Verfahren zur papierlosen Inbetriebnahme einer Streckenpunktes für den schienengebundenen Verkehr

(19)

(11)

EP 2 927 088 A1

(12)	EUROPÄISCHE PATENTANMELDUNG

(43)	Veröffentlichungstag:
	07.10.2015 Patentblatt 2015/41

(21)	Anmeldenummer: 14163390.9

(22)	Anmeldetag: 03.04.2014

(51)

Internationale Patentklassifikation (IPC):

B61L 3/12^(2006.01)
B61L 19/06^(2006.01)

B61L 27/00^(2006.01)

(84)	Benannte Vertragsstaaten:
	AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
	Benannte Erstreckungsstaaten:
	BA ME

(71)	Anmelder: Siemens Schweiz AG
	8047 Zürich (CH)

(72)	Erfinder:
	Sigg, Daniel 8400 Winterthur (CH)

(74)	Vertreter: Maier, Daniel Oliver et al
	Siemens AG Postfach 22 16 34 80506 München 80506 München (DE)

(54)	Verfahren zur papierlosen Inbetriebnahme einer Streckenpunktes für den schienengebundenen Verkehr

(57) Die vorliegende Erfindung offenbart ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit (20) für eine Zugsicherungskomponente, umfassend:
a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs (10) für ein Programmierwerkzeug (12), wobei die prüfungsrelevanten Daten die Steuerungsdaten (14) für die Zugbeeinflussungseinheit, eine Vorlage (16) für ein zweites Prüfprotokoll (32) und verschlüsselte Sollwerte (18) von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten (14) auf die Steuerungseinheit (20);
b) Programmieren der Steuerungseinheit (20) durch das Programmierwerkzeug (12) mit den vom Projektierungswerkszeug (10) bereitgestellten Steuerungsdaten (14);
c) Berechnen von Ist-Prüfsummen (22) für die programmierten Steuerungsdaten (14) auf der Steuerungseinheit (20) anhand eines dem Programmierwerkzeug (12) unbekannten Schlüssels (24) und Übertragen dieser berechneten Prüfsummen (22) auf das Programmierwerkzeug (12);
d) Vergleichen der berechneten Prüfsummen (22) mit den verschlüsselten Sollwerten (18) für die Prüfsummen zur Bereitstellung eines ersten Prüfprotokolls (28) auf dem Programmierwerkzeug (12);
e) Darstellen der berechneten Prüfsummen (22) und der verschlüsselten Sollwerte (18) für die Prüfsummen auf dem Programmierwerkzeug (12) und Quittieren einer Übereinstimmung der berechneten Prüfsummen (22) und des verschlüsselten Sollwerts (18) für die Prüfsummen durch einen Prüfer (29),
f) Erstellen des zweiten Prüfprotokolls (32) anhand der vom Projektierungswerkzeug (10) gelieferten Vorlage (16) für das zweite Prüfprotokoll (32) unter Hinzufügen der Identität (30) des Prüfers (29) sowie der berechneten Prüfsummen (22) und der verschlüsselten Sollwerte (18) für die Prüfsummen isoliert auf dem Programmierwerkzeug (12); und
g) ggfs. Übertragen des zweiten Prüfprotokolls (32) vom Programmierwerkzeug (12) an eine Datenbank (36) und
Archivieren des zweiten Prüfprotokolls (32) in der Datenbank (36) .

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit, insbesondere einer MiniLEU S11, einer LEU S21 und eines MSTT Signal, für eine Zugsicherungskomponente, insbesondere eine ETCS Balise, ein Signal, eine Weiche.

[0002] Im Besonderen im Wege der Nach- und Aufrüstung sowie des Neubaus von Eisenbahnstrecken gemäss dem neuen europaweit gültigen Zugsicherungssystem ETCS (European Train Control System) besteht ein hoher Bedarf, die entsprechenden Zugsicherungseinheiten, wie ETCS-Balisen, Signale, Bahnübergänge, Achszähler und Weichen, und ihre zugehörigen Steuerungseinheiten, wie z.B. von der Siemens AG unter den Namen MiniLEU S11, LEU S21 und MSTT Signal angeboten, in den Strecken zu verbauen und gemäss der Projektierung mit den entsprechenden Steuerungsdaten zu programmieren. Bei der nachfolgenden Abnahme dieser Steuerungseinheiten ist ein hoher Sicherheitslevel gemäss SIL4 zu erreichen, damit der Infrastrukturbetreiber von einer entsprechend hohen Zuverlässigkeit und hohen geforderten Sicherheit der abzunehmenden Steuerungseinheiten ausgehen kann.

[0003] Der Prozess zur Inbetriebnahme/Abnahme einer gleisseitigen Steuerungseinheit sah es bisher vor, dass das Inbetriebsetzungspersonal ausgedrückte Prüfblätter, auf denen die erwarteten Prüfsummen zur Kontrolle der auf die Steuerungseinheit geladenen Projektierungsdaten vorgedruckt waren, mit hinaus zu dem zugehörigen Streckenpunkt (Streckenpunkt ist dabei die Gesamtheit aus der Steuerungseinheit und der Zugsicherungseinheit) nehmen und nach erfolgreicher Konfiguration der Steuerungseinheit (des Zielgeräts) unterschreiben und dann archivieren musste. Angesichts der Vielzahl von in Betrieb zunehmenden Streckenpunkten und angesichts des dem Wetter mehr oder weniger schutzlos ausgesetzten Inbetriebsetzungspersonal ist es leicht vorstellbar, dass der Einsatz der papiernen Prüfblätter zu Verwechslungen und/oder Verschmutzungen und/oder Aufweichungen durch Schnee/Regen führen konnte.

[0004] Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente anzugeben, die dem Inbetriebnahme die Vornahme der Inbetriebnahme erleichert und dabei gleichzeitig den geforderten Sicherheitslevel gemäss SIL4 einhält. Die Steuerungseinheit wird im Sinne dieser Anmeldung auch synonym als Zielsystem angesehen.

[0005] Diese Aufgabe wird erfindungsgemäss durch ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit, insbesondere einer MiniLEU S11, einer LEU S21 und eines MSTT Signal, für eine Zugsicherungskomponente, insbesondere eine ETCS Balise, ein Signal, eine Weiche, einen Bahnübergang, einen Achszähler, gelöst, welches die folgenden Schritte umfasst:

a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs für ein Programmierwerkzeug, wobei die prüfungsrelevanten Daten die Steuerungsdaten für die Zugbeeinflussungseinheit, eine Vorlage für ein zweites Prüfprotokoll und verschlüsselte Sollwerte von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten auf die Steuerungseinheit;

b) Programmieren der Steuerungseinheit durch das Programmierwerkzeug mit den vom Projektierungswerkszeug bereitgestellten Steuerungsdaten;

c) Berechnen von Prüfsummen für die programmierten Steuerungsdaten auf der Steuerungseinheit anhand eines dem Programmierwerkzeug unbekannten Schlüssels und Übertragen dieser berechneten Prüfsummen auf das Programmierwerkzeug;

d) Vergleichen der berechneten Prüfsummen mit den verschlüsselten Sollwerten für die Prüfsummen im Rahmen eines ersten Prüfprotokolls zur Bereitstellung eines zweiten Prüfprotokolls auf dem Programmierwerkzeug;

e) Darstellen des Ergebnisses des ersten Prüfprotokolls auf dem Programmierwerkzeug und Quittieren einer Übereinstimmung der berechneten Prüfsummen und des verschlüsselten Sollwerts für die Prüfsummen durch einen Prüfer,

f) Erstellen des zweiten Prüfprotokolls anhand der vom Projektierungswerkzeug gelieferten Vorlage für das zweite Prüfprotokoll unter Hinzufügen der Identität des Prüfers sowie der berechneten Prüfsummen und der verschlüsselten Sollwerte für die Prüfsummen isoliert auf dem Programmierwerkzeug; und

g) Übertragen des zweiten Prüfprotokolls vom Programmierwerkzeug an eine Datenbank und Archivieren des zweiten Prüfprotokolls in der Datenbank.

[0006] Auf diese Weise gelingt es mit diesem Verfahren unter Einsatz des Programmiergeräts den Streckenpunkt papierlos in Betrieb nehmen zu können bzw. mit anderen Wort gesprochen seine fehlerfreie Programmierung garantieren zu können. Das Inbetriebsetzungspersonal ist nur noch einmal aufgefordert, im Rahmen des bereitgestellten zweiten Prüfprotokolls die Übereinstimmung der berechneten Prüfsummen mit den verschlüsselten Sollwerten für die Prüfsummen zu quittieren. Das erste Prüfprotokoll kann dabei in sehr einfacher Form auf dem Programmierwerkzeug angezeigt werden, z.B. "Prüfsummenvergleich OKAY".

[0007] Ein besonders vorteilhafte Ausgestaltung des vorliegenden Verfahrens kann erzielt werden, wenn die verschlüsselten Sollwerte für die Prüfsummen in nicht maschinell les- und auswertbarer an das Programmierwerkzeug übertragen werden. Auf diese Weise ist es sichergestellt, dass die berechnete IST-Prüfsumme auch tatsächlich von der Steuerungseinheit ermittelt wurde und nicht über einen wie auch immer gearteten Fehler irrtümlich die als Vorgabe im Programmierwerkzeug enthaltene verschlüsselten Sollwerte für die Prüfsummen auch als ISTWerte ausgegeben werden. Dieses Vorgehen ist besonders darum relevant, weil die Steuerungsdaten und die damit implementierten Steuerungseinheiten dem höchsten Sicherheitslevel im Eisenbahnbereich, SIL4, entsprechen müssen, wobei das eingesetzte Programmierwerkzeug und die Software für die Konfiguration der Steuerungseinheit aber keinerlei Sicherheitslevel im Sinne eine SIL-Levels erfüllen müssen.

[0008] In einer weiteren vorteilhaften Ausgestaltung dieser Varianten kann es dann vorgesehen sein, dass die verschlüsselten Sollwerte für die Prüfsummen in Form eines eingebundenen Bildes übertragen werden. Derartige Bilder sind für das Programmierwerkzeug elektronisch weder les- noch auswertbar.

[0009] Zur Übermittlung des Prüfprotokolls kann es in vorteilhafter Weise vorgesehen sein, dass das zweite Prüfprotokoll in Form einer vektorbasierten Seitenbeschreibungssprache, vorzugsweise im pdf-Format, erstellt wird.

[0010] Bevorzugte Ausführungsbeispiel der vorliegenden Erfindung werden nachfolgend anhand der Zeichnung näher erläutert. Dabei zeigt die Figur in schematischer Weise den Ablauf des erfindungsgemässen Verfahrens.

[0011] Die Figur zeigt in schematischer Weise den Ablauf des Verfahrens zur papierlosen Inbetriebnahme eines Streckenpunktes, wie z.B. einer Transparentdaten-ETCS-Balise als Zugbeeinflussungseinheit mit ihrer zugehörigen Steuerungseinheit 20 - auch Zielsystem genannt.

[0012] In einem ersten Schritt 1 stellt ein Projektierungswerkzeug 10 prüfungsrelevante Daten für ein Programmierwerkzeug 12 bereit. Das Projektierungswerkzeug 10 kann dabei beispielsweise an ein Stellwerk oder ein Leitsystem ankoppeln, von dem es die entsprechenden prüfungsrelevanten Daten erhält. Alternativ kann aber die Projektierungswerkszeug 10 auch dazu ertüchtigt sein, dass mit diesem Werkzeug die prüfungsrelevanten Daten generiert werden können. Unter den prüfungsrelevanten Daten werden im Sinne der vorliegenden Erfindung Steuerungsdaten 14 für die Zugbeeinflussungseinheit (auch als Zielsystem bezeichnet), eine Vorlage 16 für ein zweites Prüfprotokoll und verschlüsselte Sollwerte 18 von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten 14 auf die Steuerungseinheit 20.

[0013] In einem zweiten Schritt 2 wird die Steuerungseinheit 20 durch das Programmierwerkzeug 12 mit den vom Projektierungswerkzeug 10 bereitgestellten Steuerungsdaten 14 programmiert. Hierzu kann es vorgesehen sein, dass das Inbetriebnahmepersonal das Programmierwerkzeug 12 drahtgestützt oder auch wireless vor Ort an die Steuerungseinheit 20 ankoppelt und die Daten über die entsprechende Schnittstelle überträgt.

[0014] In einem dritten Schritt berechnet nun die Steuerungseinheit Ist-Prüfsummen 22 für die programmierten Steuerungsdaten 14 auf der Steuerungseinheit 20 anhand eines dem Programmierwerkzeug 12 unbekannten Schlüssels 24. Auf diese Weise ist mit dem geforderten Sicherheitslevel von SIL4 sichergestellt, dass das nicht sichere Programmierwerkzeug 12 nicht in der Lage ist, die korrekten Ist-Prüfungsummen 22 selber zu ermitteln. Die von der Steuerungseinheit 20 berechneten Ist-Prüfungsummen (es kann auch nur eine einzige Prüfsumme sein) werden dann auf das Programmierwerkzeug 12 übertragen.

[0015] In einem vierten Schritt 4 stellt das Programmierwerkzeug 12 ein erstes Prüfprotokoll 28 zusammen, indem es die ermittelten Ist-Prüfsummen 22 mit den Sollwerten 18 für die Prüfsummen automatisch vergleicht. Wichtig für die Erreichung des Sicherheitsziels SIL4 ist dabei, dass das Programmierwerkzeug 12 die Sollwerte 18 nie im Klartext (im Sinne von maschinenles- und auswertbar) zur Verfügung hat, sondern durch eine vorgebbare Verknüpfung der von der Steuerungseinheit 20 ermittelten IST-Prüfsummen 22 mit den von dem Projektierungswerkzeug gelieferten und mit einem dem Programmierwerkzeug 12 nicht bekannten Schlüssel 26 verschlüsselten Sollwerte 18 für die Prüfsummen im Falle einer korrekten Programmierung der Steuerungseinheit 20 auf einen vordefinierten konstanten Wert kommt. Die Prüfung ist dann abgeschlossen, wenn dieser vordefinierte konstante Wert erreicht worden ist.

[0016] In einem fünften Schritt 5 werden die berechneten Prüfsummen 22 und die verschlüsselten Sollwerte 18 für die Prüfsummen auf dem Programmierwerkzeug 12 für das Inbetriebnahmepersonal/Prüfer 29 angezeigt. Dies kann zum Beispiel auch nur in der vereinfachten Form erfolgen, dass das Programmiergerät anzeigt "Prüfsumme(n) OKAY". Dabei sind die Sollwerte 18 für die Prüfsummen von dem Projektierungswerkzeug 10 so an das Programmierwerkzeug 12 geliefert worden, dass die Sollwerte 18 nicht direkt maschinell les- und auswertbar ist, aber für das Inbetriebnahmepersonal trotzdem dargestellt werden kann, z.B. in Form eines eingebundenen Bildes. Das Inbetriebnahmepersonal hat dieses zweite Prüfprotokoll dann zu quittieren, wobei es im vorliegenden Ausführungsbeispiel überhaupt nur zu einer Anzeige des zweiten Prüfprotokolls kommt, wenn die Übereinstimmung der berechneten Prüfsummen 22 und der verschlüsselten Sollwerte 18 für die Prüfsummen gegeben ist. Im Rahmen dieser Quittierung wird mit Bezug auf das zweite Prüfprotokoll auch der Name 30 des quittierenden Prüfers hinterlegt.

[0017] Mit diesen Angaben erstellt das Programmierwerkzeug 12 in einem sechsten Schritt 67 unter Rückgriff auf die bereits übermittelte Vorlage 16 ein zweites Prüfprotokoll 32 in Form einer pdf-Datei unter Hinzufügen der Identität/Namen 30 des Prüfers sowie der berechneten Prüfsummen 22 und der verschlüsselten Sollwerte 18 für die Prüfsummen. Auch hierbei wird wie schon weiter oben beschrieben ein besonderes Verfahren angewendet, um sicherzustellen, dass die im zweiten Prüfprotokoll 32 enthaltene Soll-Prüfsumme 18 nicht direkt von dem nicht-sicheren Programmierwerkzeug 12 verwendet werden kann. Die Soll-Prüfsumme 18 kann diesbezüglich also beispielsweise als nicht direkt maschinell les- und auswertbares Bild bereitgestellt werden. Die Erzeugung der pdf-Datei für das zweite Prüfprotokoll 32 kann daher auf dem Programmierwerkzeug 12 als eigener Prozess implementiert, der abgeschottet von der übrigen Datenverarbeitung ausgeführt wird.

[0018] In einem weiteren Schritt 7 kann das erzeugte zweite Prüfprotokoll 32 optional noch mit einer elektronischen Signatur signiert werden. Wird dies mit einer entsprechenden vertrauenswürdigen PKI-Infrastruktur ausgeführt, wird hiermit dieselbe Verbindlichkeit wie die einer händischen Unterschrift auf Papier erreicht. Ausserdem wird das zweiten Prüfprotokoll 32 in diesem Schritt vom Programmierwerkzeug 12 an eine Datenbank 36 übertragen und dort archiviert.

Ansprüche

1. Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit (20), insbesondere einer MiniLEU S11, einer LEU S21 und eines MSTT Signal, für eine Zugsicherungskomponente, insbesondere eine ETCS Balise, ein Signal, eine Weiche, umfassend die folgenden Schritte:

a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs (10) für ein Programmierwerkzeug (12), wobei die prüfungsrelevanten Daten die Steuerungsdaten (14) für die Zugbeeinflussungseinheit, eine Vorlage (16) für ein zweites Prüfprotokoll (32) und verschlüsselte Sollwerte (18) von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten (14) auf die Steuerungseinheit (20);

b) Programmieren der Steuerungseinheit (20) durch das Programmierwerkzeug (12) mit den vom Projektierungswerkszeug (10) bereitgestellten Steuerungsdaten (14);

c) Berechnen von Ist-Prüfsummen (22) für die programmierten Steuerungsdaten (14) auf der Steuerungseinheit (20) anhand eines dem Programmierwerkzeug (12) unbekannten Schlüssels (24) und Übertragen dieser berechneten Prüfsummen (22) auf das Programmierwerkzeug (12);

d) Vergleichen der berechneten Prüfsummen (22) mit den verschlüsselten Sollwerten (18) für die Prüfsummen im Rahmen eines ersten Prüfprotokolls zur Bereitstellung eines zweiten Prüfprotokolls (28) auf dem Programmierwerkzeug (12);

e) Darstellen des Ergebnisses des ersten Prüfprotokolls auf dem Programmierwerkzeug (12) und Quittieren einer Übereinstimmung der berechneten Prüfsummen (22) und des verschlüsselten Sollwerts (18) für die Prüfsummen durch einen Prüfer (29),

f) Erstellen des zweiten Prüfprotokolls (32) anhand der vom Projektierungswerkzeug (10) gelieferten Vorlage (16) für das zweite Prüfprotokoll (32) unter Hinzufügen der Identität (30) des Prüfers (29) sowie der berechneten Prüfsummen (22) und der verschlüsselten Sollwerte (18) für die Prüfsummen isoliert auf dem Programmierwerkzeug (12); und

g) ggfs. Übertragen des zweiten Prüfprotokolls (32) vom Programmierwerkzeug (12) an eine Datenbank (36) und Archivieren des zweiten Prüfprotokolls (32) in der Datenbank (36).

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
die verschlüsselten Sollwerte (18) für die Prüfsummen in nicht maschinell les- und auswertbarer an das Programmierwerkzeug (12) übertragen werden.

3. Verfahren nach Anspruch 2,
dadurch gekennzeichnet, dass
die verschlüsselten Sollwerte (18) für die Prüfsummen in Form eines eingebundenen Bildes übertragen werden.

4. Verfahren nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet, dass
das zweite Prüfprotokoll (32) in Form einer vektorbasierten Seitenbeschreibungssprache, vorzugsweise im pdf-Format, erstellt wird.

Zeichnung

Recherchenbericht

Recherchenbericht