(19)
(11) EP 3 907 119 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
10.11.2021  Patentblatt  2021/45

(21) Anmeldenummer: 21162029.9

(22) Anmeldetag:  11.03.2021
(51) Internationale Patentklassifikation (IPC): 
B61L 3/00(2006.01)
B61L 15/00(2006.01)
E01B 27/20(2006.01)
 B61K 9/08(2006.01)
B61L 23/04(2006.01)
B61L 1/18(2006.01)
(52) Gemeinsame Patentklassifikation (CPC) :
B61L 15/0027; B61L 23/042; B61L 3/002; B61L 23/048; B61K 9/08
(84) Benannte Vertragsstaaten:
AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
Benannte Erstreckungsstaaten:
BA ME
Benannte Validierungsstaaten:
KH MA MD TN

(30) Priorität: 04.05.2020 AT 5009420 U

(71) Anmelder: HP3 Real GmbH
1010 Wien (AT)

(72) Erfinder:
  • Lichtberger, Bernhard
    1030 Wien (AT)

(74) Vertreter: Hübscher & Partner Patentanwälte GmbH 
Spittelwiese 4
4020 Linz
4020 Linz (AT)


(56) Entgegenhaltungen: : 
   
       


    (54) VERFAHREN ZUR GENERIERUNG EINES SICHERHEITSRELEVANTEN ABNAHMESCHRIEBES EINER GLEISINSTANDHALTUNGSMASCHINE


    (57) Es wird ein Verfahren zur Generierung eines sicherheitsrelevanten Abnahmeschriebes (C) einer Gleisinstandhaltungsmaschine (A) für eine Freigabe von Gleisen nach erfolgter Instandhaltungsarbeit im Gleisbereich beschrieben. Für eine vorteilhafte Generierung wird vorgeschlagen, dass vor Beginn der Instandhaltungsarbeit Abnahmesensoren (5, 6, 7) auf Einhaltung einer erlaubten Toleranz geprüft und Prüfdaten abgespeichert werden, dass während der Instandhaltungsarbeit eine Überprüfung auf Einhaltung von Freigabetoleranzen (10) erfolgt, dass die Abnahmesensoren (5, 6, 7) nach beenden der Instandhaltungsarbeit erneut auf Einhaltung einer erlaubten Toleranz geprüft und die Prüfdaten abgespeichert werden, dass in weiterer Folge eine Prüfung dahingehend erfolgt, ob ein gültiges Abnahmeschreiberzertifikat, eine gültige Zulassung der Stopfmaschine (EVN Nummer) und eine digitale Signatur eines Verantwortlichen vor Ort vorhanden ist (D) und dass wenn alle Anforderungen erfüllt sind, ein gültiges Zertifikat (1) mit digitaler Signatur der Maschine und falls vorhanden mit der Signatur des Verantwortlichen (D) erstellt wird.




    Beschreibung


    [0001] Die Erfindung bezieht sich auf ein Verfahren zur Prüfung der Gültigkeit eines sicherheitsrelevanten Abnahmeschriebes zur Freigabe von Gleisen nach einer Instandhaltungsarbeit im Gleisbereich mit einer Gleisinstandhaltungsmaschine.

    [0002] Nach der Aufzeichnung wird die Einhaltung der Freigabetoleranzen, die Funktion des Abnahmeschreibers über Prüfausschläge, die Zulassung des Schreibers und die Zulassung der Maschine geprüft und mit einer digitalen Signatur an den Auftraggeber zur Freigabe des Gleises für den Zugbetrieb übersandt.

    [0003] Die meisten Gleise für die Eisenbahn sind als Schotteroberbau ausgeführt. Die Schwellen liegen dabei im Schotter. Der Schotter hat die Aufgabe der Ableitung der Radkräfte ins Planum, die Aufnahme von Querkräften die auf die Schiene und Schwelle wirken und die Ableitung des Oberflächenwassers. Durch die wirkenden Radkräfte der darüberfahrenden Züge werden unregelmäßige Setzungen im Schotter und Verschiebungen der seitlichen Lagegeometrie des Gleises hervorgerufen. Durch die Setzungen des Schotterbettes treten Fehler in der Längshöhe, der Überhöhung (im Bogen), der Verwindung, der Spur und der Richtlage auf.

    [0004] Werden bestimmte von den Bahndirektionen festgelegte Komfortgrenzwerte oder Sicherheitsgrenzwerte dieser geometrischen Größen überschritten, dann werden Instandhaltungsarbeiten geplant und zeitgerecht durchgeführt. Werden festgelegte Gefahrengrenzwerte überschritten, dann wird abhängig von der Größe der Fehler die Geschwindigkeit reduziert oder das Gleis gesperrt und die Behebung dieser so genannten Einzelfehler sofort durchgeführt. Zur Behebung und Berichtigung dieser geometrischen Gleisfehler kommen heute meist Gleisbaumaschinen zum Einsatz. Zur Steuerung des Prozesses gibt es Messsysteme zur Erfassung der aktuellen Gleislage für die Parameter Richten, Heben, Verwindung und Querneigung. Damit das Gleis nach derartigen Gleisgeometrieverbesserungsarbeiten wieder dem Betrieb frei gegeben werden kann, sind die Oberbaumaschinen mit sogenannten Abnahmemessanlagen bzw. Abnahmeschreiberanlagen ausgestattet. Für die Qualität der Gleislage nach der Verbesserung durch Oberbaumaschinen oder sonstige Methoden haben die Bahnverwaltungen sogenannte Abnahmetoleranzen festgelegt. Abnahmetoleranzen stellen die Mindestanforderungen der Qualität der erzeugten geometrischen Verbesserungen dar.

    [0005] Neben den Abnahmetoleranzen gibt es die sicherheitsrelevanten Freigabetoleranzen. Diese stellen die Grenzen dar die eingehalten werden müssen, damit das bearbeitete Gleis für den Zugverkehr gefahrlos wieder freigegeben werden kann.

    [0006] Nachgewiesen wird die Einhaltung dieser Toleranzen durch die Abnahmeschreiberanlagen. Die aufgezeichneten Ergebnisse stellen amtliche sicherheitsrelevante Dokumente dar. Daher sind derartige Abnahmemessanlagen und Abnahmeschreiberanlagen einer regelmäßigen Kalibrierung und einer Abnahme durch autorisierte Stellen zu unterziehen. Die Schreiberanlage wird mit einer Prüfplakette oder einem Prüfzertifikat versehen mit der Angabe der Gültigkeitsdauer und wann die Anlage überprüft wurde und wann die nächste Prüfung spätestens stattfinden muss. Für den Nachweis einer funktionsfähigen Schreiberanlage wird vor den Instandhaltungsarbeiten ein so genannter Prüfausschlag durchgeführt. Bei diesem werden die den Messgrößen entsprechenden Sensoren mechanisch um einen bestimmten Betrag ausgelenkt und das Ist-Messsignal mit einem Soll-Messsignal verglichen. Stimmen diese bis auf eine vorgegebene Toleranz überein, dann wird davon ausgegangen, dass das Schreibersystem in Ordnung ist.

    [0007] Auf Gleisbaumaschinen gibt es den Vorwagenführer, der für die Steuerung der Maschine bezüglich der Soll-Geometrie und bezüglich der Aufzeichnung der nach der Instandhaltungsarbeit zurückbleibenden Gleislage durch die Schreiberanlage verantwortlich ist.

    [0008] Es ist bekannt den Abnahmeschrieb der Messaufzeichnung auf Papier auszudrucken bzw. den Abnahmeschrieb elektronisch, beispielsweise auf einem USB-Stick, zu speichern. Der Ausdruck wird von dem Vorwagenführer und einer bauüberwachenden Person unterschrieben. Aufgrund der Prüfung und Unterzeichnung des Ausdrucks durch die bauüberwachende Person wird das Gleis, bei Einhaltung der Freigabetoleranzen, für den Verkehr freigegeben. Werden auf Grund einer fehlerhaften Instandhaltungsarbeit die Freigabetoleranzen überschritten, dann müssen die korrespondierenden Gleisfehler unmittelbar behoben werden. Dazu wird i.d.R. mit der Maschine zurückgesetzt und die entsprechende Stelle noch einmal bearbeitet. Wenn dies nicht möglich ist, dann werden Maßnahmen wie Langsamfahrstellen oder Gleissperren verhängt.

    [0009] Der unterzeichnete Messschrieb wird üblicherweise von der bauüberwachenden Person von der Maschine mitgenommen und abgelegt. Zusätzlich kann der Abnahmeschrieb auch digital auf ein Speichermedium abgespeichert und mitgenommen werden.

    [0010] Dieses und andere ähnliche heute übliche Verfahren haben entscheidende Sicherheitsnachteile. Auf Papier ausgedruckte Dokumente setzen voraus, dass ein entsprechend funktionierender Drucker vorhanden ist. Die Ausdrucke sind nicht fälschungssicher und können manipuliert werden. Dies trifft auch auf elektronisch gesicherte Daten zu. Der Zeitpunkt der vorgeschriebenen Prüfung und Kalibrierung der Schreiberanlage kann überschritten sein (Prüfplakette ungültig), der Prüfausschlag kann ungültig sein, ebenso kann die Instandhaltungsmaschine über keine gültige Zulassung verfügen. Die Überprüfung dieser Randbedingungen unterliegt der Sorgfalt der verantwortlichen Person, ist also von Menschen abhängig und daher fehleranfällig. Die Ablage des Papierausdruckes in Ordnern oder der digitalen Aufzeichnungen auf irgendwelchen Computern ist mit der Gefahr verbunden, dass diese verloren gehen oder nachträgliche verändert werden. Dazu kommt die Notwendigkeit, dass eine verantwortliche Person zum Ende der Arbeit auf der Instandhaltungsmaschine sein muss um den Abnahmeschrieb zu übernehmen, zu prüfen, zu unterschreiben und dann die Strecke für den Zugverkehr frei zu geben. Angesichts der Bedeutung dieser Dokumente für die Sicherheit des Bahnverkehrs sind die Sicherheitsmaßnahmen die ihr zugrunde liegen nicht ausreichend. Zudem erfordert das übliche Verfahren die physische Anwesenheit einer für die Interpretation des Abnahmeschriebes geschulten Person, was mit entsprechenden Personalkosten verbunden ist.

    [0011] Sichere elektronische Signaturen sind in Europa nach der "Verordnung (EU) Nr. 910/ 2014" Verfahren zur elektronischen Identifizierung und Vertrauensdienste für elektronische Transaktionen" eingeführt worden. Digitale Signaturen stellen die Authentizität von Daten sicher. Der Dokumenteninhalt wird dazu in einen Hash-Wert übergeführt und dieser kryptographisch mit dem privaten Schlüssel signiert (den Hash-Wert kann man sich als Fingerprint einer Datei vorstellen). Zur Signaturprüfung wird dem Dokument ein Zertifikat beigefügt. Damit ist bekannt, wer unterschrieben hat, ob der Inhalt des Dokuments verändert wurde und ob Signatur und Zertifikat gültig sind. Die Überprüfungskette für digitale Signaturen werden unter dem Begriff Public Key Infrastructure (PKI) zusammengefasst.

    [0012] Eisenbahnfahrzeuge haben eine international eindeutige Fahrzeugnummer. In Europa ist das die europäische Fahrzeugnummer (European Vehicle Number (EVN)). Nur zugelassene Instandhaltungsmaschinen erhalten nach Prüfung von Notified Bodies eine Zulassung und eine EVN-Nummer. Geräte wie der Abnahmeschreiber sind mit einer eindeutigen Seriennummer versehen.

    [0013] Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren anzugeben, welches die oben angeführten Nachteile vermeidet und die Sicherheit des ganzen Verfahrens angesichts der sicherheitskritischen Dokumente entscheidend erhöht.

    [0014] Die Erfindung löst die gestellte Aufgabe mit den Merkmalen von Anspruch 1, Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen dargestellt.

    [0015] Beschrieben wird ein Verfahren zur Überprüfung der Zulassung, der Funktionsweise der Abnahmeschreiberanlage sowie der Echtheit der übertragenen Daten zur Freigabe der Gleise nach einer Instandhaltungsarbeit.

    [0016] Vor und nach der Instandhaltungsarbeit erfolgt ein Prüfausschlag der Abnahmeschreiberanlage. Die Abnahmesensoren werden mit entsprechenden Prüfausschlägen beaufschlagt und die Sensordaten abgespeichert.

    [0017] Die Prüfausschläge werden vom Abnahmeschreibercomputer (Leitcomputer) automatisch auf die Einhaltung aller Toleranzen überprüft und das Ergebnis wird abgespeichert.

    [0018] Es erfolgt eine Eingabe bzw. Übernahme der allgemeinen Daten für die folgende Instandhaltungsarbeit (Gleisdaten, Maschinenkennzeichnung, Maschinenbediener, Überwachungsbeauftragter (so vor Ort)) in den Header des Abnahmereports.

    [0019] Start der Arbeit und Start des Beginns der Aufzeichnung des Abnahmeschriebes bis zum Ende der Arbeit und Beenden der Aufzeichnung.

    [0020] In Folge führt der Gleisabnahmecomputer die folgenden Prüfungen durch: Ist das Zertifikat für die Abnahmeschreiberanlage gültig, ist die Zulassung der Stopfmaschine gültig (EVN Nummer), sind die Prüfausschläge in Ordnung und wurden die Toleranzen für Freigabe des Gleises eingehalten.

    [0021] Falls die Prüfungen positiv sind versieht der Abnahmecomputer den Abnahmeschrieb mit einer Kennzeichnung, ob alle Anforderungen für eine Freigabe des Gleises an den Zugbetrieb erfüllt sind oder nicht und stattet den Abnahmeschrieb dann mit einer entsprechenden gültigen Signatur der Maschine aus und wenn ein verantwortlicher Bauüberwacher vor Ort ist mit der gültigen digitalen Signatur des Bauüberwachers die dieser über Smart Card/ USB-Stick oder durch manuelle Eingabe in den Computer bekanntgegeben hat.

    [0022] Des Weiteren sendet der Gleisabnahmecomputer dann mit einem gültigen Zertifikat die folgenden Informationen elektronisch an die in einer Liste angegebenen elektronischen Adressen und die angegebene Datenbank (falls vorhanden): den Abnahmeschrieb, die gültige Schreiberzulassung, den gültigen Prüfausschlag der Abnahmesensoren, ob Freigabetoleranzen eingehalten wurden, eine gültige Maschinenzulassung mit internationaler Schienenfahrzeugnummer (EVN), ein Zertifikat (digitale Unterschrift) der Maschine und ein Zertifikat (digitale Unterschrift) des Bauüberwachers (so ferne vorhanden).

    [0023] Ist eine der Anforderungen nicht erfüllt, dann werden die Daten entsprechend markiert.

    [0024] Der Verantwortliche für die Freigabe der das Dokument mit einem gültigen überprüften Zertifikat erhält, erteilt bei positiver Kennzeichnung der Erfüllung aller Anforderungen die Freigabe des Gleises. Dieser Verantwortliche kann ein entsprechender, die Gültigkeit Prüfender Rechner sein.

    [0025] Die Freigabe des Gleises kann automatisch nach Übertragung der gültigen sicheren Daten (gültiges Zertifikat) und positiver Kennzeichnung erfolgen.

    [0026] In der Zeichnung ist der Erfindungsgegenstand beispielsweise dargestellt. Es zeigen
    Fig. 1
    eine Darstellung einer Abnahmeschreiberaufzeichnung nach einer durchgeführten Instandhaltungsarbeit gemäß dem Stand der Technik und
    Fig. 2
    eine schematische Darstellung der Prüfung eines Gleisabnahmeschriebes und der Übersendung mit gültigem Zertifikat.


    [0027] Fig. 1 stellt schematisch den Abnahmeschrieb Z eines bekannten digitalen Aufzeichnungsrecorders der geometrischen Gleislage gemäß dem Stand der Technik nach einer Instandhaltungsarbeit dar. Die unterste Zeile 9 zeigt die Kilometrierung (Bogenlänge). In der obersten Zeile 5 ist der Verlauf der gemessenen Pfeilhöhe (Richtung) dargestellt und rund um diesen Messwert sind die zulässigen Freigabetoleranzen 10 eingezeichnet. Die zweite Zeile 6 von oben stellt den Verlauf der gemessenen Überhöhung mit den zugehörigen Freigabetoleranzlinien dar. In der dritten Zeile 7 von oben ist der Verlauf der Längshöhe mit den zugehörigen Freigabetoleranzlinien dargestellt. Hier liegt eine Überschreitung 13 der zulässigen Toleranzen vor. Schließlich wird in der vierten Zeile 8 von oben eine aus der Überhöhung 6 abgeleitete Größe, die Verwindung, dargestellt. Die Verwindung 8 ist eine Größe, die wegen ihrer Bedeutung für die Entgleisungssicherheit besonders sicherheitskritisch ist. Die gezeigte Überschreitung 14 der Freigabetoleranz erfordert möglichst sofort eine Nachbearbeitung durch die Stopfmaschine. Die Position 12 der senkrechten Linie stellt die Position der aktuellen Messaufzeichnung bzw. des Endes der Messaufzeichnung dar.

    [0028] Fig. 2 zeigt eine Stopfmaschine A die mit einer Abnahmeschreiberanlage zur Erstellung eines Abnahmeschriebes C und einem Abnahmeschreibercomputer (Leitcomputer) B ausgestattet ist. Für die Maschine wird ein eindeutiges Zertifikat ausgestellt. Über eine Smartcard D kann die digitale Unterschrift eines Verantwortlichen vor Ort eingelesen werden. Nach Arbeitsende werden durch den Leitcomputer B Überprüfungen wie Zulassungszertifikat des Arbeitsschreibers, gültige Prüfausschläge, Einhaltung der Freigabetoleranzen, eindeutige Maschinenidentifikationsnummer EVN durchgeführt, Kennzeichnung ob die Daten alle Anforderungen erfüllen, insbesondere ob Toleranzen eingehalten wurden, und ob die Freigabe des Gleises erfolgen kann. Das so geprüfte und erstellte Dokument wird mit einem gültigen Zertifikat (Signatur) versehen und elektronisch H, beispielsweise über ein Funknetz, an den Auftraggeber E gesandt.

    [0029] Das mitgesandte Zertifikat wird durch eine vertrauenswürdige zugelassene Zertifizierungsstelle J auf Echtheit überprüft und falls es sich um ein gültiges Zertifikat handelt als echt bestätigt G. Der Auftraggeber E hält damit ein gültiges sicheres und geprüftes Abnahmedokument F in Händen. Die E-Mail kann über VPN (Datenversand privater Daten über ein öffentliches Netzwerk) gesandt werden. Die Daten können aber auch indirekt über einen Server als Zwischenspeicher (Cloud-Dienste) gesandt werden. Wenn dies mit dem Auftraggeber vereinbart wird, können die Daten auch über das Verschlüsselungsprotokoll TLS verschlüsselt gesandt werden. Zusätzlich kann mit dem Auftraggeber auch vereinbart werden die zu sendenden Daten selbst zu verschlüsseln (Ende-zu-Ende Verschlüsselung). Gebräuchliche Techniken für Ende-zu-Ende-Verschlüsselung sind zum Beispiel OpenPGP und S/MIME. Der Ablauf des Versands gestaltet sich so: erstens: Überprüfung mit digitaler Unterschrift 1, zweitens: elektronischer Versand 2, drittens: Prüfung des Zertifikats durch eine zugelassene Zertifizierungsstelle 3 und viertens: Bestätigung der Echtheit 4, mit der abschließenden Freigabe des Gleises für den Zugverkehr (E).


    Ansprüche

    1. Verfahren zur Generierung eines sicherheitsrelevanten Abnahmeschriebes (C) einer Gleisinstandhaltungsmaschine (A) für eine Freigabe von Gleisen nach erfolgter Instandhaltungsarbeit im Gleisbereich, dadurch gekennzeichnet, dass
    vor Beginn der Instandhaltungsarbeit Abnahmesensoren (5, 6, 7) einem definierten Prüfausschlag ausgesetzt werden, wobei gemessene Prüfausschläge auf Einhaltung einer erlaubten Toleranz geprüft und Prüfdaten in einem Abnahmeschreibercomputer (B) abgespeichert werden, dass
    die Instandhaltungsarbeit unter Aufzeichnung des Abnahmeschriebes (C, 5, 6, 7, 8, 9, Z) durchgeführt wird, wobei eine Überprüfung auf Einhaltung von den Messdaten zugeordneten Freigabetoleranzen (10) erfolgt, dass
    die Abnahmesensoren (5, 6, 7) nach beenden der Instandhaltungsarbeit und der Aufzeichnung (C) des Abnahmeschriebes, erneut einem definierten Prüfausschlag ausgesetzt werden, wobei gemessene Prüfausschläge auf Einhaltung einer erlaubten Toleranz geprüft und die Prüfdaten wiederum im Abnahmeschreibercomputer (B) abgespeichert werden, dass
    in weiterer Folge eine Prüfung dahingehend erfolgt, ob ein gültiges Abnahmeschreiberzertifikat und eine gültige Zulassung der Stopfmaschine (EVN Nummer) vorliegt, dass
    geprüft wird, ob eine digitale Signatur eines Verantwortlichen vor Ort vorhanden ist (D), dass
    wenn alle Anforderungen erfüllt sind, damit eine Freigabe des Gleises erteilt werden kann, ein gültiges Zertifikat (1) mit digitaler Signatur der Maschine und falls vorhanden mit der Signatur des Verantwortlichen (D) erstellt wird und dass ein elektronischer Versand (2, H) des Zertifikates erfolgt.
     
    2. Verfahren nach dem Anspruch 1, gekennzeichnet dadurch, dass der Versand (2, H) des elektronischen Zertifikates einen verschlüsselten Kommunikationskanal erfolgt.
     
    3. Verfahren nach Anspruch 2, gekennzeichnet dadurch, dass der Versand nach einem bekannten Ende-zu-Ende Verschlüsselungsverfahren erfolgt.
     
    4. Verfahren nach einem der Ansprüche 1 bis 3, gekennzeichnet dadurch, dass der Versand (2, H) des elektronischen Zertifikates indirekt über einen Server als Zwischenspeicher (Cloud-Dienste) erfolgt.
     
    5. Verfahren nach einem der Ansprüche 1 bis 4, gekennzeichnet dadurch, dass die Freigabe des Gleises für den Zugverkehr nach erfolgter digitaler Signatur des Zertifikates automatisiert erfolgt.
     
    6. Verfahren nach einem der Ansprüche 1 bis 5, gekennzeichnet dadurch, dass das elektronische Zertifikat an den Auftraggeber und/oder eine Behörde (E, F) übermittelt wird, welche eine Zertifikatsüberprüfung (3, 4) über eine zugelassene Zertifizierungsstelle (J) durchführt.
     
    7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Behörde das Gleis nach positiver Zertifikatsüberprüfung freigibt.
     




    Zeichnung










    Recherchenbericht









    Recherchenbericht