VERFAHREN UND ONBOARD-STEUEREINHEIT ZUM STEUERN UND/ODER ÜBERWACHEN VON KOMPONENTEN EINES SCHIENENFAHRZEUGS

Abstract

 Bei dem Verfahren zum Steuern und/oder Überwachen von Komponenten (12, 14) eines Schienenfahrzeugs (10), welche über eine Onboard-Steuereinheit (18) des Schienenfahrzeugs (10) mit einer Cloud-Architektur (20) kommunizieren, wird ein Schreibzugriff der Onboard-Steuereinheit (18) auf die Komponenten (12, 14) des Schienenfahrzeugs (10) nach festen Regeln beschränkt, die eine vorgegebene Sicherheitsanforderung erfüllen.

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein Verfahren zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs und eine Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs sowie ein Schienenfahrzeug mit einer solchen Onboard-Steuereinheit.

[0002] Aus der DE 10 2014 113 371 A1 ist ein Verfahren zur Überwachung und Diagnose von Komponenten eines Schienenfahrzeugs bekannt, bei dem eine zentrale Einheit des Schienenfahrzeugs über eine Cloud mit einem Kontrollzentrum kommuniziert. Als zentrale Einheit wird üblicherweise eine Onboard-Steuereinheit (Onboard Control Unit, OCU) verwendet, welche komplett über die Cloud-Architektur administriert wird, sodass zum Beispiel jederzeit (d.h. auch während des Passagierbetriebs oder einer Hochgeschwindigkeitsfahrt) auch neue Software-Funktionalitäten auf die Onboard-Steuereinheit gebracht werden können. Da dies grundsätzlich ein unberechenbares Verhalten der Onboard-Steuereinheit gegenüber dem Schienenfahrzeug zur Folge haben kann, wird herkömmlicherweise ein Schreibzugriff der Onboard-Steuereinheit auf die Komponenten des Schienenfahrzeugs mittels Hardware unterbunden.

[0003] Es besteht in der Praxis allerdings Bedarf, Ausnahmen von dieser Verhinderung des Schreibzugriffs zuzulassen. Außerdem werden in Abhängigkeit von dem eingesetzten Fahrzeugdatenbus im Schienenfahrzeug, mit dem die Onboard-Steuereinheit verbunden ist, systembedingt auch Schreibzugriffe von der Onboard-Steuereinheit benötigt.

[0004] Aufgabe der vorliegenden Erfindung ist es, ein verbessertes Verfahren und eine verbesserte Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs zu schaffen, die in Ausnahmefällen einen Schreibzugriff von der Onboard-Steuereinheit erlauben, aber dennoch die geforderte Sicherheitsanforderungsstufe erfüllen.

[0005] Diese Aufgabe wird gelöst durch die Lehre der unabhängigen Ansprüche. Besonders vorteilhafte Ausführungsformen der Erfindung sind Gegenstand der abhängigen Ansprüche.

[0006] Bei dem erfindungsgemäßen Verfahren zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs, welche über eine Onboard-Steuereinheit des Schienenfahrzeugs mit einer Cloud-Architektur kommunizieren, wird ein Schreibzugriff der Onboard-Steuereinheit auf die Komponenten des Schienenfahrzeugs nach festen Regeln beschränkt wird, wobei die festen Regeln eine vorgegebene Sicherheitsanforderung erfüllen.

[0007] Da im Gegensatz zu herkömmlichen Systemen, bei denen ein Schreibzugriff durch eine Hardwarelösung vollständig unterbunden ist, ein Schreibzugriff nach festen Regeln beschränkt, ist ein Schreibzugriff von der Onboard-Steuereinheit in von den festen Regeln zugelassenen Ausnahmefällen möglich. Da diese festen Regeln eine vorgegebene Sicherheitsanforderung erfüllen, kann zugleich die Einhaltung einer erforderlichen Sicherheitsanforderungsstufe für die Onboard-Steuereinheit gewährleistet werden.

[0008] Die festen Regeln sind vorzugsweise derart ausgestaltet, dass sie einen Schreibzugriff grundsätzlich verhindern und nur in Ausnahmefällen zulassen. Diese Ausnahmefälle werden vorzugsweise durch die Art des Schreibzugriffs und/oder den Zeitpunkt des Schreibzugriffs bestimmt. Unter der Abhängigkeit vom Zeitpunkt des Schreibzugriffs ist insbesondere eine Abhängigkeit vom jeweiligen Betriebszustand des Schienenfahrzeugs zu verstehen. Der Begriff der festen Regeln soll verdeutlichen, dass diese Regeln im normalen Betrieb des Schienenfahrzeugs nicht verändert werden dürfen, insbesondere auch nicht durch die mit der Onboard-Steuereinheit kommunizierende Cloud-Architektur.

[0009] Mit dem erfindungsgemäßen Verfahren kann beispielsweise erreicht werden, dass die Onboard-Steuereinheit im Normalfall von den Komponenten des Schienenfahrzeugs nur Daten lesen kann, um diese Komponenten beispielsweise zu Diagnose- oder Wartungszwecken zu überwachen, in einem genau definierten Ausnahmefall wie zum Beispiel das Setzen von Soll-Temperaturen zum Aufwärmen des Schienenfahrzeugs am frühen Morgen aber auch Schreibzugriffe auf die Komponenten des Schienenfahrzeugs erlaubt sind.

[0010] Mit dem erfindungsgemäßen Verfahren kann nicht nur die Betriebssicherheit des Schienenfahrzeugs ("Safety") gewährleistet werden, sondern auch die Manipulationssicherheit gegen unbefugte Zugriffe ("Security").

[0011] Die festen Regeln erfüllen dabei eine vorgegebene Sicherheitsanforderung, bevorzugt gemäß dem Sicherheits-Integritätslevel SIL 1, SIL 2, SIL3 oder SIL 4.

[0012] Für die behördliche Zulassung der Onboard-Steuereinheit genügt gemäß der Erfindung dann die Prüfung der Sicherheitsanforderungsstufe der festen Regeln für das Beschränken bzw. Filtern des Schreibzugriffs. Die weiteren Komponenten / Aspekte der Onboard-Steuereinheit müssen nicht geprüft werden.

[0013] Zu den Komponenten des Schienenfahrzeugs, die gesteuert und/oder überwacht werden sollen, zählen insbesondere Steuereinheiten des Schienenfahrzeugs wie die zentrale Fahrzeugsteuereinheit (Vehicle Control Unit, VCU), die Bremssystemsteuereinheit (Brake Control Unit, BCU), die Traktionssteuereinheit (Traction Control Unit, TCU) und dergleichen, ohne dass die Erfindung auf diese Steuereinheiten beschränkt sein soll.

[0014] In einer Ausgestaltung der Erfindung sind die Komponenten und die Onboard-Steuereinheit des Schienenfahrzeugs über einen Fahrzeugdatenbus des Schienenfahrzeugs miteinander verbunden. In diesem Fall wird der Schreibzugriff der Onboard-Steuereinheit auf den Fahrzeugdatenbus beschränkt.

[0015] Bei dem Fahrzeugdatenbus kann es sich um einen leitungsgebundenen oder einen drahtlosen Datenbus handeln. Besondere Vorteile der Erfindung ergeben sich bei der Verwendung von Ethernet als Fahrzeugdatenbus, da ethernet-basierte Datenbusse systembedingt einen Schreibzugriff benötigen. Die Erfindung ist aber ebenso in Kombination mit anderen Fahrzeugdatenbussen wie beispielsweise CAN, MVB, etc. einsetzbar.

[0016] Vorzugsweise bleiben die festen Regeln nach einer behördlichen Zulassung der Onboard-Steuereinheit unverändert. Dies bedeutet, dass die festen Regeln zwar grundsätzlich verändert werden können, dass in einem solchen Fall aber eine erneute behördliche Zulassung der Onboard-Steuereinheit erforderlich ist.

[0017] Da die Sicherheitsanforderungen für die Onboard-Steuereinheit und das Schienenfahrzeug bereits durch die festen Regeln für den Schreibzugriff von der Onboard-Steuereinheit erfüllt werden, erfolgt ein Schreibzugriff der Cloud-Architektur auf die Onboard-Steuereinheit des Schienenfahrzeugs vorzugsweise unbeschränkt.

[0018] Vorzugsweise erfolgt ein Lesezugriff der Onboard-Steuereinheit auf die Komponenten oder den Fahrzeugdatenbus des Schienenfahrzeugs unbeschränkt. Ebenso erfolgt vorzugsweise ein Schreibzugriff der Cloud-Architektur auf die Onboard-Steuereinheit des Schienenfahrzeugs unbeschränkt.

[0019] Die Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs gemäß der Erfindung weist eine erste Rechnereinrichtung zum Kommunizieren mit einer Cloud-Architektur und zusätzlich eine zweite Rechnereinrichtung zum Beschränken eines Schreibzugriff der ersten Rechnereinrichtung auf die Komponenten des Schienenfahrzeugs nach festen Regeln, die eine vorgegebene Sicherheitsanforderung erfüllen, auf.

[0020] Mit dieser Onboard-Steuereinheit können die gleichen Vorteile wie mit dem oben beschriebenen Verfahren der Erfindung erzielt werden. Insbesondere genügt für eine Zulassung der Onboard-Steuereinheit die Prüfung der Sicherheitsanforderungsstufe der zweiten Rechnereinrichtung, während die erste Rechnereinrichtung nicht geprüft und daher beliebig verändert, upgedatet, etc. werden kann.

[0021] In einer Ausgestaltung der Erfindung ist die Onboard-Steuereinheit ausgestaltet, um mit den Komponenten des Schienenfahrzeugs über einen Fahrzeugdatenbus zu kommunizieren. In diesem Fall ist die zweite Rechnereinrichtung der Onboard-Steuereinheit bevorzugt ausgestaltet, um den Schreibzugriff der ersten Rechnereinrichtung auf den Fahrzeugdatenbus zu beschränken.

[0022] Vorzugsweise sind die erste Rechnereinrichtung und die zweite Rechnereinrichtung der Onboard-Steuereinheit unabhängig voneinander programmierbar. Dies wird bevorzugt dadurch erreicht, dass für die beiden Rechnereinrichtungen zwei separate CPUs oder zwei Kerne einer CPU benutzt werden.

[0023] Bezüglich weiterer vorteilhafter Ausgestaltungen, Vorteile, Begriffsdefinitionen, etc. wird auf die obigen Ausführungen in Zusammenhang mit dem erfindungsgemäßen Verfahren verwiesen.

[0024] Gegenstand der Erfindung ist schließlich auch ein Schienenfahrzeug, das mehrere zu steuernde und/oder überwachende Komponenten, eine oben beschriebene Onboard-Steuereinheit der Erfindung und einen Fahrzeugdatenbus zum Verbinden der Komponenten und der Onboard-Steuereinheit miteinander aufweist.

[0025] Obige sowie weitere Vorteile und Merkmale der Erfindung werden aus der nachfolgenden Beschreibung eines Ausführungsbeispiels anhand der beiliegenden Zeichnungen besser verständlich. Darin zeigen, größtenteils schematisch:

Fig. 1

eine Darstellung eines Schienenfahrzeugs mit einem erfindungsgemäßen Steuerungs- und/oder Überwachungssystem; und

Fig. 2

den Aufbau einer erfindungsgemäßen Onboard-Steuereinheit für ein Schienenfahrzeug von Fig. 1.

[0026] Fig. 1 zeigt in stark vereinfachter Form den Aufbau eines Schienenfahrzeugs 10, bei dem die vorliegende Erfindung anwendbar ist.

[0027] In dem Schienenfahrzeug 10 sind in üblicher Weise mehrere Komponenten 12, 14 vorgesehen, die gesteuert und überwacht werden sollen. Zu diesen zählen beispielsweise eine zentrale Fahrzeugsteuereinheit (Vehicle Control Unit, VCU), eine Bremssystemsteuereinheit (Brake Control Unit, BCU), eine Traktionssteuereinheit (Traction Control Unit, TCU) und dergleichen.

[0028] Diese Komponenten 12, 14 des Schienenfahrzeugs 10 sind mit einem Fahrzeugdatenbus 16 verbunden. Als Fahrzeugdatenbus 16 wird zum Beispiel ein ethernetbasierter Datenbus verwendet.

[0029] Mit diesem Fahrzeugdatenbus 16 ist ferner eine Onboard-Steuereinheit (Onboard Vehicle Unit, OCU) 18 des Schienenfahrzeugs 10 verbunden, mit der die Komponenten 12, 14 des Schienenfahrzeugs 10 gesteuert und überwacht werden sollen. Zu diesem Zweck kommuniziert diese Onboard-Steuereinheit 18 mit einer Cloud-Architektur 20. Die Cloud-Architektur 20 umfasst beispielsweise eine Cloud, ein Kontrollzentrum, mobile Geräte und dergleichen.

[0030] Fig. 2 zeigt den Aufbau eines Ausführungsbeispiels einer solchen Onboard-Steuereinheit 18, welche einerseits einen Schreibzugriff der Onboard-Steuereinheit 18 auf die Komponenten 12, 14 des Schienenfahrzeugs in Ausnahmefällen zulässt und zugleich die vorgegebene Sicherheitsanforderungsstufe erfüllt.

[0031] Die Onboard-Steuereinheit 18 enthält eine erste Rechnereinrichtung 22 und eine zweite Rechnereinrichtung 24. Die beiden Rechnereinrichtungen 22, 24 sind zum Beispiel zwei separate CPUs oder zwei Kerne einer CPU, die unabhängig voneinander programmierbar sind. Durch die unabhängige Programmierung können die beiden Rechnereinrichtungen 22, 24 insbesondere unterschiedliche Sicherheitsanforderungsstufen erfüllen.

[0032] So kann die Software der ersten Rechnereinrichtung 22 zum Beispiel ohne Sicherheitsanforderungsstufe (d.h. SIL 0) ausgeführt sein. D.h. die Cloud-Architektur 20 hat einen unbeschränkten Schreib- und Lesezugriff auf die erste Rechnereinrichtung 22. Die Software der ersten Rechnereinrichtung 22 kann bei Bedarf immer geändert werden, ohne dass es einer neuen behördlichen Zulassung für die Onboard-Steuereinheit 18 bedarf. Die erste Rechnereinrichtung 22 ist zudem ausgestaltet, um die von der Cloud-Architektur 20 oder von Komponenten 12, 14 des Schienenfahrzeugs 10 empfangenen Daten vorzuverarbeiten.

[0033] Die zweite Rechnereinrichtung 24 dient der Überwachung bzw. Filterung des Schreib- und Lesezugriffs der ersten Rechnereinrichtung 22 auf die Komponenten 12, 14 bzw. den Fahrzeugdatenbus 16 des Schienenfahrzeugs 10. Eine Datenverarbeitung erfolgt in der zweiten Rechnereinrichtung 24 typischerweise nicht. Während der Lesezugriff in der Regel unbeschränkt erfolgen kann, wird der Schreibzugriff durch die zweite Rechnereinrichtung 24 nach festen Regeln beschränkt, um einen Schreibzugriff nur in Ausnahmefällen zuzulassen.

[0034] Die Software der zweiten Rechnereinrichtung 24 bzw. deren feste Regeln für den Schreibzugriff erfüllen eine vorgegebene Sicherheitsanforderungsstufe von SIL 1, SIL 2, SIL 3 oder SIL 4. Für eine Zulassung der Onboard-Steuereinheit 18 bedarf es nur einer Prüfung bzw. Zulassung ihrer zweiten Rechnereinrichtung 24. Dabei bleiben die festen Regeln für den Schreibzugriff nach einer behördlichen Zulassung unverändert. Falls die festen Regeln in der zweiten Rechnereinrichtung 24 dennoch einmal geändert werden müssen, muss eine neue behördliche Zulassung erfolgen. Die Zulassung der zweiten Rechnereinrichtung 24 kann relativ kosten- und aufwandsgünstig fahrzeugspezifisch mit wiederverwendbaren Frameworks durchgeführt werden.

BEZUGSZEICHENLISTE

[0035] 

10

Schienenfahrzeug

12

Komponente (VCU) des Schienenfahrzeugs

14

Komponente (BCU, TCU, etc.) des Schienenfahrzeugs

16

Fahrzeugdatenbus

18

Onboard-Steuereinheit (OCU)

20

Cloud-Architektur

22

erste Rechnereinrichtung

24

zweite Rechnereinrichtung

Ansprüche

1. Verfahren zum Steuern und/oder Überwachen von Komponenten (12, 14) eines Schienenfahrzeugs (10), wobei die Komponenten (12, 14) über eine Onboard-Steuereinheit (18) des Schienenfahrzeugs (10) mit einer Cloud-Architektur (20) kommunizieren,
dadurch gekennzeichnet, dass
ein Schreibzugriff der Onboard-Steuereinheit (18) auf die Komponenten (12, 14) des Schienenfahrzeugs (10) nach festen Regeln beschränkt wird, wobei die festen Regeln eine vorgegebene Sicherheitsanforderung erfüllen.

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
die Komponenten (12, 14) und die Onboard-Steuereinheit (18) des Schienenfahrzeugs (10) über einen Fahrzeugdatenbus (16) des Schienenfahrzeugs (10) miteinander verbunden sind und der Schreibzugriff der Onboard-Steuereinheit (18) auf den Fahrzeugdatenbus (16) beschränkt wird.

3. Verfahren nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass
die festen Regeln nach einer behördlichen Zulassung der Onboard-Steuereinheit (18) unverändert bleiben.

4. Verfahren nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet, dass
ein Schreibzugriff der Cloud-Architektur (20) auf die Onboard-Steuereinheit (18) des Schienenfahrzeugs (10) unbeschränkt erfolgt.

5. Verfahren nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet, dass
ein Lesezugriff der Onboard-Steuereinheit (18) auf die Komponenten (12, 14) oder den Fahrzeugdatenbus (16) des Schienenfahrzeugs (10) unbeschränkt erfolgt.

6. Onboard-Steuereinheit (18) zum Steuern und/oder Überwachen von Komponenten (12, 14) eines Schienenfahrzeugs (10), mit einer ersten Rechnereinrichtung (22) zum Kommunizieren mit einer Cloud-Architektur (20),
gekennzeichnet durch
eine zweite Rechnereinrichtung (24) zum Beschränken eines Schreibzugriff der ersten Rechnereinrichtung (22) auf die Komponenten (12, 14) des Schienenfahrzeugs (10) nach festen Regeln, die eine vorgegebene Sicherheitsanforderung erfüllen.

7. Onboard-Steuereinheit nach Anspruch 6,
dadurch gekennzeichnet, dass
sie ausgestaltet ist, um mit den Komponenten (12, 14) des Schienenfahrzeugs (10) über einen Fahrzeugdatenbus (16) zu kommunizieren, und ihre zweite Rechnereinrichtung (24) ausgestaltet ist, um den Schreibzugriff der ersten Rechnereinrichtung (22) auf den Fahrzeugdatenbus (16) zu beschränken.

8. Onboard-Steuereinheit nach Anspruch 6 oder 7,
dadurch gekennzeichnet, dass
die erste Rechnereinrichtung (22) und die zweite Rechnereinrichtung (24) unabhängig voneinander programmierbar sind.

9. Schienenfahrzeug (10), aufweisend:

mehrere zu steuernde und/oder überwachende Komponenten (12, 14);

eine Onboard-Steuereinheit (18) nach einem der Ansprüche 6 bis 8; und

einen Fahrzeugdatenbus (16) zum Verbinden der Komponenten (12, 14) und der Onboard-Steuereinheit (18) miteinander.

Zeichnung