[go: up one dir, main page]

DE102007032805A1 - Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process - Google Patents

Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process Download PDF

Info

Publication number
DE102007032805A1
DE102007032805A1 DE102007032805A DE102007032805A DE102007032805A1 DE 102007032805 A1 DE102007032805 A1 DE 102007032805A1 DE 102007032805 A DE102007032805 A DE 102007032805A DE 102007032805 A DE102007032805 A DE 102007032805A DE 102007032805 A1 DE102007032805 A1 DE 102007032805A1
Authority
DE
Germany
Prior art keywords
commercial
security
computer system
computers
diverse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102007032805A
Other languages
German (de)
Inventor
Lothar Dipl.-Inform. Becke
Jörg Dipl.-Ing. Deister
Stefan Dipl.-Inform. Gerken
Rainer Dipl.-Ing. Körner
Stefan Dipl.-Ing. Lorenz
Bernd Dipl.-Ing. Prade
Markus Dipl.-Math. Seemann
Sten Dipl.-Ing. Wery
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Corp
Original Assignee
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Corp filed Critical Siemens Corp
Priority to DE102007032805A priority Critical patent/DE102007032805A1/en
Priority to PCT/EP2008/057649 priority patent/WO2009007206A1/en
Publication of DE102007032805A1 publication Critical patent/DE102007032805A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Systemarchitektur zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskristischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software. Um das signaltechnisch sichere Rechnersystem (4) von der Bildung und dem Senden sicherheitsrelevanter Informationen (12) an externe Kommunikationspartner zu entlasten, ist vorgesehen, dass sicherheitsrelevante Datentelegramme mittels diversitärer kommerzieller Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen den diversitären kommerziellen Rechnern (8, 9) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) des kommerziellen Rechnersystems (3) gebildet werden können. Es werden rechnerspezifische vorläufige Sicherheitscodes (24, 25) berechnet, mit einer Speicherprüfsumme codiert zwischen den Rechnern (8, 9) im Rahmen einer dezentralen Synchronisation der Rechner (8, 9) ausgetauscht und die Datentelegramme von einem der Rechner (8, 9) einkanalig mittels kommerzieller Übertragungstechnik (21) an externe Kommunikationspartner übertragen. ...The invention relates to a method and a system architecture for secure single-channel communication via PC interfaces for controlling a security-critical railway operating process using a fail-safe computer system (4) and a commercial computer system (3) for processing web-specific software. In order to relieve the signal-technically secure computer system (4) from the formation and transmission of security-relevant information (12) to external communication partners, it is provided that security-relevant data telegrams are formed by means of diverse commercial computers (8, 9) of the commercial computer system (3). The security is thereby ensured by the fact that algorithms for calculating security codes of security-relevant telegrams between the diverse commercial computers (8, 9) are divided in such a way that valid security-relevant data telegrams only by the correct interaction of the memory-synchronous diverse commercial computer (8, 9) of the commercial computer system (3) can be formed. Computer-specific preliminary security codes (24, 25) are calculated, exchanged with a memory checksum between the computers (8, 9) in the context of a decentralized synchronization of the computers (8, 9) and the data telegrams from one of the computers (8, 9) are single-channel transmitted by means of commercial transmission technology (21) to external communication partners. ...

Description

Die Erfindung betrifft ein Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems und eines kommerziellen Rechnersystems zur Verarbeitung bahnspezifischer Software sowie eine Systemarchitektur zur Durchführung des Verfahrens.The The invention relates to a method for secure single-channel communication via PC interfaces for controlling a safety-critical rail operation process using a fail-safe computer system and a commercial computer system for processing railway-specific Software and a system architecture for implementation of the procedure.

Bahnbetriebsprozesse sind äußerst sicherheitskritisch, da etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt werden, zu erheblichen Sachschäden und Personengefährdungen führen können. Um Fehlfunktionen auszuschließen, werden üblicherweise signaltechnisch sichere Rechnersysteme verwendet, die die anstehenden Verarbeitungsaufträge mindestens zweikanalig abarbeiten und deren Ergebnisse ständig verglichen werden. Derartige signaltechnisch sichere Rechnersysteme sind extrem aufwendig. Außerdem wächst der Leistungsbedarf der bahnspezifischen Software ständig.Rail operation processes are extremely safety-critical, as any malfunctions, If they are not detected in time, they could cause material damage and personal injury. To rule out malfunctions are usually technically safe computer systems used that the upcoming Process processing jobs at least two channels and their results are constantly compared. Such signaling technology secure computer systems are extremely expensive. Furthermore the power requirement of railway-specific software is growing constantly.

