprüche,
- bei dem die Nutzdaten (ND) mit Hilfe eines Datentelegramms (DATEL) über die Kommunikationsverbindungen übertragen werden,
- bei dem das Datentelegramm (DATEL) zur Datenübertragung neben den Nutzdaten (ND) einen Header (HD) , eine UID- Kennung und einen Safety-Code (SAVC) verwendet,
- bei dem das Datentelegramm (DATEL) zur Datenübertragung optional eine zusätzliche Kennung (KK) verwendet, um den für die Übertragung zu verwendenden Funkkanal bzw. um das für die Übertragung zu verwendende Funksystem oder Übertragungssystem zu kennzeichnen. Verfahren nach Anspruch 9, bei dem der Header (HD) verwendet wird
- zur Identifikation des Schienenfahrzeugs (SFZ) ,
- zur Identifikation eines sendenden Geräts bzw. Senders,
- zur Identifikation eines adressierten Empfängers,
- als Versionskennung, und/oder
- zur Identifikation der Fahrzeugposition. Verfahren nach Anspruch 9,
- bei dem die UID-Kennung für die parallel übertragenen Datentelegramme (DATEL) identisch gewählt wird, um
eine empfangsseitige Identi fi zierung und Zuordnung der Datentelegramme ( DATEL ) zu ermöglichen,
- bei dem der Safety-Code zur Absicherung des Datentelegramms verwendet wird,
- bei dem bei j edem Datentelegramm ( DATEL ) die Kanal- Kennung verwendet wird, um die Kommunikationsverbindungen zu bestimmen, die für die Datentelegramm- Übertragung verwendet werden soll .
12 . Verfahren nach einem der vorhergehenden Ansprüche , bei dem zur empfangsseitigen Bewertung der Daten bzw . der Datentelegramme bei deren Übertragung ein Zeitstempel und ein Datentelegramm-Zähler verwendet wird, um unterschiedliche Lauf zeiten der Datentelegramme , benötigte Übertragungs zeiten und Datentelegramm-Verluste zu erkennen .
13 . Verfahren nach einem der vorhergehenden Ansprüche , bei dem zur Datentelegramm-Übertragung n-Kommunikations- verbindungen verwendet werden, aus denen mit m<n empfangsseitig m-Kommunikationsverbindungen ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022206426.7A DE102022206426A1 (de) | 2022-06-27 | 2022-06-27 | Verfahren zur Absicherung einer Datenverbindung |
| DE102022206426.7 | 2022-06-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2024002687A1 true WO2024002687A1 (de) | 2024-01-04 |
Family
ID=87035850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2023/065879 WO2024002687A1 (de) | 2022-06-27 | 2023-06-14 | Verfahren zur absicherung einer datenverbindung |
Country Status (2)
| Country | Link |
|---|---|
| DE (1) | DE102022206426A1 (de) |
| WO (1) | WO2024002687A1 (de) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102022208995A1 (de) | 2022-08-30 | 2024-02-29 | Siemens Mobility GmbH | Verfahren zur Gewährleistung des Stillstands eines Schienenfahrzeugs |
| DE102022208993A1 (de) | 2022-08-30 | 2024-02-29 | Siemens Mobility GmbH | Verfahren zur Überwachung einer vorgegebenen Bewegungsrichtung bei einem Schienenfahrzeug |
| DE102022214296A1 (de) | 2022-12-22 | 2024-06-27 | Siemens Mobility GmbH | Verfahren zur Überwachung von Komponenten eines Schienenfahrzeugs |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3124351A1 (de) * | 2015-07-28 | 2017-02-01 | Peter Winter | Verfahren zum nachrüsten von bestehenden eisenbahn-netzteilen mit dem zugsicherungssystem etcs |
| EP2641337B1 (de) * | 2010-11-15 | 2018-05-30 | Siemens Aktiengesellschaft | System zur fehlersicheren und redundanten übertragung von komplexen daten |
| US20180334179A1 (en) * | 2015-02-12 | 2018-11-22 | Mitsubishi Electric Corporation | Train control system, base-station control device, ground wireless base station, and on-vehicle wireless station |
| EP3688958B1 (de) * | 2017-11-15 | 2021-07-28 | Siemens Mobility GmbH | System und verfahren zum geschützten übertragen von daten |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4125812C2 (de) | 1991-08-01 | 1999-05-20 | Siemens Ag | Verfahren zur signaltechnisch sicheren Datenübertragung |
| DE102017220371A1 (de) | 2017-11-15 | 2019-05-16 | Siemens Mobility GmbH | System und Verfahren zum Senden und zum Empfangen von Daten |
| DE102017130980B4 (de) | 2017-12-21 | 2024-07-25 | Schölly Fiberoptic GmbH | Bildübertragungsanordnung und Verfahren zur Bildübertragung |
-
2022
- 2022-06-27 DE DE102022206426.7A patent/DE102022206426A1/de active Pending
-
2023
- 2023-06-14 WO PCT/EP2023/065879 patent/WO2024002687A1/de unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2641337B1 (de) * | 2010-11-15 | 2018-05-30 | Siemens Aktiengesellschaft | System zur fehlersicheren und redundanten übertragung von komplexen daten |
| US20180334179A1 (en) * | 2015-02-12 | 2018-11-22 | Mitsubishi Electric Corporation | Train control system, base-station control device, ground wireless base station, and on-vehicle wireless station |
| EP3124351A1 (de) * | 2015-07-28 | 2017-02-01 | Peter Winter | Verfahren zum nachrüsten von bestehenden eisenbahn-netzteilen mit dem zugsicherungssystem etcs |
| EP3688958B1 (de) * | 2017-11-15 | 2021-07-28 | Siemens Mobility GmbH | System und verfahren zum geschützten übertragen von daten |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102022206426A1 (de) | 2023-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2024002687A1 (de) | Verfahren zur absicherung einer datenverbindung | |
| DE69829526T2 (de) | System zur Detektion von Zügen | |
| EP3295645B1 (de) | Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken | |
| DE102010026433A1 (de) | Steuernetzwerk für ein Schienenfahrzeug | |
| EP2594054B1 (de) | Verkehrsmittel zur kabelgebundenen datenübertragung zwischen zwei lösbar miteinander verbundenen fahrzeugen | |
| DE102014111361A1 (de) | Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung | |
| DE102006028686B3 (de) | Verfahren zur Übertragung von Daten | |
| DE68912085T2 (de) | System zum Echtzeitnachrichtenaustausch zwischen auf einer Ringleitung angeschlossenen Stationen, insbesondere zwischen Stationen einer Fernmeldevermittlungsanlage. | |
| EP2297998A1 (de) | Redundante anbindung von funk-netzelementen an eine zentrale | |
| DE10053763A1 (de) | Feldbussystem zum Steuern von sicherheitskritischen Prozessen sowie Busanschaltmodul zur Verwendung in einem solchen Feldbussystem | |
| DE10232272B4 (de) | Verfahren zum Betrieb einer Vorrichtung fü ein Sicherheitssystem | |
| DE10245973A1 (de) | Buskopplung | |
| EP3817961A1 (de) | Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten | |
| EP0738973A1 (de) | Datenübertragungsverfahren und Vorrichtung | |
| DE102007011144B4 (de) | Verfahren zur Übermittlung eines Datentelegramms in einem Zug | |
| DE3420365A1 (de) | Verfahren zur umschaltung zwischen redundanten uebertragungswegen | |
| DE102008051631B4 (de) | Übertragungssystem für Eisenbahnwagen und Eisenbahnwagen, der dieses verwendet | |
| DE3327489C2 (de) | ||
| EP1428124A2 (de) | Verfahren zur übertragung von nachrichten zwischen busteilnehmern | |
| EP0306736A2 (de) | Verfahren zum Übertragen von in einer Fernmeldevermittlungsanlage gespeicherten Verbindungsinformationen zu einer Informationsverarbeitungsanlage | |
| WO2023217458A1 (de) | Verfahren zur übermittlung eines datentelegramms an eine onboard-unit eines schienenfahrzeugs | |
| DE102006028938B3 (de) | Verfahren zur Übertragung von Daten | |
| WO2019002009A1 (de) | Verfahren und vorrichtung zum übertragen von daten zwischen einem ersten kommunikationsnetz einer ersten spurgebundenen fahrzeugeinheit und einem zweiten kommunikationsnetz einer zweiten spurgebundenen fahrzeugeinheit | |
| EP3771154B1 (de) | Verfahren zur übertragung von daten zwischen einem fahrzeug und einem verkehrssicherungssystem | |
| DE10317962A1 (de) | Verfahren zur Anmeldung eines neuen Teilnehmers in einem Funksystem einer Gefahrenmeldeanlage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 23734474 Country of ref document: EP Kind code of ref document: A1 |