WO2024099965A2 - Verfahren zur bewertung eines betriebszustandes einer maschine zur instandhaltung einer eisenbahnstrecke - Google Patents

Verfahren zur bewertung eines betriebszustandes einer maschine zur instandhaltung einer eisenbahnstrecke Download PDF

Info

Publication number
WO2024099965A2
WO2024099965A2 PCT/EP2023/080838 EP2023080838W WO2024099965A2 WO 2024099965 A2 WO2024099965 A2 WO 2024099965A2 EP 2023080838 W EP2023080838 W EP 2023080838W WO 2024099965 A2 WO2024099965 A2 WO 2024099965A2
Authority
WO
WIPO (PCT)
Prior art keywords
signature
time
computing unit
sensor
component
Prior art date
Application number
PCT/EP2023/080838
Other languages
English (en)
French (fr)
Other versions
WO2024099965A3 (de
Inventor
Benjamin STUNTNER
Jochen NOWOTNY
Original Assignee
Track Machines Connected Gesellschaft M.B.H.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Track Machines Connected Gesellschaft M.B.H. filed Critical Track Machines Connected Gesellschaft M.B.H.
Publication of WO2024099965A2 publication Critical patent/WO2024099965A2/de
Publication of WO2024099965A3 publication Critical patent/WO2024099965A3/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0081On-board diagnosis or maintenance
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01BPERMANENT WAY; PERMANENT-WAY TOOLS; MACHINES FOR MAKING RAILWAYS OF ALL KINDS
    • E01B27/00Placing, renewing, working, cleaning, or taking-up the ballast, with or without concurrent work on the track; Devices therefor; Packing sleepers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/57Trackside diagnosis or maintenance, e.g. software upgrades for vehicles or trains, e.g. trackside supervision of train conditions
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01BPERMANENT WAY; PERMANENT-WAY TOOLS; MACHINES FOR MAKING RAILWAYS OF ALL KINDS
    • E01B27/00Placing, renewing, working, cleaning, or taking-up the ballast, with or without concurrent work on the track; Devices therefor; Packing sleepers
    • E01B27/12Packing sleepers, with or without concurrent work on the track; Compacting track-carrying ballast
    • E01B27/13Packing sleepers, with or without concurrent work on the track
    • E01B27/16Sleeper-tamping machines
    • E01B27/17Sleeper-tamping machines combined with means for lifting, levelling or slewing the track
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01BPERMANENT WAY; PERMANENT-WAY TOOLS; MACHINES FOR MAKING RAILWAYS OF ALL KINDS
    • E01B29/00Laying, rebuilding, or taking-up tracks; Tools or machines therefor
    • EFIXED CONSTRUCTIONS
    • E01CONSTRUCTION OF ROADS, RAILWAYS, OR BRIDGES
    • E01BPERMANENT WAY; PERMANENT-WAY TOOLS; MACHINES FOR MAKING RAILWAYS OF ALL KINDS
    • E01B35/00Applications of measuring apparatus or devices for track-building purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Definitions