Zur Entlastung des signaltechnisch sicheren Rechnersystems ist gemäß EP 1 197 418 B1 vorgesehen, Teile der bahnspezifischen Software auf ein kommerzielles Rechnersystem auszulagern. Die anstehenden Verarbeitungsaufträge werden mittels synchron arbeitender kommerzieller Rechner abgearbeitet, wobei die Arbeitsergebnisse im signaltechnisch sicheren Rechnersystem auf Übereinstimmung geprüft werden. Steigende Leistungsanforderungen können durch neuere und schnellere kommerzielle Rechner bewältigt werden. Das signaltechnisch sichere Rechnersystem hat neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, eingehende Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechner zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltechnisch sicher zu unterbrechen. Insbesondere das Bilden und Versenden sicherheitsrelevanter Datentelegramme an externe Kommunikationspartner ist dabei mit hohem Ressourcenbedarf des signaltechnisch sicheren Rechnersystems verbunden.To relieve the fail-safe computer system is in accordance EP 1 197 418 B1 intended to outsource parts of the railway-specific software to a commercial computer system. The pending processing jobs are processed by means of synchronously operating commercial computers, whereby the work results in the fail-safe computer system are checked for conformity. Increasing performance requirements can be met by newer and faster commercial computers. The fail-safe computer system has in addition to the task of data comparison essentially still the task to capture incoming messages and commands safely and to the commercial computer to communicate and act safely on the process elements and interrupt the connection to the process elements safely signal in case of failure. In particular, the formation and sending of security-relevant data telegrams to external communication partners is associated with high resource requirements of the fail-safe computer system.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Systemarchitektur der gattungsgemäßen Art anzugeben, die eine Entlastung des signaltechnisch sicheren Rechnersystems bezüglich der Bildung und des Versendens sicherheitsrelevanter Datentelegramme und der Datenkommunikation mit dem kommerziellen Rechnersystem zu ermöglichen.Of the The invention is based on the object, a method and a system architecture specify the generic type, a relief of the signal-technically secure computer system with regard to education and the sending of security-relevant data telegrams and the To allow data communication with the commercial computer system.

Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass sicherheitsrelevante Datentelegramme durch das Zusammenwirken diversitärer kommerzieller Rechner des kommerziellen Rechnersystems gebildet werden und über die Standardkommunikationsschnittstellen des kommerziellen Rechnersystems an die externen Kommunikationspartner versendet werden. Die Sicherheit wird dabei dadurch gewährleistet, dass ein korrekter Sicherheitscode und damit ein gültiges sicherheitsrelevantes Telegramm nur durch das Zusammenwirken von zwei diversitären kommerziellen Rechnern des kommerziellen Rechnersystems berechnet werden kann und nur unter der Voraussetzung, dass die diversitären Rechner identische Telegrammdaten berechnet haben. Die Algorithmen zur Berechnung des Sicherheitscodes sind dabei so zwischen den diversitären kommerziellen Rechnern aufgeteilt, dass diese jeweils auf Basis ihrer eigenen Telegrammdaten und ihres rechnerspezifischen Teilalgorithmus nur vorläufige Sicherheitscodes berechnen, die in einem an schließenden Synchronisationsschritt zwischen den diversitären kommerziellen Rechnern ausgetauscht werden und durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird. Die so generierten sicherheitsrelevanten Datentelegramme werden einkanalig mittels kommerzieller Übertragungstechnik an externe Kommunikationspartner übertragen und die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners stellen anhand der Überprüfung des Sicherheitscodes der Datentelegramme deren fehlerfreie oder fehlerbehaftete Bildung fest, wobei nur fehlerfreie Datentelegramme akzeptiert und verarbeitet werden.According to the method solved the problem by the fact that security-related data telegrams the interaction of diversified commercial computers of the commercial computer system are formed and over the Standard communication interfaces of the commercial computer system sent to the external communication partners. The security This is guaranteed by the fact that a correct security code and thus a valid safety-relevant telegram only through the interaction of two diversified commercial Calculators of the commercial computer system can be calculated and only on the condition that the diversified Computer have calculated identical telegram data. The algorithms to calculate the security code are so between the diversified divided into commercial computers that each based on their own telegram data and their computer-specific sub-algorithm only calculate provisional security codes in one at closing synchronization step between the diversified commercial computers are exchanged and by subsequent Linking these provisional security codes and the telegram data formed the actual security code becomes. The thus generated safety-relevant data telegrams become single-channel by means of commercial transmission technology transfer external communication partners and the safety-related transfer functions of the external communication partner based on the review of the security code of the data telegrams whose error-free or faulty formation fixed, with only error-free data telegrams accepted and processed.

