VERFAHREN ZUR PAPIERLOSEN INBETRIEBNAHME EINER STRECKENPUNKTES FÜR DEN SCHIENENGEBUNDENEN VERKEHR

Abstract

 Die vorliegende Erfindung offenbart ein Verfahren zur papierlosen Programmierung und Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente einer Eisenbahnsicherungsanlage, wie beispielsweise eine MiniLEU S11, eine LEU S21 und ein MSTT Signal für eine Zugsicherungskomponente, wie beispielsweise eine ETCS Eurobalise, einen ETCS Euroloop, ein Signal, eine Weiche, umfassend die folgenden Schritte:
a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs (10) für ein Programmierwerkzeug (12), wobei die prüfungsrelevanten Daten die Steuerungsdaten (14) für die Zugsicherungskomponente, eine Vorlage (16) im pdf-Format für ein Prüfprotokoll (32) und in die Vorlage (16) für das Prüfprotokoll (32) als Metadaten eingebettete verschlüsselte Sollwerte (18) von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten (14) auf die Steuerungseinheit (20) und/oder die Prüfung der Vollständigkeit der Inbetriebnahme umfassen;
b) Programmieren der Steuerungseinheit (20) durch das Programmierwerkzeug (12) mit den vom Projektierungswerkzeug (10) bereitgestellten Steuerungsdaten (14);
c) Berechnen und Übertragen von Ist-Prüfsummen (22) für die programmierten Steuerungsdaten (14) von der Steuerungseinheit (20) auf das Programmierwerkzeug (12);
d) Verschlüsseln (24) und Vergleichen der berechneten Ist-Prüfsummen (22) mit den verschlüsselten Sollwerten (18) für die Prüfsummen, indem diese Sollwerte aus den Metadaten der Prüfprotokoll-Vorlage (16) verwendet werden, zur Bereitstellung von Quittierungsoptionen des Prüfsummenvergleichs (28) auf dem Programmierwerkzeug (12);
e) Darstellen des Ergebnisses des Vergleichs auf dem Programmierwerkzeug (12) und Quittieren einer Übereinstimmung zwischen den berechneten Prüfsummen (22) und den verschlüsselten Sollwerten (18) für die Prüfsummen durch einen Prüfer (29),
f) Erstellen des Prüfprotokolls (32) im pdf-Format anhand der vom Projektierungswerkzeug (10) im pdf-Format gelieferten Vorlage (16) für das Prüfprotokoll (32) unter Einbettung der Identität (30) des Prüfers (29) sowie der berechneten Prüfsummen (22) im druckbaren Bereich des Prüfprotokolls (32) und zusätzliche Einbettung dieser Informationen in den Metadaten des Prüfprotokolls (32) durch das Programmierwerkzeug (12); und
g) Übertragen des Prüfprotokolls (32) inklusive aller darin eingebetteten Daten vom Programmierwerkzeug (12) an eine Datenbank (36) und Archivieren des Prüfprotokolls (32) in der Datenbank (36).

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein Verfahren zur papierlosen Programmierung und Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente einer Eisenbahnsicherungsanlage, wie beispielsweise eine MiniLEU S11, eine LEU S21 und ein MSTT Signal für eine Zugsicherungskomponente, wie beispielsweise eine ETCS Eurobalise, einen ETCS Euroloop, ein Signal, eine Weiche.

[0002] Im Anlagenengineering von European Train Control Systems (ETCS) Streckenkomponenten (dies sind zum Beispiel Eurobalisen oder Lineside Electronic Units, werden seit ca. 20 Jahren Prüfprotokolle im PDF-Format erzeugt, auf Papier ausgedruckt und während der Inbetriebnahme der Komponenten handschriftlich ausgefüllt, wobei neben Prüfsummen jeweils der Name, das Datum und die Unterschrift des Prüfers eingetragen werden müssen. Anschliessend wird das ausgefüllte Formular als Nachweisdokument der vorgenommenen Arbeiten in ein PDF-Dokument eingescannt und das Papier-Original z.B. im Stellwerkraum eines Bahnbetreibers abgelegt. Für Unterhaltsarbeiten steht dem Personal des Bahnbetreibers dasselbe Verfahren zur Verfügung, indem dieses die bereitgestellten leeren Prüfprotokolle im PDF-Format selber auf Papier ausdruckt und entsprechend benutzt. Pro Streckenkomponente umfasst das Set von Prüfprotokollen zwei bis vier Prüfprotokolle (Dateien). Neben den diesen Prüfprotokollen und den programmierbaren Steuerungsdaten gehören zur Dokumentation der Streckenkomponenten immer auch Dateien (z.B. XML oder XLSX) mit Tabellen, welche den Inhalt der projektierten ETCS Daten (Konfiguration, Telegramme etc.) in lesbarer, prüfbarer und elektronisch verarbeitbarer Form enthalten. Dies sind umfangreiche Informationen, die nicht auf den Prüfprotokollen enthalten sind. Das herkömmliche Prüfverfahren mit Papierformularen fordert, dass die Prüfprotokolle durch zwei verschiedene Personen ausgefüllt werden müssen.

[0003] Im Einzelnen sah es der Prozess zur Inbetriebnahme/Abnahme einer gleisseitigen Steuerungseinheit bisher vor, dass das Inbetriebsetzungspersonal ausgedruckte Prüfblätter, auf denen die erwarteten Prüfsummen zur Kontrolle der auf die Steuerungseinheit geladenen Projektierungsdaten vorgedruckt waren, mit hinaus zu dem zugehörigen Streckenpunkt (Streckenpunkt ist dabei die Gesamtheit aus der Steuerungseinheit und der Zugsicherungseinheit im/am Gleis) nehmen. Nach erfolgreicher Konfiguration und Prüfung der Steuerungseinheit (des Zielgeräts) vor Ort hat das Inbetriebsetzungspersonal die ausgefüllten Prüfblätter zu unterschreiben und dann zu archivieren. Angesichts der Vielzahl von Streckenpunkten und angesichts des dem Wetter mehr oder weniger schutzlos ausgesetzten Inbetriebsetzungspersonals ist es leicht vorstellbar, dass der Einsatz der papiernen Prüfblätter zu Verwechslungen und/oder Verschmutzungen und/oder Aufweichungen durch Schnee/Regen führen konnte.

[0004] Durch das europäische Patent EP 2 927 088 B1 wird ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente angegeben, das dem Inbetriebnahmepersonal die Vornahme der Inbetriebnahme erleichert und dabei gleichzeitig den geforderten Sicherheitslevel gemäss SIL4 einhält. Die Steuerungseinheit wird im Sinne dieser Anmeldung auch synonym als Zielsystem angesehen. Im Einzelnen wird hier ein Verfahren zur papierlosen Inbetriebnahme einer Steuerungseinheit, insbesondere einer MiniLEU S11, einer LEU S21 und eines MSTT Signal, für eine Zugsicherungskomponente, insbesondere eine ETCS Balise, ein Signal, eine Weiche, einen Bahnübergang, einen Achszähler, offenbart, welches die folgenden Schritte umfasst:

a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs für ein Programmierwerkzeug, wobei die prüfungsrelevanten Daten die Steuerungsdaten für die Zugbeeinflussungseinheit, eine Vorlage für ein zweites Prüfprotokoll und verschlüsselte Sollwerte von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten auf die Steuerungseinheit umfassen;

b) Programmieren der Steuerungseinheit durch das Programmierwerkzeug mit den vom Projektierungswerkzeug bereitgestellten Steuerungsdaten;

c) Berechnen von Prüfsummen für die programmierten Steuerungsdaten auf der Steuerungseinheit anhand eines dem Programmierwerkzeug unbekannten Schlüssels und Übertragen dieser berechneten Prüfsummen auf das Programmierwerkzeug;

d) Vergleichen der berechneten Prüfsummen mit den verschlüsselten Sollwerten für die Prüfsummen im Rahmen eines ersten Prüfprotokolls zur Bereitstellung eines zweiten Prüfprotokolls auf dem Programmierwerkzeug;