  • the invention relates to a method according to the preamble of claim 1.
  • the invention relates to a method for determining the safe operation of a machine at a time t2.
  • the machine is used to maintain the railway line.
  • the railway line includes, for example, the superstructure of a track, the track and the infrastructure facilities connected to the railway line.
  • the machine comprises a computing unit, at least one electronic component, a component control unit and an internal database.
  • An electronic component can be, for example, a sensor for recording a measured value.
  • the sensor control unit as a component control unit controls the sensor to record at least one measured value. In the simplest case, the sensor control unit activates the sensor to determine the measured value.
  • An electronic component (hereinafter also referred to as component) can also be a network unit such as a router, a switch or generally an electronic component for establishing a data connection.
  • the component control unit controls the network unit.
  • One or more certificates for the machine are stored in the internal database with a certificate time specification.
  • the certificates can relate to the machine as a whole or to an individual component of the machine, such as the sensor.
  • a certificate includes a certificate time specification.
  • the certificate time specification defines up to what point in time or during what period of time the machine or a component of the machine, such as the sensor, can be used. The machine must not be used outside of the defined period of time or after the defined point in time.
  • the internal database can be designed as a single internal database or as several internal databases arranged physically or logically with the individual components of the machine.
  • the computing unit can retrieve one or more certificates from the one or more internal databases.
  • the external database and the internal database may have time-based and/or user-specific restrictions on read and write permissions.
  • the data connections can be subject to user-specific and/or time-based access restrictions.
  • the machine can alternatively be in a delivery state at a delivery time tl, a safe operating state at an implementation time t2, or an unsafe operating state.
  • the delivery time tl is before the implementation time t2.
  • the operating conditions are assessed by a person and documented in an acceptance document. The person can base his work on standards or instructions.
  • Acceptance documents drawn up according to common practice can be manipulated.
  • EP3907119A1 discloses a method for creating a safety-relevant acceptance certificate. In the EPO communication of January 23, 2023, EP3907119A1 is criticized as being unclear. Due to this lack of clarity, EP3907119A1 is also to be regarded as not being fully described, which is why EP3907119A1 does not represent relevant prior art.
  • the method according to the invention solves the problem of creating a tamper-proof log file as a replacement for the acceptance certificate known from current teaching.
  • the evaluation of the current operating state should be carried out automatically using a technical process and should be free from any subjective human assessment.
  • the computing unit determines a first component identifier of a first component
  • the computing unit creates a first component identification signature based on the first component identification using a digital signature procedure
  • the computing unit stores the first component identification signature in the internal database and in the external database
  • the computing unit queries a second component identifier of a second component
  • the second component sends a data set to the
  • Component control unit which data set includes the second component identifier
  • the computing unit stores the second component identifier in the internal database
  • the computing unit creates a second component identification signature based on the second component identification using the digital signature procedure
  • the computing unit compares the first component identification signature with the second component identification signature
  • the computing unit determines a safe operating state if the first component identification signature and the second component identification signature match
  • the first embodiment of the method according to the invention focuses on the evaluation of an operating state as a function of the first sensor installed in the machine at the execution time t1 and the second sensor installed in the machine at the execution time t2.
  • the sensor identifier can be defined by the manufacturer of the sensor and/or by the manufacturer of the machine.
  • the sensor identifier is usually stored in a memory integrated in the sensor.
  • the method according to the invention allows the unambiguous determination of whether the first sensor and the second sensor are the same sensor and thus the machine has not been changed with respect to the sensor between the execution time t1 and the execution time t2.
  • the method according to the invention is further based on the creation of signatures of the processed values, namely the first sensor identifier and the second sensor identifier according to digital signature methods, so that the processed values are protected against unauthorized changes.
  • the method is therefore integral.
  • the computing unit compares the certificate time with the delivery time tl
  • the computing unit creates a positive first check statement if the certificate time statement includes the delivery time tl, or otherwise a negative first check statement if the certificate time statement does not include the delivery time tl,
  • the computing unit creates a first verification signature based on the first verification according to the digital signature procedure
  • the computing unit stores the first test signature in the internal database and in the external database
  • the computing unit compares the certificate time specification with the execution time t2, the computing unit creates a positive second check specification if the certificate time specification includes the execution time t2, or otherwise a negative second check specification if the certificate time specification does not include the execution time t2,
  • the computing unit creates a second verification signature based on the second verification according to the digital signature procedure
  • the computing unit compares the first test signature with the second test signature, - the computing unit determines a safe operating state if the first test signature and the second test signature match,
  • the computing unit detects an unsafe operating state if the first test signature and the second test signature do not match.
  • the second embodiment of the method according to the invention focuses on the evaluation of an operating state depending on the existence of a time-valid certificate.
  • a first test report with the first test information can be created at the execution time t1 and a second test report with the second test information can be created at the execution time t2.
  • the mentioned test information (the first test information or the second test information) can be a positive test information if the certificate is valid for a specific period of time.
  • the positive test information can be, for example, “machine with valid certificate, 00:00”.
  • the positive test information can be limited to the information about the valid certificate.
  • the positive test information can include a time information by which the certificate time information has been exceeded at the time of execution t2.
  • the mentioned verification information can be a negative verification information if the certificate is not valid and has therefore expired.
  • the negative verification information can be, for example, “Machine without a valid certificate, 01:00”.
  • the negative verification information can also be limited to a time specification by which the validity of the certificate has expired.
  • the test specification can include a text with a numerical value or a range specification.
  • the method according to the invention is also based on the creation of signatures of the processed values, namely the first check information and the second check information according to digital signature procedures, so that the processed values are protected against unauthorized changes.
  • the method is therefore integral.
  • the computing unit creates a certificate time range comprising the delivery time tl and the certificate time specification
  • the computing unit creates a series of different standardized certificate time specifications within the certificate time range, which certificate time specifications have a uniform time format, whereby each time difference between the individual certificate time specifications is greater than or equal to the smallest unit of the time format,
  • the computing unit creates certificate time signatures based on the standardized certificate time information according to the digital signature procedure
  • the computing unit stores the certificate time signatures in the internal database and in the external database, - the computing unit creates a delivery time specification having the time format, which delivery time specification describes the delivery time tl,
  • the computing unit creates a delivery time signature based on the standardized delivery time
  • the computing unit compares the delivery time signature with the certificate time signatures
  • the processing unit determines a safe operating state if the delivery time signature matches a certificate time signature
  • the computing unit detects an unsafe operating state if the delivery time signature does not match any certificate time signature.
  • a certificate can be valid until the certificate time 08. 11.22.
  • the delivery time tl is, for example, 06.11.22, at which delivery time tl the machine has a valid certificate.
  • the computing unit creates a certificate time range from 06. 11.22 (delivery time tl) to the certificate time 08. 11.22.
  • the computing unit also creates a series of certificate time specifications that differ from one another, which certificate time specifications have the format of the delivery time tl and the certificate time.
  • the certificate time specifications differ by the smallest unit of the time format.
  • the smallest unit of the time format can be specified by the maximum accuracy of the time format.
  • the time format is dd.mm.yy.
  • the maximum accuracy of this time format and the smallest unit is the day (dd).
  • the series of different certificate time specifications of the certificate range in the example discussed here is 06.11.22, 07.11.22 and 08.11.22.
  • the processing unit creates a certificate time signature for each individual certificate time using the digital signature procedure. This creates a certificate time signature based on 06.11.22, another certificate time signature based on 07. 11.22 and another certificate time signature based on 08.11.22.
  • the computing unit creates a delivery time signature of the delivery time tl, which delivery time tl is present as a delivery time in the time format.
  • the delivery time signature based on the delivery time 06.11.22 corresponds to the certificate time signature based on 06. 11.22. Since the mentioned signatures are identical, the computing unit determines a safe operating state at the delivery time tl.
  • the fourth embodiment of the method according to the invention is characterized by the following method steps:
  • the computing unit creates a certificate time range comprising the delivery time tl and the certificate time specification
  • the computing unit creates a series of certificate time specifications of the certificate time range, which certificate time specifications have a uniform time format, whereby each time difference between the individual certificate time specifications is greater than or equal to the smallest unit of the time format,
  • the computing unit creates certificate time signatures based on the standardized certificate time information according to the digital signature procedure
  • the computing unit creates an execution time specification having the time format, which execution time specification describes the execution time tl,
  • the computing unit creates an execution time signature based on the execution time
  • the computing unit compares the execution time signature with the certificate time signatures
  • the processing unit determines a safe operating state if the execution time signature matches a certificate time signature
  • the processing unit detects an unsafe operating state if the execution time signature does not match any certificate time signature.
  • the execution time t2 and the execution time specification which specifies the execution time t2 in the mentioned time format, are 09.11.22.
  • An execution time specification signature based on 09. 11.22 does not match any of the certificate time specification signatures.
  • the computing unit determines an unsafe operating state because the certificate has expired at the execution time t2 09. 11.22.
  • the computing unit determines a first component identifier of a first sensor as the first component
  • the computing unit creates a first component identification signature based on the first component identification using a digital signature procedure
  • the computing unit stores the first component identification signature in the internal database and in the external database
  • the computing unit queries a second component identifier of a second sensor as the second component or the component control unit controls the second sensor to determine a measurement data set,
  • the second sensor sends a measurement data set to the component control unit in response to this query or in response to this control, which measurement data set comprises a measured value and the second sensor identifier
  • the computing unit stores the second sensor identification in the internal database
  • the computing unit creates a second sensor identification signature based on the second sensor identification using the digital signature method
  • the computing unit compares the first sensor identification signature with the second sensor identification signature
  • the computing unit determines a safe operating state if the first sensor identification signature and the second sensor identification signature match
  • the computing unit detects an unsafe operating state if the first sensor identification signature and the second sensor identification signature do not match.
  • a sensor can output a data set comprising a measured value and the sensor identifier. This special property is taken into account by the above-mentioned embodiment of the method according to the invention.
  • the sensor computing unit controls the sensor for measuring a first energy consumption of a motor of the machine, which motor executes a movement specified by the sensor computing unit,
  • the sensor determines the first energy consumption of a machine drive in response to this control
  • the computing unit creates a positive first energy indication if the first energy consumption is within a predetermined first energy consumption range, or otherwise a negative first energy indication if the first energy consumption is not within a predetermined first energy consumption range,
  • the computing unit creates a first energy specification signature based on the first energy specification using a digital signature procedure
  • the sensor computing unit controls the sensor for measuring a second energy consumption of a motor of the machine, which motor executes a movement specified by the sensor computing unit,
  • the sensor determines the second energy consumption of a drive of the machine in response to this control
  • the computing unit creates a positive second energy indication if the second energy consumption is within a predetermined second energy consumption range, or otherwise a negative second energy indication if the second energy consumption is not within a predetermined second Energy absorption range,
  • the computing unit determines a second energy indication signature based on the first energy consumption using a digital signature procedure
  • the computing unit compares the first energy indication signature with the second energy indication signature
  • the computing unit determines a safe operating state if the first energy indication signature and the second energy indication signature match
  • the computing unit detects an unsafe operating state if the first energy indication signature and the second energy indication signature do not match.
  • the sensor control unit can control the sensor to determine the energy consumption when carrying out a specified movement.
  • the specified movement can, for example, be the lifting of a tamping unit, whereby the tamping unit is driven by the motor.
  • the drive power of the motor thus causes the tamping unit to be lifted.
  • the user can specify other movements of other parts of the machine.
  • the specified movement is carried out at the delivery time tl and at the execution time t2.
  • the energy consumption is determined for each of the specified movements.
  • the first energy consumption for carrying out the specified movement is thus determined at the delivery time tl.
  • the second energy consumption for carrying out the specified movement at the execution time t2 is also determined.
  • a first energy absorption signature and a second energy absorption signature are determined.
  • the computing unit compares the energy absorption signatures to determine a safe operating state or an unsafe operating state.
  • Energy intake may be subject to normal fluctuations.
  • the determined energy intake is compared with an energy intake range and a positive energy value is given if the energy intake is within the energy intake range, or a negative energy value is given otherwise.
  • a positive second energy indication is created if the determined second energy consumption lies within the second energy consumption range.
  • the second energy absorption range can correspond to the first energy absorption range.
  • the second energy absorption range can correspond to the first energy absorption range changed by a factor in order to take into account wear and tear of the machine and/or a changed energy consumption of the motor.
  • the changed energy consumption of the motor exists, if a first energy consumption of the engine at the delivery time tl is different from a second energy consumption of the engine at the implementation time t2.
  • a positive second energy value can be an indication that no part of the machine, such as a tamping unit, has been modified between the delivery time tl and the implementation time t2.
  • a positive energy specification may be limited to the specification of the positive energy specification.
  • a negative energy specification may include an indication of the extent to which the determined energy intake differs from the energy intake range.
  • the computing unit creates a first user authorization signature based on a first positive user authorization according to the digital signature procedure
  • the computing unit stores the first user authorization signature in the internal database and in the external database
  • the sensor reads the user’s authorization time
  • the computing unit compares an authorization time specification of the user with the execution time t2 and the computing unit creates a second positive user authorization if the authorization time specification includes the execution time t2, or alternatively a second negative user authorization,
  • the computing unit creates a second user authorization signature based on the second user authorization using the digital signature procedure
  • the computing unit compares the second user authorization signature with the first user authorization signature of the internal database and/or the external database
  • - Computing unit a secure operating state if the first user authorization signature and the second user authorization signature match, or otherwise an unsafe
  • the authorization time can be stored on a card, which is read by a card reader.
  • the card can store the authorization time when a person is allowed to operate the machine.
  • the authorization time specification can indicate a period of time during which a person is authorized to perform an action.
  • An authorization time specification which specifies the reading of the card at intervals does not include the execution time t2 if the card cannot be read at the specified time.
  • An authorization time specification of the same type includes the execution time t2 if the card can be read at the specified time.
  • the positive user authorization can be limited to an indication of the positive user authorization.
  • a negative user authorization can include a time value by which the authorization time specification differs from the execution time t2.
  • the first positive user authorization can be created by programming.
  • the sensor determines a measured value
  • the computing unit creates a measured value in a specified numerical format from the measured value
  • the computing unit creates a measured value signature based on the measured value information
  • the calculation unit creates a maximum series of different tolerance value specifications from a given tolerance range, which tolerance value specifications have the numerical format, whereby the difference between the individual tolerance value specifications is greater than or equal to the smallest unit of the numerical format,
  • the calculation unit creates tolerance value signatures based on the tolerance value specifications
  • the computing unit stores the tolerance value signatures in the internal database and in the external database
  • the computing unit compares the measured value signature with the tolerance value signatures
  • the computing unit determines a safe operating state if the measured value signature matches a tolerance signature
  • the computing unit detects an unsafe operating state if the measured value signature does not match any tolerance value signature.
  • a first measured value determined by means of a sensor can be, for example, 2.51.
  • the first measured value can be determined at the time of delivery tl.
  • this first measured value is converted into a first measured value, which first measured value has a predefined number format.
  • the predefined number format includes one decimal place; the measured value is therefore 2.5.
  • the tolerance range is 2.4 to 2.6. This includes the tolerance values 2.4 and 2.5 as well as 2.6 in the specified number format.
  • a first measured value signature based on the measured value specification 2.5 corresponds to the tolerance value signature of 2.5.
  • the computing unit determines a safe operating state at the time of delivery tl.
  • the sensor can determine a second measured value 2.93 at an execution time t2.
  • the second measured value is 2.9.
  • the second measured value signature based on the second measured value 2.9 corresponds neither to the tolerance value signature based on 2.4 nor to the tolerance value signature based on 2.5 nor to the tolerance value signature based on 2.6.
  • the computing unit therefore determines an unsafe operating state.
  • the method according to the invention can comprise at least two embodiments from the mentioned first embodiment, the mentioned second embodiment, the mentioned third embodiment, the mentioned fourth embodiment, the mentioned fifth embodiment, the mentioned sixth embodiment, the mentioned seventh embodiment and the mentioned eighth embodiment and can be further characterized by the following steps:
  • the computing unit determines an unsafe operating state if the first component identification signature and the second component identification signature or the first test specification signature and the second test specification signature or the delivery time signature do not match any certificate time signature and the execution time signature does not match any certificate time signature, the first sensor identification signature and the second sensor identification signature or the first energy specification signature and the second energy specification signature or the measured value signature do not match any tolerance value signature.
  • the method according to the invention can provide that at a delivery time tl the first test information is collected depending on the validity of the certificate, a first identifier of a part of the machine such as the first sensor and an energy consumption for a predetermined movement.
  • a first signature is created based on the first test information, the first sensor identifier and the first energy consumption using a digital signature method.
  • the second test data is collected depending on the validity of the certificate, the second identifier of a part of the machine such as the second sensor and a second energy consumption for a given movement.
  • a second signature is created based on the second test data, the second sensor identifier and the second energy consumption.
  • the second signature is created exclusively based on values which are values with an unchanged state of the machine between the delivery time tl and the Implementation time t2 is unchangeable. This excludes, for example, measured values created at implementation time t2.
  • the signatures are comparable with each other, so that a change in the machine or a negative validity of a certificate or a change in energy consumption can be detected. If a change in the machine is detected based on the comparison of the signatures, this state of the machine is objectively considered to be an unsafe operating state. Otherwise, an operating state of a machine is objectively assessed as safe if the signatures are assessed as the same.
  • the machine is in a first state created by a first person.
  • the first person can be a machine manufacturer.
  • the first state is described by the first sensor identifier and the first certificate validity.
  • the machine can be in a second state determined by a second person.
  • the second state can be different from the first state.
  • the second person can be another machine builder.
  • the second state is included in the method according to the invention in the form of the second sensor identification and the second certificate validity.
  • a change in the machine that can be detected using this method can be a replacement of a sensor or a change in the validity of a certificate, in particular an expiration of the certificate.
  • the method according to the invention also allows the detection of a replacement of moving parts by determining the energy consumption to carry out the movement.
  • the processing unit creates a first common signature based on at least two pieces of information from the first component identifier and the first test information and the first sensor identifier and the first energy information and the first user authorization according to the digital signature procedure,
  • the computing unit creates a second common signature based on at least two relevant pieces of information from the second component identifier and the second test information and the second sensor identifier and the second energy information and the second user authorization according to the digital signature procedure,
  • the computing unit compares the first common signature and the second common signature
  • the computing unit determines a safe operating state if the first common signature and the second common signature match
  • the computing unit detects an unsafe operating state if the first common signature and the second common signature do not match.
  • the computing unit creates the first component identification signature exclusively based on the first component identification and the first test specification signature exclusively based on the first test specification and the first sensor identification signature exclusively based on the first sensor identification and the first energy specification signature exclusively based on the first energy specification and the first user authorization signature exclusively based on the first user authorization according to the digital signature procedure,
  • the computing unit generates the second component identification signature based exclusively on the second
  • Component identification and the second test specification signature are created exclusively based on the second test specification and the second sensor identification signature are created exclusively based on the second sensor identification and the energy specification signature is created based on the second energy specification and the second user authorization signature is created exclusively based on the second user authorization according to the digital signature procedure,
  • the computing unit compares the first component identification signature and the second component identification signature as well as the first test specification signature and the second test specification signature as well as the first sensor identification signature and the second sensor identification signature as well as the first energy specification signature and the second energy specification signature as well as the first user authorization signature and the second user authorization signature,
  • the computing unit determines a safe operating state if the first component identification signature and the second component identification signature as well as the first test specification signature and the second test specification signature as well as the first sensor identification signature and the second sensor identification signature as well as the first energy specification signature and the second energy specification signature as well as the first user authorization signature and the second user authorization signature match,
  • the computing unit determines an unsafe operating state if the first component identification signature and the second component identification signature or the first test specification signature and the second test specification signature or the first sensor identification signature and the second sensor identification signature or the first energy specification signature and the second energy specification signature or the first user authorization signature and the second user authorization signature do not match.
  • the method according to the invention can be characterized in that the computing unit recognizes an operating state of the machine as a safe operating state and the computing unit outputs a protocol with an indication of the safe operating state.
  • the method according to the invention can be characterized in that the computing unit recognizes an operation of a machine as an unsafe operating state and outputs a protocol with an indication of the unsafe operating state.
  • the method according to the invention is preferably carried out as a computer-implemented method.
  • the protocol can be created in the form of a protocol file.
  • a safe operating condition of the machine may require that the machine is operated, for example, by a person with authorization.
  • the method according to the invention can be characterized in that the component control unit sends to the sensor as a component a command file for controlling the sensor as a component, which command file comprises a sensor command, and the component control unit controls the sensor to determine the measured value at a measuring location and/or a measuring time according to the sensor command.
  • the method according to the invention may comprise
  • the sensor is subjected to a calibration value
  • the computing unit compares the measured value measured by the sensor with a calibration value