Das erfindungsgemäße Verfahren ermöglicht eine sichere einkanalige Datenübertragung ohne direkte Beteiligung des signaltechnisch sicheren Rechnersystems als Datenquelle der sicherheitsrelevanten Datentelegramme. Das signaltechnisch sichere Rechnersystem wird nur noch für die Überwachung der kommerziellen Rechner und als Schnittstelle für Ein- und Ausgaben zur Peripherie, d. h. zur Ansteuerung des sicherheitskritischen Bahnbetriebsprozesses, benötigt. Durch den Austausch der rechnerspezifischen vorläufigen Sicherheitscodes für alle Datentelegramm wird eine dezentrale Synchronisation der diversitären kommerziellen Rechner ermöglicht. Die vorläufigen Sicherheitscodes des eigenen und des jeweils anderen Rechners werden mit der aktuellen Speicherprüfsumme codiert, wodurch sich nur diversitäre Rechnertypen mit identischen Speicherinhalten untereinander erfolgreich synchronisieren können. Ein gültiges Datentelegramm kann somit nur unter Beteiligung mindestens zweier diversitärer speichersynchroner kommerzieller Rechner gebildet werden. Folglich kann ein gültiges sicherheitsrelevantes Datentelegramm als hochgradig sicher gebildet angesehen werden und einkanalig an externe Kommunikationspartner übertragen werden. Die Überprüfung der Gültigkeit der Datentelegramme durch die sicherheitsrelevanten Übertragungsfunktionen des externen Kommunikationspartners erfolgt anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes der sicherheitsrelevanten Datentelegramme, wobei die zweikanalig diversitäre Bildung der sicherheitsrelevanten Datentelegramme verifiziert wird. Eine direkte Beteiligung des signaltechnisch sicheren Rechnersystems an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern ist nicht erforderlich. Die Performancebeanspruchung des sicherheitsrelevanten Rechnersystems ist damit gegenüber dem aus der oben erläuterten und gattungsbildenden EP 1 197 418 B1 bekannten Verfahren verringert.The method according to the invention enables secure single-channel data transmission without the direct involvement of the fail-safe computer system as the data source of the security-relevant data telegrams. The fail-safe computer system is only needed for monitoring the commercial computer and as an interface for input and output to the periphery, ie for controlling the safety-critical railway operating process. By exchanging the computer-specific provisional security codes for all data telegrams, a decentralized synchronization of the diversified commercial computers is made possible. The provisional security codes of the own computer and the other computer are coded with the current memory checksum, whereby only diverse computer types with identical memory contents can successfully synchronize with each other. A valid data telegram can thus be formed only with the participation of at least two diverse memory-synchronous commercial computers. Consequently, a valid security-relevant data telegram can be regarded as highly secure and can be transmitted to external communication partners with one channel. The verification of validity The data telegrams by the security-related transfer functions of the external communication partner is based on the specific calculation rules for the security codes of the security-related data telegrams, the two-channel diversified formation of safety-related data telegrams is verified. A direct participation of the fail-safe computer system in the security-relevant communication with external communication partners is not required. The performance of the security-relevant computer system is thus compared to that from the above-mentioned and generic EP 1 197 418 B1 reduced known methods.

Eine für die Durchführung des Verfahrens geeignete Systemarchitektur ist erfindungsgemäß dadurch gekennzeichnet, dass das kommerzielle Rechnersystem diversitäre kommerzielle Rechner aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner über kommerzielle Übertragungstechnik mit externen Kommunikationspartnern verbunden ist. Über die Kommunikationsschnittstellen zwischen den diversitären kommerziellen Rechnern werden die Synchronisationstelegramme ausgetauscht. Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen:A suitable for carrying out the process System architecture is according to the invention by characterized in that the commercial computer system diverse has commercial computers that have communication interfaces and that at least one of the diversified Calculator over commercial transmission technology connected to external communication partners. about the communication interfaces between the diversified commercial computers, the synchronization telegrams are exchanged. The invention is based on figurative representations explained in more detail. Show it:

1 eine Systemarchitektur und 1 a system architecture and

2 einen Verfahrensablauf. 2 a procedure.

1 veranschaulicht Hardwareblöcke 1 und Funktionsblöcke 2 einer Anordnung von zwei miteinander kommunizierenden Rechnersystemen, z. B. zwei Stellwerken, zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses, wobei jedes Rechnersystem den externen Kommunikationspartner des anderen Rech nersystems darstellt. Die Anordnung besteht jeweils aus einem kommerziellen Rechnersystem 3 und einem signaltechnisch sicherem Rechnersystem 4, wobei die beiden Rechnersysteme 3 und 4 mittels kommerzieller Kommunikationstechnik 5 miteinander verbunden sind. 1 illustrates hardware blocks 1 and functional blocks 2 an arrangement of two communicating computer systems, z. As two interlockings, for controlling a safety-critical railway operating process, each computer system represents the external communication partner of the other computer system. Each arrangement consists of a commercial computer system 3 and a fail-safe computer system 4 , where the two computer systems 3 and 4 by means of commercial communication technology 5 connected to each other.

