|
(11) | EP 4 059 803 A1 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||||||
| (54) | BAHNTECHNIKGERÄT FÜR EINE BAHNTECHNISCHE ANLAGE UND VERFAHREN ZU DEREN BETRIEB |
| (57) Die Erfindung bezieht sich auf ein Bahntechnikgerät (100) für eine bahntechnische
Anlage (10) mit zumindest einer Recheneinrichtung (110) und zumindest einem Schlüsselspeicher
(120) zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder
kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug (20)
und streckenseitigen Einrichtungen (50) ermöglichen. Erfindungsgemäß ist vorgesehen,
dass das Bahntechnikgerät (100) mit einer Ausfallvorhersageeinrichtung (AVM) ausgestattet
ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des
Bahntechnikgeräts (100) feststellen und ein den möglichen Ausfall anzeigendes Warnsignal
(WS) ausgegeben kann.
|
[0001] Die Erfindung bezieht sich auf ein Bahntechnikgerät für eine bahntechnische Anlage mit zumindest einer Recheneinrichtung und zumindest einem Schlüsselspeicher zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen einem Schienenfahrzeug und streckenseitigen Einrichtungen ermöglichen.
[0002] Im Bereich der Eisenbahntechnik stützt sich die sicherungstechnische Datenübertragung über Mobilfunknetze für Zugsteuerungsanwendungen (ETCS - European Train Control System) auf kryptografischen Verfahren ab. Für diese Verfahren werden geheime Kryptoschlüssel genutzt, um die Integrität und Authentizität der zwischen Zügen und Streckenzentralen ausgetauschten Steuerungsdaten sicherzustellen.
[0003] Da für jede Relation von Zug und Streckenzentrale üblicherweise mindestens ein Schlüsselpaar eingesetzt wird, wird abhängig vom Umfang des Bahnnetzes und der Anzahl der Züge eine Vielzahl von Kryptoschlüsseln in den Fahrzeugen und Streckenzentralen hinterlegt, insbesondere auch dann, wenn die Kryptoschlüssel lediglich eine zeitliche Gültigkeitsbeschränkung (Validity Period) besitzen.
[0004] Demzufolge benötigen die im ETCS kommunizierenden Instanzen geeignete Schlüsselspeicher, die sowohl offline als auch online, mit entsprechendem Schlüsselmaterial versorgt werden. Die dafür anzuwendenden Schlüsselverteilverfahren sind ebenso wie das eigentliche Protokoll der Zugsteuerung europäisch genormt (UNISIG Subsets 114 und 137).
[0005] An die Schlüsselspeicher der ETCS-Instanzen werden besondere Anforderungen hinsichtlich Ausfallsicherheit, Performance und Integrität gestellt. Beispielsweise sollen bestimmte Kryptoschlüssel anhand verschiedener Merkmale wie ETCS-Identität und aktueller Systemzeit innerhalb von Sekunden aus tausenden von Schlüsseln selektiert werden können. Auch komplexe Transaktionen, beispielsweise zum Update der Gültigkeit einer Vielzahl von Schlüsseln sollen fehlerfrei durchführbar sein. Darüber hinaus soll die Integrität des Schlüsselspeichers auch dann nicht verloren gehen, wenn ein Stromausfall zu einer beliebigen Zeit laufende Transaktionen in einem Onboard-Rechner unterbricht. Schließlich sollen Schlüsselspeicher, die auf Flash-Hardware implementiert sind, hinsichtlich ihrer Schreibzyklen optimiert werden, da diese Speicher hinsichtlich der Anzahl von Schreibzugriffen limitiert sind (Flashzellen können nur zwischen 3.000 (MLC 25 nm) und 100.000 (SLC) Schreibvorgänge absolvieren).
[0006] Eine weitere Forderung, die sich sowohl aus der europäischen Norm (UNISIG Subset 137), als auch aus den Erfordernissen eines zuverlässigen ETCS Zugverkehrs ergibt, besteht darin, Fehler in den lokal abgespeicherten Schlüsseldaten zu offenbaren, da falsche oder nicht lesbare Kryptoschlüssel zum Ausfall des ETCS Bahnbetriebes und damit zu erheblichen betrieblichen Problemen führen kann.
[0007] Um diese Anforderung zu erfüllen, sind in der UNISIG Spezifikation Fehlermeldungen für auf den Fahrzeugen abgespeicherte Kryptoschlüssel vorgesehen. Damit fehlerhafte Kryptoschlüssel erkannt werden können, kann die Schlüsselintegrität auf Anwendungsniveau überwacht werden, indem beispielsweise für jeden spezifischen Kryptoschlüssel eine Prüfsumme mit abgespeichert wird und zyklisch oder vor Nutzung des Kryptoschlüssels überprüft wird. Dieses Vorgehen erkennt Probleme jedoch erst nach deren Auftreten und arbeitet auf Anwendungsniveau.
[0008] Der Erfindung liegt somit die Aufgabe zugrunde, ein mit Blick auf die obenstehende Problematik verbessertes Bahntechnikgerät anzugeben.
[0009] Diese Aufgabe wird erfindungsgemäß durch ein Bahntechnikgerät mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Bahntechnikgeräts sind in Unteransprüchen angegeben.
[0010] Danach ist erfindungsgemäß vorgesehen, dass das Bahntechnikgerät mit einer Ausfallvorhersageeinrichtung ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts feststellen und ein den möglichen Ausfall anzeigendes Warnsignal ausgegeben kann.
[0011] Ein wesentlicher Vorteil des erfindungsgemäßen Bahntechnikgeräts ist darin zu sehen, dass dieses mit seiner Ausfallvorhersageeinrichtung einen möglicherweise bevorstehenden Ausfall, also noch nicht eingetretenen Ausfall, feststellen und rechtzeitig ein den möglichen Ausfall anzeigendes Warnsignal ausgeben kann, wodurch betriebseinschränkende Maßnahmen noch durch rechtzeitige Wartung oder Reparatur vermieden werden können. So kann in vorteilhafter Weise eine Offenbarung von Fehlern im ETCS-Schlüsselspeicher noch vor deren Auftreten erfolgen, also noch bevor etwaig beschädigte oder nicht mehr verwendbare Schlüssel zum Anlagenbetrieb eingesetzt werden müssen.
[0012] Der Schlüsselspeicher ist vorzugsweise mit einer internen Speicherüberwachungseinrichtung ausgestattet, die den Schlüsselspeicher betreffende Zustandsinformationen erfassen und auf Abfrage ausgeben kann.
[0013] Die Ausfallvorhersageeinrichtung steht vorzugsweise mit der internen Speicherüberwachungseinrichtung in Verbindung und ist dazu ausgestaltet, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung zumindest eine den Schlüsselspeicher betreffende Zustandsinformation auszulesen, auf der Basis der zumindest einen ausgelesenen Zustandsinformation auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers zu schließen und das Warnsignal auf der Basis der zumindest einen ausgelesenen Zustandsinformation zu erzeugen.
[0014] Bei der letztgenannten Variante ist es vorteilhaft, wenn der Schlüsselspeicher zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist und die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der bereits verwendeten Reserveblöcke ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugt. Vorzugsweise wird das Warnsignal erzeugt, sobald von der Speicherüberwachungseinrichtung die Information eingeht, dass eine vorgegebene Anzahl, die vorzugsweise Eins beträgt, an Reserveblöcken als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde.
[0015] Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Lesefehlerrate beim Lesen des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Lesefehlerrate erzeugt, insbesondere das Warnsignal erzeugt, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet.
[0016] Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Löschfehlerrate beim Löschen des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Löschfehlerrate erzeugt, insbesondere das Warnsignal erzeugt, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet.
[0017] Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet.
[0018] Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher einen vorgegebenen Maximalwert überschreitet.
[0019] Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers einen vorgegebenen Maximalwert überschreitet.
[0020] Besonders vorteilhaft ist es, wenn die Ausfallvorhersageeinrichtung dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung zwei oder mehr Zustandsinformationen auszulesen, auf der Basis der zwei oder mehr ausgelesenen Zustandsinformationen auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers zu schließen und das Warnsignal auf der Basis der zwei oder mehr Zustandsinformation zu erzeugen.
[0021] Die Ausfallvorhersageeinrichtung ist vorzugsweise S.M.A.R.T.-kompatibel (S.M.A.R.T.: "Self-Monitoring, Analysis and Reporting Technology" bzw. Technologie zur Selbstüberwachung, Analyse und Statusmeldung) und geeignet, S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung zu richten und S.M.A.R.T.-kompatible Antworten der internen Speicherüberwachungseinrichtung auszuwerten und das Warnsignal zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung zu erzeugen.
[0022] Das Bahntechnikgerät ist vorzugsweise geeignet, über ein Datenübertragungssystem von einer streckenseitigen Schlüsselaustauscheinrichtung neue kryptografische Schlüssel zu empfangen und diese als Ersatz für vorher im Schlüsselspeicher abgespeicherte alte Schlüssel abzuspeichern.
[0023] Die Ausfallvorhersageeinrichtung übermittelt vorzugsweise bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers das Warnsignal an die Schlüsselaustauscheinrichtung.
[0024] Das Bahntechnikgerät ist vorzugsweise dazu ausgebildet, nach erfolgreichem Austausch alter Schlüssel durch neue Schlüssel jeweils ein positives Quittungssignal an die Schlüsselaustauscheinrichtung zu übermitteln.
[0025] Das Bahntechnikgerät ist vorzugsweise dazu ausgebildet, nach erfolglosem Austausch alter Schlüssel durch neue Schlüssel jeweils ein negatives Quittungssignal an die Schlüsselaustauscheinrichtung zu übermitteln.
[0026] Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgebildet, bei Feststellung eines möglichen oder bevorstenden Ausfalls des Schlüsselspeichers das Warnsignal zusammen mit dem oder als Bestandteil des jeweiligen Quittungssignals an die Schlüsselaustauscheinrichtung zu übermitteln.
[0027] Bei einer vorteilhaften Ausgestaltung ist das Bahntechnikgerät ein Fahrzeugsteuergerät, insbesondere ein ETCS-kompatibles (ETCS: European Train Control System bzw. Europäisches Zugbeeinflussungssystem) Fahrzeugsteuergerät, das kryptografische Informationen nichtflüchtig speichert.
[0028] Bei einer anderen vorteilhaften Ausgestaltung ist das Bahntechnikgerät ein ortsfestes Streckengerät, insbesondere ein ETCS-kompatibles Streckengerät, oder eine streckenseitige Schlüsselverteileinrichtung.
[0029] Vorteilhaft ist es, wenn das Bahntechnikgerät zusätzlich zu dem Schlüsselspeicher einen flüchtigen Hauptspeicher aufweist.
[0030] Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgestaltet, einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers zu erkennen und ein den möglichen Ausfall des Hauptspeichers anzeigendes Warnsignal auszugeben.
[0031] Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgestaltet, Paritätsfehler des Hauptspeichers zu erkennen und ein den möglichen oder bevorstehenden Ausfall des Hauptspeichers anzeigendes Warnsignal auf der Basis der Paritätsfehler zu erzeugen.
[0032] Auch ist es von Vorteil, wenn die Recheneinrichtung zumindest einen Sensor, insbesondere Temperatursensor, aufweist, der zumindest eine die Recheneinrichtung betreffende Zustandsinformationen, insbesondere die Temperatur der Recheneinrichtung, unter Bildung eines Sensormesswerts erfassen kann.
[0033] Die Ausfallvorhersageeinrichtung ist vorzugsweise derart ausgestaltet, dass sie ein einen möglichen oder bevorstehenden Ausfall der Recheneinrichtung angebendes Warnsignal zumindest auch auf der Basis des Sensormesswerts des Sensors erzeugt.
[0034] Die Erfindung bezieht sich darüber hinaus auf eine bahntechnische Anlage. Erfindungsgemäß ist bzgl. der Anlage vorgesehen, dass diese ein Bahntechnikgerät aufweist, wie es oben beschrieben worden ist.
[0035] Bezüglich der Vorteile und vorteilhafter Ausgestaltungen der erfindungsgemäßen Anlage sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.
[0036] Die Erfindung bezieht sich darüber hinaus auf ein Fahrzeug, insbesondere Schienenfahrzeug. Erfindungsgemäß ist bzgl. des Fahrzeugs vorgesehen, dass dieses ein Bahntechnikgerät aufweist, wie es oben beschrieben worden ist.
[0037] Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Fahrzeugs sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.
[0038] Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Betreiben eines Bahntechnikgeräts, das mit zumindest einer Recheneinrichtung und zumindest einem Schlüsselspeicher zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug und streckenseitigen Einrichtungen ermöglichen, ausgestattet ist. Erfindungsgemäß ist vorgesehen, dass das Bahntechnikgerät auf einen möglichen Ausfall zumindest einer Komponente des Bahntechnikgeräts überwacht wird und ein den möglichen oder bevorstehenden Ausfall anzeigendes Warnsignal ausgegeben wird, wenn ein Überwachungsergebnis der Überwachung auf einen möglichen Ausfall hindeutet.
[0039] Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.
[0040] Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen näher erläutert; dabei zeigen beispielhaft
- Figur 1
- ein Ausführungsbeispiel für einen Abschnitt einer erfindungsgemäßen eisenbahntechnischen Anlage, die von einem Ausführungsbeispiel für ein erfindungsgemäßes Schienenfahrzeug befahren wird,
- Figur 2
- ein Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät für die Anlage und das Schienenfahrzeug gemäß Figur 1,
- Figur 3
- ein weiteres Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät für die Anlage und das Schienenfahrzeug gemäß Figur 1 und
- Figur 4
- ein weiteres Ausführungsbeispiel für einen Abschnitt einer erfindungsgemäßen eisenbahntechnischen Anlage, die von einem Ausführungsbeispiel für ein erfindungsgemäßes Schienenfahrzeug befahren wird.
[0041] In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet.
[0042] Die Figur 1 zeigt einen Abschnitt einer bahntechnischen Anlage 10. Man erkennt ein Schienenfahrzeug 20, das entlang einer Pfeilrichtung P auf einer Gleisanlage 30 fährt.
[0043] Die bahntechnische Anlage 10 ist mit einer Schlüsselaustauscheinrichtung 40 zum Übersenden kryptographischer Schlüssel an andere Einrichtungen der bahntechnischen Anlage 10 ausgestattet. Die Schlüsselaustauscheinrichtung 40 steht bei dem Ausführungsbeispiel gemäß Figur 1 mit einer streckenseitigen Kommunikationseinrichtung 50 in Verbindung.
[0044] Die streckenseitige Kommunikationseinrichtung 50 steht wiederum mit einer fahrzeugseitigen Kommunikationseinrichtung 21 des Schienenfahrzeugs 20 in Verbindung. Die fahrzeugseitige Kommunikationseinrichtung 21 und die streckenseitige Kommunikationseinrichtung 50 bilden somit beide Bestandteile eines Datenübertragungssystems 60 der bahntechnischen Anlage 10.
[0045] Die fahrzeugseitige Kommunikationseinrichtung 21 ist mit einem Fahrzeugsteuergerät 22 verbunden, das mit einem in der Figur 1 aus Gründen der Übersicht nicht weiter dargestellten Schlüsselspeicher zum Abspeichern von kryptographischen Schlüsseln geeignet ist. Die kryptographischen Schlüssel ermöglichen eine verschlüsselte und/oder kryptographisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug 20 und streckenseitigen Einrichtungen, beispielsweise der streckenseitigen Kommunikationseinrichtung 50 gemäß Figur 1.
[0046] Die streckenseitige Schlüsselaustauscheinrichtung 40 dient dazu, über das Datenübertragungssystem 60 neue kryptographische Schlüssel beispielsweise zu dem Fahrzeugsteuergerät 22 des Schienenfahrzeugs 20 zu übertragen, damit diese als Ersatz für vorher im Schlüsselspeicher des Schienenfahrzeugs 20 abgespeicherte alte Schlüssel abgespeichert und zukünftig verwendet werden können.
[0047] Das Fahrzeugsteuergerät 22 des Schienenfahrzeugs 20 ist derart ausgebildet, dass es nach einem erfolgreichen Austausch alter Schlüssel durch neue Schlüssel im nicht dargestellten Schlüsselspeicher jeweils ein positives Quittungssignal QS oder im Falle eines nicht erfolgten Austauschs ein negatives Quittungssignal QS an die Schlüsselaustauscheinrichtung 40 übermittelt.
[0048] Darüber hinaus ist das Fahrzeugsteuergerät 22 mit einer in der Figur 1 aus Gründen der Übersicht ebenfalls nicht dargestellten Ausfallvorhersageeinrichtung ausgestattet, die bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers ein Warnsignal WS zusammen mit dem genannten positiven oder negativen Quittungssignal oder als Bestandteil des jeweiligen Quittungssignals an die Schlüsselaustauscheinrichtung 40 übermittelt.
[0049] Die Figur 2 zeigt ein Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät 100, das als Fahrzeugsteuergerät 22 bei dem Schienenfahrzeug 20 eingesetzt werden kann. Das Bahntechnikgerät 100 ist vorzugsweise ETCS-kompatibel.
[0050] Das Bahntechnikgerät 100 umfasst eine Recheneinrichtung 110, einen Schlüsselspeicher 120, einen flüchtigen Hauptspeicher 130 und einen Softwarespeicher 140, in dem ein bahntechnisches Softwaremodul SPM abgespeichert ist. Das bahntechnische Softwaremodul SPM dient dazu, die Arbeitsweise des Bahntechnikgeräts 100 bei Ausführung durch die Recheneinrichtung 110, hier also die Arbeitsweise als ETCS-kompatibles Fahrzeugsteuergerät 22, zu gewährleisten.
[0051] In dem Softwarespeicher 140 ist darüber hinaus ein Ausfallvorhersagemodul AVM abgespeichert, das bei Ausführung durch das Bahntechnikgerät 100 eine Ausfallvorhersageeinrichtung bildet.
[0052] Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung steht sowohl mit dem Schlüsselspeicher 120 als auch mit dem flüchtigen Hauptspeicher 130 in Verbindung. Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung dient dazu, den Schlüsselspeicher 120 sowie auch den flüchtigen Hauptspeicher 130 hinsichtlich ihrer Funktionsweise zu überwachen.
[0053] Um diese Überwachung des Schlüsselspeichers 120 zu ermöglichen bzw. zu vereinfachen, ist der Schlüsselspeicher 120 mit einer internen Speicherüberwachungseinrichtung 121 ausgestattet, die den Schlüsselspeicher 120 betreffende Zustandsinformationen ZI erfassen und auf Abfrage ausgeben kann.
[0054] Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung steht mit der internen Speicherüberwachungseinrichtung 121 in Verbindung und ist dazu ausgestaltet, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung 121 zumindest eine den Schlüsselspeicher 120 betreffende Zustandsinformation ZI auszulesen. Sie wertet die zumindest eine ausgelesene Zustandsinformation ZI aus und schließt ggf. auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers 120. Anschließend erzeugt sie ggf. das Warnsignal WS auf der Basis der Auswertung der zumindest einen ausgelesenen Zustandsinformation ZI.
[0055] Vorteilhaft ist es, wenn der Schlüsselspeicher 120 zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist. In diesem Falle kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der bereits verwendeten Reserveblöcke auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugen. Beispielsweise wird das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung das Warnsignal WS erzeugen, sobald von der Speicherüberwachungseinrichtung 121 die Information eingeht, dass ein erster Reserveblock als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde. Alternativ kann sie das Warnsignal WS auch erst dann erzeugen, wenn eine vorgegebene Maximalzahl größer als Eins an Reserveblöcken eingesetzt wurde.
[0056] Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Lesefehlerrate beim Lesen des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Lesefehlerrate erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet.
[0057] Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Löschfehlerrate beim Löschen des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Löschfehlerrate erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet.
[0058] Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet.
[0059] Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher 120 einen vorgegebenen Maximalwert überschreitet.
[0060] Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers 120 einen vorgegebenen Maximalwert überschreitet.
[0061] Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung und die interne Speicherüberwachungseinrichtung 121 sind vorzugsweise S.M.A.R.T.-kompatibel. Dies bedeutet, dass das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung 121 richten kann und die interne Speicherüberwachungseinrichtung 121 S.M.A.R.T.-kompatible Antworten erzeugen kann. Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung wertet die S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung 121 aus und erzeugt das Warnsignal WS zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung 121.
[0062] Das Ausfallvorhersagemodul AVM ist darüber hinaus derart ausgebildet, dass es den flüchtigen Hauptspeicher 130 hinsichtlich dessen Funktionsweise überwacht. Konkret wird das Ausfallvorhersagemodul AVM bei Ausführung durch die Recheneinrichtung 110 einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers 130 erkennen und ein den möglichen Ausfall des Hauptspeichers 120 anzeigendes Warnsignal WS erzeugen, wenn Paritätsfehler im Hauptspeicher 130 erkannt werden.
[0063] Die Figur 3 zeigt ein weiteres Ausführungsbeispiel für ein Bahntechnikgerät 100, das als Fahrzeugsteuergerät 22 bei dem Schienenfahrzeug 20 gemäß Figur 1 eingesetzt werden kann. Im Unterschied zu dem Bahntechnikgerät 100 gemäß Figur 2 ist bei dem Bahntechnikgerät 100 gemäß Figur 3 ein zusätzlicher Sensor 150 vorgesehen, der zumindest eine physikalische Eigenschaft der Recheneinrichtung 110 überwacht. Beispielsweise kann es sich bei dem Sensor 150 um einen Temperatursensor handeln, der einen die Recheneinrichtung 110 betreffende Zustandsinformation in Form einer Temperatur der Recheneinrichtung 110 erfasst und einen entsprechenden Sensormesswert M bildet und diesem zu dem Ausfallvorhersagemodul AVM übermittelt.
[0064] Liegt eine Zustandsinformation des Sensors 150 in dem Ausfallvorhersagemodul AVM vor, wonach ein Ausfall der Recheneinrichtung 110 beispielsweise durch Überhitzung zu erwarten ist, so wird das Ausfallvorhersagemodul AVM ausgangsseitig ein entsprechendes Warnsignal WS erzeugen und zu der jeweils nächstliegenden streckenseitigen Kommunikationseinrichtung 50 gemäß Figur 1 übermitteln, damit streckenseitig die entsprechende Ausfallinformation rechtzeitig vorliegt.
[0065] Die Figur 4 zeigt ein weiteres Ausführungsbeispiel für eine bahntechnische Anlage 10, bei der ein Schienenfahrzeug 20 auf einer Gleisanlage 30 fährt. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 ist auch die streckenseitige Kommunikationseinrichtung 50 mit einem Bahntechnikgerät 100 ausgestattet, wie es beispielhaft im Zusammenhang mit den Figuren 2 und 3 erläutert worden ist. Bezüglich der Ausgestaltungen des Bahntechnikgeräts 100 gemäß Figur 4 sei demgemäß auf die obigen Ausführungen im Zusammenhang mit den Figuren 2 und 3 verwiesen.
[0066] Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
1. Bahntechnikgerät (100) für eine bahntechnische Anlage (10) mit zumindest einer Recheneinrichtung
(110) und zumindest einem Schlüsselspeicher (120) zum Abspeichern von kryptografischen
Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung
von Daten zwischen dem Schienenfahrzeug (20) und streckenseitigen Einrichtungen (50)
ermöglichen,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) mit einer Ausfallvorhersageeinrichtung (AVM) ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) feststellen und ein den möglichen Ausfall anzeigendes Warnsignal (WS) ausgegeben kann.
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) mit einer Ausfallvorhersageeinrichtung (AVM) ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) feststellen und ein den möglichen Ausfall anzeigendes Warnsignal (WS) ausgegeben kann.
2. Bahntechnikgerät (100) nach Anspruch 1,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- der Schlüsselspeicher (120) mit einer internen Speicherüberwachungseinrichtung (121) ausgestattet ist, die den Schlüsselspeicher (120) betreffende Zustandsinformationen (ZI) erfassen und auf Abfrage ausgeben kann, und
- die Ausfallvorhersageeinrichtung (AVM) mit der internen Speicherüberwachungseinrichtung (121) in Verbindung steht und dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung (121) zumindest eine den Schlüsselspeicher (120) betreffende Zustandsinformation (ZI) auszulesen, auf der Basis der zumindest einen ausgelesenen Zustandsinformation (ZI) auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers (120) zu schließen und das Warnsignal (WS) auf der Basis der zumindest einen ausgelesenen Zustandsinformation (ZI) zu erzeugen.
3. Bahntechnikgerät (100) nach Anspruch 2,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- der Schlüsselspeicher (120) zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist und
- die Ausfallvorhersageeinrichtung (AVM) aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der bereits verwendeten Reserveblöcke ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugt, insbesondere das Warnsignal (WS) erzeugt, sobald von der Speicherüberwachungseinrichtung (121) die Information eingeht, dass eine vorgegebene Anzahl, die vorzugsweise Eins beträgt, an Reserveblöcken als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde.
4. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 3,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung (121) zwei oder mehr Zustandsinformationen (ZI) auszulesen, auf der Basis der zwei oder mehr ausgelesenen Zustandsinformationen (ZI) auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers (120) zu schließen und das Warnsignal (WS) auf der Basis der zwei oder mehr Zustandsinformation (ZI) zu erzeugen.
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung (121) zwei oder mehr Zustandsinformationen (ZI) auszulesen, auf der Basis der zwei oder mehr ausgelesenen Zustandsinformationen (ZI) auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers (120) zu schließen und das Warnsignal (WS) auf der Basis der zwei oder mehr Zustandsinformation (ZI) zu erzeugen.
5. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 4,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM)
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM)
- aus der internen Speicherüberwachungseinrichtung (121) die Lesefehlerrate beim Lesen des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Lesefehlerrate erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet, und/oder
- aus der internen Speicherüberwachungseinrichtung (121) die Löschfehlerrate beim Löschen des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Löschfehlerrate erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet und/oder
- aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet und/oder
- aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher (120) einen vorgegebenen Maximalwert überschreitet und/oder
- aus der internen Speicherüberwachungseinrichtung (121) die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers (120) einen vorgegebenen Maximalwert überschreitet.
6. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 5,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) S.M.A.R.T.-kompatibel ist und geeignet ist,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) S.M.A.R.T.-kompatibel ist und geeignet ist,
- S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung (121) zu richten und
- S.M.A.R.T.-kompatible Antworten der internen Speicherüberwachungseinrichtung (121) auszuwerten und das Warnsignal (WS) zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung (121) zu erzeugen.
7. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- das Bahntechnikgerät (100) geeignet ist, über ein Datenübertragungssystem (60) von einer streckenseitigen Schlüsselaustauscheinrichtung (40) neue kryptografische Schlüssel zu empfangen und diese als Ersatz für vorher im Schlüsselspeicher (120) abgespeicherte alte Schlüssel abzuspeichern, und
- die Ausfallvorhersageeinrichtung (AVM) bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal (WS) an die Schlüsselaustauscheinrichtung (40) übermittelt.
8. Bahntechnikgerät (100) nach Anspruch 7,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- das Bahntechnikgerät (100) dazu ausgebildet ist, nach erfolgreichem Austausch alter Schlüssel durch neue Schlüssel jeweils ein positives Quittungssignal (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln, und
- die Ausfallvorhersageeinrichtung (AVM) dazu ausgebildet ist, bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal (WS) zusammen mit dem oder als Bestandteil des Quittungssignals (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln.
9. Bahntechnikgerät (100) nach Anspruch 7 oder 8,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- das Bahntechnikgerät (100) dazu ausgebildet ist, nach erfolglosem Austausch alter Schlüssel durch neue Schlüssel jeweils ein negatives Quittungssignal (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln, und
- die Ausfallvorhersageeinrichtung (AVM) dazu ausgebildet ist, bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal zusammen mit dem oder als Bestandteil des Quittungssignals (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln.
10. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100)
dadurch gekennzeichnet, dass das Bahntechnikgerät (100)
- ein Fahrzeugsteuergerät, insbesondere ein ETCS-kompatibles Fahrzeugsteuergerät ist, das kryptografische Informationen nichtflüchtig speichert, oder ein
- ortsfestes Streckengerät (50) ist, insbesondere ein ETCS-kompatibles Streckengerät, das kryptografische Informationen nichtflüchtig speichert, oder eine streckenseitige Schlüsselverteileinrichtung (40) ist.
11. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- das Bahntechnikgerät (100) zusätzlich zu dem Schlüsselspeicher (120) einen flüchtigen Hauptspeicher (130) aufweist und
- die Ausfallvorhersageeinrichtung (AVM) dazu ausgestaltet ist, einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers (130) zu erkennen und ein den möglichen Ausfall des Hauptspeichers (130) anzeigendes Warnsignal (WS) auszugegeben.
12. Bahntechnikgerät (100) nach Anspruch 11,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestattet ist, Paritätsfehler des Hauptspeichers (130) zu erkennen und ein den möglichen oder bevorstehenden Ausfall des Hauptspeichers (130) anzeigendes Warnsignal (WS) auf der Basis der Paritätsfehler zu erzeugen.
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestattet ist, Paritätsfehler des Hauptspeichers (130) zu erkennen und ein den möglichen oder bevorstehenden Ausfall des Hauptspeichers (130) anzeigendes Warnsignal (WS) auf der Basis der Paritätsfehler zu erzeugen.
13. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass
dadurch gekennzeichnet, dass
- die Recheneinrichtung (110) zumindest einen Sensor (150), insbesondere Temperatursensor, aufweist, der zumindest eine die Recheneinrichtung (110) betreffende Zustandsinformationen (ZI), insbesondere die Temperatur der Recheneinrichtung (110), unter Bildung eines Sensormesswerts (M) erfassen kann und
- die Ausfallvorhersageeinrichtung (AVM) derart ausgestaltet ist, dass sie ein einen möglichen oder bevorstehenden Ausfall der Recheneinrichtung (110) angebendes Warnsignal (WS) zumindest auch auf der Basis des Sensormesswerts (M) des Sensors (150) erzeugt.
14. Eisenbahntechnische Anlage (10) oder Schienenfahrzeug (20) für eine eisenbahntechnische
Anlage (10),
dadurch gekennzeichnet, dass die eisenbahntechnische Anlage (10) oder das Schienenfahrzeug (20) mit einem Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche ausgestattet ist.
dadurch gekennzeichnet, dass die eisenbahntechnische Anlage (10) oder das Schienenfahrzeug (20) mit einem Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche ausgestattet ist.
15. Verfahren zum Betreiben eines Bahntechnikgeräts (100), das mit zumindest einer Recheneinrichtung
(110) und zumindest einem Schlüsselspeicher (120) zum Abspeichern von kryptografischen
Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung
von Daten zwischen dem Schienenfahrzeug (20) und streckenseitigen Einrichtungen (50)
ermöglichen, ausgestattet ist,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) auf einen möglichen Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) überwacht wird und ein den möglichen oder bevorstehenden Ausfall anzeigendes Warnsignal (WS) ausgegeben wird, wenn ein Überwachungsergebnis der Überwachung auf einen möglichen Ausfall hindeutet.
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) auf einen möglichen Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) überwacht wird und ein den möglichen oder bevorstehenden Ausfall anzeigendes Warnsignal (WS) ausgegeben wird, wenn ein Überwachungsergebnis der Überwachung auf einen möglichen Ausfall hindeutet.