  • the computing unit determines a measurement deviation of the sensor, by which measurement deviation the measured value differs from the calibration value
  • the computing unit evaluates the operating state as unsafe if the measurement deviation exceeds a specified tolerance.
  • the comparison of the measured value with a calibration value described here can be carried out at the execution time tl and/or at the execution time t2.
  • the user can base his calculations on the specifications of standards, etc.
  • the adjustment mentioned can be carried out in such a way that the sensor, which is subjected to a calibration value, creates a measured value, which measured value is then compared with the calibration value. This checks whether the sensor creates a measured value correctly.
  • the computing unit compares the measured value measured by the sensor with a calibration value
  • the computing unit determines a first measurement deviation of the sensor, by which first measurement deviation the measured value differs from the calibration value, - at the time t2 the sensor is subjected to a calibration value,
  • the computing unit compares the measured value measured by the sensor with a calibration value
  • the computing unit determines a second measurement deviation of the sensor, by which second measurement deviation the measured value differs from the calibration value
  • the computing unit creates a first positive sensor measurement status if a first measurement deviation is within the tolerance or a first negative sensor measurement status if a first measurement deviation is outside the tolerance
  • the computing unit creates a first sensor measurement status signature based on the first sensor measurement status according to the digital signature procedure
  • the computing unit stores the first sensor measurement status signature in the internal database and in the external database
  • the computing unit creates a second positive sensor measurement status if a second measurement deviation is within the tolerance, or a second negative sensor measurement status if a second measurement deviation is outside the tolerance,
  • the computing unit creates a second sensor measurement status signature based on the second sensor measurement status using the digital signature method
  • the computing unit evaluates an operating state as safe if the first sensor measurement status signature and the second sensor measurement status signature match, or as unsafe if the first sensor measurement status signature and the second sensor measurement status signature do not match.
  • the positive sensor measurement status may be limited to an indication of the positive sensor measurement status.
  • the negative sensor measurement status can include the determined measurement deviation in the form of a numerical value or a tolerance violation.
  • the tolerance violation is the measurement deviation minus the tolerance.
  • the negative sensor measurement status may include an indication of the negative sensor measurement status.
  • the method according to the invention can be characterized in that the computing unit sends a command to the sensor control unit for determining the measured value at the delivery time t1 and/or at the execution time t2.
  • a sensor of the machine is exposed to various environmental influences, which environmental influences can reduce the accuracy of the sensor. It may therefore be necessary to check the accuracy of the sensor at the time of implementation tl, with the accuracy of the sensor at the time of delivery t2 being used as a reference state.
  • the calibration value mentioned can also be a range specification.
  • the measurement status can be a binary value.
  • the computing unit compares a measured value and a calibration value at the delivery time tl and at the implementation time t.
  • the computing unit can also create a digital reference signature and digital signature of a deviation between Calculate measured value and calibration value or the like.
  • Such a form of the method according to the invention would be conceivable, but less advantageous, since even a small, irrelevant change in the deviation would lead to a negative sensor measurement status unless this is compensated by complex mathematical measures.
  • the method according to the invention can be characterized in that the computing unit sends a command for determining a measured value or measurement data at a time preceding the delivery time tl or the implementation time t2 and a further command for determining a further measured value or further measurement data at a time following the delivery time tl or the implementation time t2 to the sensor control unit.
  • the accuracy of a sensor can be checked immediately before and immediately after maintenance work is carried out.
  • the checking of the accuracy of a sensor mentioned here and above can also include a check of the functionality of the sensor.
  • the sensor processing unit creates a measured value signature based on the measured value output by the sensor using the digital signature method
  • the computing unit creates a measurement report containing the measured value
  • the computing unit creates a log file signature based on the measured value contained in the log file using the digital signature procedure
  • the processing unit creates the log file comprising a positive report status if the measured value signature and the log file signature match, or otherwise a negative report status if the measured value signature and the log file signature do not match,
  • the computing unit outputs the report status in the log file.
  • the other digital signature is created when the measured value is prepared for display.
  • the second signature is therefore created at a time when the user has the option of changing the measured value in violation of regulations. Such a change can be detected by comparing the digital signatures.
  • Fig. 1 shows the process steps of the method according to the invention at the time of delivery
  • Fig. 2 shows the method steps of the method according to the invention at a point in time of implementation.
  • Figure 1 and Figure 2 illustrate the method according to the invention comprising the above-mentioned first embodiment and the above-mentioned second embodiment.
  • Figure 1 basically illustrates the method steps of the delivery time tl.
  • Figure 2 basically shows the method steps of the implementation time tl.
  • the method according to the invention can comprise the method steps illustrated in Figure 1 and Figure 2.
  • the method according to the invention disclosed here addresses the task of determining whether a machine for repairing a track - also referred to here as a repair machine - when carrying out repair work by a user at a time of execution t2 has the state in which the machine was delivered by the machine manufacturer at the delivery time tl.
  • Machines used in the railway industry are often modified by third parties without the knowledge or consent of the machine manufacturer. Operating a modified machine is generally considered to be an unsafe operating condition; operating an unmodified machine is considered to be a safe operating condition in terms of operational safety and the results of working with the machine.
  • the method disclosed here is carried out as a computer-implemented method.
  • the machine comprises a computing unit, at least one sensor for recording at least one measured value of a track and a sensor control unit.
  • the computing unit can be regarded as a central control unit for controlling the machine.
  • the computing unit includes a timer.
  • the mentioned timer can be the only timer of the machine and components of the machine such as a sensor of the machine can request a time value from the only timer if a control of the components requires a time value. This ensures that the control of the components is based on a single time value specified by the only timer. This ensures in particular that a point in time is only described by a single time value and not by a large number of time values that have to be synchronized with one another.
  • the sensor control unit controls the sensor to record the at least one measured value.
  • the control of the sensor can be such that the sensor control unit specifies a measuring location and/or a measuring time for determining the measured value, regardless of the timing or any other property of the sensor, as is known in the art.
  • the machine also includes an internal database.
  • a certificate for the machine or a part of the machine, such as a sensor, is stored in the internal database.
  • the certificate includes a certificate time specification, which clearly specifies the point in time until which a certificate is valid.
  • the data connections and the databases can have different write and read rights.
  • the method according to the invention is based on a definition of three possible states of the machine.
  • a state of the machine is the delivery state of the machine created by the machine manufacturer and thus handed over to a customer as user at a delivery time tl.
  • the other states are operating states in which the machine is under the responsibility of the customer as user.
  • Another state of the machine is the state of a safe operating state of the machine during operation at a time t2.
  • the safe operating state of the machine essentially corresponds to the delivery state and the certificates are valid.
  • an unsafe operating state can also exist.
  • An unsafe operating state exists if the machine or parts of the machine have been changed compared to the delivery state and/or a certificate has expired.
  • the method according to the invention is designed to determine whether the machine is in a safe or unsafe operating state at a time t2 after the delivery time tl.
  • the following method steps are required to carry out the method according to the invention.
  • the order of the method steps is only determined by the Specify the respective points in time such as execution time tl, execution time t2 specified and otherwise free.
  • Figure 1 illustrates the method steps of the method according to the invention at the delivery time t1.
  • the computing unit determines a first sensor identifier of the first sensor present at the delivery time tl.
  • a sensor identifier of a sensor in general here the first sensor identifier of the sensor, can be queried.
  • the first sensor transmits its first sensor identifier in response to this query.
  • the first sensor identifier can be a multi-digit code, which the manufacturer of the sensor or machine uses to uniquely identify the respective sensor. Such codes for sensor identification are known from current teaching.
  • the computing unit can store the first sensor identification in an internal database.
  • the computing unit creates a first sensor identification signature based on the first sensor identification using a digital signature method.
  • the computing unit stores the first signature in the internal database and in the external database.
  • the external database can, for example, be a cloud database.
  • the computing unit compares the certificate time information of a certificate stored in the internal database with the delivery time tl.
  • the computing unit creates a positive first check information if the certificate time information includes the delivery time tl, or alternatively a negative first check information.
  • a test report prepared in accordance with standard practice may include such a test statement.
  • a positive test statement may be limited to the positive test statement, such as "certificate OK".
  • a negative test statement may include the statement of the time value by which the certificate time exceeds the execution time tl.
  • the first test result is usually positive.
  • the first positive test result is created by programming.
  • the computing unit creates a first verification signature based on the first verification using the digital signature procedure.
  • the computing unit stores the verification signature in the internal database and in the external database.
  • a first energy consumption of a motor is determined via a sensor.
  • the sensor mentioned can be the first sensor.
  • the first energy consumption can It may be necessary for the motor to initiate a predetermined movement of a mechanical part at the delivery time tl.
  • the first energy requirement is compared with a first energy consumption range. Since it can generally be assumed that the machine meets the specified requirements at the time of delivery tl, a positive first energy specification is created.
  • the above description includes information about the content of a positive energy value and a negative energy value.
  • the positive energy value can, for example, include the statement "energy intake OK" or a numerical value such as "100".
  • the computing unit then creates a first energy specification signature based on the first energy specification.
  • the energy specification signature is stored in the internal database and in the external database.
  • the method according to the invention offers the machine manufacturer the possibility of documenting the condition of the delivered machine at the time of delivery tl on the basis of the first sensor identification, on the basis of the first certificate time indication and on the basis of the first energy consumption for carrying out a specified movement.
  • only the machine manufacturer has the necessary write and read rights on the internal database and the external database in order to document the condition of the machine based on the first sensor identification and the certificate validity in the respective database.
  • Figure 2 illustrates the method steps of the method according to the invention at the time of implementation t2, which time of implementation t2 is after the delivery time t1.
  • the method steps at the time of implementation t2 essentially relate to the operation of the machine on the railway line.
  • the second sensor identifier of the second sensor is collected.
  • the second sensor identification of the second sensor at the time of execution t2 can be carried out in such a way that the computing unit queries the second sensor identification of the second sensor from the second sensor or, equivalently, from a data storage device.
  • the sensor control unit can control the second sensor to determine a measured value.
  • the second sensor sends a measurement data set to the sensor control unit in response to the query or in response to the control of the computing unit.
  • the measurement data set includes the measured value and the second sensor ID.
  • the measured value is usually zero.
  • the measured value is the quantity determined by the second sensor.
  • the computing unit can store the second sensor identifier in the internal database.
  • the second sensor identifier can be stored as part of the measurement data set or separately.
  • the computing unit creates a second sensor identification signature based on the second sensor identification using the digital signature method which was also used to create the first sensor identification signature.
  • the sensor identification signature is not created based on the measured value determined using the digital signature procedure.
  • the computing unit compares the certificate time specification with the execution time t2.
  • the computing unit creates a positive second verification specification if the certificate time specification includes the execution time t2, or alternatively a negative second certificate validity.
  • the second test specification can in turn be part of a test report.
  • the second test specification is created according to the same principle as the first test specification.
  • the positive second test specification can only include the positive second test specification. Examples of the positive first test specification are given above, which examples are to be applied to the second test specification.
  • the negative second test result can include a time value by which the execution time t2 exceeds the certificate time.
  • the negative second test result can include the statement "certificate not OK”.
  • a certificate can be a certificate valid for a defined period of time from the delivery time tl.
  • the delivery time tl can be the time at which the machine is handed over to the user from the factory or on the railway line after an overhaul for the purpose of carrying out maintenance work.
  • the certificate time specification is a point in time in the period mentioned during which the certificate is valid, and thus defines the point in time at which the machine has a valid certificate.
  • the second test result created at execution time t2 can be stored by the computing unit in an internal database.
  • a second verification signature will be created based on the second verification signature using the digital signature method that is used to create the first verification signature.
  • the digital signature procedure for creating the sensor identification signatures and the digital signature procedure for creating the test specification signatures do not have to be the same signature procedure.
  • the second energy consumption of the motor for carrying out a predetermined movement of a part of the machine is determined.
  • a second energy consumption that differs from the first energy consumption is an indication that the part of the machine needs to be replaced or modified.
  • the second energy consumption is compared with a second energy consumption range.
  • the second energy consumption range is a range specification of the first energy consumption range changed by a factor. This prevents a normal change to the machine and an associated change in energy requirements from leading to the incorrect assumption that the mentioned part of the machine was replaced between the delivery time tl and the implementation time.
  • a positive or negative second energy indication is again created, as is sufficiently disclosed in the description.
  • the negative second energy indication can include a variable value that depends on the determined energy consumption.
  • the negative second energy indication can include, for example, "energy consumption not OK, exceeded by 10%".
  • a second energy specification signature of the second energy specification is created.
  • the second energy specification signature is stored in the internal database and in the external database.
  • the method according to the invention can comprise the method step of creating a log file.
  • the log file can represent an output of the measurement data over a period of time comprising the execution time t2.
  • the log file can comprise the output of several measurement data created at successive execution times.
  • the log file is available as a file.
  • the content of the log file can also be printed out and thus be available in paper form.
  • the method according to the invention allows the determination of a safe operating state of the machine at the time of execution t2.
  • the first sensor identification signature, the first test specification signature and the first energy specification signature are available as the first signatures.
  • the first signatures describe the state of the machine at the time of delivery tl .
  • the second sensor identification signature, the second test specification signature and the second energy specification signature are also available as second signatures.
  • the second signatures describe the state of the machine at the time of execution t2.
  • the assessment of the operating state as a safe operating state or as a secure operating state is based on a comparison of the first signatures with the second signatures.
  • the creation of the first signatures and the second signatures is designed in such a way that the first signatures and the second signatures are the same if the machine at the time of delivery tl of the Machine at the execution time t2.
  • the first signatures and the second signatures are created exclusively based on values which are the same for the same machine at the delivery time tl and at the delivery time t2.
  • the computing unit compares the first signature stored in the external database and created at the delivery time tl with the second digital signature created at the execution time t2.
  • the computing unit may be the case that there is no data connection between the computing unit and the external database. This can be the case, for example, if the machine is located in a tunnel and the external database is a cloud storage.
  • the computing unit compares the first signatures stored in the internal database and created at the time of delivery tO with the signature created at the time of execution t2.
  • the method according to the invention can also comprise a two-stage comparison of the digital signatures.
  • a first comparison step the second signatures are compared with the first signatures stored in the internal database and in a second comparison step with the first signature stored in the external database.
  • the second comparison step can be carried out independently of or dependent on the result of the first comparison step.
  • a log file created when the method according to the invention is carried out can contain information as to whether the operating state of the machine is to be regarded as safe or unsafe.
  • the method according to the invention has the advantage over methods according to the prior art that this evaluation is carried out exclusively according to objective criteria.
  • a safe operating state is defined as existing when the second state of the machine corresponds to the first state of the machine at the time of execution t2 and the certificates are valid for a certain period of time.
  • Such a safe operating state can be clearly identified using the method according to the invention when the first signatures correspond to the second signatures. This statement of this comparison is achieved by creating the signatures from values which do not change in a safe operating state between the delivery time tl and the time of execution t2. This includes that no sensors have been changed on the machine and that a certificate is valid for a certain period of time.
  • a safe operating state exists if the first sensor identification signature and the second sensor identification signature as well as the first test specification signature and the second test specification signature as well as the first energy specification signature and the second energy specification signature are the same.
  • the computing unit determines this equality by comparing the aforementioned signatures.
  • an unsafe operating state can be detected.
  • An unsafe operating state exists if a sensor on the machine has been modified or the certificate is no longer valid.
  • An unsafe operating state exists if the first sensor identification signature and the second sensor identification signature or the first test specification signature and the second test specification signature or the first energy specification signature and the second energy specification signature are not the same.
  • the computing unit determines this inequality by comparing the aforementioned signatures.
  • the method according to the invention can be extended to include the determination of user authorization.
  • the measured value determined with the sensor can be a measured value describing a user.
  • the machine can comprise a sensor for reading user data.
  • the sensor can comprise, for example, a card reader for reading user data.
  • the method according to the invention can include that at the time of delivery t1 the computing unit creates a user authorization signature based on a first positive user authorization according to the digital signature method.
  • the computing unit stores the first user authorization signature in the internal database and in the external database.
  • the first positive user authorization can be programmed.
  • the computing unit compares an authorization time specification of the user with the execution time t2.
  • the computing unit creates a second positive user authorization if the authorization time specification includes the execution time tl, or otherwise a second negative user authorization if the authorization time specification does not include the execution time tl.
  • the aforementioned authorization time information can be stored on a card, which card is read with a card reader comprising the sensor.
  • the computing unit creates a second user authorization signature based on the second user authorization.
  • the same encryption method is used as when creating the first user authorization signature.
  • the computing unit compares the first user authorization signature with the second user authorization signature of the internal database and/or the external database.
  • a secure operating state exists if the first user authorization signature corresponds to the second user authorization and the above conditions of a secure operating state are also met. Otherwise, the operating state is evaluated as unsafe if a first signature and a second signature are not the same.
  • the method according to the invention may also include evaluating the operation with respect to a valid sensor measurement status of the sensor.
  • the relevant standards suggest applying a calibrated measurement value to the sensor, determining the measured value and comparing the measured value with a calibration value.
  • the sensor sends the measured value to the computing unit.
  • the computing unit compares the measured value with the calibration value and creates a positive sensor measurement status if the measured value corresponds to the calibration value, or alternatively a negative sensor measurement status.
  • the positive sensor measurement status can be limited to the indication of the positive sensor measurement status.
  • the negative sensor measurement status can include a deviation indication, by which deviation the measured value differs from the calibration value.
  • the deviation indication can be a numerical value or a range indication.
  • This process of determining the sensor measurement status can be determined at the time of delivery tl. Since only a machine that complies with the standards may be delivered, a first positive sensor measurement status is created at the time of delivery tl.
  • the computing unit creates a first sensor measurement status signature based on the measurement status using a digital signature process. The signature of the first sensor measurement status is saved in the internal database and/or in the external database.
  • a positive sensor measurement status can also be created by programming at the time of delivery. However, this has the disadvantage that the accuracy of the sensor is not checked.
  • the second sensor measurement status can also be determined at the execution time t2.
  • a sensor measurement status can also be determined at a time preceding the execution time t2 and/or at a time following the execution time t2.
  • the computing unit creates a second sensor measurement status signature based on the second sensor measurement status according to the digital signature procedure.
  • the computing unit compares the first measurement status signature with the second sensor measurement status signature in the internal database and/or the external database.
  • a safe operating state exists if the first sensor measurement status signature corresponds to the second sensor measurement status signature and the above conditions for a safe operating state are also met. Otherwise, the operating state is assessed as unsafe if a first signature and a second signature are not the same.
  • Figure 3 illustrates in particular a part of the method according to the invention, which part is handled after or during the implementation time t2, in a form different from the representation in Figure 2.
  • the assessment of the operating state as safe or unsafe on the basis of a property of the machine is generally explained.
  • the property of the machine considered below is described in the most general case by a value, which value is referred to below as the property value.
  • the property value can - with reference to the above description - be an identifier or a time specification.
  • the computing unit determines a first property value of a first part of the machine at a delivery time tl.
  • the computing unit can store the first property value in the internal Save the first property value of the internal database as such can be read by other units of the machine for further processing such as performing a comparison with another value. This is not considered in Figure 3.
  • the computing unit creates a first signature based on the first property value of the first unit of the machine using a digital signature process.
  • the first signature of the first property value is created in order to be able to compare a second property value determined at a subsequent execution time t2 with the first property value using a secure, integrity process.
  • the computing unit saves the first signature of the first property value in an external database, such as a cloud.
  • the external database is located outside the machine. This ensures that the documentation of the first property value is at the disposal of the machine manufacturer.
  • the first signature can only be retrieved from the external database if there is a data connection between the machine and the external database.
  • the computing unit stores the first signature of the first property value in an internal database. This should make it possible to compare the property values if there is no data connection between the machine and the external database
  • the computing unit determines the second property value of a second part of the machine at an execution time t2.
  • the computing unit determines a second signature based on the second property value according to the digital encryption method which is used to create the first signature.
  • the computing unit retrieves the first signature of the first property value from the external database.
  • the computing unit can retrieve the first signature of the first property value from the internal database.
  • the external database and the internal database are shown as one database. The representation in Figure 3 does not differentiate between the databases mentioned.
  • the computing unit compares the first signature with the second digital signature. If the digital signatures are the same, the operating state is to be assessed as secure. The operating state is to be assessed as unsafe if the first signature and the second signature do not match.
  • the repair process can also be stopped.
  • At least one measured value is determined with at least one sensor.
  • the method according to the invention may comprise a definition of conditions under which Conditions under which a measured value can be determined using a sensor under an unsafe operating condition.
  • the method according to the invention can be characterized in that the sensor computing unit creates a signature of the measured values according to a digital signature method, which measured values are output by the sensor and/or received by the sensor computing unit. A first signature of the measured values is thus created before the measured values can be changed by a person in a manner that cannot be specified here.
  • the computing unit creates an additional signature of the measured values contained in a log file using a digital signature process.
  • a positive report status is noted in the log file if the digital signature of the measured values and the additional digital signature of the measured values match.
  • a negative report status is created in the log file if the digital signature of the measured values and the additional digital signature of the measured values do not match.
  • the report status can be created in parallel to the creation of the log file.