e) Darstellen des Ergebnisses des ersten Prüfprotokolls auf dem Programmierwerkzeug und Quittieren einer Übereinstimmung der berechneten Prüfsummen und des verschlüsselten Sollwerts für die Prüfsummen durch einen Prüfer,

f) Erstellen des zweiten Prüfprotokolls anhand der vom Projektierungswerkzeug gelieferten Vorlage für das zweite Prüfprotokoll unter Hinzufügen der Identität des Prüfers sowie der berechneten Prüfsummen und der verschlüsselten Sollwerte für die Prüfsummen isoliert auf dem Programmierwerkzeug; und

g) Übertragen des zweiten Prüfprotokolls vom Programmierwerkzeug an eine Datenbank und Archivieren des zweiten Prüfprotokolls in der Datenbank.

[0005] Auf diese Weise gelingt es mit diesem Verfahren unter Einsatz des Programmiergeräts den Streckenpunkt papierlos in Betrieb nehmen zu können bzw. mit anderen Worten gesprochen seine fehlerfreie Programmierung garantieren zu können. Das Inbetriebsetzungspersonal ist nur noch einmal aufgefordert, im Rahmen des bereitgestellten zweiten Prüfprotokolls die Übereinstimmung der berechneten Prüfsummen mit den verschlüsselten Sollwerten für die Prüfsummen zu quittieren. Das erste Prüfprotokoll kann dabei in sehr einfacher Form auf dem Programmierwerkzeug angezeigt werden, z.B. "Prüfsummenvergleich OKAY". Somit ist auch hier nur noch eine Person für die Durchführung des Prüfverfahren vor Ort erforderlich.

[0006] Leider ist dieses elektronische Prüfverfahren mit dem Nachteil behaftet, dass auch hierbei eine Vielzahl von Dateien entstehen, die auch bei Änderungen der Projektierungsdaten laufend aktuell gehalten werden müssen und somit insbesondere den Infrastrukturbetreiber vor erhebliche Herausforderungen bezüglich der Verwaltung dieser Dateien stellen. Diese Vielzahl der Dateien sind hierbei die PDF-Prüfprotokolle für den Papierausdruck, die eingescannten Prüfprotokolle, die Vorlage für das Prüfprotokoll im Textformat, die Datei mit den verschlüsselten Prüfsummen, ein elektronisch visiertes PDF-Prüfprotokoll, Datentabellen zu den Steuerungsdaten (welche alle relevanten im Projektierungswerkzeug erfassten Werte umfassen) usw.

[0007] Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur papierlosen Programmierung und Inbetriebnahme von Steuerungseinheiten anzugeben, welches die Anzahl der zu verwaltenden Dateien pro Steuerungseinheit signifikant verringert und trotzdem auch - wenn gewünscht - die Möglichkeit offen lässt die Steuerungseinheit auf dem alten Wege mit einem papiernen Prüfprotokoll abnehmen zu können.

[0008] Diese Aufgabe wird erfindungsgemäss durch ein Verfahren zur papierlosen Programmierung und Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente einer Eisenbahnsicherungsanlage, wie beispielsweise eine MiniLEU S11, eine LEU S21 und ein MSTT Signal für eine Zugsicherungskomponente, wie beispielsweise eine ETCS Eurobalise, einen ETCS Euroloop, ein Signal, eine Weiche, gelöst, welches die folgenden Schritte umfasst:

a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs für ein Programmierwerkzeug, wobei die prüfungsrelevanten Daten die Steuerungsdaten für die Zugsicherungskomponente und eine Vorlage im PDF-Format für ein Prüfprotokoll und in die Vorlage für das Prüfprotokoll als Metadaten eingebettete verschlüsselte Sollwerte von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten auf die Steuerungseinheit bzw. der Prüfung der Vollständigkeit der Inbetriebnahme umfassen;

b) Programmieren der Steuerungseinheit durch das Programmierwerkzeug mit den vom Projektierungswerkzeug bereitgestellten Steuerungsdaten;

c) Berechnen und Übertragen von Ist-Prüfsummen für die programmierten Steuerungsdaten von der Steuerungseinheit an das Programmierwerkzeug;

d) Vergleichen der berechneten Prüfsummen mit den in der Vorlage des Prüfprotokolls eingebetteten, verschlüsselten Sollwerten für die Prüfsummen zur Bereitstellung von Quittierungsoptionen im Prüfprotokoll auf dem Programmierwerkzeug;

e) Darstellen des Ergebnisses des Vergleichs auf dem Programmierwerkzeug und Quittieren einer Übereinstimmung zwischen den berechneten Prüfsummen und den Sollwerten für die Prüfsummen durch einen Prüfer,

f) Erstellen des finalen Prüfprotokolls im PDF-Format anhand der vom Projektierungswerkzeug gelieferten Vorlage für das Prüfprotokoll unter Einbettung der Identität des Prüfers sowie der berechneten Ist-Werte der Prüfsummen im druckbaren Bereich des Prüfprotokolls und Einbettung dieser Informationen als Metadaten im Prüfprotokoll auf dem Programmierwerkzeug; und

g) Übertragen des finalen Prüfprotokolls inklusive aller darin eingebetteten Daten vom Programmierwerkzeug an eine Datenbank und Archivieren des Prüfprotokolls in der Datenbank.

[0009] Die Vorteile des erfindungsgemässen Verfahrens liegen folglich in der Zusammenfassung von Informationen in einer Datei, welche bisher in verschiedenen Dateien abgelegt und verwaltet werden mussten, wobei durch die Zusammenfassung kein Verlust im Einsatzbereich (Nutzungsprozesse) der Dateien entsteht. Bei Nutzung der Erfindung muss zum Beispiel für eine Eurobalise in der Anwendung für die Schweizer Bahnkunden nur noch eine PDF-Datei statt bisher vier Dateien und für die Anwendung im internationalen Umfeld nur noch zwei PDF-Dateien statt bisher sechs Dateien als Ausgangslage für die Durchführung der Programmierung und Inbetriebnahme erzeugt und verwaltet werden. Für eine Lineside Electronic Unit (LEU) liegt der Unterschied für die Anwendung in der Schweiz bei zwei statt sechs Dateien und für das internationale Umfeld bei vier statt sieben Dateien.

[0010] Ein weiterer Nutzen entsteht durch die optionale Einbettung der Steuerungsdaten für die Zugbeeinflussungseinheit (Zugsicherungskomponente) und möglicherweise auch der Datentabellen zu den Steuerungsdaten (welche alle relevanten im Projektierungswerkzeug erfassten Werte umfassen) in die Vorlage für das Prüfprotokoll im PDF-Format, da so ein direkter Kontext zwischen Daten im programmierbaren Format, dem Dateninhalt in lesbarer Form und der Datenprüfung entsteht und mit öffentlich zugänglichen Methoden sowohl aus einem noch nicht ausgefüllten Prüfprotokoll (Vorlage) als auch aus einem elektronisch ausgefüllten Prüfprotokoll die Dokumentation extrahiert werden kann. Wenn diese Auswertung auf dem elektronisch ausgefüllten Prüfprotokoll erfolgt, können zusätzlich die eingebetteten Informationen gewonnen und nachgewiesen werden, wer wann was wo geprüft hat, sowie um welchen Datenstand (Prüfsumme) und um welche Dateninhalte es sich dabei handelt.

[0011] Eine besonders vorteilhafte Ausgestaltung des vorliegenden Verfahrens kann erzielt werden, wenn die verschlüsselten Sollwerte für die Prüfsummen in nicht maschinell les- und auswertbarer Form an das Programmierwerkzeug übertragen werden. Auf diese Weise ist es sichergestellt, dass die berechnete IST-Prüfsumme auch tatsächlich von der Steuerungseinheit ermittelt wurde und nicht über einen wie auch immer gearteten Fehler irrtümlich die als Vorgabe im Programmierwerkzeug enthaltene verschlüsselten Sollwerte für die Prüfsummen auch als IST-Werte ausgegeben werden. Dieses Vorgehen ist besonders darum relevant, weil die Steuerungsdaten und die damit implementierten Steuerungseinheiten dem höchsten Sicherheitslevel im Eisenbahnbereich, SIL4, entsprechen müssen, wobei das eingesetzte Programmierwerkzeug und die Software (Projektierungswerkzeug) für die Konfiguration der Steuerungseinheit aber keinerlei Sicherheitslevel im Sinne eines SIL-Levels erfüllen müssen.

[0012] In einer weiteren vorteilhaften Ausgestaltung dieser Varianten kann es dann vorgesehen sein, dass nicht die Sollwerte für die Prüfsummen selbst in der Vorlage für das Prüfprotokoll übertragen werden, sondern dass über jeden Prüfsummen-Sollwert eine weitere Hash-Prüfsumme (zum Beispiel mit Hilfe des SHA 512 Algorithmus gemäss RFC 6234) berechnet und übertragen wird, wobei aus einer solchen Prüfsumme der eigentliche Sollwert der Prüfsumme nicht mehr ermittelt werden kann. Dadurch ist sichergestellt, dass das Programmierwerkzeug nicht fälschlicherweise statt den Istwerten die Sollwerte der Prüfsummen für die Anzeige oder den Vergleich verwenden kann. Für die Durchführung des Vergleichs muss folglich durch das Programmierwerkzeug aus den berechneten Istwerten der Prüfsummen, mit demselben Verfahren wie es das Projektierungswerkzeug angewendet hat, Hash-Prüfsummenwerte über die Prüfsummen berechnet werden.

[0013] Bei der Erzeugung der Vorlage des Prüfprotokolls durch das Projektierungswerkzeug sowie bei der Erzeugung Prüfprotokolls durch das Programmierwerkzeug ist es in vorteilhafter Weise vorgesehen, dass diese Protokolle im pdf-Format gemäss ISO Standard 19005-3 oder höher, erstellt werden. Die Metadaten werden dabei unter Nutzung des Extensible Metadata Platform (XMP) Standards ISO 16684-1 oder höher in die Protokolle. Diese Metadaten sind so zwar bei einem Öffnen des Dokuments mit einem PDF-Reader nicht sichtbar, aber selbstverständlich mit entsprechenden Auswertemitteln elektronisch auswertbar und auch entsprechend darstellbar.

[0014] Bevorzugte Ausführungsbeispiel der vorliegenden Erfindung werden nachfolgend anhand der Zeichnung näher erläutert. Dabei zeigt die Figur in schematischer Weise den Ablauf des erfindungsgemässen Verfahrens.

[0015] Die Figur zeigt in schematischer Weise den Ablauf des Verfahrens zur papierlosen Inbetriebnahme eines Streckenpunktes, wie z.B. einer ETCS Transparentdaten-Balise als Zugbeeinflussungseinheit mit ihrer zugehörigen Steuerungseinheit 20 - auch Zielsystem genannt.

[0016] In einem ersten Schritt 1 stellt ein Projektierungswerkzeug 10 prüfungsrelevante Daten für ein Programmierwerkzeug 12 bereit. Das Projektierungswerkzeug 10 kann dabei beispielsweise an ein Stellwerk oder ein Leitsystem angekoppeln sein, von dem es die entsprechenden prüfungsrelevanten Daten erhält. Alternativ kann aber das Projektierungswerkszeug 10 auch dazu ertüchtigt sein, dass mit diesem Werkzeug die prüfungsrelevanten Daten generiert werden können. Unter den prüfungsrelevanten Daten werden im Sinne der vorliegenden Erfindung Steuerungsdaten 14 für die Zugbeeinflussungseinheit (auch als Zielsystem 20 bezeichnet), eine Vorlage 16 für ein Prüfprotokoll (diese Vorlage ist eine pdf-Datei gemäss ISO 19005-3), verschlüsselte Sollwerte 18 von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten 14 auf die Steuerungseinheit 20 bzw. der vollständigen Inbetriebnahme der Steuerungseinheit 20 und Datentabellen 19 (welche alle relevanten im Projektierungswerkzeug erfassten Werte umfassen) verstanden. Die verschlüsselten Sollwerte 18 der Prüfsummen und optional auch die Steuerungsdaten 14 und/oder die vom Projektierungswerkzeug erzeugten Datentabellen 19 zu den Steuerungsdaten 14 werden dabei als Metadaten gemäss dem Extensible Metadata Platform (XMP) Standard gemäss ISO 16684-1 in die Vorlage 16 für das Prüfprotokoll integriert eingebettet, was durch die Pfeile 15 repräsentiert werden soll. () .

[0017] In einem zweiten Schritt 2 wird die Steuerungseinheit 20 durch das Programmierwerkzeug 12 mit den vom Projektierungswerkzeug 10 bereitgestellten Steuerungsdaten 14 programmiert. Hierzu kann es vorgesehen sein, dass das Inbetriebnahmepersonal das Programmierwerkzeug 12 drahtgebunden oder auch wireless vor Ort an die Steuerungseinheit 20 ankoppelt und die Daten über die entsprechende Schnittstelle überträgt. Falls wie oben beschrieben die Steuerungsdaten 14 für das Zielsystem in den Metadaten der Vorlage 16 für das Prüfprotokoll 32 gemäss Pfeil 15 eingebettet werden, müssen diese Daten für die Programmierung des Zielsystems 20 zuerst durch das Programmierwerkzeug isoliert (extrahiert) werden. Falls wie oben beschrieben die Datentabellen 19 zu den Steuerungsdaten 14 in den Metadaten der Vorlage 16 für das Prüfprotokoll 32 eingebettet werden, können diese Informationen zur Anzeige von hilfreichen Informationen (zum Beispiel dem Namen und den Eigenschaften der Steuerungseinheit 20) auf dem Programmierwerkzeug 12 an den Prüfer 29 verwendet werden.

[0018] In einem dritten Schritt berechnet nun zum Beispiel die Steuerungseinheit 20 oder das Programmierwerkzeug 12 die Ist-Prüfsummen 22 für die programmierten Steuerungsdaten 14 auf der Steuerungseinheit 20. Wenn die Berechnung durch das Programmierwerkzeug 12 erfolgt, werden vom Zielsystem 20 die für die Berechnung notwendigen Informationen an das Programmierwerkzeug 12 übertragen. Die auf diese Weise berechneten Ist-Prüfungsummen (es kann auch nur eine einzige Prüfsumme sein) werden als Metadaten in die Vorlage für das Prüfprotokoll 32 integriert.

[0019] In einem vierten Schritt 4 stellt das Programmierwerkzeug 12 einen Soll-Ist-Vergleich 28 für die Prüfsummen zusammen, indem es die berechneten Ist-Prüfsummen 22 mit den Sollwerten 18 für die Prüfsummen automatisch vergleicht. Wichtig für die Erreichung des Sicherheitsziels SIL4 ist dabei, dass das Programmierwerkzeug 12 die Sollwerte 18 nie im Klartext (im Sinne von maschinenles- und auswertbar) zur Verfügung hat, sondern durch eine vorgebbare (zum Beispiel mathematische) Verknüpfung der IST-Prüfsummen 22 mit den von dem Projektierungswerkzeug gelieferten und mit einem dem Programmierwerkzeug 12 nicht bekannten Schlüssel 26 verschlüsselten Sollwerte 18 für die Prüfsummen im Falle einer korrekten Programmierung der Steuerungseinheit 20 auf einen vordefinierten konstanten Wert kommt. Die Prüfung ist dann erfolgreich abgeschlossen, wenn dieser vordefinierte konstante Wert erreicht worden ist.

[0020] In einem fünften Schritt 5 werden die berechneten Prüfsummen 22 und die verschlüsselten Sollwerte 18 für die Prüfsummen auf dem Programmierwerkzeug 12 für das Inbetriebnahmepersonal und/oder einen Prüfer 29 angezeigt. Dies kann zum Beispiel auch nur in der vereinfachten Form erfolgen, dass das Programmiergerät anzeigt "Prüfsumme(n) OKAY". Beispielsweise können dabei die Sollwerte 18 für die Prüfsummen von dem Projektierungswerkzeug 10 so an das Programmierwerkzeug 12 übergeben worden sein, dass die Sollwerte 18 nicht direkt maschinell les- und auswertbar sind, aber für das Inbetriebnahmepersonal trotzdem dargestellt werden können, z.B. in Form eines eingebundenen Bildes.

[0021] Wenn ein Verfahren verwendet wird, bei welchem die Sollwerte für die Prüfsummen 18 durch das Projektierungswerkzeug 10 in Form einer Hash-Prüfsumme (zum Beispiel mit Hilfe des SHA 512 Algorithmus gemäss RFC 6234) je Sollwert verschlüsselt und eingebettet (repräsentiert durch einen Schlüssel 26) werden, aus welchen der Sollwert der Prüfsumme nicht mehr ermittelt werden kann, entstehen weitere Vorteile. So kann sichergestellt werden, dass das Programmierwerkzeug 12 nicht fälschlicherweise statt den Istwerten die Sollwerte der Prüfsummen für die Anzeige oder den Vergleich verwenden kann. Für die Durchführung des Vergleichs muss folglich durch das Programmierwerkzeug 12 aus den berechneten Istwerten der Prüfsummen 22, mit demselben Verfahren wie es das Projektierungswerkzeug 10 angewendet hat, Hash-Prüfsummenwerte über die Prüfsummen berechnet (repräsentiert durch einen weiteren Schlüssel 24) werden.

[0022] Das Inbetriebnahmepersonal bzw. der Prüfer 29 hat diesen Prüfvergleich dann zu quittieren, wobei es im vorliegenden Ausführungsbeispiel überhaupt nur zu einer Anzeige des Prüfprotokolls kommt, wenn die Übereinstimmung der berechneten Prüfsummen 22 und der verschlüsselten Sollwerte 18 für die Prüfsummen gegeben ist. Im Rahmen dieser Quittierung wird mit Bezug auf das Prüfprotokoll auch der Name 30 des quittierenden Prüfers im Prüfprotokoll 32 bzw. dessen Vorlage 16 hinterlegt.

[0023] Mit diesen Angaben erstellt das Programmierwerkzeug 12 in einem sechsten Schritt 6 unter Rückgriff auf die bereits an das Programmierwerkzeug übermittelte Vorlage 16 ein finales Prüfprotokoll 32 in Form einer pdf-Datei gemäss ISO 19005-3 unter Einbettung der Identität/Namen 30 des Prüfers 29 sowie der berechneten Prüfsummen 22 im druckbaren Bereich des Prüfprotokolls 32 und zusätzliche Einbettung dieser Informationen in den Metadaten des Prüfprotokolls 32 durch das Programmierwerkzeug 12.

[0024] In einem weiteren Schritt 7 kann das erzeugte Prüfprotokoll 32 optional noch mit einer elektronischen Signatur signiert werden. Falls dies mit einer entsprechenden vertrauenswürdigen PKI-Infrastruktur ausgeführt, wird hiermit dieselbe Verbindlichkeit wie die einer händischen Unterschrift auf Papier erreicht. Ausserdem wird das Prüfprotokoll 32 in diesem Schritt vom Programmierwerkzeug 12 an eine Datenbank oder entsprechende Datenablage 36 übertragen und dort archiviert. Sämtliche in das Prüfprotokoll 32 eingebettete Daten stehen somit auch für eine spätere elektronische Auswertung zur Verfügung.

Ansprüche

1. Verfahren zur papierlosen Programmierung und Inbetriebnahme einer Steuerungseinheit für eine Zugsicherungskomponente einer Eisenbahnsicherungsanlage, wie beispielsweise eine MiniLEU S11, eine LEU S21 und ein MSTT Signal für eine Zugsicherungskomponente, wie beispielsweise eine ETCS Eurobalise, einen ETCS Euroloop, ein Signal, eine Weiche, umfassend die folgenden Schritte:

a) Bereitstellen von prüfungsrelevanten Daten mittels eines Projektierungswerkzeugs (10) für ein Programmierwerkzeug (12), wobei die prüfungsrelevanten Daten die Steuerungsdaten (14) für die Zugsicherungskomponente, eine Vorlage (16) im pdf-Format für ein Prüfprotokoll (32) und in die Vorlage (16) für das Prüfprotokoll (32) als Metadaten eingebettete verschlüsselte Sollwerte (18) von Prüfsummen zur Kontrolle des korrekten Ladens der Steuerungsdaten (14) auf die Steuerungseinheit (20) und/oder die Prüfung der Vollständigkeit der Inbetriebnahme umfassen;

b) Programmieren der Steuerungseinheit (20) durch das Programmierwerkzeug (12) mit den vom Projektierungswerkzeug (10) bereitgestellten Steuerungsdaten (14);

c) Berechnen und Übertragen von Ist-Prüfsummen (22) für die programmierten Steuerungsdaten (14) von der Steuerungseinheit (20) auf das Programmierwerkzeug (12);

d) Verschlüsseln (24) und Vergleichen der berechneten Ist-Prüfsummen (22) mit den verschlüsselten Sollwerten (18) für die Prüfsummen, indem diese Sollwerte aus den Metadaten der Prüfprotokoll-Vorlage (16) verwendet werden, zur Bereitstellung von Quittierungsoptionen des Prüfsummenvergleichs (28) auf dem Programmierwerkzeug (12);

e) Darstellen des Ergebnisses des Vergleichs auf dem Programmierwerkzeug (12) und Quittieren einer Übereinstimmung zwischen den berechneten Prüfsummen (22) und den verschlüsselten Sollwerten (18) für die Prüfsummen durch einen Prüfer (29),

f) Erstellen des Prüfprotokolls (32) im pdf-Format anhand der vom Projektierungswerkzeug (10) im pdf-Format gelieferten Vorlage (16) für das Prüfprotokoll (32) unter Einbettung der Identität (30) des Prüfers (29) sowie der berechneten Prüfsummen (22) im druckbaren Bereich des Prüfprotokolls (32) und zusätzliche Einbettung dieser Informationen in den Metadaten des Prüfprotokolls (32) durch das Programmierwerkzeug (12); und

g) Übertragen des Prüfprotokolls (32) inklusive aller darin eingebetteten Daten vom Programmierwerkzeug (12) an eine Datenbank (36) und Archivieren des Prüfprotokolls (32) in der Datenbank (36).

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
die Sollwerte (18) für die Prüfsummen durch das Projektierungswerkzeug (10) so verschlüsselt und übertragen werden, dass für das Programmierwerkzeug (12) daraus keine Sollwerte mehr ermittelbar sind, vorzugsweise unter Verwendung eines Algorithmus (zum Beispiel der SHA 512 Algorithmus gemäss RFC 6234), welcher je Prüfsummen-Sollwert (18) eine weitere Prüfsumme (26) bildet.

3. Verfahren nach Anspruch 1 oder 2 ,
dadurch gekennzeichnet, dass
in der Vorlage (16) für das Prüfprotokoll (32) und in das Prüfprotokoll (32) die verschlüsselten Sollwerte (18), die Steuerungsdaten (14) für das Zielsystem und die Datentabellen (19) zu den Steuerungsdaten (14) eingebettet und übertragen werden.

4. Verfahren nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet, dass
die Vorlage (16) für das Prüfprotokoll (32) und das Prüfprotokoll (32) im pdf-Format gemäss ISO Standard 19005-3 oder höher und unter Verwendung des Extensible Metadata Platform Standard gemäss ISO 16684-1 für die eingebetteten Daten, erstellt werden.

Zeichnung