Das signaltechnisch sichere Rechnersystem 4 erzeugt Stellbefehle für eine Peripherie 6 und empfängt Rückmeldungen von der Peripherie 6. Die Peripherie 6 beinhaltet den sicherheitskritischen Bahnbetriebsprozess, beispielsweise die Ansteuerung einer Weiche oder eines Signals.The signal-technically secure computer system 4 generates positioning commands for a periphery 6 and receives feedback from the periphery 6 , The periphery 6 includes the safety-critical railway operating process, for example, the control of a switch or a signal.

Die beiden Rechnersysteme sind zum Datenaustausch durch ein Übertragungssystem 7 miteinander verbunden. Das kommerzielle Rechnersystem 3 enthält diversitäre kommerzielle Rechner 8 und 9, nämlich einen Typ A-PC und einen Typ B-PC.The two computer systems are for data exchange by a transmission system 7 connected with each other. The commercial computer system 3 contains diverse commercial calculators 8th and 9 namely a Type A PC and a Type B PC.

Das kommerzielle Rechnersystem 3 beinhaltet eine Ablaufumgebung 10 für die bahnspezifische Software 11. Externe sicherheitsrelevante Informationen 12, die zwischen der bahnspezifischen Software 11 der beiden Rechnersysteme ausgetauscht werden sollen, werden von einer externen sicherheitsrelevanten Übertragungsfunktion 15 an einen Funktionsblock 2 zur Kanalbeteiligung 13 beim Bilden sicherheitsrelevanter Nachrichten weitergeleitet und anschließend über die kommerzielle Kommunikationstechnik 5 und das Übertragungssystem 7 an das andere Rechnersystem, nämlich den externen Kommunikationspartner, übertragen. Der Funktionsblock 2 der externen sicherheitsrelevanten Übertragungsfunktion 15 des anderen Rechnersystems überprüft anhand des Sicherheitscodes der empfangenen sicherheitsrelevanten Nachricht deren fehlerfreie oder fehlerbehaftete Bildung Das Verfahren der Kanalbeteiligung 13, welches das Zusammenwirken der diversitären Rechner 8 und 9 betrifft, ist in 2 genauer dargestellt.The commercial computer system 3 includes a runtime environment 10 for the railway-specific software 11 , External security information 12 between the railway-specific software 11 the two computer systems are to be replaced by an external safety-related transfer function 15 to a function block 2 for channel participation 13 forwarded while forming security relevant messages and then via the commercial communication technology 5 and the transmission system 7 to the other computer system, namely the external communication partner, transferred. The function block 2 the external safety-related transfer function 15 the other computer system checks on the basis of the security code of the received security-relevant message whose error-free or faulty formation The method of channel participation 13 , which the interaction of diverse computers 8th and 9 is concerned in 2 shown in more detail.

Die Ablaufumgebung 10 beinhaltet außerdem eine interne sicherheitsrelevante Übertragungsfunktion 14 zur sicherheitsrelevanten Kommunikation mit dem Rechnersystem 4.The runtime environment 10 also includes an internal safety-related transfer function 14 for security-relevant communication with the computer system 4 ,

Das signaltechnisch sichere Rechnersystem 4 dient im Wesentlichen der prozesswirksamen Ausgabe 17 der korrekt gebildeten Stellbefehle an die Peripherie 6 und der Überwachung 18 sowie dem Vergleich der durch das kommerzielle Rechnersystem 3 redundant gebildeten sicherheitsrelevanten Stellbefehle und Prüftelegramme, wobei diese Telegramme durch Verbindung der internen sicherheitsrelevanten Übertragungsfunktion 14 des kommerziellen Rechnersystems 3 mit einer entsprechenden internen sicherheitsrelevanten Übertragungsfunktion 19 des signaltechnisch sicheren Rechnersystems 4 übertragen werden. Das signaltechnisch sichere Rechnersystem 4 ist somit weder an der Aufbereitung der extern eingehenden sicherheitsrelevanten Informationen 12 noch direkt an der sicherheitsrelevanten Kommunikation mit externen Kommunikationspartnern beteiligt, so dass die Rechnerleistung des signaltechnisch sicheren Rechnersystems 4 auch bei zunehmender externer Datenflut nicht signifikant erhöht werden muss.The signal-technically secure computer system 4 essentially serves the process-effective output 17 the correctly formed control commands to the periphery 6 and surveillance 18 as well as the comparison of the by the commercial computer system 3 redundant safety-related actuating commands and test telegrams, whereby these telegrams are connected by connecting the internal safety-related transfer function 14 of the commercial computer system 3 with a corresponding internal safety-related transfer function 19 the signal-technically secure computer system 4 be transmitted. The signal-technically secure computer system 4 is therefore neither in the processing of externally incoming safety-related information 12 still directly involved in the security-relevant communication with external communication partners, so that the computing power of the fail-safe computer system 4 even with increasing external flood of data does not have to be significantly increased.