Landscapes

  • Engineering & Computer Science (AREA)
  • Architecture (AREA)
  • Civil Engineering (AREA)
  • Structural Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Biomedical Technology (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung eines Gleises zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst.

Description

Verfahren zur Bewertung eines Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke
Die Erfindung betrifft ein Verfahren nach dem Oberbegriff des Anspruches 1.
Die Erfindung betrifft ein Verfahren zum Feststellen eines sicheren Betriebs einer Maschine zu einem Durchfi hrungszeitpunkt t2. Die Maschine dient der Instandhaltung der Eisenbahnstrecke. Die Eisenbahnstrecke umfasst beispielsweise den Oberbau eines Gleises, das Gleis und die mit der Eisenbahnstrecke in Verbindung stehenden Infrastruktureinrichtungen.
Die Maschine umfasst eine Recheneinheit, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank.
Eine elektronische Komponente kann beispielsweise ein Sensor zur Aufnahme eines Messwertes sein. Die Sensorsteuereinheit als Komponentensteuereinheit steuert den Sensor zur Aufnahme des zumindest einen Messwertes. Im einfachsten Fall aktiviert die Sensorsteuereinheit den Sensor zur Ermittlung des Messwertes.
Eine elektronische Komponente (im Folgenden auch kurz als Komponente bezeichnet) kann auch eine Netzwerkeinheit wie ein Router, ein Switch oder allgemein eine elektronische Komponente zur Herstellung einer Datenverbindung sein. Die Komponentensteuereinheit steuert die Netzwerkeinheit.
Es sind in der internen Datenbank ein oder mehrere Zertifikate der Maschine mit einer Zertifikatszeitangabe gespeichert. Die Zertifikate können die Maschine als Ganzes oder eine einzelne Komponente der Maschine wie beispielsweise den Sensor betreffen. Ein Zertifikat umfasst eine Zertifikatszeitangabe. Durch die Zertifikatszeitangabe ist definiert ist, bis zu welchem Zeitpunkt oder in welchem Zeitraum die Maschine beziehungsweise eine Komponente der Maschine wie der Sensor verwendet werden kann. Außerhalb des definierten Zeitraums bzw. nach dem definierten Zeitpunkt darf die Maschine nicht verwendet werden. Die interne Datenbank kann als eine einzige interne Datenbank oder als mehrere interne, physisch oder logisch bei den einzelnen Komponenten der Maschine angeordnete Datenbanken ausgebildet sein. Die Recheneinheit kann eine oder mehrere Zertifikate von den einen oder mehreren internen Datenbanken abrufen.
Die externe Datenbank und die interne Datenbank können zeitlich und/oder benutzerspezifische Beschränkungen der Leserechte und Schreibrechte aufweisen.
Es bestehen Datenverbindungen zwischen den erwähnten Einheiten der Maschine wie beispielsweise Recheneinheit, Sensor, Sensorsteuereinheit, und der zumindest einen internen Datenbank und der externen Datenbank. Die Datenverbindungen können benutzerspezifischen und/oder zeitlichen Zugriffsbeschränkungen unterliegen.
Die Maschine kann sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchfiihmngszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden. Der Auslieferungszeitpunkt tl liegt zeitlich vor dem Durchfiihmngszeitpunkt t2. Nach der gängigen Praxis werden die Betriebszustände durch eine Person bewertet und in einem Abnahme schrieb protokolliert. Die Person kann sich hierbei an Normen oder Anweisungen orientieren.
Die nach der gängigen Praxis erstellten Abnahmeschriebe können manipuliert werden.
EP3907119A1 offenbart ein Verfahren zur Erstellung eines sicherheitsrelevanten Abnahmeschriebs. In der Mitteilung des EPA vom 23.01.23 wird EP3907119A1 als unklar bemängelt. Wegen dieser Unklarheit ist EP3907119A1 auch als nicht vollständig beschrieben anzusehen, weshalb EP3907119A1 keinen relevanten Stand der Technik darstellt.
Das erfmdungsgemäß Verfahren löst die Aufgabe, eine manipulationssichere Protokolldatei als Ersatz für den nach der gängigen Lehre bekannten Abnahmeschrieb zu erstellen. Die Bewertung des vorliegenden Betriebszustandes soll automationsgestützt durch ein technisches Verfahren erfolgen und frei von jeder subjektiven menschlichen Einschätzung sein.
Das erfmdungsgemäße Verfahren in einer ersten Ausführungsform ist durch die folgende Verfahrensschritte gekennzeichnet:
- zu dem Auslieferungszeitpunkt tl ermittelt die Recheneinheit eine erste Komponentenkennung einer ersten Komponente,
- die Recheneinheit erstellt eine erste Komponentenkennung-Signatur basierend auf der ersten Komponentenkennung nach einem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Komponentenkennung-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchführungszeitpunkt t2 fragt die Recheneinheit eine zweite Komponentenkennung einer zweiten Komponente ab,
- die zweite Komponente sendet als Antwort auf diese Abfrage einen Datensatz an die
Komponentensteuereinheit, welcher Datensatz die zweite Komponentenkennung umfasst,
- die Recheneinheit speichert die zweite Komponentenkennung in der internen Datenbank ab,
- die Recheneinheit erstellt eine zweite Komponentenkennung-Signatur basierend auf der zweiten Komponentenkennung nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Komponentenkennung-Signatur mit den zweiten Komponentenkennung-Signatur,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Komponentenkennung- Signatur und die zweite Komponentenkennung-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung- Signatur und die zweite Komponentenkennung-Signatur nicht übereinstimmen. Die erste Ausführungsform des erfindungsgemäßen Verfahrens konzentriert sich auf die Bewertung eines Betriebszustandes in Abhängigkeit des zum Ausführungszeitpunkt tl in der Maschine installierten ersten Sensors und des zum Durchführungszeitpunkt t2 in der Maschine installierten zweiten Sensors.
Es ist nach der gängigen Lehre möglich, eine eindeutige Kennung eines Sensors auszulesen und so den Sensor eindeutig zu bestimmen. Die Kennung des Sensors kann durch den Hersteller des Sensors und/oder durch den Hersteller der Maschine definiert sein. Die Sensorkennung ist meistens in einem im Sensor integrierten Speicher hinterlegt.
Das erfmdungsgemäße Verfahren erlaubt die eindeutige Bestimmung, ob der erste Sensor und der zweite Sensor derselbe Sensor sind und somit die Maschine zwischen dem Ausfuhrungszeitpunkt tl und dem Durchführungszeitpunkt t2 in Hinblick auf den Sensor nicht verändert wurde.
Das erfmdungsgemäße Verfahren basiert weiters auf der Erstellung von Signaturen der verarbeiteten Werte, nämlich der ersten Sensorkennung und der zweiten Sensorkennung nach digitalen Signaturverfahren, damit die verarbeiteten Werte vor einer unberechtigten Veränderung geschützt sind. Das Verfahren ist somit integer.
Das erfmdungsgemäße Verfahren in einer zweiten Ausführungsform ist durch die folgende Verfahrensschritte gekennzeichnet:
- zu dem Auslieferungszeitpunkt tl vergleicht die Recheneinheit die Zertifikatszeitangabe mit dem Auslieferungszeitpunkt tl,
- die Recheneinheit erstellt eine positive erste Prüfangabe, falls die Zertifikatszeitangabe den Auslieferungszeitpunkt tl umfasst, oder andernfalls eine negative erste Prüfangabe, falls die Zertifikatszeitangabe den Auslieferungszeitpunkt tl nicht umfasst,
- die Recheneinheit erstellt eine erste Prüfangabe-Signatur basierend auf der ersten Prüfangabe nach dem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Prüfangabe-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchführungszeitpunkt t2 vergleicht die Recheneinheit die Zertifikatszeitangabe mit dem Durchführungszeitpunkt t2, die Recheneinheit erstellt eine positive zweite Prüfangabe, wenn die Zertifikatszeitangabe den Durchführungszeitpunkt t2 umfasst, oder andernfalls eine negative zweite Prüfangabe, wenn die Zertifikatszeitangabe den Durchführungszeitpunkt t2 nicht umfasst,
- die Recheneinheit erstellt eine zweite Prüfangabe-Signatur basierend auf der zweiten Prüfangabe nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Prüfangabe-Signatur mit der zweiten Prüfangabe-Signatur, - die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur nicht übereinstimmen.
Die zweite Ausführungsform des erfmdungsgemäßen Verfahrens konzentriert sich auf die Bewertung eines Betriebszustandes in Abhängigkeit des Vorliegens eines zeitlich gültigen Zertifikates. Es kann zum Ausführungszeitpunkt tl ein erster Prüfbericht mit der ersten Prüfangabe und zum Durchführungszeitpunkt t2 ein zweiter Prüfbericht mit der zweiten Prüfangabe erstellt werden.
Die erwähnte Prüfangabe (die erste Prüfangabe oder die zweite Prüfangabe) kann eine positive Prüfangabe sein, falls das Zertifikat zeitlich gültig ist. Die positive Prüfangabe kann beispielsweise “Maschine mit gültigem Zertifikat, 00:00” sein. Die positive Prüfangabe kann auf die Angabe des gültigen Zertifikates beschränkt sein. Die positive Prüfangabe kann eine Zeitangabe umfassen, um welche Zeitangabe die Zertifikatzeitangabe zu dem Durchführungszeitpunkt t2 überschritten ist.
Die erwähnten Prüfangabe kann eine negative Prüfangabe sein, falls das Zertifikat zeitlich nicht gültig und somit abgelaufen ist. Die negative Prüfangabe kann beispielsweise “Maschine ohne gültiges Zertifikat, 01:00” sein. Die negative Prüfangabe kann auch auf eine Zeitangabe beschränkt sein, um welche Zeitangabe die Gültigkeit des Zertifikates abgelaufen ist.
Die Prüfangabe kann einen Text mit einem Zahlenwert oder einer Bereichsangabe umfassen.
Das erfmdungsgemäße Verfahren basiert weiters auf der Erstellung von Signaturen der verarbeiteten Werte, nämlich der ersten Prüfangabe und der zweiten Prüfangabe nach digitalen Signaturverfahren, damit die verarbeiteten Werte vor einer unberechtigten Veränderung geschützt sind. Das Verfahren ist somit integer.
Das erfmdungsgemäße Verfahren in einer dritten Ausführungsform ist durch die folgende Verfahrensschritte gekennzeichnet:
- die Recheneinheit erstellt einen Zertifikatszeitbereich umfassend den Auslieferungszeitpunkt tl und die Zertifikatszeitangabe,
- die Recheneinheit erstellt eine Serie von unterschiedlichen normierten Zertifikatszeitangaben innerhalb des Zertifikatszeitbereiches, welche Zertifikatszeitangaben ein einheitliches Zeitformat aufweisen, wobei jede Zeitdifferenz zwischen den einzelnen Zertifikatszeitangaben größer oder gleich der kleinsten Einheit des Zeitformates ist,
- die Recheneinheit erstellt Zertifikatszeitangaben-Signaturen basierend auf den normierten Zertifikatszeitangaben nach dem digitalen Signaturverfahren,
- die Recheneinheit speichert die Zertifikatszeitangaben-Signaturen in der internen Datenbank und in der externen Datenbank ab, - die Recheneinheit erstellt eine Auslieferungszeitangabe aufweisend das Zeitformat, welche Auslieferungszeitangabe den Auslieferungszeitpunkt tl beschreibt,
- die Recheneinheit erstellt eine Auslieferungszeitangabe-Signatur basierend auf dem normierten Auslieferungszeitangabe,
- die Recheneinheit vergleicht die Auslieferungszeitangabe-Signatur mit den Zertifikatszeitangaben- Signaturen,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Auslieferungszeitangabe-Signatur mit einer Zertifikatszeitangaben-Signatur übereinstimmt,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Auslieferungszeitangabe- Signatur mit keiner Zertifikatszeitangaben-Signatur übereinstimmt.
Ein Zertifikat kann beispielsweise bis zu der Zertifikatszeitangabe 08. 11.22 gültig sein. Der Auslieferungszeitpunkt tl sei zum Beispiel 06.11.22, zu welchem Auslieferungszeitpunkt tl die Maschine ein gültiges Zertifikat aufweist. Die Recheneinheit erstellt einen Zertifikatszeitbereich von dem 06. 11.22 (Auslieferungszeitpunkt tl) bis zu dem Zertifikatszeitpunkt 08. 11.22.
Die Recheneinheit erstellt weiters eine Serie von zueinander unterschiedlichen Zertifikatszeitangaben, welche Zertifikatszeitangaben das Format des Auslieferungszeitpunktes tl und des Zertifikatszeitpunktes aufweisen. Die Zertifikatszeitangaben unterscheiden sich um die kleinste Einheit des Zeitformates. Die kleinste Einheit des Zeitformates kann durch die maximale Genauigkeit des Zeitformates vorgegeben sein.
In dem hier diskutierten Beispiel ist das Zeitformat dd.mm.jj. Die maximale Genauigkeit dieses Zeitformates und die kleinste Einheit ist die Tagesangabe (dd). Falls die oben und unten erwähnten Zeitpunkte und Zeitangaben unterschiedliche Formate aufweisen, kann das erfindungsgemäße Verfahren den Verfahrensschritt umfassen, dass diese Zeitpunkte und Zeitangaben in ein einheitliches, normiertes Format gebracht werden.
Die Serie von unterschiedlichen Zertifikatszeitangaben des Zertifikatsbereiches ist bei dem hier diskutierten Beispiel 06.11.22, 07.11.22 und 08.11.22.
Die Recheneinheit erstellt eine Zertifikatszeitangabe-Signatur für jede einzelne Zertifikatszeitangabe nach dem digitalen Signaturverfahren. Es wird somit eine Zertifikatszeitangabe-Signatur basierend auf 06.11.22, eine weitere Zertifikatszeitangabe-Signatur basierend auf 07. 11.22 und eine weitere Zertifikatszeitangabe-Signatur basierend auf 08.11.22 erstellt.
Die Recheneinheit erstellt eine Auslieferungszeitangabe-Signatur des Auslieferungszeitpunktes tl, welcher Auslieferungszeitpunkt tl als Auslieferungszeitangabe in dem Zeitformat vorliegt. Die Auslieferungszeitangabe-Signatur basierend auf der Auslieferungszeitangabe 06.11.22 entspricht der Zertifikatszeitangabe-Signatur basierend auf 06. 11.22. Da die erwähnten Signaturen ident sind, stellt die Recheneinheit zum Auslieferungszeitpunkt tl einen sicheren Betriebszustand fest. Die vierte Ausführungsform des erfindungsgemäßen Verfahrens ist durch die folgenden Verfahrensschritte gekennzeichnet:
- die Recheneinheit erstellt einen Zertifikatszeitbereich umfassend den Auslieferungszeitpunkt tl und die Zertifikatszeitangabe,
- die Recheneinheit erstellt eine Serie von Zertifikatszeitangaben des Zertifikatszeitbereiches, welche Zertifikatszeitangaben ein einheitliches Zeitformat aufweisen, wobei jede Zeitdifferenz zwischen den einzelnen Zertifikatszeitangaben größer oder gleich der kleinsten Einheit des Zeitformates ist,
- die Recheneinheit erstellt Zertifikatszeitangaben-Signaturen basierend auf den normierten Zertifikatszeitangaben nach dem digitalen Signaturverfahren,
- die Recheneinheit erstellt eine Durchführungszeitangabe aufweisend das Zeitformat, welche Durchführungszeitangabe den Durchfuhrungszeitpunkt tl beschreibt,
- die Recheneinheit erstellt eine Durchführungszeitangabe-Signatur basierend auf der Durchfuhrungszeitangabe,
- die Recheneinheit vergleicht die Durchführungszeitangabe-Signatur mit den Zertifikatszeitangaben- Signaturen,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Durchführungszeitangabe-Signatur mit einer Zertifikatszeitangaben-Signatur übereinstimmt,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Durchführungszeitangabe- Signatur mit keiner Zertifikatszeitangaben-Signatur übereinstimmt.
Es wird das obige Beispiel weiter diskutiert. Der Durchführungszeitpunkt t2 und die Durchführungszeitangabe, welche den Durchführungszeitpunkt t2 in dem erwähnten Zeitformat angibt, sein 09.11.22. Eine Durchführungszeitangabe-Signatur basierend auf 09. 11.22 stimmt mit keiner der Zertifikatszeitangaben-Signaturen überein. Die Recheneinheit stellt einen unsicheren Betriebszustand fest, da zu dem Durchführungszeitpunkt t2 09. 11.22 das Zertifikat abgelaufen ist.
Das erfindungsgemäße Verfahren in der fünften Ausführungsform ist durch die folgenden Verfahrensschritte gekennzeichnet:
- zu dem Auslieferungszeitpunkt tl ermittelt die Recheneinheit eine erste Komponentenkennung eines ersten Sensors als erste Komponente,
- die Recheneinheit erstellt eine erste Komponentenkennung-Signatur basierend auf der ersten Komponentenkennung nach einem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Komponentenkennung-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchführungszeitpunkt t2 fragt die Recheneinheit eine zweite Komponentenkennung eines zweiten Sensors als zweite Komponente ab oder steuert die Komponentensteuereinheit den zweiten Sensor zur Ermittlung eines Messdatensatzes an,
- der zweite Sensor sendet als Antwort auf diese Abfrage beziehungsweise als Antwort auf diese Ansteuerung einen Messdatensatz an die Komponentensteuereinheit, welcher Messdatensatz einen Messwert und die zweite Sensorkennung umfasst,
- die Recheneinheit speichert die zweite Sensorkennung in der internen Datenbank ab,
- die Recheneinheit erstellt eine zweite Sensorkennung-Signatur basierend auf der zweiten Sensorkennung nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Sensorkennung-Signatur mit den zweiten Sensorkennung-Signatur
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur nicht übereinstimmen.
Nach dem Stand der Technik kann ein Sensor einen Datensatz umfassend einen Messwert und die Sensorkennung ausgeben. Diese besondere Eigenschaft wird durch die oben angeführte Ausführungsform des erfindungsgemäßen Verfahrens berücksichtigt.
Das erfmdungsgemäße Verfahren in der sechsten Ausführungsform ist durch die folgenden Verfahrensschritte gekennzeichnet:
- zu einem Auslieferungszeitpunkt tl die Sensorrecheneinheit den Sensor zur Messung einer ersten Energieaufnahme eines Motors der Maschine ansteuert, welcher Motor durch die Sensorrecheneinheit vorgegebene Bewegung ausführt,
- der Sensor ermittelt als Antwort auf diese Ansteuerung die erste Energieaufnahme eines Antriebes der Maschine,
- die Recheneinheit erstellt eine positive erste Energieangabe, falls die erste Energieaufnahme in einem vorgegeben ersten Energieaufnahmebereich liegt, oder andernfalls eine negative erste Energieangabe, falls die erste Energieaufnahme nicht in einem vorgegeben ersten Energieaufnahmebereich liegt,
- die Recheneinheit eine erste Energieangabe-Signatur basierend auf der ersten Energieangabe nach einem digitalen Signaturverfahren erstellt,
- zu einem Durchführungszeitpunkt t2 die Sensorrecheneinheit den Sensor zur Messung einer zweiten Energieaufnahme eines Motors der Maschine ansteuert, welcher Motor durch die Sensorrecheneinheit vorgegebene Bewegung ausführt,
- der Sensor ermittelt als Antwort auf diese Ansteuerung die zweite Energieaufnahme eines Antriebes der Maschine,
- die Recheneinheit erstellt eine positive zweite Energieangabe, falls die zweite Energieaufnahme in einem vorgegeben zweiten Energieaufhahmebereich hegt, oder andernfalls eine negative zweite Energieangabe, falls die zweite Energieaufnahme nicht in einem vorgegeben zweiten Energieaufnahmebereich liegt,
- die Recheneinheit ermittelt eine zweite Energieangabe-Signatur basierend auf der ersten Energieaufnahme nach einem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Energieangabe-Signatur mit der zweiten Energieangabe-Signatur,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur nicht übereinstimmen.
Die Sensorsteuereinheit kann den Sensor ansteuem, die Energieaufnahme eines bei der Durchführung einer vorgegebenen Bewegung zu ermitteln. Die vorgegebene Bewegung kann beispielsweise das Heben eines Stopfaggregates sein, wobei das Stopfaggregat durch den Motor angetrieben ist. Die Antriebsleistung des Motors bewirkt somit das Heben des Stopfaggregates. Anstelle des Hebens des Stopfaggregates kann der Anwender auf andere Bewegungen anderer Teile der Maschine vorgeben.
Die vorgegebene Bewegung wird zu dem Auslieferungszeitpunkt tl und zu dem Durchführungszeitpunkt t2 ausgeführt. Es wird für die vorgegebenen Bewegungen jeweils die Energieaufnahme ermittelt. Es wird somit die erste Energieaufnahme für die Durchführung der vorgegebenen Bewegung zum Auslieferungszeitpunkt tl ermittelt. Es wird weiters die zweite Energieaufnahme für die Durchführung der vorgegebenen Bewegung zum Durchführungszeitpunkt t2 ermittelt.
Ähnlich zu den oben beschriebenen Ausführungsformen des erfmdungsgemäßen Verfahrens wird eine erste Energieaufnahme-Signatur und eine zweite Energieaufnahme-Signatur ermittelt. Die Recheneinheit vergleicht die Energieaufnahme-Signaturen zur Feststellung eines sicheren Betriebszustandes oder eines unsicheren Betriebszustandes.
Die Energieaufnahme kann üblichen Schwankungen unterliegen. Es wird die ermittelte Energieaufnahme mit einem Energieaufnahmebereich verglichen und eine positive Energieangabe, wenn die Energieaufnahme in dem Energieaufnahmebereich liegt, oder andernfalls eine negative Energieangabe erstellt.
Zum dem Auslieferungszeitpunkt tl wird im Regelfall eine positive erste Energieangabe erstellt, da die Energieaufnahme der Norm entspricht.
Zu dem Durchführungszeitpunkt t2 wird eine positive zweite Energieangabe erstellt, wenn die ermittelte zweite Energieaufnahme in dem zweiten Energieaufhahmebereich liegt.
Der zweite Energieaufhahmebereich kann dem ersten Energieaufhahmebereich entsprechen. Alternativ hierzu kann der zweite Energieaufhahmebereich dem um einen Faktor veränderten ersten Energieaufnahmebereich entsprechen, um eine Abnützung der Maschine und/oder einen geänderten Energieverbrauch des Motors zu berücksichtigen. Der geänderte Energieverbrauch des Motors liegt vor, wenn ein erster Energieverbrauch des Motors zu dem Auslieferungszeitpunkt tl zu einem zweiten Energieverbrauch des Motors zu dem Durchführungszeitpunkt t2 unterschiedlich ist.
Eine positive zweite Energieangabe kann ein Indiz dafür sein, dass kein Teil der Maschine wie ein Stopfaggregat zwischen dem Auslieferungszeitpunkt tl und dem Durchfuhrungszeitpunkt t2 verändert wurde.
Eine positive Energieangabe kann auf die Angabe der positiven Energieangabe beschränkt sein.
Eine negative Energieangabe kann eine Angabe umfassen, um welches Maß sich die ermittelte Energieaufnahme von dem Energieaufhahmebereich unterscheidet.
Eine siebte Ausführungsform des erfmdungsgemäßen Verfahrens kann die folgenden Verfahrensschritte umfassen:
- zu dem Auslieferungszeitpunkt tl die Recheneinheit eine erste Benutzerberechtigung-Signatur basierend auf einer ersten positiven Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Benutzerberechtigung-Signatur in der internen Datenbank und in der externen Datenbank abspeichert,
- zu dem Durchfuhrungszeitpunkt t2 liest der Sensor die Berechtigungszeitangabe des Benutzer aus,
- die Recheneinheit eine Berechtigungszeitangabe des Benutzers mit dem Durchführungszeitpunkt t2 vergleicht und die Recheneinheit eine zweite positive Benutzerberechtigung, wenn die Berechtigungszeitangabe den Durchführungszeitpunkt t2 umfasst, oder alternativ eine zweite negative Benutzerberechtigung erstellt,
- die Recheneinheit eine zweite Benutzerberechtigung-Signatur basierend auf der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt und
- die Recheneinheit die zweite Benutzerberechtigung-Signatur mit der ersten Benutzerberechtigung- Signatur der internen Datenbank und/oder der externen Datenbank vergleicht,
- Recheneinheit einen sicheren Betriebszustand, falls die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur übereinstimmen, ober andernfalls einen unsicheren
Betriebszustand, falls die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung- Signatur nicht übereinstimmen, ermittelt.
Die Berechtigungszeitangabe kann auf einer Karte abgespeichert sein, welche Karte von einem Kartenlesegerät ausgelesen wird. Auf der Karte kann als Berechtigungszeitangabe gespeichert werden, wann eine Person die Maschine bedienen darf.
Die Berechtigungszeitangabe kann einen Zeitraum angeben, in welchem Zeitraum eine Person zu einer Handlung berechtigt ist.
Es kann erforderlich sein, dass der Benutzer in vorgegebenen Zeitabständen die Karte zum Auslesen der Berechtigungszeitangabe in das Kartenlesegerät einführen muss. Es kann so unterbunden werden, dass der über die Karte registrierte Benutzer die Maschine verlässt oder ein anderer Benutzer die Maschine bedient. Eine Berechtigungszeitangabe, welche Berechtigungszeitangabe das Einlesen der Karte in Zeitabständen vorgibt, umfasst den Durchführungszeitpunkt t2 nicht, wenn die Karte nicht zu dem vorgegebenen Zeitpunkt eingelesen werden kann. Eine ebensolche Berechtigungszeitangabe umfasst den Durchfuhrungszeitpunkt t2, wenn die Karte zu dem vorgegebenen Zeitpunkt eingelesen werden kann.
Die positive Benutzerberechtigung kann auf eine Angabe der positiven Benutzerberechtigung beschränkt sein. Eine negative Benutzerberechtigung kann einen Zeitwert umfassen, um welchen Zeitwert die Berechtigungszeitangabe sich vom Durchfuhrungszeitpunkt t2 unterscheidet.
Die erste positive Benutzerberechtigung kann durch Programmieren erstellt werden.
Eine achte Ausführungsform des erfmdungsgemäßen Verfahrens kann die folgenden Verfahrensschritte umfassen:
- der Sensor als Komponente wird mit einem Eichwert beaufschlagt,
- der Sensor ermittelt einen Messwert,
- die Recheneinheit erstellt eine Messwert-Angabe in einem vorgegebenen Zahlenformat aus dem Messwert,
- die Recheneinheit erstellt eine Messwert-Signatur basierend auf der Messwert-Angabe,
- die Recheneinheit erstellt aus einem vorgegebenen Toleranzbereich eine maximale Serie von unterschiedlichen Toleranzwert-Angaben, welche Toleranzwert-Angaben das Zahlenformat aufweisen, wobei die Differenz zwischen den einzelnen Toleranzwert-Angaben größer oder gleich der kleinsten Einheit des Zahlenformates ist,
- die Recheneinheit erstellt Toleranzwert-Signaturen jeweils basierend auf den Toleranzwert-Angaben,
- die Recheneinheit speichert die Toleranzwert-Signaturen in der internen Datenbank und in der externen Datenbank ab,
- die Recheneinheit vergleicht die Messwert-Signatur mit den Toleranzwert-Signaturen,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Messwert-Signatur mit einer Toleranz-Signatur übereinstimmt,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Messwerte-Signatur mit keiner Toleranzwert-Signatur übereinstimmt.
Ein mittels eines Sensors ermittelter erster Messwert kann beispielsweise 2,51 sein. Der erste Messwert kann zu dem Auslieferungszeitpunkt tl ermittelt werden. Durch Runden des ersten Messwertes wird dieser erste Messwert in eine erste Messwert-Angabe gebracht, welche erste Messwert-Angabe ein vorgegebenes Zahlenformat aufweist. Beispielsweise umfasse das vorgegebene Zahlenformat eine Kommastelle; die Messwert- Angabe ist somit 2,5.
Der Toleranzbereich sei beispielsweise 2,4 bis 2,6. Dieser umfasset somit die Toleranzwerte 2,4 und 2,5 sowie 2,6 in dem vorgegebenen Zahlenformat. Eine erste Messwert-Signatur basierend auf der Messwert-Angabe 2,5 entspricht der Toleranzwert- Signatur von 2,5. Die Recheneinheit stellt einen sicheren Betriebszustand zu dem Auslieferungszeitpunkt tl fest.
Der Sensor kann zu einem Durchführungszeitpunkt t2 einen zweiten Messwert 2,93 ermitteln. Die zweite Messwert-Angabe ist 2,9. Die zweite Messwert-Signatur basierend auf der zweiten Messwert-Angabe 2,9 entspricht weder der Toleranzwert-Signatur basierend auf 2,4 noch der Toleranzwert-Signatur basierend auf 2,5 noch der Toleranzwert-Signatur basierend auf 2,6. Die Recheneinheit stellt somit einen unsicheren Betriebszustand fest.
Das erfindungsgemäße Verfahren kann zumindest zwei Ausführungsformen aus der erwähnten ersten Ausführungsform, der erwähnten zweiten Ausführungsform, der erwähnten dritten Ausführungsform, der erwähnten vierten Ausführungsform, der erwähnten fünften Ausführungsform, der erwähnten sechsten Ausführungsform, der erwähnten siebten Ausführungsform und der erwähnten achten Ausführungsform umfassen und weiters durch die folgenden Schritte gekennzeichnet sein:
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur oder die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur oder die falls die Auslieferungszeitpunkt-Signatur mit keiner Zertifikatszeitangaben-Signatur sowie die Durchführungszeitpunkt-Signatur mit keiner Zertifikatszeitangaben-Signatur, die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur oder die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur oder die Messwert-Signatur mit keiner Toleranzwert-Signatur nicht übereinstimmen.
Zusammenfassend und allgemein kann das erfindungsgemäße Verfahren vorsehen, dass zu einem Auslieferungszeitpunkt tl die erste Prüfangabe in Abhängigkeit einer Gültigkeit des Zertifikats, eine erste Kennung eines Teils der Maschine wie des ersten Sensors und eine Energieaufnahme für eine vorgegebene Bewegung erhoben werden. Es wird eine erste Signatur basierend auf der ersten Prüfangabe, der ersten Sensorkennung und der ersten Energieaufnahme nach einem digitalen Signaturverfahren erstellt.
Es wird weiters zu einem Durchführungszeitpunkt t2 die zweite Prüfangabe in Abhängigkeit einer Gültigkeit des Zertifikates, die zweite Kennung eines Teils der Maschine wie des zweiten Sensors und eine zweite Energieaufnahme für eine vorgegebene Bewegung erhoben. Es wird eine zweite Signatur basierend auf der zweiten Prüfangabe, der zweiten Sensorkennung und der zweiten Energieaufnahme erstellt.
Die zweite Signatur wird ausschließlich basierend auf Werte erstellt, welche Werte bei einem unveränderten Zustand der Maschine zwischen dem Auslieferungszeitpunt tl und dem Durchführungszeitpunkt t2 unveränderlich sind. Dies nimmt beispielsweise zum Durchführungszeitpunkt t2 erstellte Messwerte aus.
Da für die Erstellung der ersten Signatur und der zweiten Signatur die gleichen Signaturverfahren eingesetzt werden, sind die Signaturen miteinander vergleichbar, sodass eine Veränderung der Maschine oder eine negative Gültigkeit eines Zertifikates oder eine veränderte Energieaufnahme erkannt werden kann. Wenn auf der Grundlage des Vergleiches der Signaturen eine Veränderung der Maschine erkannt wird, so wird dieser Zustand der Maschine objektiv als ein unsicherer Betriebszustand betrachtet. Andernfalls wird ein Betriebszustand einer Maschine objektiv als sicher bewertet, wenn die Signaturen als gleich bewertet werden.
Zu dem Auslieferungszeitpunkt tl hegt die Maschine in einem durch eine erste Person erschaffenen ersten Zustand vor. Die erste Person kann ein Maschinenhersteller sein. Der erste Zustand wird bei dem erfmdungsgemäßen Verfahren durch die erste Sensorkennung und die erste Zertifikatsgültigkeit beschrieben.
Zu dem Durchführungszeitpunkt t2 kann die Maschine in einem durch eine zweite Person zweiten Zustand vorliegen. Der zweite Zustand kann zu dem ersten Zustand unterschiedlich sein. Die zweite Person kann ein weiterer Maschinenbauer sein. Der zweite Zustand geht in Form der zweiten Sensorkennung und der zweiten Zertifikatsgültigkeit in das erfmdungsgemäße Verfahren ein.
Eine mit Hilfe dieses Verfahrens detektierbare Veränderung der Maschine kann ein Austausch eines Sensors oder eine Veränderung der Gültigkeit eines Zertifikates, insbesondere ein zeitliches Ablaufen des Zertifikats sein. Das erfmdungsgemäße Verfahren erlaubt auch die Erkennung eines Austausches von beweglichen Teilen über das Feststellen der Energieaufnahme zur Durchführung der Bewegung.
Das erfmdungsgemäße Verfahren kann sich dadurch auszeichnen, dass
- zu dem Auslieferungszeitpunkt tl die Recheneinheit eine erste gemeinsame Signatur basierend auf zumindest zwei Angaben aus der ersten Komponentenkennung und der ersten Prüfangabe und der ersten Sensorkennung und der ersten Energieangabe und der ersten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- zu dem Durchführungszeitpunkt t2 die Recheneinheit eine zweite gemeinsame Signatur basierend auf zumindest zwei relevanten Angaben aus der zweiten Komponentenkennung und der zweiten Prüfangabe und der zweiten Sensorkennung und der zweiten Energieangabe und der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste gemeinsame Signatur und die zweite gemeinsame Signatur vergleicht,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste gemeinsame Signatur und die zweite gemeinsame Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste gemeinsame Signatur und die zweite gemeinsame Signatur nicht übereinstimmen. Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass
- zu dem Auslieferungszeitpunkt tl die Recheneinheit die erste Komponentenkennung-Signatur ausschließlich basierend auf der ersten Komponentenkennung und die erste Prüfangabe-Signatur ausschließlich basierend auf der ersten Prüfangabe und die erste Sensorkennung-Signatur ausschließlich basierend auf der ersten Sensorkennung und die erste Energieangabe-Signatur ausschließlich basierend auf der ersten Energieangabe und die erste Benutzerberechtigung-Signatur ausschließlich basierend auf der ersten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- zu dem Durchführungszeitpunkt t2 die Recheneinheit die zweite Komponentenkennung-Signatur ausschließlich basierend auf der zweiten
Komponentenkennung und die zweite Prüfangabe-Signatur ausschließlich basierend auf der zweiten Prüfangabe und die zweite Sensorkennung-Signatur ausschließlich basierend auf der zweiten Sensorkennung und die Energieangabe-Signatur basierend auf der zweiten Energieangabe und die zweite Benutzerberechtigung-Signatur ausschließlich basierend auf der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur sowie die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur vergleicht,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur sowie die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur oder die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur oder die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur oder die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur oder die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur nicht übereinstimmen. Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Recheneinheit einen Betriebszustand der Maschine als einen sicheren Betriebszustand erkennt und die Recheneinheit ein Protokoll mit einer Angabe des sicheren Betriebszustandes ausgibt.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Recheneinheit einen Betrieb einer Maschine als einen unsicheren Betriebszustand erkennt und ein Protokoll mit einer Angabe des unsicheren Betriebszustandes ausgibt.
Das erfindungsgemäße Verfahren wird vorzugsweise als ein computerimplementiertes Verfahren ausgeführt. Das Protokoll kann in Form einer Protokolldatei erstellt werden.
Ein sicherer Betriebszustand der Maschine kann bedingen, dass die Maschine beispielsweise von einer Person mit einer Berechtigung bedient wird.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Komponentensteuereinheit an den Sensor als Komponente eine Befehlsdatei zur Steuerung des Sensors als Komponente sendet, welche Befehlsdatei einen Sensorbefehl umfasst, und die Komponentensteuereinheit den Sensor zur Ermittlung des Messwerts an einem Messort und/oder einem Messzeitpunkt nach dem Sensorbefehl steuert.
Das erfindungsgemäße Verfahren kann umfassen, dass
- der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine Messabweichung des Sensors ermittelt, um welche Messabweichung sich der Messwert von dem Eichwert unterscheidet,
- die Recheneinheit den Betriebszustand als unsicher bewertet, wenn die Messabweichung eine vorgegebene Toleranz überschreitet.
Der hier beschriebene Abgleich des Messwertes mit einem Eichwert kann zu dem Ausführungszeitpunkt tl und/oder zu dem Durchführungszeitpunkt t2 durchgeführt werden. Der Anwender kann sich hierbei an Vorgaben von Normen et cetera orientieren.
Der erwähnte Abgleich kann derart erfolgen, dass der mit einem Eichwert beaufschlagter Sensor einen Messwert erstellt, welcher Messwert mit dem Eichwert abgeglichen wird. Hierdurch wird überprüft, ob der Sensor einen Messwert korrekt erstellt.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass
- zu dem Auslieferungszeitpunkt tl der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine erste Messabweichung des Sensors ermittelt, um welche erste Messabweichung sich der Messwert von dem Eichwert unterscheidet, - zu dem Durchführungszeitpunkt t2 der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine zweite Messabweichung des Sensors ermittelt, um welche zweite Messabweichung sich der Messwert von dem Eichwert unterscheidet,
- zu einem Auslieferungszeitpunkt tl die Recheneinheit einen ersten positiven Sensormessstatus, falls eine erste Messabweichung in der Toleranz liegt, oder eine ersten negativen Sensormessstatus, falls eine erste Messabweichung außerhalb der Toleranz liegt, erstellt,
- die Recheneinheit eine erste Sensormessstatus-Signatur basierend auf dem ersten Sensormessstatus nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Sensormessstatus-Signatur in der internen Datenbank und in der externen Datenbank abspeichert,
- zu einem Durchfuhrungszeitpunkt t2 die Recheneinheit einen zweiten positiven Sensormessstatus, falls eine zweite Messabweichung in der Toleranz hegt, oder einen zweiten negativen Sensormessstatus, falls eine zweite Messabweichung außerhalb der Toleranz liegt, erstellt,
- die Recheneinheit eine zweite Sensormessstatus-Signatur basierend auf dem zweiten Sensormessstatus nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit einen Betriebszustand als sicher, falls die erste Sensormessstatus-Signatur und die zweite Sensormessstatus-Signatur übereinstimmen, oder als unsicher bewertet, falls die erste Sensormessstatus-Signatur und die zweite Sensormessstatus-Signatur nicht übereinstimmen.
Der positive Sensormessstatus kann auf eine Angabe des positiven Sensormessstatus beschränkt sein.
Der negative Sensormessstatus kann die ermittelte Messabweichung in Form eines Zahlenwertes oder eine Toleranzüberschreitung umfassen. Die Toleranzüberschreitung ist die Messabweichung abzüglich der Toleranz.
Der negative Sensormessstatus kann eine Angabe des negativen Sensormessstatus umfassen.
Das erfmdungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Recheneinheit einen Befehl zur Ermittlung des Messwertes zu dem Auslieferungszeitpunkt tl und/oder zu dem Durchführungszeitpunkt t2 an die Sensorsteuereinheit sendet.
Ein Sensor der Maschine ist unterschiedlichen Umwelteinflüssen ausgesetzt, welche Umwelteinflüsse die Genauigkeit des Sensors verringern können. Es kann somit erforderlich sein, die Genauigkeit des Sensors zu dem Durchführungszeitpunkt tl zu überprüfen, wobei eine Genauigkeit des Sensors zum Auslieferungszeitpunkt t2 als Referenzzustand vorliegt.
Der erwähnte Eichwert kann auch eine Bereichsangabe sein. Der Messtatus kann ein binärer Wert sein.
Es ist auch denkbar, dass die Recheneinheit einen Messwert und einen Eichwert zu dem Auslieferungszeitpunkt tl und zu dem Durchführungszeitpunkt t miteinander vergleicht. Die Recheneinheit kann auch eine digitale Referenzsignatur und digitale Signatur einer Abweichung zwischen Messwert und Eichwert oder dergleichen berechnen. Eine solche Ausformung des erfindungsgemäßen Verfahrens wäre denkbar, jedoch weniger vorteilhaft, da bereits eine geringe, nicht relevante Veränderung der Abweichung zu einem negativen Sensormessstatus fuhren würden, sofern dies nicht durch aufwendige mathematische Maßnahmen kompensiert wird.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Recheneinheit einen Befehl zur Ermittlung von einem Messwert oder von Messdaten zu einem dem Auslieferungszeitpunkt tl oder dem Durchführungszeitpunkt t2 vorangegangenen Zeitpunkt und einen weiteren Befehl zur Ermittlung von einem weiteren Messwert oder weiteren Messdaten zu einem dem Auslieferungszeitpunkt tl oder dem Durchführungszeitpunkt t2 nachfolgenden Zeitpunkt an die Sensorsteuereinheit schickt.
Es kann insbesondere die Genauigkeit eines Sensors unmittelbar vor und unmittelbar nach der Durchführung von Instandhaltungsarbeiten überprüft werden. Die hier und oben erwähnte Überprüfung der Genauigkeit eines Sensors kann auch eine Überprüfung der Funktionalität des Sensors umfassen.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass
- der Sensor den Messwert ermittelt,
- die Sensorrecheneinheit eine Messwert-Signatur basierend auf dem vom Sensor ausgegebenen Messwert nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit ein den Messwert umfassendes Messprotokoll erstellt,
- die Recheneinheit eine Protokolldatei-Signatur basierend auf dem in der Protokolldatei umfassten Messwert nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die Protokolldatei umfassend einen positiven Berichtstatus, falls die Messwert- Signatur und die Protokolldatei-Signatur übereinstimmen, oder andernfalls einen negativer Berichtstatus, falls die Messwert-Signatur und die Protokolldatei-Signatur nicht übereinstimmen, erstellt,
- die Recheneinheit in der Protokolldatei den Berichtstatus ausgibt.
Es wird hierdurch unterbunden, dass die Messwerte ausschließlich in der Dokumentationsdatei dokumentiert sind und diese Messwerte darüber hinaus leicht manipulierbar sind. Aus diesem Grund wird eine digitale Signatur des Messwertes erstellt, unmittelbar nachdem der Sensor den Messwert an die Sensorrecheneinheit schickt und noch bevor der Benutzer Kenntnis von dem Vorhandensein des Messwertes hat. Die Signatur wird somit zu einem Zeitpunkt erstellt, zu welchem Zeitpunkt keine Manipulation des Messwertes denkbar ist.
Die weitere digitale Signatur wird erstellt, wenn der Messwert zur Anzeige aufbereitet wird. Die zweite Signatur wird somit zu einem Zeitpunkt erstellt, zu welchem Zeitpunkt der Benutzer die Möglichkeit hat, den Messwert unter Missachtung von Bestimmungen zu ändern. Eine solche Änderung ist durch einen Vergleich der digitalen Signaturen feststellbar.
Die Erfindung wird anhand der folgenden, in den Figuren dargestellten Ausführungsformen ergänzend erläutert: Fig. 1 zeigt die Verfahrensschritte des erfindungsgemäßen Verfahrens zu dem Auslieferungszeitpunkt,
Fig. 2 zeigt die Verfahrensschritte des erfindungsgemäßen Verfahrens zu einem Durchführungszeitpunkt.
Die in den Figuren gezeigten Ausführungsformen zeigen lediglich mögliche Ausführungsformen, wobei an dieser Stelle bemerkt sei, dass die Erfindung nicht auf diese speziell dargestellten Ausführungsvarianten derselben eingeschränkt ist, sondern auch Kombinationen der einzelnen Ausführungsvarianten untereinander und eine Kombination einer Ausführungsform mit der oben angeführten allgemeinen Beschreibung möglich sind. Diese weiteren möglichen Kombinationen müssen nicht explizit erwähnt sein, da diese weiteren möglichen Kombinationen aufgrund der Lehre zum technischen Handeln durch gegenständliche Erfindung im Können des auf diesem technischen Gebiet tätigen Fachmannes liegen.
Der Schutzbereich ist durch die Ansprüche bestimmt. Die Beschreibung und die Zeichnungen sind jedoch zur Auslegung der Ansprüche heranzuziehen. Einzelmerkmale oder Merkmalskombinationen aus den gezeigten und beschriebenen unterschiedlichen Ausführungsformen können für sich eigenständige erfinderische Lösungen darstellen. Die den eigenständigen erfinderischen Lösungen zugrundeliegende Aufgabe kann der Beschreibung entnommen werden.
Die Figur 1 und die Figur 2 veranschaulichen das erfindungsgemäße Verfahren umfassend die oben erwähnte erste Ausführungsform und die oben erwähnte zweite Ausführungsform.
Die Figur 1 veranschaulicht grundsätzlich die Verfahrensschritte des Auslieferungszeitpunktes tl. Die Figur 2 zeigt grundsätzlich die Verfahrensschritte des Durchführungszeitpunktes tl. Das erfindungsgemäße Verfahren kann die in der Figur 1 und in der Figur 2 veranschaulichten Verfahrensschritte umfassen.
Das hier offenbarte erfindungsgemäße Verfahren stellt sich der Aufgabe der Feststellung, ob eine Maschine zum Instandsetzen eines Gleis - hier auch als Instandsetzungsmaschine bezeichnet - bei der Durchführung von Instandsetzungsarbeiten durch einen Benutzer zu einem Durchführungszeitpunkt t2 jenen Zustand aufweist, in welchem Zustand die Maschine vom Maschinenhersteller zum Auslieferungszeitpunkt tl ausgeliefert wurde.
Im Eisenbahnwesen verwendete Maschinen werden häufig ohne das Wissen oder die Zustimmung des Maschinenherstellers von dritten Personen verändert. Ein Betrieb einer veränderten Maschine ist grundsätzlich als ein unsicherer Betriebszustand anzusehen; ein Betrieb einer unveränderten Maschine gilt als ein sicherer Betriebszustand in Bezug auf die Betriebssicherheit und das Ergebnis der Arbeiten mit der Maschine.
Das hier offenbarte Verfahren wird als ein computerimplementiertes Verfahren ausgeführt.
Die Maschine umfasst eine Recheneinheit, zumindest einen Sensor zur Aufnahme zumindest eines Messwertes eines Gleises und eine Sensorsteuereinheit. Die Recheneinheit kann als eine zentrale Steuereinheit zum Steuern der Maschine angesehen werden. Die Recheneinheit umfasst einen Zeitgeber.
Es kann der erwähnte Zeitgeber der einzige Zeitgeber der Maschine sein und Komponenten der Maschine wie ein Sensor der Maschine einen Zeitwert von dem einzigen Zeitgeber anfragen, falls eine Steuerung der Komponenten einen Zeitwert benötigt. Hierdurch wird erreicht, dass die Steuerung der Komponenten auf einem einzigen, vom dem einzigen Zeitgeber vorgegebenen Zeitwert basiert. Hierdurch wird insbesondere erreicht, dass ein Zeitpunkt nur durch einen einzigen Zeitwert und nicht durch eine Vielzahl zueinander zu synchronisierenden Zeitwerten beschrieben wird.
Die Sensorsteuereinheit steuert den Sensor zur Aufnahme des zumindest einen Messwertes. Die Steuerung des Sensors kann derart sein, dass die Sensorsteuereinheit unabhängig von der Taktung oder einer sonstigen Eigenschaft des Sensors einen Messort und/oder einen Messzeitpunkt zur Ermittlung des Messwertes angibt, wie dies nach dem Stand der Technik bekannt ist.
Die Maschine umfasst weiters eine interne Datenbank. In der internen Datenbank ist ein Zertifikat der Maschine oder eines Teils der Maschine wie eines Sensors abgespeichert. Das Zertifikat umfasst eine Zertifikatszeitangabe, durch welche Zertifikatszeitangabe eindeutig festgelegt ist, bis zu welchem Zeitpunkt ein Zertifikat gültig ist.
Es bestehen Datenverbindungen zwischen den erwähnten Einheiten, der internen Datenbank und weiters einer externen Datenbank. Die Datenverbindungen und die Datenbanken können unterschiedliche Schreibrechte und Leserechte aufweisen.
Das erfmdungsgemäße Verfahren basiert auf einer Definition von drei möglichen Zuständen der Maschine.
Ein Zustand der Maschine ist der vom Maschinenbauer geschaffene und so einem Kunden als Benutzer übergegebenen Auslieferungszustand der Maschine zu einem Auslieferungszeitpunkt tl.
Die weiteren Zustände sind Betriebszustände, bei welchen Betriebszuständen die Maschine im Verantwortungsbereich des Kunden als Benutzer unterliegt.
Ein weiterer Zustand der Maschine ist der Zustand eines sicheren Betriebszustandes der Maschine im Betrieb zu einem Durchführungszeitpunkt t2. Der sichere Betriebszustand der Maschine entspricht im Wesentlichen dem Auslieferungszustand und es sind die Zertifikate gültig.
Im Gegensatz zu dem sicheren Betriebszustand kann auch ein unsicherer Betriebszustand vorliegen. Ein unsicherer Betriebszustand liegt dann vor, wenn die Maschine oder Teile der Maschine im Vergleich zum Auslieferungszustand verändert sind und/oder ein Zertifikat abgelaufen ist.
Das erfmdungsgemäße Verfahren stellt sich die Aufgabe festzustellen, ob die Maschine zu einem nach dem Auslieferungszeitpunkt tl stattfindenden Durchführungszeitpunkt t2 sich in einem sicheren oder unsicherem Betriebszustand befindet. Es sind zur Durchführung des erfmdungsgemäßen Verfahrens die folgenden Verfahrensschritte erforderlich. Die Reihenfolge der Verfahrensschritte ist lediglich durch das Anführen der jeweiligen Zeitpunkte wie Ausführungszeitpunt tl, Durchführungszeitpunkt t2 vorgegeben und ansonsten frei.
Die Figur 1 veranschaulicht die Verfahrensschritte des erfmdungsgemäßen Verfahrens zu dem Auslieferungszeitpunkt tl .
Zu dem Auslieferungszeitpunkt tl ermittelt die Recheneinheit eine erste Sensorkennung des zum Auslieferungszeitpunkt tl vorhandenen ersten Sensors. Unter Anwendung von Verfahren nach dem Stand der Technik kann eine Sensorkennung eines Sensors im Allgemeinen, hier die erste Sensorkennung des Sensors abgefragt werden. Der erste Sensor übermittelt seine erste Sensorkennung als Antwort auf diese Anfrage.
Die erste Sensorkennung kann ein mehrstelliger Code sein, durch welchen Code der Hersteller des Sensors oder der Maschine den jeweiligen Sensor eindeutig kennzeichnet. Derartige Codes zur Sensorkennung sind nach der gängigen Lehre bekannt.
Die Recheneinheit kann die erste Sensorkennung in einer internen Datenbank abspeichem.
Die Recheneinheit erstellt weites zum Ausführungszeitpunkt tl eine erste Sensorkennung-Signatur basierend auf der ersten Sensorkennung nach einem digitalen Signaturverfahren. Die Recheneinheit speichert erste Signatur in der internen Datenbank und in der externen Datenbank ab.
Die externe Datenbank kann beispielsweise eine Cloud-Datenbank ein.
Zu dem Auslieferungszeitpunkt tl vergleicht die Recheneinheit die Zertifikatszeitangabe eines in der internen Datenbank hinterlegten Zertifikats mit dem Auslieferungszeitpunkt tl ab. Die Recheneinheit erstellt eine positive erste Prüfangabe, wenn die Zertifikatszeitangabe den Auslieferungszeitpunkt tl umfasst, oder alternativ eine negative erste Prüfangabe.
Ein nach der gängigen Praxis erstellter Prüfbericht kann eine solche Prüfangabe umfassen. Eine positive Prüfangabe kann auf die Angabe der positiven Prüfangabe wie beispielswiese „Zertifikat in Ordnung“ beschränkt sein. Eine negative Prüfangabe kann die Angabe umfassen, um welchen Zeitwert die Zertifikatszeitangabe den Ausführungszeitpunkt tl überschreitet.
Nachdem üblicherweise nur eine Maschine mit einer gültigen Signatur ausgeliefert wird, ist die erste Prüfangabe üblicherweise positiv.
Es ist auch denkbar, dass die erste positive Prüfangabe durch Programmieren erstellt wird.
Die Recheneinheit erstellt eine erste Prüfangabe-Signatur basierend auf der ersten Prüfangabe nach dem digitalen Signaturverfahren. Die Recheneinheit speichert die Prüfangabe-Signatur in der internen Datenbank und in der externen Datenbank ab.
Zu dem Auslieferungszeitpunkt tl wird weiters über einen Sensor eine erste Energieaufnahme eines Motors ermittelt. Der erwähnte Sensor kann der erste Sensor sein. Die erste Energieaufnahme kann erforderlich sein, dass der Motor zu dem Auslieferungszeitpunkt tl eine vorgegebene Bewegung eines mechanischen Teils initiiert.
Es wird die erste Energieaufgabe mit einem ersten Energieaufhahmebereich abgeglichen. Da grundsätzlich angenommen werden kann, dass die Maschine zu dem Auslieferungszeitpunkt tl den vorgegebenen Anforderungen entspricht, wird eine positive erste Energieangabe erstellt.
Die obige Beschreibung umfasst Angaben über den Inhalt einer positiven Energieangabe und einer negativen Energieangabe. Die positive Energieangabe kann beispielsweise die Angabe „Energieaufnahme in Ordnung“ oder einen Zahlenwert wie beispielsweise „100“ umfassen.
Die Recheneinheit erstellt wiederum eine erste Energieangabe-Signatur basierend auf der ersten Energieangabe. Die Energieangabe-Signatur wird in der internen Datenbank und in der externen Datenbank abgespeichert.
Zusammenfassend bietet das erfmdungsgemäße Verfahren dem Maschinenbauer die Möglichkeit, den Zustand der ausgelieferten Maschine zum Auslieferungszeitpunkt tl auf Basis der ersten Sensorkennung, auf der Grundlage der ersten Zertifikatszeitangabe und auf Basis der ersten Energieaufnahme zur Durchführung einer vorgegebenen Bewegung zu dokumentierten.
Vorzugsweise hat ausschließlich der Maschinenbauer die erforderlichen Schreiberecht und Leserechte auf der internen Datenbank und der externen Datenbank, um den Zustand der Maschine anhand der ersten Sensorkennung und anhand der Zertifikatsgültigkeit in der jeweiligen Datenbank zu dokumentieren.
Die Figur 2 veranschaulicht die Verfahrensschritte des erfmdungsgemäßen Verfahrens zu dem Durchführungszeitpunkt t2, welcher Durchführungszeitpunkt t2 nach dem Auslieferungszeitpunkt tl liegt. Die Verfahrensschritte zum Durchführungszeitpunkt t2 betreffen im Wesentlichen den Betrieb der Maschine auf der Eisenbahnstrecke.
Zu dem Durchführungszeitpunkt t2 wird die zweite Sensorkennung des zweiten Sensors erhoben.
Die zweite Sensorkennung des zweiten Senors zum Durchführungszeitpunkt t2 kann so erfolgen, dass die Recheneinheit die zweite Sensorkennung des zweiten Sensors von eben dem zweiten Sensor oder hierzu gleichwertig von einem Datenspeicher abfragt. Alternativ oder ergänzend hierzu kann die Sensorsteuereinheit den zweiten Sensor zur Ermittlung eines Messwertes ansteuem.
Der zweite Sensor sendet als Antwort auf die Abfrage beziehungsweise als Antwort auf die Ansteuerung der Recheneinheit einen Messdatensatz an die Sensorsteuereinheit.
Der Messdatensatz umfasst den Messwert und die zweite Sensorkennung. Bei der oben erwähnten Anfrage der zweiten Sensorkennung ist üblicher Weise der Messwert Null. Bei der oben erwähnten Ansteuerung ist der Messwert die durch den zweiten Sensor ermittelte Größe.
Die Recheneinheit kann die zweite Sensorkennung in der internen Datenbank abspeichem. Die zweite Sensorkennung kann als ein Teil des Messdatensatzes oder hiervon getrennt abgespeichert sein. Die Recheneinheit erstellt eine zweite Sensorkennung-Signatur basierend auf der zweiten Sensorkennung nach dem digitalen Signaturverfahren, welches digitales Signaturverfahren auch bei der Erstellung der ersten Sensorkennung-Signatur angewandt wurde.
Die Sensorkennung-Signatur wird nicht basierend auf dem ermittelten Messwert nach dem digitalen Signaturverfahren erstellt.
Zu dem Durchführungszeitpunkt t2 vergleicht die Recheneinheit die Zertifikatszeitangabe mit dem Durchführungszeitpunkt t2 ab. Die Recheneinheit erstellt eine positive zweiten Prüfangabe, wenn die Zertifikatszeitangabe den Durchfuhrungszeitpunkt t2 umfasst, oder alternativ eine negative zweite Zertifikatgültigkeit.
Die zweite Prüfangabe kann wiederum Teil eines Prüfberichtes sein. Die zweite Prüfangabe wird nach dem gleichen Prinzip wie die erste Prüfangabe erstellt.
Die positive zweite Prüfangabe kann lediglich die positive zweite Prüfangabe umfassen. Es sind hierzu oben Beispiele für die positive erste Prüfangabe abgegeben, welche Beispiele auf die zweite Prüfangabe anzuwenden sind.
Die negative zweite Prüfangabe kann einen Zeitwert umfassen, um welchen Zeitwert der Durchführungszeitpunkt t2 den Zertifikatszeitpunkt überschreitet. Ergänzend kann die negative zweite Prüfangabe eine Angabe „Zertifikat nicht in Ordnung“ umfassen.
Ein Zertifikat kann ein ab dem Auslieferungszeitpunkt tl für eine definierte Zeitspanne gültiges Zertifikat sein. Der Auslieferungszeitpunkt tl kann im Rahmen der Offenbarung des erfmdungsgemäßen Verfahrens jener Zeitpunkt sein, zu welchem Zeitpunkt die Maschine ab Werk oder auf der Eisenbahnstrecke nach einer Revision zur Durchführung von Instandhaltungsarbeiten vom Maschinenhersteller an den Benutzer übergeben wird.
Die Zertifikatszeitangabe ist ein Zeitpunkt der erwähnten Zeitspanne, in welcher Zeitspanne das Zertifikat gültig ist, und definiert somit jenen Zeitpunkt, zu welchem Zeitpunkt die Maschine ein gültiges Zertifikat aufweist. Es wird durch einen Vergleich der Zertifikatszeitangabe mit dem Auslieferungszeitpunkt tl oder mit dem Durchführungszeitpunkt t2 festgestellt, ob die Maschine zu dem Auslieferungszeitpunkt tl beziehungsweise zu dem Durchführungszeitpunkt t2 ein zeitlich gültiges Zertifikat aufweist.
Die zum Durchführungszeitpunkt t2 erstellte zweite Prüfangabe kann durch die Recheneinheit in einer internen Datenbank abgespeichert werden.
Es wird weiters zweite Prüfangabe-Signatur basierend auf der zweiten Prüfangabe nach dem digitalen Signaturverfahren erstellt werden, welches digitale Signaturverfahren bei der Erstellung der ersten Prüfangabe-Signatur angewendet wird.
Es wird insbesondere darauf hingewiesen, dass das digitale Signaturverfahren zur Erstellung der Sensorkennung-Signaturen und das digitale Signaturverfahren zur Erstellung der Prüfangabe-Signaturen nicht die gleichen Signaturverfahren sein müssen. Zu dem Durchführungszeitpunkt wird die zweite Energieaufnahme des Motors zur Durchführung einer vorgegebenen Bewegung eines Teils der Maschine ermittelt. Eine sich von der ersten Energieaufnahme unterscheidende zweite Energieaufnahme ist ein Indiz für einen Austausch oder eine Veränderung des Teils der Maschine.
Es wird die zweite Energieaufnahme mit einem zweiten Energieaufhahmebereich abgeglichen. Der zweite Energieaufnahmebereich ist eine um einen Faktor veränderte Bereichsangabe des ersten Energieaufnahmebereiches. Hierdurch wird unterbunden, dass eine übliche Veränderung der Maschine und eine damit verbundene Veränderung des Energiebedarfes zu der unrichtigen Annahme führt, dass der erwähnte Teil der Maschine zwischen dem Auslieferungszeitpunkt tl und dem Durchführungszeitpunkt ausgetauscht wurde.
Es wird wiederum eine positive oder negative zweite Energieangabe erstellt, wie dies in der Beschreibung hinreichend offenbart ist. Die negative zweite Energieangabe kann einen von der ermittelten Energieaufnahme abhängigen, veränderlichen Wert umfassen. Die negative zweite Energieangabe kann beispielsweise „Energieaufnahme nicht in Ordnung, Überschreitung um 10%“ umfassen.
Es wird eine zweite Energieangabe-Signatur der zweiten Energieangabe erstellt. Die zweite Energieangabe-Signatur wird in der internen Datenbank und in der externen Datenbank abgespeichert.
Das erfmdungsgemäße Verfahren kann den Verfahrensschritt umfassen, dass eine Protokolldatei erstellt wird. Die Protokolldatei kann eine Ausgabe der Messdaten über einen Zeitraum umfassend den Durchführungszeitpunkt t2 darstellen. Die Protokolldatei kann die Ausgabe von mehreren, zu nacheinander folgenden Durchführungszeitpunkten erstellte Messdaten umfassen.
Da das erfmdungsgemäße Verfahren ein computerimplementiertes Verfahren ist, hegt die Protokolldatei als eine Datei vor. In Ergänzung hierzu kann der Inhalt der Protokolldatei auch ausgedruckt werden und somit als Papierform vorliegen.
Das erfmdungsgemäße Verfahren erlaubt die Ermittlung eines sicheren Betriebszustandes der Maschine zu dem Durchführungszeitpunkt t2.
Es liegen die erste Sensorkennung-Signatur, die erste Prüfangabe-Signatur und die erste Energieangabe- Signatur als erste Signaturen vor. Die ersten Signaturen beschreiben den Zustand der Maschine zum Auslieferungszeitpunkt tl .
Es liegen weiters die zweite Sensorkennung-Signatur, die zweite Prüfangabe-Signatur und die zweite Energieangabe-Signatur als zweite Signaturen vor. Die zweiten Signaturen beschreiben den Zustand der Maschine zum Durchführungszeitpunkt t2.
Die Bewertung des Betriebszustandes als einen sicheren Betriebszustandes oder als einen sicheren Betriebszustand basiert auf einem Vergleich der ersten Signaturen mit den zweiten Signaturen.
Die Erstellung der ersten Signaturen und der zweiten Signaturen ist so konzipiert, dass die ersten Signaturen und die zweiten Signaturen gleich sind, wenn die Maschine zum Auslieferungszeitpunkt tl der Maschine zum Durchführungszeitpunkt t2 entspricht. Die ersten Signaturen und die zweiten Signaturen werden ausschließlich basierend auf Werte erstellt, welche Werte bei einer gleichen Maschine zu dem Auslieferungszeitpunkt tl und zu dem Auslieferungszeitpunkt t2 gleich sind.
Bei einer aufrechten Datenverbindung zwischen der Recheneinheit und der externen Datenbank vergleicht die Recheneinheit hierzu die in der externen Datenbank abgespeicherte, zum Auslieferungszeitpunkt tl erstellte erste Signaturen mit der zum Durchführungszeitpunkt t2 erstellten zweiten digitalen Signatur.
Es kann der Fall vorliegen, dass keine Datenverbindung zwischen der Recheneinheit und der externen Datenbank vorliegt. Dies kann beispielsweise der Fall sein, wenn sich die Maschine in einem Tunnel befindet und die externe Datenbank ein Cloudspeicher ist.
Bei einer nicht aufrechten Datenverbindung zwischen Recheneinheit und der externen Datenbank vergleicht die Recheneinheit die in der internen Datenbank abgespeicherten, zum Auslieferungszeitpunkt tO erstellten erste Signaturen mit den zum Durchfuhrungszeitpunkt t2 erstellten Signatur.
Das erfmdungsgemäße Verfahren kann auch einen zweistufigen Abgleich der digitalen Signaturen umfassen. In einem ersten Vergleichsschritt werden die zweiten Signaturen mit den in der internen Datenbank abgespeicherten ersten Signaturen und in einem zweiten Vergleichsschritt mit den in der externen Datenbank abgespeicherten ersten Signatur verglichen. Der zweite Vergleichsschritt kann unabhängig oder abhängig von dem Ergebnis des ersten Vergleichsschrittes durchgeführt werden.
Eine bei der Durchführung des erfindungsgemäßen Verfahrens abschließend erstellte Protokolldatei kann eine Angabe umfassen, ob der Betriebszustand der Maschine als sicher oder als unsicher anzusehen ist. Das erfmdungsgemäße Verfahren weist im Vergleich zu Verfahren nach dem Stand der Technik den Vorteil auf, dass diese Bewertung ausschließlich nach objektiven Kriterien erfolgt.
Ein sicherer Betriebszustand liegt defmitionsgemäß dann vor, wenn zum Durchführungszeitpunkt t2 der zweite Zustand der Maschine dem ersten Zustand der Maschine entspricht und die Zertifikate zeitlich gültig sind. Es ist mittels des erfindungsgemäßen Verfahrens ein solcher sicherer Betriebszustand eindeutig erkennbar, wenn die ersten Signaturen den zweiten Signaturen entsprechen. Diese Aussage dieses Vergleiches wird dadurch erreicht, dass die Signaturen aus Werten erstellt werden, welche Werte sich bei einem sicheren Betriebszustand zwischen dem Auslieferungszeitpunkt tl und dem Durchführungszeitpunkt t2 nicht verändern. Dies schließt ein, dass an der Maschine keine Sensoren verändert wurden und dass ein zeitlich gültiges Zertifikat vorliegt.
Ein sicherer Betriebszustand liegt vor, falls die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur gleich sind. Die Recheneinheit stellt diese Gleichheit durch einen Vergleich der erwähnten Signaturen fest.
Alternativ kann ein unsicherer Betriebszustand erkannt werden. Ein unsicherer Betriebszustand liegt dann vor, wenn ein Sensor der Maschine verändert wurde oder das Zertifikat zeitlich ungültig ist. Ein unsicherer Betriebszustand liegt vor, falls die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur oder die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur oder die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur ungleich sind. Die Recheneinheit stellt diese Ungleichheit durch einen Vergleich der erwähnten Signaturen fest.
Das erfmdungsgemäße Verfahren kann um die Ermittlung einer Benutzerberechtigung erweitert werden.
Der mit dem Sensor ermittelte Messwert kann ein einen Benutzer beschreibender Messwert sein. Die Maschine kann einen Sensor zum Auslesen von Benutzerdaten umfassen. Der Sensor kann beispielsweise ein Kartenlesegerät zum Lesen von Benutzerdaten umfassen.
Das erfmdungsgemäße Verfahren kann umfassen, dass zu dem Auslieferungszeitpunkt tl die Recheneinheit eine Benutzerberechtigung-Signatur auf Basis einer ersten positive Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt. Die Recheneinheit speichert die erste Benutzerberechtigung-Signatur in der internen Datenbank und in der externen Datenbank ab.
Es kann die erste positive Benutzerberechtigung programmiert werden.
Zu dem Durchführungszeitpunkt t2 gleicht die Recheneinheit eine Berechtigungszeitangabe des Benutzers mit dem Durchführungszeitpunkt t2 ab. Die Recheneinheit erstellt eine zweite positive Benutzerberechtigung, wenn die Berechtigungszeitangabe den Durchführungszeitpunkt tl umfasst, oder andernfalls eine zweite negative Benutzerberechtigung, wenn die Berechtigungszeitangabe den Durchführungszeitpunkt tl nicht umfasst.
Die erwähnte Berechtigungszeitangabe kann auf einer Karte gespeichert sein, welche Karte mit einem den Sensor umfassenden Kartenlesegerät ausgelesen wird.
Die Recheneinheit erstellt eine zweite Benutzerberechtigung-Signatur auf Basis der zweiten Benutzerberechtigung. Es wird hierbei dasselbe Verschlüsselungsverfahren wie bei der Erstellung der ersten Benutzerberechtigung-Signatur angewandt.
Zur Bewertung des Betriebszustandes vergleicht die Recheneinheit die erste Benutzerberechtigung- Signatur mit der zweiten Benutzerberechtigung-Signatur der internen Datenbank und/oder der externen Datenbank. Es liegt ein sicherer Betriebszustand vor, falls die erste Benutzerberechtigung-Signatur der zweiten Benutzerberechtigung-Berechtigung entspricht und auch die obigen Bedingungen eines sicheren Betriebszustandes erfüllt sind. Andernfalls wird der Betriebszustand als unsicher bewertet, wenn eine erste Signatur und eine zweite Signatur ungleich sind.
Das erfmdungsgemäße Verfahren kann auch umfassen, dass der Betrieb in Bezug auf einen gültigen Sensormessstatus des Sensors beurteilt wird.
Es wird beispielsweise in den einschlägigen Normen vorgeschlagen, den Sensor mit einer geeichten Messgröße zu beaufschlagen, den Messwert zu ermitteln und den Messwert mit einem Eichwert zu vergleichen. Der Sensor sendet den Messwert an die Recheneinheit. Die Recheneinheit vergleicht den Messwert mit dem Eichwert und erstellt einen positiven Sensormessstatus, wenn der Messwert dem Eichwert entspricht, oder alternativ einen negativen Sensormessstatus.
Der positive Sensormessstatus kann auf die Angabe des positiven Sensormessstatus beschränkt sein. Der negative Sensormessstatus kann eine Abweichungsangabe umfassen, um welche Abweichungsangabe sich der Messwert von dem Eichwert unterscheidet. Die Abweichungsangabe kann ein Zahlenwert oder eine Bereichsangabe sein.
Dieser Vorgang der Ermittlung des Sensormessstatus kann zu dem Auslieferungszeitpunkt tl ermittelt werden. Nachdem nur eine den Normen entsprechende Maschine ausgeliefert werden darf, wird zum Auslieferungszeitpunkt tl ein erster positiver Sensormessstatus erstellt. Die Recheneinheit erstellt eines erste Sensormessstatus-Signatur basierend auf dem Messtatus nach einem digitalen Signaturverfahren. Die Signatur des ersten Sensormessstatus wird in der internen Datenbank und/oder in der externen Datenbank abgespeichert.
Es kann auch zum Auslieferungszeitpunkt tl auch ein positiver Sensormessstatus durch Programmieren erstellt werden. Dies hat jedoch den Nachteil, dass die Genauigkeit des Sensors nicht überprüft wird.
Es kann in Analogie zu der Ermittlung des ersten Sensormessstatus auch der zweite Sensormessstatus zu dem Durchführungszeitpunkt t2 ermittelt werden. Es kann auch ein Sensormessstatus zu einem dem Durchführungszeitpunkt t2 vorangegangenen Zeitpunkt und/oder zu einem dem Durchführungszeitpunkt t2 nachfolgender Zeitpunkt ermittelt werden.
Die Recheneinheit erstellt eine zweite Sensormessstatus-Signatur basierend auf dem zweiten Sensormessstatus nach dem digitalen Signaturverfahren.
Zur Bewertung des Betriebszustandes vergleicht die Recheneinheit die erste Messtatus-Signatur mit der zweiten Sensormessstatus-Signatur der internen Datenbank und/oder der externen Datenbank. Es liegt ein sicherer Betriebszustand vor, falls die erste Sensormessstatus-Signatur der zweiten Sensormessstatus- Signatur entspricht und auch die obigen Bedingungen eines sicheren Betriebszustandes erfüllt sind. Andernfalls wird der Betriebszustand als unsicher bewertet, wenn eine erste Signatur und eine zweite Signatur ungleich sind.
Die Figur 3 veranschaulicht insbesondere einen Teil des erfindungsgemäßen Verfahrens, welcher Teil nach oder während des Durchführungszeitpunktes t2 abgehandelt wird, in einer zu der Darstellung in Figur 2 unterschiedlichen Form. Es wird die Beurteilung des Betriebszustandes als sicher oder unsicher auf der Grundlage einer Eigenschaft der Maschine allgemein erläutert.
Die im Folgenden betrachtete Eigenschaft der Maschine wird in allgemeinsten Fall durch einen Wert beschrieben, welcher Wert im Folgenden als Eigenschaftswert erwähnt ist. Der Eigenschaftswert kann - in Bezugnahme auf die obige Beschreibung - eine Kennung oder eine Zeitangabe sein.
Die Recheneinheit ermittelt zu einem Auslieferungszeitpunkt tl einen ersten Eigenschaftswert eines ersten Teils der Maschine. Die Recheneinheit kann den ersten Eigenschaftswert in der internen Datenbank abspeichem. Der erste Eigenschaftswert der internen Datenbank kann als solcher von weiteren Einheiten der Maschine zur weiteren Verarbeitung wie die Durchführung eines Vergleiches mit einem anderen Wert gelesen werden. Dies wird in der Figur 3 nicht betrachtet.
Die Recheneinheit erstellt eine erste Signatur basierend auf den ersten Eigenschaftswert der ersten Einheit der Maschine nach einem digitalen Signaturverfahren. Die erste Signatur des ersten Eigenschaftswertes wird erstellt, um einen zu einem nachfolgenden Durchführungszeitpunkt t2 ermittelten zweiten Eigenschaftswert durch ein sicheres, integres Verfahren mit dem ersten Eigenschaftswert vergleichen zu können.
Die Recheneinheit speichert die erste Signatur des ersten Eigenschaftswertes in einer externen Datenbank wie beispielsweise einer Cloud ab. Die externe Datenbank ist außerhalb der Maschine anageordnet. Hierdurch wird erreicht, dass die Dokumentation des ersten Eigenschaftswertes im Verfügungsbereich des Maschinenbauers ist. Die erste Signatur kann nur von der externen Datenbank abgerufen werden, falls eine Datenverbindung zwischen der Maschine und der externen Datenbank besteht.
Die Recheneinheit speichert die erste Signatur des ersten Eigenschaftswertes in einer internen Datenbank ab. Hierdurch soll ein Abgleich der Eigenschaftswerte möglich sein, wenn keine Datenverbindung zwischen der Maschine und der externen Datenbank vorhanden ist
Die Recheneinheit ermittelt zu einem Durchführungszeitpunkt t2 den zweiten Eigenschaftswert eines zweiten Teils der Maschine.
Die Recheneinheit ermittelt eine zweite Signatur basierend auf dem zweiten Eigenschaftswert nach dem digitalen Verschlüsselungsverfahren, welches Verschlüsselungsverfahren zur Erstellung der ersten Signatur angewendet wird.
Die Recheneinheit ruft bei einer aufrechten Datenverbindung zwischen der Recheneinheit und der externen Datenbank die erste Signatur des ersten Eigenschaftswertes der externen Datenbank ab. Die Recheneinheit kann alternativ oder ergänzend hierzu die erste Signatur des ersten Eigenschaftswertes von der internen Datenbank abrufen. Es sind in der Figur 3 die externe Datenbank und die interne Datenbank vereinheitlicht als eine Datenbank dargestellt. Die Darstellung der Figur 3 unterscheidet nicht zwischen den erwähnten Datenbanken.
Die Recheneinheit vergleicht die erste Signatur mit der zweiten digitalen Signatur. Bei einer Gleichheit der digitalen Signaturen ist der Betriebszustand als sicher zu bewerten. Der Betriebszustand ist als unsicher zu bewerten, wenn die erste Signatur und die zweite Signatur nicht übereinstimmen.
Ergänzend zu einer Bewertung des Betriebes als unsicher, kann auch das Instandsetzungsverfahren gestoppt werden.
Bei einem sicheren Betriebszustand wird zumindest ein Messwert mit zumindest einem Sensor ermittelt.
Das erfindungsgemäße Verfahren kann eine Definition von Bedingungen umfassen, unter welchen Bedingungen ein Messwert mittels eines Sensors bei einem unsicheren Betriebszustand ermittelt werden kann.
Das erfindungsgemäße Verfahren kann sich dadurch auszeichnen, dass die Sensorrecheneinheit eine Signatur derjenigen Messwerte nach einem digitalen Signaturverfahren erstellt, welche Messwerte von dem Sensor ausgegeben werden und/oder von der Sensorrecheneinheit empfangen werden. Es wird somit eine erste Signatur der Messwerte erstellt, bevor die Messwerte durch eine Person in einer hier nicht näher zu bestimmenden Weise verändert werden können.
Die Recheneinheit erstellt eine weitere Signatur derjenigen Messwerte nach einem digitalen Signaturverfahren, welche Messwerte in einer Protokolldatei umfasst sind. Es wird in der Protokolldatei ein positiver Berichtstatus vermerkt, falls die digitale Signatur der Messwerte und die weitere digitale Signatur der Messwerte übereinstimmen. Es wird in der Protokolldatei ein negativer Berichtstatus erstellt, falls die digitale Signatur der Messwerte und die weitere digitale Signatur der Messwerte nicht übereinstimmen.
Hierdurch wird unterbunden, dass die in der Protokolldatei angeführten Messwerte sich aufgrund einer unberechtigten Manipulation von den durch den Sensor (tatsächlich) ermittelten Messwerte unterscheiden. Die Erstellung des Berichtstatus kann parallel zu der Erstellung der Protokolldatei erfolgen.

Claims

Patentansprüche
1. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchfährungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchfährungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchfährungszeitpunkt t2 liegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- zu dem Auslieferungszeitpunkt tl ermittelt die Recheneinheit eine erste Komponentenkennung einer ersten Komponente,
- die Recheneinheit erstellt eine erste Komponentenkennung-Signatur basierend auf der ersten Komponentenkennung nach einem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Komponentenkennung-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchfährungszeitpunkt t2 fragt die Recheneinheit eine zweite Komponentenkennung einer zweiten Komponente ab,
- die zweite Komponente sendet als Antwort auf diese Abfrage einen Datensatz an die Komponentensteuereinheit, welcher Datensatz die zweite Komponentenkennung umfasst,
- die Recheneinheit speichert die zweite Komponentenkennung in der internen Datenbank ab,
- die Recheneinheit erstellt eine zweite Komponentenkennung-Signatur basierend auf der zweiten Komponentenkennung nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Komponentenkennung-Signatur mit den zweiten Komponentenkennung-Signatur,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Komponentenkennung- Signatur und die zweite Komponentenkennung-Signatur übereinstimmen, - die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur nicht übereinstimmen. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- zu dem Auslieferungszeitpunkt tl vergleicht die Recheneinheit die Zertifikatszeitangabe mit dem Auslieferungszeitpunkt tl,
- die Recheneinheit erstellt eine positive erste Prüfangabe, falls die Zertifikatszeitangabe den Auslieferungszeitpunkt tl umfasst, oder andernfalls eine negative erste Prüfangabe, falls die Zertifikatszeitangabe den Auslieferungszeitpunkt tl nicht umfasst,
- die Recheneinheit erstellt eine erste Prüfangabe-Signatur basierend auf der ersten Prüfangabe nach dem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Prüfangabe-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchführungszeitpunkt t2 vergleicht die Recheneinheit die Zertifikatszeitangabe mit dem Durchführungszeitpunkt t2, die Recheneinheit erstellt eine positive zweite Prüfangabe, wenn die Zertifikatszeitangabe den Durchführungszeitpunkt t2 umfasst, oder andernfalls eine negative zweite Prüfangabe, wenn die Zertifikatszeitangabe den Durchführungszeitpunkt t2 nicht umfasst,
- die Recheneinheit erstellt eine zweite Prüfangabe-Signatur basierend auf der zweiten Prüfangabe nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Prüfangabe-Signatur mit der zweiten Prüfangabe-Signatur, - die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur nicht übereinstimmen. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- die Recheneinheit erstellt einen Zertifikatszeitbereich umfassend den Auslieferungszeitpunkt tl und die Zertifikatszeitangabe,
- die Recheneinheit erstellt eine Serie von Zertifikatszeitangaben innerhalb des Zertifikatszeitbereiches, welche Zertifikatszeitangaben ein einheitliches Zeitformat aufweisen, wobei jede Zeitdifferenz zwischen den einzelnen Zertifikatszeitangaben größer oder gleich der kleinsten Einheit des Zeitformates ist,
- die Recheneinheit erstellt Zertifikatszeitangaben-Signaturen basierend auf den Zertifikatszeitangaben nach dem digitalen Signaturverfahren,
- die Recheneinheit speichert die Zertifikatszeitangaben-Signaturen in der internen Datenbank und in der externen Datenbank ab,
- die Recheneinheit erstellt eine Auslieferungszeitangabe aufweisend das Zeitformat, welche Auslieferungszeitangabe den Auslieferungszeitpunkt tl beschreibt,
- die Recheneinheit erstellt eine Auslieferungszeitangabe-Signatur basierend auf dem normierten Auslieferungszeitangabe,
- die Recheneinheit vergleicht die Auslieferungszeitangabe-Signatur mit den Zertifikatszeitangaben-Signaturen, - die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Auslieferungszeitangabe- Signatur mit einer Zertifikatszeitangaben-Signatur übereinstimmt,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Auslieferungszeitangabe- Signatur mit keiner Zertifikatszeitangaben-Signatur übereinstimmt. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente zur Aufnahme des zumindest einen Messwertes steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- die Recheneinheit erstellt einen Zertifikatszeitbereich umfassend den Auslieferungszeitpunkt tl und die Zertifikatszeitangabe,
- die Recheneinheit erstellt eine Serie von Zertifikatszeitangaben innerhalb des Zertifikatszeitbereiches, welche Zertifikatszeitangaben ein einheitliches Zeitformat aufweisen, wobei jede Zeitdifferenz zwischen den einzelnen Zertifikatszeitangaben größer oder gleich der kleinsten Einheit des Zeitformates ist,
- die Recheneinheit erstellt Zertifikatszeitangaben-Signaturen basierend auf den einheitlichen Zertifikatszeitangaben nach dem digitalen Signaturverfahren,
- die Recheneinheit erstellt eine Durchführungszeitangabe in dem Zeitformat, welche Durchführungszeitangabe den Durchführungszeitpunkt tl beschreibt,
- die Recheneinheit erstellt eine Durchführungszeitangabe-Signatur basierend auf der Durchführungszeitangabe,
- die Recheneinheit vergleicht die Durchführungszeitangabe-Signatur mit den Zertifikatszeitangaben-Signaturen,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Durchführungszeitangabe- Signatur mit einer Zertifikatszeitangaben-Signatur übereinstimmt, - die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Durchführungszeitangabe- Signatur mit keiner Zertifikatszeitangaben-Signatur übereinstimmt. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- zu dem Auslieferungszeitpunkt tl ermittelt die Recheneinheit eine erste Komponentenkennung eines ersten Sensors als erste Komponente,
- die Recheneinheit erstellt eine erste Komponentenkennung-Signatur basierend auf der ersten Komponentenkennung nach einem digitalen Signaturverfahren,
- die Recheneinheit speichert die erste Komponentenkennung-Signatur in der internen Datenbank und in der externen Datenbank ab,
- zu dem Durchführungszeitpunkt t2 fragt die Recheneinheit eine zweite Komponentenkennung eines zweiten Sensors als zweite Komponente ab oder steuert die Komponentensteuereinheit den zweiten Sensor zur Ermittlung eines Messdatensatzes an,
- der zweite Sensor sendet als Antwort auf diese Abfrage beziehungsweise als Antwort auf diese Ansteuerung einen Messdatensatz an die Komponentensteuereinheit, welcher Messdatensatz einen Messwert und die zweite Sensorkennung umfasst,
- die Recheneinheit speichert die zweite Sensorkennung in der internen Datenbank ab,
- die Recheneinheit erstellt eine zweite Sensorkennung-Signatur basierend auf der zweiten Sensorkennung nach dem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Sensorkennung-Signatur mit den zweiten Sensorkennung-Signatur - die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Sensorkennung- Signatur und die zweite Sensorkennung-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Sensorkennung- Signatur und die zweite Sensorkennung-Signatur nicht übereinstimmen. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- zu einem Auslieferungszeitpunkt tl die Komponentensteuereinheit den Sensor als Komponente zur Messung einer ersten Energieaufnahme eines Motors der Maschine ansteuert, welcher Motor eine durch die Komponentensteuereinheit vorgegebene Bewegung ausführt,
- die Komponente ermittelt als Antwort auf diese Ansteuerung die erste Energieaufnahme des Motors,
- die Recheneinheit erstellt eine positive erste Energieangabe, falls die erste Energieaufnahme in einem vorgegeben ersten Energieaufhahmebereich hegt, oder andernfalls eine negative erste Energieangabe, falls die erste Energieaufnahme nicht in einem vorgegeben ersten Energieaufnahmebereich liegt,
- die Recheneinheit eine erste Energieangabe-Signatur basierend auf der ersten Energieangabe nach einem digitalen Signaturverfahren erstellt,
- zu einem Durchführungszeitpunkt t2 die Komponentensteuereinheit den Sensor als Komponente zur Messung einer zweiten Energieaufnahme des Motors der Maschine ansteuert, welcher Motor eine durch die Komponentensteuereinheit vorgegebene Bewegung ausführt,
- der Sensor ermittelt als Antwort auf diese Ansteuerung die zweite Energieaufnahme des Motors,
- die Recheneinheit erstellt eine positive zweite Energieangabe, falls die zweite Energieaufnahme in einem zweiten vorgegeben Energieaufhahmebereich liegt, oder andernfalls eine negative zweite Energieangabe, falls die zweite Energieaufnahme nicht in einem vorgegeben zweiten Energieaufnahmebereich liegt,
- die Recheneinheit ermittelt eine zweite Energieangabe-Signatur basierend auf der ersten
Energieaufnahme nach einem digitalen Signaturverfahren,
- die Recheneinheit vergleicht die erste Energieangabe-Signatur mit der zweiten Energieangabe-Signatur,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Energieangabe- Signatur und die zweite Energieangabe-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Energieangabe- Signatur und die zweite Energieangabe-Signatur nicht übereinstimmen. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- zu dem Auslieferungszeitpunkt tl die Recheneinheit eine erste Benutzerberechtigung-Signatur basierend auf einer ersten positiven Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Benutzerberechtigung-Signatur in der internen Datenbank und in der externen Datenbank abspeichert,
- zu dem Durchführungszeitpunkt t2 liest der Sensor die Berechtigungszeitangabe des Benutzer aus,
- die Recheneinheit eine Berechtigungszeitangabe des Benutzers mit dem Durchführungszeitpunkt t2 vergleicht und die Recheneinheit eine zweite positive Benutzerberechtigung, wenn die Berechtigungszeitangabe den Durchführungszeitpunkt t2 umfasst, oder alternativ eine zweite negative Benutzerberechtigung erstellt, - die Recheneinheit eine zweite Benutzerberechtigung-Signatur basierend auf der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt und
- die Recheneinheit die zweite Benutzerberechtigung-Signatur mit der ersten Benutzerberechtigung-Signatur der internen Datenbank und/oder der externen Datenbank vergleicht,
- Recheneinheit einen sicheren Betriebszustand, falls die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur übereinstimmen, ober andernfalls einen unsicheren Betriebszustand, falls die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur nicht übereinstimmen, ermittelt. Verfahren zum Feststellen eines sicheren Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke zu einem Durchführungszeitpunkt t2, welche Maschine eine Recheneinheit mit einem Zeitgeber, zumindest eine elektronische Komponente, eine Komponentensteuereinheit und eine interne Datenbank umfasst, welche Komponentensteuereinheit die Komponente steuert, in welcher internen Datenbank ein Zertifikat der Maschine mit einer Zertifikatszeitangabe gespeichert ist, wobei zwischen den erwähnten Einheiten und der internen Datenbank und/oder einer externen Datenbank Datenverbindungen bestehen, welche Maschine sich alternativ zu einem Auslieferungszeitpunkt tl in einem Auslieferungszustand, zu einem Durchführungszeitpunkt t2 einem sicheren Betriebszustand oder einen unsicherem Betriebszustand befinden kann, welcher Zeitgeber den Auslieferungszeitpunkt tl und den Durchführungszeitpunkt t2 ausgibt, welcher Auslieferungszeitpunkt tl vor dem Durchführungszeitpunkt t2 hegt, welches Verfahren durch die folgenden Schritte gekennzeichnet ist:
- der Sensor als Komponente wird mit einem Eichwert beaufschlagt,
- der Sensor ermittelt einen Messwert,
- die Recheneinheit erstellt eine Messwert-Angabe in einem vorgegebenen Zahlenformat aus dem Messwert,
- die Recheneinheit erstellt eine Messwert-Signatur basierend auf der Messwert-Angabe,
- die Recheneinheit erstellt aus einem vorgegebenen Toleranzbereich eine Serie von Toleranzwert- Angaben, welche Toleranzwert-Angaben das Zahlenformat aufweisen, wobei die Differenz zwischen den einzelnen Toleranzwert-Angaben größer oder gleich der kleinsten Einheit des Zahlenformates ist,
- die Recheneinheit erstellt Toleranzwert-Signaturen jeweils basierend auf den normierten Toleranzwert-Angaben,
- die Recheneinheit speichert die Toleranzwert-Signaturen in der internen Datenbank und in der externen Datenbank ab, - die Recheneinheit vergleicht die Messwert-Signatur mit den Toleranzwert-Signaturen,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die Messwert-Signatur mit einer Toleranz-Signatur übereinstimmt,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die Messwerte-Signatur mit keiner Toleranzwert-Signatur übereinstimmt. Verfahren nach zumindest zwei Ansprüchen der Ansprüche 1 bis 8, welches Verfahren weiters durch die folgenden Schritte gekennzeichnet ist,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die falls die Auslieferungszeitpunkt-Signatur und eine der Zertifikatszeitangaben-Signaturen sowie die Durchführungszeitpunkt-Signatur mit einer Zertifikatszeitangaben-Signatur, die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur sowie die Messwert-Signatur und eine der Toleranzwert-Signaturen übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur oder die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur oder die falls die Auslieferungszeitpunkt-Signatur mit keiner Zertifikatszeitangaben-Signatur sowie die Durchführungszeitpunkt-Signatur mit keiner Zertifikatszeitangaben-Signatur, die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur oder die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur oder die Messwert-Signatur mit keiner Toleranzwert-Signatur nicht übereinstimmen. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass
- zu dem Auslieferungszeitpunkt tl die Recheneinheit eine erste gemeinsame Signatur basierend auf zumindest zwei Angaben aus der ersten Komponentenkennung und der ersten Prüfangabe und der ersten Sensorkennung und der ersten Energieangabe und der ersten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- zu dem Durchführungszeitpunkt t2 die Recheneinheit eine zweite gemeinsame Signatur basierend auf zumindest zwei relevanten Angaben aus der zweiten Komponentenkennung und der zweiten Prüfangabe und der zweiten Sensorkennung und der zweiten Energieangabe und der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste gemeinsame Signatur und die zweite gemeinsame Signatur vergleicht, - die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste gemeinsame Signatur und die zweite gemeinsame Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste gemeinsame Signatur und die zweite gemeinsame Signatur nicht übereinstimmen. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass
- zu dem Auslieferungszeitpunkt tl die Recheneinheit die erste Komponentenkennung-Signatur ausschließlich basierend auf der ersten Komponentenkennung und die erste Prüfangabe-Signatur ausschließlich basierend auf der ersten Prüfangabe und die erste Sensorkennung-Signatur ausschließlich basierend auf der ersten Sensorkennung und die erste Energieangabe-Signatur ausschließlich basierend auf der ersten Energieangabe und die erste Benutzerberechtigung-Signatur ausschließlich basierend auf der ersten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- zu dem Durchführungszeitpunkt t2 die Recheneinheit die zweite Komponentenkennung-Signatur ausschließlich basierend auf der zweiten Komponentenkennung und die zweite Prüfangabe-Signatur ausschließlich basierend auf der zweiten Prüfangabe und die zweite Sensorkennung-Signatur ausschließlich basierend auf der zweiten Sensorkennung und die Energieangabe-Signatur basierend auf der zweiten Energieangabe und die zweite Benutzerberechtigung-Signatur ausschließlich basierend auf der zweiten Benutzerberechtigung nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur sowie die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur vergleicht,
- die Recheneinheit stellt einen sicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur sowie die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur sowie die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur sowie die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur sowie die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur übereinstimmen,
- die Recheneinheit stellt einen unsicheren Betriebszustand fest, falls die erste Komponentenkennung-Signatur und die zweite Komponentenkennung-Signatur oder die erste Prüfangabe-Signatur und die zweite Prüfangabe-Signatur oder die erste Sensorkennung-Signatur und die zweite Sensorkennung-Signatur oder die erste Energieangabe-Signatur und die zweite Energieangabe-Signatur oder die erste Benutzerberechtigung-Signatur und die zweite Benutzerberechtigung-Signatur nicht übereinstimmen. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die Recheneinheit einen Betriebszustand der Maschine als einen sicheren Betriebszustand erkennt und die Recheneinheit ein Protokoll mit einer Angabe des sicheren Betriebszustandes ausgibt. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die Recheneinheit einen Betrieb einer Maschine als einen unsicheren Betriebszustand erkennt und ein Protokoll mit einer Angabe des unsicheren Betriebszustandes ausgibt. Verfahren nach einem der Ansprüche 3 oder 10 bis 13, dadurch gekennzeichnet, dass die Komponentensteuereinheit an den Sensor als Komponente eine Befehlsdatei zur Steuerung des Sensors als Komponente sendet, welche Befehlsdatei einen Sensorbefehl umfasst, und die Komponentensteuereinheit den Sensor zur Ermittlung des Messwerts an einem Messort und/oder einem Messzeitpunkt nach dem Sensorbefehl steuert. Verfahren nach einem der Ansprüche 3 oder 10 bis 14, dadurch gekennzeichnet, dass
- der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine Messabweichung des Sensors ermittelt, um welche Messabweichung sich der Messwert von dem Eichwert unterscheidet,
- die Recheneinheit den Betriebszustand als unsicher bewertet, wenn die Messabweichung eine vorgegebene Toleranz überschreitet. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass
- zu dem Auslieferungszeitpunkt tl der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine erste Messabweichung des Sensors ermittelt, um welche erste Messabweichung sich der Messwert von dem Eichwert unterscheidet, - zu dem Durchführungszeitpunkt t2 der Sensor mit einem Eichwert beaufschlagt wird,
- die Recheneinheit den mit dem Sensor gemessenen Messwert mit einem Eichwert vergleicht,
- die Recheneinheit eine zweite Messabweichung des Sensors ermittelt, um welche zweite Messabweichung sich der Messwert von dem Eichwert unterscheidet,
- zu einem Auslieferungszeitpunkt tl die Recheneinheit einen ersten positiven Sensormessstatus, falls eine erste Messabweichung in der Toleranz hegt, oder eine ersten negativen Sensormessstatus, falls eine erste Messabweichung außerhalb der Toleranz liegt, erstellt,
- die Recheneinheit eine erste Sensormessstatus-Signatur basierend auf dem ersten Sensormessstatus nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die erste Sensormessstatus-Signatur in der internen Datenbank und in der externen Datenbank abspeichert,
- zu einem Durchfuhrungszeitpunkt t2 die Recheneinheit einen zweiten positiven Sensormessstatus, falls eine zweite Messabweichung in der Toleranz hegt, oder einen zweiten negativen Sensormessstatus, falls eine zweite Messabweichung außerhalb der Toleranz hegt, erstellt,
- die Recheneinheit eine zweite Sensormessstatus-Signatur basierend auf dem zweiten Sensormessstatus nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit einen Betriebszustand als sicher, falls die erste Sensormessstatus-Signatur und die zweite Sensormessstatus-Signatur übereinstimmen, oder als unsicher bewertet, falls die erste Sensormessstatus-Signatur und die zweite Sensormessstatus-Signatur nicht übereinstimmen. Verfahren nach einem der Ansprüche 3 oder 10 bis 16, dadurch gekennzeichnet, dass die Recheneinheit den Sensorbefehl zur Ermittlung des Messwertes zu dem Auslieferungszeitpunkt tl und/oder zu dem Durchführungszeitpunkt t2 an die Komponentensteuereinheit sendet. Verfahren nach einem der Ansprüche 3 oder 10 bis 17, dadurch gekennzeichnet, dass die Recheneinheit den Sensorbefehl zur Ermittlung von einem Messwert oder von Messdaten zu einem dem Auslieferungszeitpunkt tl oder dem Durchführungszeitpunkt t2 vorangegangenen Zeitpunkt und einen weiteren Befehl zur Ermittlung von einem weiteren Messwert oder weiteren Messdaten zu einem dem Auslieferungszeitpunkt tl oder dem Durchführungszeitpunkt t2 nachfolgenden Zeitpunkt an die Komponentensteuereinheit schickt. Verfahren nach einem der Ansprüche 3 oder 11 bis 18, dadurch gekennzeichnet, dass
- der Sensor den Messwert ermittelt,
- die Komponentensteuereinheit eine Messwert-Signatur basierend auf dem vom Sensor ausgegebenen Messwert nach dem digitalen Signaturverfahren erstellt, - die Recheneinheit ein den Messwert umfassendes Messprotokoll erstellt,
- die Recheneinheit eine Protokolldatei-Signatur basierend auf dem in der Protokolldatei umfassten Messwert nach dem digitalen Signaturverfahren erstellt,
- die Recheneinheit die Protokolldatei umfassend einen positiven Berichtstatus, falls die Messwert- Signatur und die Protokolldatei-Signatur übereinstimmen, oder andernfalls einen negativer
Berichtstatus, falls die Messwert-Signatur und die Protokolldatei-Signatur nicht übereinstimmen, erstellt,
- die Recheneinheit in der Protokolldatei den Berichtstatus ausgibt.
PCT/EP2023/080838 2022-11-07 2023-11-06 Verfahren zur bewertung eines betriebszustandes einer maschine zur instandhaltung einer eisenbahnstrecke WO2024099965A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
ATA50845/2022A AT526697A2 (de) 2022-11-07 2022-11-07 Verfahren zur Bewertung eines Betriebszustandes einer Maschine zur Instandhaltung einer Eisenbahnstrecke
ATA50845/2022 2022-11-07

Publications (2)

Publication Number Publication Date
WO2024099965A2 true WO2024099965A2 (de) 2024-05-16
WO2024099965A3 WO2024099965A3 (de) 2024-07-04

Family

ID=88793311

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/080838 WO2024099965A2 (de) 2022-11-07 2023-11-06 Verfahren zur bewertung eines betriebszustandes einer maschine zur instandhaltung einer eisenbahnstrecke

Country Status (2)

Country Link
AT (1) AT526697A2 (de)
WO (1) WO2024099965A2 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3907119A1 (de) 2020-05-04 2021-11-10 HP3 Real GmbH Verfahren zur generierung eines sicherheitsrelevanten abnahmeschriebes einer gleisinstandhaltungsmaschine

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1623074B1 (de) * 2003-05-12 2007-10-10 Franz Plasser Bahnbaumaschinen-Industriegesellschaft m.b.H. Kontrollvorrichtung und verfahren zur überwachung eines arbeitszuges
EP1510492B1 (de) * 2003-08-25 2007-05-16 Inventio Ag Verfahren zur Überprüfung einer Aufzugsanlage und Aufzugsanlage
CN102342142A (zh) * 2009-03-06 2012-02-01 交互数字专利控股公司 无线设备的平台确认和管理

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3907119A1 (de) 2020-05-04 2021-11-10 HP3 Real GmbH Verfahren zur generierung eines sicherheitsrelevanten abnahmeschriebes einer gleisinstandhaltungsmaschine

Also Published As

Publication number Publication date
WO2024099965A3 (de) 2024-07-04
AT526697A2 (de) 2024-05-15

Similar Documents

Publication Publication Date Title
EP3543940A1 (de) Computerimplementiertes verfahren zum bereitstellen von daten, insbesondere für eine konformitätsverfolgung
DE102011001076B4 (de) Verfahren zur Verwaltung von Werkzeugen
EP3379447A1 (de) Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
EP3264208A1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
DE102005014941B4 (de) Verfahren zum Bereitstellen von Dokumentationsinformationen von komplexen Maschinen und Anlagen, insbesondere einer Spritzgussmaschine
DE112008003195T5 (de) Elektrischer Schaltkreis mit einem physikalischen Übertragungsschicht-Diagnosesystem
EP3667597A1 (de) Verfahren zum bestimmen einer identität eines produkts durch erfassung eines optisch sichtbaren und eines nicht sichtbaren merkmals, sowie identifizierungssystem
DE102017222899A1 (de) Verfahren, Vorrichtung und Computerprogrammprodukt zum Betreiben von Betriebseinheiten
EP3391611A1 (de) Zugangsschlüssel für ein feldgerät
WO2024099965A2 (de) Verfahren zur bewertung eines betriebszustandes einer maschine zur instandhaltung einer eisenbahnstrecke
EP3699704B1 (de) System und verfahren zum überprüfen von systemanforderungen von cyber-physikalischen systemen
DE102017119234A1 (de) Produktionssystem mit einer funktion für das angeben der inspektionszeit für eine produktionsmaschine
DE102019213003A1 (de) Wissensbereitstellungsprogramm, wissensbereitstellungsvorrichtung und betriebsdienstsystem
DE102018202626A1 (de) Verfahren zur rechnergestützten Parametrierung eines technischen Systems
EP1683016B1 (de) Sichere erfassung von eingabewerten
DE102015111316B4 (de) Hydraulikaggregat zur Schraubprozesssteuerung
DE102020134762A1 (de) Spritzgussform
EP2965157B1 (de) Verfahren und vorrichtung zum betreiben einer prozess- und/oder fertigungsanlage
DE102019213001A1 (de) Wissensproduktionssystem
AT525553B1 (de) Messgerät und Verfahren zum Betreiben eines Messgeräts
DE60103913T2 (de) Verbessertes system zum rechnergestützten verfolgen der herstellung
DE102008004923B4 (de) Verfahren zur Aktualisierung eines Steuerungsablaufes einer Maschinensteuerung sowie Vorrichtung zur Durchführung des Verfahrens
EP2267562A1 (de) Verfahren und Gerät zur Überprüfung von zwischen Komponenten auszutauschenden Daten in einem XML-Format
DE102022134322A1 (de) Feldgerät der Automatisierungstechnik und Verfahren zum sicheren Bedienen eines Feldgeräts
DE102016219207A1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette