DE102013217324A1 - Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System - Google Patents

Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System Download PDF

Info

Publication number
DE102013217324A1
DE102013217324A1 DE201310217324 DE102013217324A DE102013217324A1 DE 102013217324 A1 DE102013217324 A1 DE 102013217324A1 DE 201310217324 DE201310217324 DE 201310217324 DE 102013217324 A DE102013217324 A DE 102013217324A DE 102013217324 A1 DE102013217324 A1 DE 102013217324A1
Authority
DE
Germany
Prior art keywords
diagnostic
component
data
safety
requests
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE201310217324
Other languages
English (en)
Inventor
Jens Braband
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE201310217324 priority Critical patent/DE102013217324A1/de
Publication of DE102013217324A1 publication Critical patent/DE102013217324A1/de
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0081On-board diagnosis or maintenance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/53Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/57Trackside diagnosis or maintenance, e.g. software upgrades for vehicles or trains, e.g. trackside supervision of train conditions

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Systemdiagnose in einem sicherheitstechnischen System, insbesondere Eisenbahnsicherungssystem, mit mehreren Systemkomponenten mit hohem Integritätslevel und mindestens einer Diagnosekomponente mit niedrigem Integritätslevel sowie eine diesbezügliche Systemkonfiguration. Um Diagnosedaten mit möglichst geringe Beanspruchung systeminterne Kommunikations- und Datenressourcen zu gewinnen, ist erfindungsgemäß vorgesehen, dass von der Diagnosekomponente Diagnoseanfragen über mindestens ein Diagnoseinterface in das System eingegeben und zwischen Systemkomponenten als Nutzlast in Lebenstakttelegrammen bis zu einer empfangenden Systemkomponente weitergeleitet werden und dass die angefragten Diagnosedaten von der empfangenden Systemkomponente an die Diagnosekomponente ausgegeben werden.

Description

  • Die Erfindung betrifft ein Verfahren zur Systemdiagnose in einem sicherheitstechnischen System, insbesondere Eisenbahnsicherungssystem, mit mehreren Systemkomponenten mit hohem Integritätslevel und mindestens einer Diagnosekomponente mit geringerem Integritätslevel sowie eine diesbezügliche Systemkonfiguration.
  • Derartige komplexe Systeme bestehen oft aus mehreren rechentechnischen Systemkomponenten, die miteinander durch Austausch von Daten in Wechselwirkung stehen. Die Systemkomponenten besitzen einen mehr oder weniger großen Umfang an eigenständig ablaufenden Funktionen sowie eine Anzahl von Schnittstellen zur Umwelt. In derart aufgebauten Architekturen können neben Prozessoren beispielsweise auch Sensoren und Aktoren eingebunden sein. Neben einem ausreichend schnellen Datenaustausch ist meistens auch die Kapazität der Datenverarbeitung in den Systemkomponenten eine knappe Ressource.
  • Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt sein soll. Vielmehr ist eine Anwendung beispielsweise auch bei anderen Verkehrssystemen oder im Industriebereich denkbar.
  • Sicherheitsrelevante Eisenbahnsicherungssysteme sind oft mit mehreren interagierenden Systemkomponenten unterschiedlicher Sicherheitsanforderungsstufen – Safety Integrity Level – SIL ausgestattet. Die Sicherheitsstufen SIL sind in der CENELEC-Norm EN 50129 von SIL0 – signaltechnisch nicht sicher – bis SIL4 – signaltechnisch hochgradig sicher – definiert. Da der rechentechnische Aufwand für sicherheitsrelevante Anforderungen mit zunehmendem SIL ansteigt, besteht für diese Systeme das Interesse, Applikationen und Funktionen unterschiedlicher Sicherheitsanforderungsstufen in separaten Systemkomponenten konzentrieren. Für Diagnosekomponenten bestehen dabei üblicherweise niedrigere Sicherheitsanforderungen als für signalverarbeitende Systemkomponenten.
  • Ein Problem besteht darin, aus einem niedrigen Integritätslevel auf einen höheren Integritätslevel zuzugreifen, um dort Daten abzuholen, beispielsweise für Diagnosezwecke. Der Nachweis der Rückwirkungsfreiheit ist in der Regel sehr aufwendig. Hinzu kommt, dass durch solche Datenabfragen ein erheblicher Kommunikationsoverhead produziert werden kann.
  • Bei bekannten Systemen werden Diagnosedaten häufig manuell abgeholt, zum Beispiel über Speichermedien. Um den Kommunikationsoverhead zu begrenzen, werden auch Diagnosemodule eingesetzt, die einer oder mehreren Systemkomponenten zugeordnet sind und über ein eigenes Netz kommunizieren. Vielfach werden diese auf modularer Ebene gewonnenen Diagnosedaten anschließend zu einer speziell für Diagnosezwecke konzipierten Diagnoseverarbeitungseinheit übertragen und dort weiterverarbeitet und gespeichert.
  • Typisch für komplex verteilte Systeme ist eine beispielsweise aus der DE 103 07 342 B4 bekannte Struktur, bei der Diagnose-Primär-Informationen dezentral auf Ebenen von Softwaremodulen oder Hardwarekomponenten gewonnen werden und zu speziellen Diagnoseverarbeitungseinheiten übertragen und weiterverarbeitet werden.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Systemkonfiguration gattungsgemäßer Art anzugeben, welche eine einfachere Diagnosedatengewinnung ermöglichen, wobei möglichst wenig Datenverarbeitungsressource der Systemkomponenten und des Gesamtsystems benötigt werden.
  • Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass von der Diagnosekomponente Diagnoseanfragen über mindestens ein Diagnoseinterface in das System eingegeben und zwischen Systemkomponenten als Nutzlast in Lebenstakttelegrammen bis zu einer empfangenden Systemkomponente weitergeleitet werden und dass die angefragten Diagnosedaten von der empfangenden Systemkomponente an die Diagnosekomponente ausgegeben werden.
  • Die Aufgabe wird auch durch eine Systemkonfiguration gelöst, bei der zwischen der Diagnosekomponente und mindestens einer Systemkomponente ein Diagnoseinterface zur Eingabe von Diagnoseanfragen in das System sowie zwischen den Systemkomponenten Lebenstakttelegramme mit den Diagnoseanfragen als Nutzlast zur Weiterleitung der Diagnoseanfragen an eine empfangende Systemkomponente und mindestens eine Datenverbindung zur Ausgabe der Diagnosedaten an die Diagnosekomponente vorgesehen sind.
  • Innerhalb des Systems werden die Diagnoseanfragen mit hohem Integritätslevel weitergeleitet, und zwar als Nutzlast in Lebenstakttelegrammen, die zwischen den sicheren Systemkomponenten beziehungsweise Applikationen zur Überwachung der Verbindungen sowieso ausgetauscht werden müssen. Dazu wird ein neuer Telegrammtyp definiert. Dieser Telegrammtyp übermittelt neben den Lebenstaktinformationen auch die Diagnoseanfragen. Diese Telegramme werden zwischen den sicheren Systemkomponenten weitergereicht bis zu einer empfangenden Systemkomponente, für die die Diagnoseanfragen gedacht sind. Die empfangende Systemkomponente überträgt die angefragten Diagnosedaten auf dem schnellsten oder kürzesten Weg an die Diagnosekomponente zurück.
  • Durch die Nutzung der sowieso vorhandenen Lebenstaktkommunikation für die Weiterleitung der Diagnoseanfragen wird die zusätzliche Nutzlast beschränkt. Dadurch wird auch eine Konzentration auf wenige Diagnoseinterfaces, das heißt Zugangspunkte von niedrigen zum höheren Integritätslevel und eine Kosteneinsparung bei den Diagnosekomponenten erreicht.
  • Gemäß Anspruch 2 ist vorgesehen, dass das Diagnoseinterface über Firewall abgesichert ist, wobei ausschließlich Diagnoseanfragen eines vorgegebenen Datenformates codiert und in das System eingegeben werden. Auf diese Weise ergibt sich eine hohe Datensicherheit, wobei neben Firewall auch andere oder weiterentwickelte Datenabschottungsverfahren eingesetzt werden können.
  • Um nicht durch den Rücktransport der Diagnosedaten zu der Diagnosekomponente eine zusätzliche Datenlast zu verursachen, ist gemäß einer in Anspruch 3 gekennzeichneten bevorzugten Ausführungsform vorgesehen, dass die angefragten Diagnosedaten mittels einer unidirektionalen Datenverbindung an die Diagnosekomponente ausgegeben werden. Dadurch wird berücksichtigt, dass Diagnosedaten in der Regel ein wesentlich größeres Datenvolumen haben als die Diagnoseanfragen. Zur Absicherung der unidirektionalen Verbindung, welche die Integrität des hohen Integritätslevels der Systemkomponenten nicht beeinträchtigen, werden an diese Systemkomponenten Datendioden angeschlossen. Für unidirektionale Verbindungen mittels Datendioden ist kein komplizierter Nachweis der Rückwirkungsfreiheit erforderlich.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10307342 B4 [0007]
  • Zitierte Nicht-Patentliteratur
    • CENELEC-Norm EN 50129 [0004]

Claims (4)

  1. Verfahren zur Systemdiagnose in einem sicherheitstechnischen System, insbesondere Eisenbahnsicherungssystem, mit mehreren Systemkomponenten mit hohem Integritätslevel und mindestens einer Diagnosekomponente mit niedrigem Integritätslevel, dadurch gekennzeichnet, dass von der Diagnosekomponente Diagnoseanfragen über mindestens ein Diagnoseinterface in das System eingegeben und zwischen Systemkomponenten als Nutzlast in Lebenstakttelegrammen bis zu einer empfangenden Systemkomponente weitergeleitet werden und dass die angefragten Diagnosedaten von der empfangenden Systemkomponente an die Diagnosekomponente ausgegeben werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Diagnoseinterface über Firewall abgesichert ist und dass ausschließlich Diagnoseanfragen eines vorgegebenen Datenformates codiert und in das System eingegeben werden.
  3. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die angefragten Diagnosedaten mittels einer unidirektionalen Datenverbindung an die Diagnosekomponente ausgegeben werden.
  4. Systemkonfiguration zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zwischen der Diagnosekomponente und mindestens einer Systemkomponente ein Diagnoseinterface zur Eingabe von Diagnoseanfragen in das System vorgesehen ist, das zwischen den Systemkomponenten Lebenstakttelegramme mit den Diagnoseanfragen als Nutzlast zur Weiterleitung der Diagnoseanfragen an eine empfangende Systemkomponente vorgesehen sind und dass mindestens eine Datenverbindung zur Ausgabe der Diagnosedaten an die Diagnosekomponente vorgesehen ist.
DE201310217324 2013-08-30 2013-08-30 Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System Ceased DE102013217324A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201310217324 DE102013217324A1 (de) 2013-08-30 2013-08-30 Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310217324 DE102013217324A1 (de) 2013-08-30 2013-08-30 Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System

Publications (1)

Publication Number Publication Date
DE102013217324A1 true DE102013217324A1 (de) 2015-03-05

Family

ID=52470347

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310217324 Ceased DE102013217324A1 (de) 2013-08-30 2013-08-30 Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System

Country Status (1)

Country Link
DE (1) DE102013217324A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (de) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Verfahren und Vorrichtung zur Bereitstellung von Daten für eine Zustandsüberwachung einer Maschine
WO2018033318A1 (de) * 2016-08-16 2018-02-22 Siemens Aktiengesellschaft Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage
EP3492339A1 (de) * 2017-11-29 2019-06-05 KNORR-BREMSE Systeme für Schienenfahrzeuge GmbH Diagnoseverfahren für subsysteme in schienenfahrzeugen sowie vorrichtung zur durchführung des diagnoseverfahrens
DE102020205348A1 (de) 2020-04-28 2021-10-28 Siemens Mobility GmbH Eisenbahnanlage mit Diagnosesystem und Verfahren zu deren Betrieb

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10307342A1 (de) * 2003-02-21 2004-09-16 Volkswagen Ag Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
US20060029083A1 (en) * 2004-08-04 2006-02-09 Paul Kettlewell Network management across a NAT or firewall
DE60300486T2 (de) * 2002-02-22 2006-02-23 Alstom Ferroviaria S.P.A. System zur Gleisfreimeldung einer Eisenbahnstrecke und zur Kommunikation mit Zügen auf dieser Strecke
DE102005040822A1 (de) * 2005-08-24 2007-03-15 Siemens Ag Verfahren zur Systemdiagnose in technischen Systemen

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60300486T2 (de) * 2002-02-22 2006-02-23 Alstom Ferroviaria S.P.A. System zur Gleisfreimeldung einer Eisenbahnstrecke und zur Kommunikation mit Zügen auf dieser Strecke
DE10307342A1 (de) * 2003-02-21 2004-09-16 Volkswagen Ag Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
DE10307342B4 (de) 2003-02-21 2005-08-11 Volkswagen Ag Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
US20060029083A1 (en) * 2004-08-04 2006-02-09 Paul Kettlewell Network management across a NAT or firewall
DE102005040822A1 (de) * 2005-08-24 2007-03-15 Siemens Ag Verfahren zur Systemdiagnose in technischen Systemen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CENELEC-Norm EN 50129

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015205370A1 (de) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Verfahren und Vorrichtung zur Bereitstellung von Daten für eine Zustandsüberwachung einer Maschine
WO2018033318A1 (de) * 2016-08-16 2018-02-22 Siemens Aktiengesellschaft Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage
RU2719094C1 (ru) * 2016-08-16 2020-04-17 Сименс Мобилити Гмбх Устройство с системой безопасности и способ защищенной эксплуатации указанного устройства посредством удаленного запроса
US11529983B2 (en) 2016-08-16 2022-12-20 Siemens Mobility GmbH Arrangement having a safety-related system and method for the protected operation thereof by means of a remote query
EP3492339A1 (de) * 2017-11-29 2019-06-05 KNORR-BREMSE Systeme für Schienenfahrzeuge GmbH Diagnoseverfahren für subsysteme in schienenfahrzeugen sowie vorrichtung zur durchführung des diagnoseverfahrens
DE102020205348A1 (de) 2020-04-28 2021-10-28 Siemens Mobility GmbH Eisenbahnanlage mit Diagnosesystem und Verfahren zu deren Betrieb

Similar Documents

Publication Publication Date Title
Schnieder et al. Verkehrssicherheit
DE102013217324A1 (de) Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System
DE102005027671A1 (de) System und Verfahren zur RFID gestützten Anlagenkonfiguration
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
WO2016041720A1 (de) Netzknoten, steuermodul für eine komponente und ethernet ring
DE102011088068B3 (de) Schnittstelleneinrichtung für Kabinenmonumente
DE102005023296B4 (de) Zugbeeinflussungssystem
DE102014100970A1 (de) Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
DE102013017951A1 (de) Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion
DE102012216391A1 (de) Kommunikation zwischen Wagen eines Schienenfahrzeugs
DE102017213365A1 (de) Kommunikationsvorrichtung, System und Verfahren
DE102016004518A1 (de) Verfahren zur Planung und Ermittlung einer optimalen Transportroute
DE102015213400A1 (de) Verfahren zur unidirektionalen datenübertragung
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
DE102016007476A1 (de) Verfahren zur aktiven Zielführung eines Fahrzeuges
EP1914146A2 (de) Verfahren zur drahtlosen Übermittlung von Informationen zwischen Eisenbahnwagen
DE102015221650A1 (de) Steuerungseinrichtung mit einem Steuerungsprogramm und einer Gerätekonfiguration zum Betreiben eines Automatisierungsgerätes
AT517365A1 (de) Vorrichtung, Verfahren und Computerprogrammprodukt zur sicheren Datenkommunikation
DE102017101908A1 (de) Elemente einer Fertigungsstraße für Kraftfahrzeuge
DE102017002089A1 (de) Vorrichtung zur Datenverarbeitung in einer Fahrerassistenzvorrichtung eines Fahrzeugs
DE102016003013A1 (de) Überwachungsvorrichtung und Verfahren zum Überwachen eines Betriebs eines Steuergeräts eines Kraftfahrzeugs
WO2012003907A1 (de) System zur verkabelung der automatisierungs- und leittechnik einer technischen anlage
EP3703319B1 (de) Verfahren zum zuordnen von signalen zu verschiedenen komponenten, computerprogramm und computerlesbares speichermedium
DE102010022066A1 (de) Verfahren und Einrichtung zur Untersuchung der Sicherheit von Übertragungswegen
DE102010005938A1 (de) Vorrichtung zur Steuerung oder Regelung von sicherheitsgerichteten Funktionen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final
R003 Refusal decision now final

Effective date: 20150408