2 veranschaulicht die Beteiligung der beiden diversitären kommerziellen Rechner 8 und 9 an der Bildung der sicherheitsrelevanten Datentelegramme. Dazu ist auf der Ablaufumgebung 10 ein spezielles Verfahren zur Berechnung von Sicherheitscodes durch das Zusammenwirken der beiden diversitären Rechner 8 und 9 in Verbindung mit einer dezentralen Synchronisationssteuerung vorgesehen, wodurch eine einkanalige Ausgabe 20 der Datentelegramme über einen der diversitären kommerziellen Rechner 8 oder 9 an kommerzielle Übertragungstechnik 21 möglich wird. 2 illustrates the involvement of the two diverse commercial computers 8th and 9 at the formation of the security-relevant data telegrams. This is on the runtime environment 10 a special procedure for the calculation of security codes through the interaction of the two diversified computers 8th and 9 provided in conjunction with a decentralized synchronization controller, whereby a single-channel output 20 the data telegrams on one of the diverse commercial computer 8th or 9 to commercial transmission technology 21 becomes possible.

Wenn von der bahnspezifischen Software 11 (1) im Typ A-PC 8 und Typ B-PC 9 Daten DA 22 bzw. DB 23 an einen externen Kommunikationspartner übermittelt werden sollen, dann werden zunächst vorläufige kanalspezifische Sicherheitscodes PreSCA 24 und PreSCB 25 auf Basis eines rechnerspezifischen Teilalgorithmus und der eigenen Daten DA 22 bzw. DB 23 berechnet. Diese vorläufigen Sicherheitscodes 24 und 25 werden zwischen den Kanälen, d. h. den diversitären Rechnern 8 und 9, im Rahmen einer dezentralen Synchronisationssteuerung 26 ausgetauscht. Dabei werden die vorläufigen Sicherheitscodes 24 und 25 vor dem Senden mit der aktuellen Speicherprüfsumme des sendenden kommerziellen Rechners 8 bzw. 9 kodiert und beim Empfang mit der Speicherprüfsumme des empfangenden diversitären kommerziellen Rechners 9 bzw. 8 decodiert, so dass nur speichersynchrone diversitäre Rechner 8 und 9 korrekte vorläufige Sicherheitscodes PreSCA und PreSCB austauschen können. Der endgültige Sicherheitscode SC einer sicherheitsrelevanten Nachricht N 27 bzw. 28 wird dann auf Basis des eigenen vorläufigen Sicherheitscodes 24 bzw. 25 und des vorläufigen Sicherheitscodes 25 bzw. 24 des jeweils anderen Kanals SC (PreSCA, PreSCB) oder auf Basis der eigenen Daten DA 22 bzw. DB 23 und des Sicherheitscodes 25 bzw. 24 des anderen Kanals SC (DA, PreSCB) bzw. SC (DB, PreSCA) gebildet und mit den Daten DA 22 bzw. DB23 verknüpft N (DA, SC (PreSCA, PreSCB)) bzw. N(DB, SC(PreSCA, PreSCB)) oder N(DA, SC(DA, PreSCB)) bzw. N(DB, SC(DB, PreSCA)).If from the web-specific software 11 ( 1 ) in type A-PC 8th and type B-PC 9 Data D A 22 or D B 23 To be transmitted to an external communication partner, then preliminary channel-specific security codes PreSC A 24 and PreSC B 25 on the basis of a computer-specific sub-algorithm and the own data D A 22 or D B 23 calculated. These provisional security codes 24 and 25 become between the channels, ie the diversitären computers 8th and 9 , in the context of a decentralized synchronization control 26 replaced. In doing so, the provisional security codes 24 and 25 before sending with the current memory checksum of the sending commercial computer 8th respectively. 9 encoded and upon receipt with the memory checksum of the receiving diverse commercial computer 9 respectively. 8th decodes, leaving only memory-synchronous diverse computers 8th and 9 correct Preliminary Security Codes PreSC A and PreSC B. The final security code SC of a security-related message N 27 respectively. 28 is then based on its own provisional security code 24 respectively. 25 and the temporary security code 25 respectively. 24 of the respective other channel SC (PreSC A , PreSC B ) or on the basis of the own data D A 22 or D B 23 and the security code 25 respectively. 24 of the other channel SC (D A , PreSC B ) and SC (D B , PreSC A ) and with the data D A 22 or D B 23 links N (D A , SC (PreSC A , PreSC B )) or N (D B , SC (PreSC A , PreSC B )) or N (D A , SC (D A , PreSC B )) ) or N (D B , SC (D B , PreSC A )).

Die auf diese Weise gebildete sicherheitsrelevante Nachricht N 27 bzw. 28 kann dann zur Ausgabe N(D, SC) 29 bzw. 30 an die kommerzielle Übertragungstechnik 21 weitergeleitet werden. Da nur dann eine sicherheitsrelevante Nachricht N mit korrektem gültigen Sicherheitscode SC gesendet werden kann, wenn beide diversitäre kommerzielle Rechner 8 und 9 identische Daten DA 22 und DB 23, d. h. Daten D, berechnet haben, genügt eine einkanalige Ausgabe 20 an die kommerzielle Übertragungstechnik 21, um sicherzustellen, dass die sicherheitsrelevante Übertragungsfunktion 15 des externen Kommunikationspartners die fehlerfreie Bildung der sicherheitsrelevanten Nachricht N 27 bzw. 28 durch das diversitäre Rechnersystem 3 anhand der Überprüfung des Sicherheitscodes SC feststellen kann.The security-related message N thus formed 27 respectively. 28 can then output N (D, SC) 29 respectively. 30 to the commercial transmission technology 21 to get redirected. Since only then can a security-related message N be sent with the correct valid security code SC, if both diversified commercial computers 8th and 9 identical data D A 22 and D B 23 , ie have calculated data D, a single-channel output is sufficient 20 to the commercial transmission technology 21 to ensure that the safety-related transfer function 15 the external communication partner the error-free formation of the security-relevant message N 27 respectively. 28 through the diverse computer system 3 can be determined by checking the security code SC.

Die externe sicherheitsrelevante Übertragungsfunktion 15 (1) des externen Kommunikationspartners beinhaltet die Prüfung der korrekten zweikanalig diversitären Bildung der sicherheitsrelevanten Telegramme anhand der spezifischen Berechnungsvorschriften für die Sicherheitscodes SC.The external safety-related transfer function 15 ( 1 ) of the external communication partner includes checking the correct two-channel diverse formation of the safety-relevant telegrams based on the specific calculation rules for the safety codes SC.

Letztlich übernimmt das signaltechnisch sichere Rechnersystem 4 die Überwachung 18 der kommerziellen Rechner 8 und 9, ohne selbst an der Bildung der sicherheitsrelevanten Datentelegramme beteiligt zu sein.Ultimately, the signal-technically secure computer system takes over 4 The supervision 18 the commercial calculator 8th and 9 without being involved in the formation of safety-relevant data telegrams.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • - EP 1197418 B1 [0003, 0006] - EP 1197418 B1 [0003, 0006]

Claims (2)

Verfahren zur sicheren einkanaligen Kommunikation über PC-Schnittstellen zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung eines signaltechnisch sicheren Rechnersystems (4) und eines kommerziellen Rechnersystems (3) zur Verarbeitung bahnspezifischer Software, dadurch gekennzeichnet, dass Algorithmen zur Berechnung von Sicherheitscodes sicherheitsrelevanter Telegramme zwischen diversitären kommerziellen Rechnern (8, 9) des kommerziellen Rechnersystems (3) in der Weise aufgeteilt sind, dass gültige sicherheitsrelevante Datentelegramme nur durch das korrekte Zusammenwirken der speichersynchronen diversitären kommerziellen Rechner (8, 9) gebildet werden können, indem die diversitären kommerziellen Rechner (8, 9) rechnerspezifische vorläufige Sicherheitscodes (24, 25) auf Basis ihres rechnerspezifischen Teilalgorithmus und ihrer eigenen Telegrammdaten berechnen, die zwischen den Rechnern (8, 9) im Rahmen einer dezentralen Synchronisation der Rechner (8, 9) ausgetauscht (26) werden und mit einer Speicherprüfsumme codiert werden, dass durch anschließende Verknüpfung dieser vorläufigen Sicherheitscodes und der Telegrammdaten der eigentliche Sicherheitscode gebildet wird, dass die Datentelegramme einkanalig (20) mittels kommerzieller Übertragungstechnik (21) der kommerziellen Rechner (8, 9) an externe Kommunikationspartner übertragen werden und dass eine externe sicherheitsrelevante Übertragungsfunktion (15) der externen Kommunikationspartner anhand der Überprüfung der Sicherheitscodes der Datentelegramme, deren fehlerfreie oder fehlerbehaftete Bildung feststellt, wobei nur fehlerfreie Datentelegramme von dem externen Kommunikationspartner akzeptiert werden und in der Folge zur Ausgabe eines Stellbefehls über das signaltechnisch sichere Rechnersystem (4) des Kommunikationspartners an den Bahnbetriebsprozess führen können.Method for secure single-channel communication via PC interfaces for controlling a safety-critical rail operation process using a fail-safe computer system ( 4 ) and a commercial computer system ( 3 ) for processing railway-specific software, characterized in that algorithms for calculating security codes of security-relevant telegrams between diverse commercial computers ( 8th . 9 ) of the commercial computer system ( 3 ) are divided in such a way that valid security-relevant data telegrams only by the correct interaction of the memory-synchronous diverse commercial computer ( 8th . 9 ) can be formed by the diversified commercial computer ( 8th . 9 ) computer-specific provisional security codes ( 24 . 25 ) on the basis of their computer-specific sub-algorithm and their own telegram data, which between the computers ( 8th . 9 ) in the context of a decentralized synchronization of the computers ( 8th . 9 ) ( 26 ) and be encoded with a memory checksum that is formed by subsequent combination of these provisional security codes and the telegram data, the actual security code that the data messages one-channel ( 20 ) by means of commercial transmission technology ( 21 ) of the commercial computer ( 8th . 9 ) are transmitted to external communication partners and that an external safety-related transfer function ( 15 ) of the external communication partner based on the verification of the security codes of the data telegrams, the error-free or faulty formation determines, with only error-free data telegrams are accepted by the external communication partner and subsequently to issue a control command via the fail-safe computer system ( 4 ) of the communication partner can lead to the railway operating process. Systemarchitektur zur Durchführung des Verfahrens nach Anspruch 1, dadurch gekennzeichnet, dass das kommerzielle Rechnersystem (3) diversitäre kommerzielle Rechner (8, 9) aufweist, die über Kommunikationsschnittstellen miteinander verbunden sind und dass mindestens einer der diversitären Rechner (8, 9) über kommerzielle Übertragungstechnik (21) mit externen Kommunikationspartnern verbunden ist.System architecture for carrying out the method according to claim 1, characterized in that the commercial computer system ( 3 ) diverse commercial computers ( 8th . 9 ), which are interconnected via communication interfaces and that at least one of the diverse computers ( 8th . 9 ) via commercial transmission technology ( 21 ) is connected to external communication partners.
DE102007032805A 2007-07-10 2007-07-10 Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process Ceased DE102007032805A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102007032805A DE102007032805A1 (en) 2007-07-10 2007-07-10 Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process
PCT/EP2008/057649 WO2009007206A1 (en) 2007-07-10 2008-06-18 Method and system architecture for safe single-channel communication for controlling a safety-critical railway operating process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007032805A DE102007032805A1 (en) 2007-07-10 2007-07-10 Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process

Publications (1)

Publication Number Publication Date
DE102007032805A1 true DE102007032805A1 (en) 2009-01-15

Family

ID=40029313

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007032805A Ceased DE102007032805A1 (en) 2007-07-10 2007-07-10 Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process

Country Status (2)

Country Link
DE (1) DE102007032805A1 (en)
WO (1) WO2009007206A1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ303209B6 (en) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions
CN103538600A (en) * 2012-07-17 2014-01-29 赵乎 Station receiving/departure work system and control method thereof in rail transit
WO2015071169A1 (en) * 2013-11-13 2015-05-21 Siemens Aktiengesellschaft Level crossing safety system
EP2677454B1 (en) 2012-06-19 2016-05-18 ALSTOM Transport Technologies Computer, communication arrangement comprising such a computer, railway management system including such an arrangement, and method for enhancing the reliability of data in a computer
WO2016142159A1 (en) * 2015-03-11 2016-09-15 Siemens Aktiengesellschaft Safety-relevant computer system
DE102016203694A1 (en) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Railway installation and method for operating a railway installation
DE102017209163A1 (en) * 2017-05-31 2018-12-06 Robert Bosch Gmbh SYSTEM FOR CONTROLLING AN INDUSTRIAL SYSTEM AND METHOD FOR SECURE / NON-SECURE COMMUNICATION BETWEEN AT LEAST THREE CONTROL DEVICES

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2534543B1 (en) 2010-02-13 2019-04-10 BAE Systems PLC Control of safety critical operations
DE102012208134B4 (en) * 2012-05-15 2013-12-05 Ifm Electronic Gmbh Method for single-channel coupling of safety-critical process from secure environment to bus system in non-secure environment, involves combing code word with bus-specific constants in logic unit of bus connection
CN103204167B (en) * 2013-04-02 2016-08-17 马钢(集团)控股有限公司 Enterprise railway transportation management system and the determining method of train marshalling list car number mistake thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19833867C2 (en) * 1998-07-28 2000-07-06 Alcatel Sa Method for the secure single-channel transmission of data between the computer nodes of a computer network as well as computer network and computer nodes
DE19532640C2 (en) * 1995-08-23 2000-11-30 Siemens Ag Device for single-channel transmission of data originating from two data sources
DE10065907A1 (en) * 2000-11-29 2002-09-26 Heinz Gall Secure data transport method using parallel or serial network or bus system by copying contents of intermediate register to allow error removal with redundant microprocessors
EP1197418B1 (en) 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Control method for a safety critical railway operation process and device for carrying out this method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5435000A (en) * 1993-05-19 1995-07-18 Bull Hn Information Systems Inc. Central processing unit using dual basic processing units and combined result bus
DE102004039932A1 (en) * 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Method and device for bus connection of safety-relevant processes
ES2309687T3 (en) * 2005-09-16 2008-12-16 Siemens Transportation Systems S.A.S. REDUNDANT PROCEDURE AND CONTROL SYSTEM FOR SAFE COMPUTERS.

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532640C2 (en) * 1995-08-23 2000-11-30 Siemens Ag Device for single-channel transmission of data originating from two data sources
DE19833867C2 (en) * 1998-07-28 2000-07-06 Alcatel Sa Method for the secure single-channel transmission of data between the computer nodes of a computer network as well as computer network and computer nodes
EP1197418B1 (en) 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Control method for a safety critical railway operation process and device for carrying out this method
DE10065907A1 (en) * 2000-11-29 2002-09-26 Heinz Gall Secure data transport method using parallel or serial network or bus system by copying contents of intermediate register to allow error removal with redundant microprocessors

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ303209B6 (en) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions
LT5901B (en) 2011-03-17 2013-02-25 AŽD PRAHA s. r. o. Method of the preservation of the safe state of safety related electronic systems with composite fail-safety, especially on the railways, when creating fingerprints
EP2677454B1 (en) 2012-06-19 2016-05-18 ALSTOM Transport Technologies Computer, communication arrangement comprising such a computer, railway management system including such an arrangement, and method for enhancing the reliability of data in a computer
CN103538600A (en) * 2012-07-17 2014-01-29 赵乎 Station receiving/departure work system and control method thereof in rail transit
CN103538600B (en) * 2012-07-17 2016-12-21 赵乎 The station of track traffic receives/sends car operating system and control method thereof
WO2015071169A1 (en) * 2013-11-13 2015-05-21 Siemens Aktiengesellschaft Level crossing safety system
WO2016142159A1 (en) * 2015-03-11 2016-09-15 Siemens Aktiengesellschaft Safety-relevant computer system
CN107430539A (en) * 2015-03-11 2017-12-01 西门子公司 Safety-related computer system
US10489228B2 (en) 2015-03-11 2019-11-26 Siemens Mobility GmbH Safety-relevant computer system
CN107430539B (en) * 2015-03-11 2020-09-25 西门子交通有限公司 Security-related computer system
DE102016203694A1 (en) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Railway installation and method for operating a railway installation
DE102017209163A1 (en) * 2017-05-31 2018-12-06 Robert Bosch Gmbh SYSTEM FOR CONTROLLING AN INDUSTRIAL SYSTEM AND METHOD FOR SECURE / NON-SECURE COMMUNICATION BETWEEN AT LEAST THREE CONTROL DEVICES

Also Published As

Publication number Publication date
WO2009007206A1 (en) 2009-01-15

Similar Documents

Publication Publication Date Title
DE102007032805A1 (en) Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process
EP1701270B1 (en) Interconnection of safety fieldbus systems
EP2731849B1 (en) Signal box computer
DE102014110017A1 (en) Control and data transmission system, gateway module, I / O module and process control process
DE10301504B3 (en) Single signal transmission of safe process information
EP2783484B1 (en) Method for operating a communication network, and network arrangement
EP1738233B1 (en) Safety-oriented control system
DE102014111361A1 (en) Method for operating a safety control and automation network with such a safety control
DE102018118243B4 (en) Techniques for providing a secured control parameter for multi-channel control of a machine
EP1743225B1 (en) Redundant computerizing system comprising a master programmable automaton and a standby programmable automaton
EP3993339A1 (en) Certificate management in a technical system
EP3931060A1 (en) Security system and method for operating a security system
DE102004035901B4 (en) Device for controlling a safety-critical process
EP1197418A1 (en) Control method for a safety critical railway operation process and device for carrying out this method
EP0182134B1 (en) Method for operating a fail-safe multi-computer system with some not fail-safe input/output units
DE102005023296B4 (en) Train Control System
EP1596517B1 (en) Method of transmission of redundantly provided data over a single channel
EP1133096B1 (en) Method and system for fail-safe data transfer between fail-safe computers
DE102004044764A1 (en) Transmission of data packets between two devices in automation system, using check symbol from last data packet received as start value when calculating check symbols for packet to be sent
WO2021219329A1 (en) Method and safety-oriented system for performing safety functions
EP2849986B1 (en) Method and assembly for controlling a technical system
DE10040866A1 (en) Computer system for transmitting information telegrams includes multi-channel computers with safe signals and interfaces interconnected via a one-channel transmission medium without safe signals.
DE102022211587B4 (en) Safe operation of redundant, single-fault tolerant control units in the vehicle with signed signals
DE19949710B4 (en) Method and device for fail-safe communication between central units of a control system
WO2011113405A1 (en) Controller arrangement

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection