[go: up one dir, main page]

DE102007032805A1 - Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses - Google Patents

Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses Download PDF

Info

Publication number
DE102007032805A1
DE102007032805A1 DE102007032805A DE102007032805A DE102007032805A1 DE 102007032805 A1 DE102007032805 A1 DE 102007032805A1 DE 102007032805 A DE102007032805 A DE 102007032805A DE 102007032805 A DE102007032805 A DE 102007032805A DE 102007032805 A1 DE102007032805 A1 DE 102007032805A1
Authority
DE
Germany
Prior art keywords
commercial
security
computer system
computers
diverse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102007032805A
Other languages
English (en)
Inventor
Lothar Dipl.-Inform. Becke
Jörg Dipl.-Ing. Deister
Stefan Dipl.-Inform. Gerken
Rainer Dipl.-Ing. Körner
Stefan Dipl.-Ing. Lorenz
Bernd Dipl.-Ing. Prade
Markus Dipl.-Math. Seemann
Sten Dipl.-Ing. Wery
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Corp
Original Assignee
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Corp filed Critical Siemens Corp
Priority to DE102007032805A priority Critical patent/DE102007032805A1/de
Priority to PCT/EP2008/057649 priority patent/WO2009007206A1/de
Publication of DE102007032805A1 publication Critical patent/DE102007032805A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Systemarchitektur zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskristischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software. Um das signaltechnisch sichere Rechnersystem (4) von der Bildung und dem Senden sicherheitsrelevanter Informationen (12) an externe Kommunikationspartner zu entlasten, ist vorgesehen, dass sicherheitsrelevante Datentelegramme mittels diversitärer kommerzieller Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen den diversitären kommerziellen Rechnern (8, 9) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden können. Es werden rechnerspezifische vorläufige Sicherheitscodes (24, 25) berechnet, mit einer Speicherprüfsumme codiert zwischen den Rechnern (8, 9) im Rahmen einer dezentralen Synchronisation der Rechner (8, 9) ausgetauscht und die Datentelegramme von einem der Rechner (8, 9) einkanalig mittels kommerzieller Übertragungstechnik (21) an externe Kommunikationspartner übertragen. ...

Description

  • Die Erfindung betrifft ein Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems und eines kommerziellen Rechnersystems zur Verarbeitung bahnspezifischer Software sowie eine Systemarchitektur zur Durchführung des Verfahrens.
  • Bahnbetriebsprozesse sind äußerst sicherheitskritisch, da etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt werden, zu erheblichen Sachschäden und Personengefährdungen führen können. Um Fehlfunktionen auszuschließen, werden üblicherweise signaltechnisch sichere Rechnersysteme verwendet, die die anstehenden Verarbeitungsaufträge mindestens zweikanalig abarbeiten und deren Ergebnisse ständig verglichen werden. Derartige signaltechnisch sichere Rechnersysteme sind extrem aufwendig. Außerdem wächst der Leistungsbedarf der bahnspezifischen Software ständig.
  • Zur Entlastung des signaltechnisch sicheren Rechnersystems ist gemäß EP 1 197 418 B1 vorgesehen, Teile der bahnspezifischen Software auf ein kommerzielles Rechnersystem auszulagern. Die anstehenden Verarbeitungsaufträge werden mittels synchron arbeitender kommerzieller Rechner abgearbeitet, wobei die Arbeitsergebnisse im signaltechnisch sicheren Rechnersystem auf Übereinstimmung geprüft werden. Steigende Leistungsanforderungen können durch neuere und schnellere kommerzielle Rechner bewältigt werden. Das signaltechnisch sichere Rechnersystem hat neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, eingehende Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechner zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltechnisch sicher zu unterbrechen. Insbesondere das Bilden und Versenden sicherheitsrelevanter Datentelegramme an externe Kommunikationspartner ist dabei mit hohem Ressourcenbedarf des signaltechnisch sicheren Rechnersystems verbunden.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Systemarchitektur der gattungsgemäßen Art anzugeben, die eine Entlastung des signaltechnisch sicheren Rechnersystems bezüglich der Bildung und des Versendens sicherheitsrelevanter Datentelegramme und der Datenkommunikation mit dem kommerziellen Rechnersystem zu ermöglichen.
  • Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass sicherheitsrelevante Datentelegramme durch das Zusammenwirken diversitärer kommerzieller Rechner des kommerziellen Rechnersystems gebildet werden und über die Standardkommunikationsschnittstellen des kommerziellen Rechnersystems an die externen Kommunikationspartner versendet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass ein korrekter Sicherheitscode und damit ein gültiges sicherheitsrelevantes Telegramm nur durch das Zusammenwirken von zwei diversitären kommerziellen Rechnern des kommerziellen Rechnersystems berechnet werden kann und nur unter der Voraussetzung, dass die diversitären Rechner identische Telegrammdaten berechnet haben. Die Algorithmen zur Berechnung des Sicherheitscodes sind dabei so zwischen den diversitären kommerziellen Rechnern aufgeteilt, dass diese jeweils auf Basis ihrer eigenen Telegrammdaten und ihres rechnerspezifischen Teilalgorithmus nur vorläufige Sicherheitscodes berechnen, die in einem an schließenden Synchronisationsschritt zwischen den diversitären kommerziellen Rechnern ausgetauscht werden und durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird. Die so generierten sicherheitsrelevanten Datentelegramme werden einkanalig mittels kommerzieller Übertragungstechnik an externe Kommunikationspartner übertragen und die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung des Sicherheitscodes der Datentelegramme deren fehlerfreie oder fehlerbehaftete Bildung fest, wobei nur fehlerfreie Datentelegramme akzeptiert und verarbeitet werden.
  • Das erfindungsgemäße Verfahren ermöglicht eine sichere einkanalige Datenübertragung ohne direkte Beteiligung des signaltechnisch sicheren Rechnersystems als Datenquelle der sicherheitsrelevanten Datentelegramme. Das signaltechnisch sichere Rechnersystem wird nur noch für die Überwachung der kommerziellen Rechner und als Schnittstelle für Ein- und Ausgaben zur Peripherie, d. h. zur Ansteuerung des sicherheitskritischen Bahnbetriebsprozesses, benötigt. Durch den Austausch der rechnerspezifischen vorläufigen Sicherheitscodes für alle Datentelegramm wird eine dezentrale Synchronisation der diversitären kommerziellen Rechner ermöglicht. Die vorläufigen Sicherheitscodes des eigenen und des jeweils anderen Rechners werden mit der aktuellen Speicherprüfsumme codiert, wodurch sich nur diversitäre Rechnertypen mit identischen Speicherinhalten untereinander erfolgreich synchronisieren können. Ein gültiges Datentelegramm kann somit nur unter Beteiligung mindestens zweier diversitärer speichersynchroner kommerzieller Rechner gebildet werden. Folglich kann ein gültiges sicherheitsrelevantes Datentelegramm als hochgradig sicher gebildet angesehen werden und einkanalig an externe Kommunikationspartner übertragen werden. Die Überprüfung der Gültigkeit der Datentelegramme durch die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners erfolgt anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes der sicherheitsrelevanten Datentelegramme, wobei die zweikanalig diversitäre Bildung der sicherheitsrelevanten Datentelegramme verifiziert wird. Eine direkte Beteiligung des signaltechnisch sicheren Rechnersystems an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern ist nicht erforderlich. Die Performancebeanspruchung des sicherheitsrelevanten Rechnersystems ist damit gegenüber dem aus der oben erläuterten und gattungsbildenden EP 1 197 418 B1 bekannten Verfahren verringert.
  • Eine für die Durchführung des Verfahrens geeignete Systemarchitektur ist erfindungsgemäß dadurch gekennzeichnet, dass das kommerzielle Rechnersystem diversitäre kommerzielle Rechner aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner über kommerzielle Übertragungstechnik mit externen Kommunikationspartnern verbunden ist. Über die Kommunikationsschnittstellen zwischen den diversitären kommerziellen Rechnern werden die Synchronisationstelegramme ausgetauscht. Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:
  • 1 eine Systemarchitektur und
  • 2 einen Verfahrensablauf.
  • 1 veranschaulicht Hardwareblöcke 1 und Funktionsblöcke 2 einer Anordnung von zwei miteinander kommunizierenden Rechnersystemen, z. B. zwei Stellwerken, zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses, wobei jedes Rechnersystem den externen Kommunikationspartner des anderen Rech nersystems darstellt. Die Anordnung besteht jeweils aus einem kommerziellen Rechnersystem 3 und einem signaltechnisch sicherem Rechnersystem 4, wobei die beiden Rechnersysteme 3 und 4 mittels kommerzieller Kommunikationstechnik 5 miteinander verbunden sind.
  • Das signaltechnisch sichere Rechnersystem 4 erzeugt Stellbefehle für eine Peripherie 6 und empfängt Rückmeldungen von der Peripherie 6. Die Peripherie 6 beinhaltet den sicherheitskritischen Bahnbetriebsprozess, beispielsweise die Ansteuerung einer Weiche oder eines Signals.
  • Die beiden Rechnersysteme sind zum Datenaustausch durch ein Übertragungssystem 7 miteinander verbunden. Das kommerzielle Rechnersystem 3 enthält diversitäre kommerzielle Rechner 8 und 9, nämlich einen Typ A-PC und einen Typ B-PC.
  • Das kommerzielle Rechnersystem 3 beinhaltet eine Ablaufumgebung 10 für die bahnspezifische Software 11. Externe sicherheitsrelevante Informationen 12, die zwischen der bahnspezifischen Software 11 der beiden Rechnersysteme ausgetauscht werden sollen, werden von einer externen sicherheitsrelevanten Übertragungsfunktion 15 an einen Funktionsblock 2 zur Kanalbeteiligung 13 beim Bilden sicherheitsrelevanter Nachrichten weitergeleitet und anschließend über die kommerzielle Kommunikationstechnik 5 und das Übertragungssystem 7 an das andere Rechnersystem, nämlich den externen Kommunikationspartner, übertragen. Der Funktionsblock 2 der externen sicherheitsrelevanten Übertragungsfunktion 15 des anderen Rechnersystems überprüft anhand des Sicherheitscodes der empfangenen sicherheitsrelevanten Nachricht deren fehlerfreie oder fehlerbehaftete Bildung Das Verfahren der Kanalbeteiligung 13, welches das Zusammenwirken der diversitären Rechner 8 und 9 betrifft, ist in 2 genauer dargestellt.
  • Die Ablaufumgebung 10 beinhaltet außerdem eine interne sicherheitsrelevante Übertragungsfunktion 14 zur sicherheitsrelevanten Kommunikation mit dem Rechnersystem 4.
  • Das signaltechnisch sichere Rechnersystem 4 dient im Wesentlichen der prozesswirksamen Ausgabe 17 der korrekt gebildeten Stellbefehle an die Peripherie 6 und der Überwachung 18 sowie dem Vergleich der durch das kommerzielle Rechnersystem 3 redundant gebildeten sicherheitsrelevanten Stellbefehle und Prüftelegramme, wobei diese Telegramme durch Verbindung der internen sicherheitsrelevanten Übertragungsfunktion 14 des kommerziellen Rechnersystems 3 mit einer entsprechenden internen sicherheitsrelevanten Übertragungsfunktion 19 des signaltechnisch sicheren Rechnersystems 4 übertragen werden. Das signaltechnisch sichere Rechnersystem 4 ist somit weder an der Aufbereitung der extern eingehenden sicherheitsrelevanten Informationen 12 noch direkt an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern beteiligt, so dass die Rechnerleistung des signaltechnisch sicheren Rechnersystems 4 auch bei zunehmender externer Datenflut nicht signifikant erhöht werden muss.
  • 2 veranschaulicht die Beteiligung der beiden diversitären kommerziellen Rechner 8 und 9 an der Bildung der sicherheitsrelevanten Datentelegramme. Dazu ist auf der Ablaufumgebung 10 ein spezielles Verfahren zur Berechnung von Sicherheitscodes durch das Zusammenwirken der beiden diversitären Rechner 8 und 9 in Verbindung mit einer dezentralen Synchronisationssteuerung vorgesehen, wodurch eine einkanalige Ausgabe 20 der Datentelegramme über einen der diversitären kommerziellen Rechner 8 oder 9 an kommerzielle Übertragungstechnik 21 möglich wird.
  • Wenn von der bahnspezifischen Software 11 (1) im Typ A-PC 8 und Typ B-PC 9 Daten DA 22 bzw. DB 23 an einen externen Kommunikationspartner übermittelt werden sollen, dann werden zunächst vorläufige kanalspezifische Sicherheitscodes PreSCA 24 und PreSCB 25 auf Basis eines rechnerspezifischen Teilalgorithmus und der eigenen Daten DA 22 bzw. DB 23 berechnet. Diese vorläufigen Sicherheitscodes 24 und 25 werden zwischen den Kanälen, d. h. den diversitären Rechnern 8 und 9, im Rahmen einer dezentralen Synchronisationssteuerung 26 ausgetauscht. Dabei werden die vorläufigen Sicherheitscodes 24 und 25 vor dem Senden mit der aktuellen Speicherprüfsumme des sendenden kommerziellen Rechners 8 bzw. 9 kodiert und beim Empfang mit der Speicherprüfsumme des empfangenden diversitären kommerziellen Rechners 9 bzw. 8 decodiert, so dass nur speichersynchrone diversitäre Rechner 8 und 9 korrekte vorläufige Sicherheitscodes PreSCA und PreSCB austauschen können. Der endgültige Sicherheitscode SC einer sicherheitsrelevanten Nachricht N 27 bzw. 28 wird dann auf Basis des eigenen vorläufigen Sicherheitscodes 24 bzw. 25 und des vorläufigen Sicherheitscodes 25 bzw. 24 des jeweils anderen Kanals SC (PreSCA, PreSCB) oder auf Basis der eigenen Daten DA 22 bzw. DB 23 und des Sicherheitscodes 25 bzw. 24 des anderen Kanals SC (DA, PreSCB) bzw. SC (DB, PreSCA) gebildet und mit den Daten DA 22 bzw. DB23 verknüpft N (DA, SC (PreSCA, PreSCB)) bzw. N(DB, SC(PreSCA, PreSCB)) oder N(DA, SC(DA, PreSCB)) bzw. N(DB, SC(DB, PreSCA)).
  • Die auf diese Weise gebildete sicherheitsrelevante Nachricht N 27 bzw. 28 kann dann zur Ausgabe N(D, SC) 29 bzw. 30 an die kommerzielle Übertragungstechnik 21 weitergeleitet werden. Da nur dann eine sicherheitsrelevante Nachricht N mit korrektem gültigen Sicherheitscode SC gesendet werden kann, wenn beide diversitäre kommerzielle Rechner 8 und 9 identische Daten DA 22 und DB 23, d. h. Daten D, berechnet haben, genügt eine einkanalige Ausgabe 20 an die kommerzielle Übertragungstechnik 21, um sicherzustellen, dass die sicherheitsrelevante Übertragungsfunktion 15 des externen Kommunikationspartners die fehlerfreie Bildung der sicherheitsrelevanten Nachricht N 27 bzw. 28 durch das diversitäre Rechnersystem 3 anhand der Überprüfung des Sicherheitscodes SC feststellen kann.
  • Die externe sicherheitsrelevante Übertragungsfunktion 15 (1) des externen Kommunikationspartners beinhaltet die Prüfung der korrekten zweikanalig diversitären Bildung der sicherheitsrelevanten Telegramme anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes SC.
  • Letztlich übernimmt das signaltechnisch sichere Rechnersystem 4 die Überwachung 18 der kommerziellen Rechner 8 und 9, ohne selbst an der Bildung der sicherheitsrelevanten Datentelegramme beteiligt zu sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - EP 1197418 B1 [0003, 0006]

Claims (2)

  1. Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software, dadurch gekennzeichnet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen diversitären kommerziellen Rechnern (8, 9) des kommerziellen Rechnersystems (3) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) gebildet werden können, indem die diversitären kommerziellen Rechner (8, 9) rechnerspezifische vorläufige Sicherheitscodes (24, 25) auf Basis ihres rechnerspezifischen Teilalgorithmus und ihrer eigenen Telegrammdaten berechnen, die zwischen den Rechnern (8, 9) im Rahmen einer dezentralen Synchronisation der Rechner (8, 9) ausgetauscht (26) werden und mit einer Speicherprüfsumme codiert werden, dass durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird, dass die Datentelegramme einkanalig (20) mittels kommerzieller Übertragungstechnik (21) der kommerziellen Rechner (8, 9) an externe Kommunikationspartner übertragen werden und dass eine externe sicherheitsrelevante Übertragungsfunktion (15) der externen Kommunikationspartner anhand der Überprüfung der Sicherheitscodes der Datentelegramme, deren fehlerfreie oder fehlerbehaftete Bildung feststellt, wobei nur fehlerfreie Datentelegramme von dem externen Kommunikationspartner akzeptiert werden und in der Folge zur Ausgabe eines Stellbefehls über das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.
  2. Systemarchitektur zur Durchführung des Verfahrens nach Anspruch 1, dadurch gekennzeichnet, dass das kommerzielle Rechnersystem (3) diversitäre kommerzielle Rechner (8, 9) aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner (8, 9) über kommerzielle Übertragungstechnik (21) mit externen Kommunikationspartnern verbunden ist.
DE102007032805A 2007-07-10 2007-07-10 Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses Ceased DE102007032805A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102007032805A DE102007032805A1 (de) 2007-07-10 2007-07-10 Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
PCT/EP2008/057649 WO2009007206A1 (de) 2007-07-10 2008-06-18 Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007032805A DE102007032805A1 (de) 2007-07-10 2007-07-10 Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses

Publications (1)

Publication Number Publication Date
DE102007032805A1 true DE102007032805A1 (de) 2009-01-15

Family

ID=40029313

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007032805A Ceased DE102007032805A1 (de) 2007-07-10 2007-07-10 Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses

Country Status (2)

Country Link
DE (1) DE102007032805A1 (de)
WO (1) WO2009007206A1 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ303209B6 (cs) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
CN103538600A (zh) * 2012-07-17 2014-01-29 赵乎 轨道交通的车站接/发车作业系统及其控制方法
WO2015071169A1 (de) * 2013-11-13 2015-05-21 Siemens Aktiengesellschaft Bahnübergangssicherungssystem
EP2677454B1 (de) 2012-06-19 2016-05-18 ALSTOM Transport Technologies Rechner, Kommunikationseinheit, die einen solchen Rechner umfasst, Eisenbahn-Steuerungssystem, das eine solche Einheit umfasst, und Verfahren zur Erhöhung der Zuverlässigkeit der Daten in einem Rechner
WO2016142159A1 (de) * 2015-03-11 2016-09-15 Siemens Aktiengesellschaft Sicherheitsrelevantes computersystem
DE102016203694A1 (de) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Bahntechnische Anlage und Verfahren zum Betreiben einer bahntechnischen Anlage
DE102017209163A1 (de) * 2017-05-31 2018-12-06 Robert Bosch Gmbh System zur steuerung einer industriellen anlage und verfahren zur sicheren/nichtsicheren kommunikation zwischen mindestens drei steuereinrichtungen

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2534543B1 (de) 2010-02-13 2019-04-10 BAE Systems PLC Steuerung von sicherheitskritischen operationen
DE102012208134B4 (de) * 2012-05-15 2013-12-05 Ifm Electronic Gmbh Verfahren zur fehlersicheren Ansteuerung von Aktuatoren über ein Bussystem
CN103204167B (zh) * 2013-04-02 2016-08-17 马钢(集团)控股有限公司 企业铁路运输管理系统及其列车编组车数差错的查定方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19833867C2 (de) * 1998-07-28 2000-07-06 Alcatel Sa Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
DE19532640C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport
EP1197418B1 (de) 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5435000A (en) * 1993-05-19 1995-07-18 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus
DE102004039932A1 (de) * 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
ES2309687T3 (es) * 2005-09-16 2008-12-16 Siemens Transportation Systems S.A.S. Procedimiento y sistema de control redundante para ordenadores seguros.

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532640C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
DE19833867C2 (de) * 1998-07-28 2000-07-06 Alcatel Sa Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
EP1197418B1 (de) 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE10065907A1 (de) * 2000-11-29 2002-09-26 Heinz Gall Verfahren zum gesicherten Datentransport

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ303209B6 (cs) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
LT5901B (lt) 2011-03-17 2013-02-25 AŽD PRAHA s. r. o. Su saugumu susietų, iš sudėtinių gedimams stsparių modulių susidedančių elektroninių sistemų išsaugojimo būdas, ypač taikomas geležinkelio sistemose pirštų atspaudų formavimo metu
EP2677454B1 (de) 2012-06-19 2016-05-18 ALSTOM Transport Technologies Rechner, Kommunikationseinheit, die einen solchen Rechner umfasst, Eisenbahn-Steuerungssystem, das eine solche Einheit umfasst, und Verfahren zur Erhöhung der Zuverlässigkeit der Daten in einem Rechner
CN103538600A (zh) * 2012-07-17 2014-01-29 赵乎 轨道交通的车站接/发车作业系统及其控制方法
CN103538600B (zh) * 2012-07-17 2016-12-21 赵乎 轨道交通的车站接/发车作业系统及其控制方法
WO2015071169A1 (de) * 2013-11-13 2015-05-21 Siemens Aktiengesellschaft Bahnübergangssicherungssystem
WO2016142159A1 (de) * 2015-03-11 2016-09-15 Siemens Aktiengesellschaft Sicherheitsrelevantes computersystem
CN107430539A (zh) * 2015-03-11 2017-12-01 西门子公司 安全相关的计算机系统
US10489228B2 (en) 2015-03-11 2019-11-26 Siemens Mobility GmbH Safety-relevant computer system
CN107430539B (zh) * 2015-03-11 2020-09-25 西门子交通有限公司 安全相关的计算机系统
DE102016203694A1 (de) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Bahntechnische Anlage und Verfahren zum Betreiben einer bahntechnischen Anlage
DE102017209163A1 (de) * 2017-05-31 2018-12-06 Robert Bosch Gmbh System zur steuerung einer industriellen anlage und verfahren zur sicheren/nichtsicheren kommunikation zwischen mindestens drei steuereinrichtungen

Also Published As

Publication number Publication date
WO2009007206A1 (de) 2009-01-15

Similar Documents

Publication Publication Date Title
DE102007032805A1 (de) Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
EP1701270B1 (de) Kopplung von sicheren Feldbussystemen
EP2731849B1 (de) Stellwerksrechner
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
EP2783484B1 (de) Verfahren zum betreiben eines kommunikationsnetzwerkes und netzwerkanordnung
EP1738233B1 (de) Sicherheitssteuerung
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE102018118243B4 (de) Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine
EP1743225B1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
EP3993339A1 (de) Zertifikatsmanagement in einer technischen anlage
EP3931060A1 (de) Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
EP1197418A1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP0182134B1 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE102005023296B4 (de) Zugbeeinflussungssystem
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102004044764A1 (de) Datenübertragungsverfahren und Automatisierungssystem zum Einsatz eines solchen Datenübertragungsverfahrens
WO2021219329A1 (de) Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
DE10040866A1 (de) Rechnersystem
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
DE19949710B4 (de) Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems
WO2011113405A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection