WO2018033318A1 - Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage - Google Patents

Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage Download PDF

Info

Publication number
WO2018033318A1
WO2018033318A1 PCT/EP2017/067967 EP2017067967W WO2018033318A1 WO 2018033318 A1 WO2018033318 A1 WO 2018033318A1 EP 2017067967 W EP2017067967 W EP 2017067967W WO 2018033318 A1 WO2018033318 A1 WO 2018033318A1
Authority
WO
WIPO (PCT)
Prior art keywords
interface
external
remote
internal
interface module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2017/067967
Other languages
English (en)
French (fr)
Inventor
Jürgen KOTT
Frank RENPENNING
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to ES17743000T priority Critical patent/ES2898899T3/es
Priority to US16/326,421 priority patent/US11529983B2/en
Priority to AU2017312380A priority patent/AU2017312380B2/en
Priority to EP17743000.6A priority patent/EP3475143B1/de
Priority to RU2019104242A priority patent/RU2719094C1/ru
Publication of WO2018033318A1 publication Critical patent/WO2018033318A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/53Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/3822Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving specially adapted for use in vehicles

Definitions

  • the invention relates to an arrangement with a technical system, in particular a security system, and a system controlling the control device, which can change the technical condition of the system by means of control commands.
  • the invention has the object of specifying an arrangement at ⁇ that allows querying data from the controller by an external remote device, but JE reliably prevents manipulation of the control device from the outside.
  • the invention provides that an interface device is connected to the control device, which forms an external interface for connection to an external remote interrogation device, wherein the interface device comprises a test device which is freshlystal ⁇ tet that they receive a received remote interrogation signal to the presence of a the interface device checks as a query command stored permissible and in the case of Zuläss- stechnik alone forwards the query command to the controller and the forwarding of the remote request signal as such or any other control commands that are not as ⁇ loosely stored query commands blocked.
  • a significant advantage of the arrangement according to the invention is the fact that the interface device remote inquiry of system data from the control device and thus the technical system as a whole, without jeopardizing the safety of the operation of the technical system; because the interface device prevents an immediate feeding of control signals or control commands in the control device or the technical system.
  • Inventive ⁇ takes place after reception of a remote signal, first checks for the existence of an admissible To ⁇ stored query command, and - only if such has been detected by the interface device - an indirect transfer of only the respective interrogation command to the STEU ⁇ er worn. A remote request signal as such does not reach the control device.
  • the security system is a railway system and the control commands that would change the tech ⁇ African state of the system, those that would change the operating condition of the railway system.
  • the interface device is two or more stages and has two or more interface modules which are connected in a boxed manner via interfaces, wherein between at least two of the Interface modules signal transmission with another transmission standard or on the basis ei ⁇ nes other packet protocol is as the communication between the interface device and the remote interrogator.
  • the first of the cascade section ⁇ module, communicating with the external remote access device is configured such that it will be before ⁇ a remote signal that receives an admissible he ⁇ known polling command, only the polling command to the next interface module in the cascade derives, under packet protocol change or based on a packet-free signal transmission (ie with complete omission of a packet protocol).
  • the interface device an internal interface module and an external interface module.
  • the internal interface module by means of its internal interface ⁇ - hereinafter called the first interface - with the control device and by means of its external interface - hereinafter referred to as the second interface - with a front ⁇ ordered interface module of the module cascade, in the case of two interface modules the external interface module is connected to the external interface module by means of its internal interface - third hereinafter interface ge ⁇ Nannt - with the interface of a downstream section ⁇ module, in the case of two interface modules connected to the internal interface module, and means is ⁇ ner external interface - hereinafter referred to as fourth interface - connectable to the remote interrogator, and the tester is included in the external interface module.
  • the testing device is preferably contained in the external interface module.
  • the fourth port is a packet-based interface, which performs a protokollbasier ⁇ te communication with the remote access device on the basis of a predetermined external packet protocol, and the data transmission between at least two of the interface modules, in the case of two interface modules between the second and third interface, based on an internal packet-free signal transmission or on an internal Packet protocol is based, which differs from the external iereproto ⁇ koll.
  • the internal interface module is preferably such Removing designed to - so kaulei ⁇ tet the polling command to the first interface and to the control device, on the basis of a third packet protocol which is different from the - in the presence of an interrogation command to its second interface internal packet protocol and / or the external packet protocol, or on the basis of a packet-free signal transmission, which differs from the internal packet-free signal transmission.
  • the control device can transmit the requested data via the interface device to the external remote interrogation device in the presence of a query command.
  • a total of a data diode or parallel to the interface means give tivs the requested data through the data diode and thus on the end connected to the control device interface module, - at or - in particular, the internal interface module in case of two interface modules the interface-digit device overall over past the external Fernabfra ⁇ device transmitted.
  • the interface means comprises a signature memory for storing one or more has to be valid distinguished signatures, and the interface device is configured such that a signal received at its external interface software ⁇ update checks for the presence of one or more valid Sw ⁇ prestored signatures, performs the software update with successful signature verification and unsuccessful signature verification execution of the software update fails.
  • the invention also relates to a method for operating an arrangement comprising a technical system, in particular safety engineering system, and a control device controlling the system, which can change the technical condition of the system by means of control commands.
  • a remote signal to the control device upstream interface device is transmitted by means of an external remote device checks the interface device, if the remote signal includes a in the interface device stored as permissible polling command to query system data if an as permissible stored query command is contained in the remote request signal, this query command is forwarded to the controller and otherwise a forwarding remains under ⁇ , and in the case of a permissible query command, the data ⁇ queried to the external remote interrogator be transmitted.
  • an internal interface module of the interface device is transmitted, namely under packet protocol change or on the basis of a packet-free signal transmission and the query command is forwarded by the internal interface module of the interface device to the controller.
  • the internal interface module performs the forwarding of the inquiry command to the control means preferably on the base of a third packet protocol by which differs from the internal packet protocol and / or the external packet protocol, or on the basis of a packet-free signal ⁇ transmission, which differs from the internal packet-free Signal transmission is different.
  • Interface module in the case of two interface modules - or transmitted to the interface device altogether past the external remote interrogator.
  • a software update file is preferably signed, on the basis of one or more signatures stored as valid in the interface device.
  • the signed software update file is preferably applied to the interface device übertra ⁇ gene, which checks the software update file for the presence of one or more valid as of stored signatures.
  • the software update included in the software update file will be executed, and unsuccessful signature verification will fail to execute the software update.
  • FIG. 1 shows an exemplary embodiment of an arrangement with a technical one facility steu ⁇ ernden controller system and, wherein said control means is connected for the purpose of remote interrogation with an interface device, an exemplary embodiment of an arrangement parallel to the interface means connected in parallel with a data diode at the is
  • FIG. 3 shows an exemplary embodiment of an arrangement in which an interface device has a signature memory for storing signatures
  • FIG. 4 shows an exemplary embodiment of an arrangement in which an interface device is formed by a cascade of interface modules connected in series
  • FIG. 5 shows an exemplary embodiment of an arrangement in which an interface device has a cascade of interface modules and a data diode is connected in parallel to the cascade
  • FIG. 6 shows the arrangement according to FIG
  • Figure 7 shows an embodiment of an arrangement in which an interface device by a cascade formed in succession interface modules and a data diode is provided, which allows a data flow from the control device in one of the interface modules of the interface device, and
  • FIG. 8 shows an exemplary embodiment of an arrangement that is from
  • FIG. 1 shows an arrangement with a technical system 10, which may be, for example, a railway system.
  • the plant 10 is connected, the 10 can control the technical system by means of control commands SB and change the state of the technical installation by means of the control commands SB with a STEU ⁇ er worn 20th
  • In the control device 20 may be an interlocking computers of a railway signal box or a computer routing ⁇ provide a railway control center, for example.
  • the interface device 30 makes it possible by means of the remote interrogator 40 remote inquiry commands on the
  • Interface device 30 to send to the controller 20 to initiate a transmission of requested data D.
  • the interface device 30 has a test device 31 which is suitable for incoming remote interrogation signals
  • the FAS FAS (AB) to recognize therein contained query commands AB and these, if they are allowed or as permitted sig, to the control device 20 wonzulei ⁇ th, so that the queried by means of the query command AB data D th ⁇ from the controller 20 via the interface device 30 to the remote interrogator 40 can be transmitted.
  • the checking device 31 has a memory 32 in which all interrogation commands considered permissible are stored.
  • the arrangement according to FIG. 1 can be operated, for example, as follows.
  • a remote interrogation signal FAS (AB) is fed by means of the remote interrogator 40 into an external interface 30ex of the interface device 30.
  • the remote signal FAS (AB) ge ⁇ arrived to the test device 31, which examines the remote signal FAS (AB) to a polling command contained therein AB. If such a query command AB is identified, it is checked whether the respective query command AB is considered admissible. For this purpose, the test device 31 accesses the memory 32, in which all query commands considered permissible are stored. In other words ver ⁇ compares the test device 31 in the remote interrogation signal
  • FAS AB containing query command AB with the query commands contained in the memory 32 and forwards the respective query command AB via the internal interface 30in the cutting ⁇ set device 30 to the controller 20 when the query command was found in the memory 32 and is therefore permitted. Is found there is no equivalent entry in the memory 32, so 31 includes the test device from the fact that the query command AB is invalid and white ⁇ can not be forwarded.
  • the control device 20 will transmit the requested data D to the remote interrogator 40 via the interface device 30.
  • the interface device 30 according to Figure 1 thus enables a remote data D of the plant 10 by means of the remote access device 40, if permitted query commands are transmitted as part of the remote, but also blocks how any direct feeding Steuerbe missing ⁇ or query commands AB in the control device 20th The controller 20 is thus protected by the interface device 30 from immediate or direct access by the remote interrogator 40.
  • FIG. 2 shows an exemplary embodiment of a system in which a data diode 50 is connected in parallel to Thomasstellenein ⁇ direction 30th
  • the data diode 50 allows a unidirectional data transfer from the controller 20 in the direction of the remote interrogator 40, but it blocks any transmission of signals or data in the reverse direction, ie here from the remote interrogator 40 toward the controller 20.
  • the controller 20 is thus by the Data diode 50 protected against direct access of the remote sensing device 40.
  • the interface device 30 is the interrogation command AB to the
  • FIG. 3 shows an exemplary embodiment of an arrangement in which the interface device 30 is additionally equipped with a signature memory 33.
  • the signature memory 33 are stored as valid signatures.
  • the checking device 31 can determine whether a signed software update file arriving at the external interface 30ex of the interface device 30 is correctly signed and the software update contained in the signed software update file may be executed.
  • the arrangement according to Figure 3 can for example be be ⁇ exaggerated as follows: If the interface device to be updated 30 and / or the control device 20, then a, the appropriate software update to the interface device 30 and the controller 20 containing software update file he ⁇ testifies. Subsequently, the software update file is signed, whereby a signed software update file is generated.
  • the signed software update file is identified in FIG. 3 by the reference symbol SUD (sig).
  • the checking device 31 becomes the signed software update file arriving at its external interface 30ex
  • SUD (sig) check for a correct signature, taking into account the stored in the signature memory 33 signatures. If it finds that the software update file SUD (sig) is signed with a signature stored in the signature memory 33 or is correctly signed, then it will allow the execution of the software update and, if the software update on the Interface device 30 refers - run the software update itself or - if the software update on the Controller 20 refers - forward the software update to the controller 20 for execution.
  • signing and signature verification may be based on public and private key pairs, such as those known from PGP or S / MIME encryption.
  • the transmission of the data D in the direction of the remote interrogator 40 can take place via the interface device 30 -as shown in FIGS. 1 and 3-or via a data diode 50 -as shown in FIG.
  • FIG. 4 shows an embodiment of a sectional ⁇ device 30, which comprises a cascade of two series-connected interface modules. It can be seen an internal interface module 300 and an external interface module 350, each having an inter ⁇ ne interface and an external interface in FIG. 4
  • the internal interface module 300 is by means of its inter ⁇ NEN interface - referred to first interface Sl overall Nannt - with the internal interface of the interface of 30in ⁇ len driven 30 and thus connected to the control device 20th
  • first interface Sl overall Nannt - with the internal interface of the interface of 30in ⁇ len driven 30 and thus connected to the control device 20th
  • two ⁇ te interface S2 - - with its external interface the internal interfaces ⁇ module 300 is connected to the upstream external interface module 350th
  • the external interface module 350 is by means of its inter ⁇ NEN interface - S3 ge ⁇ Nannt third interface below - connected to the second interface S2; by means of its external interface - fourth section below ⁇ point S4 mentioned - is the external interface module 350 to the external interface of the 30ex Thomasstellenein- direction 30 and thus connected to the remote interrogator 40.
  • the test apparatus 31 of the interface means 30 is preferably arranged in the external interface module 350, since the external interface module 350, the - viewed from the remote device 40 from ⁇ ask - forming first interface module.
  • the arrangement according to Figure 4 may, for example, as follows ⁇ be exaggerated:
  • a remote signal FAS (AB) of the remote device 40 a Goes to the external interface 30ex the interface device 30 and at the fourth interface S4 of the external interface module 350, a remote signal FAS (AB) of the remote device 40 a, so that disposed in the external interface module 350 checking device 31 is Che ⁇ fen, whether in the remote signal FAS (AB) a valid query command AB is included.
  • it will query the memory 32, in which are stored as permissible stored query commands, and perform a corresponding comparison.
  • the memory 32 which contains the permissible query commands, is preferably part of the exter ⁇ NEN interface module 350th
  • the query command AB arrives at the internal interface module 300, it will forward it to the control device 20.
  • the control device 20 will subsequently transmit the requested data D via the interface device 30 to the remote interrogation device 40, as has already been explained in connection with FIG.
  • FIG. 5 shows an exemplary embodiment of an arrangement which essentially corresponds to the arrangement according to FIG. 4, with the exception that the transmission of the data D from the control device 20 to the remote access device 40 does not take place via the interface device 30 but via a parallel-connected data diode 50 takes place, as has already been explained in together ⁇ menhang with the embodiment according to FIG. 2
  • FIG. 5 shows an exemplary embodiment of an arrangement which essentially corresponds to the arrangement according to FIG. 4, with the exception that the transmission of the data D from the control device 20 to the remote access device 40 does not take place via the interface device 30 but via a parallel-connected data diode 50 takes place, as has already been explained in together ⁇ menhang with the embodiment according to FIG. 2
  • FIG. 5 shows an exemplary embodiment of an arrangement which essentially corresponds to the arrangement according to FIG. 4, with the exception that the transmission of the data D from the control device 20 to the remote access device 40 does not take place via the interface device 30 but via a parallel-connected data diode 50 takes place, as has already been explained
  • FIG. 6 shows an exemplary embodiment of an arrangement which corresponds to the arrangement shown in Figure 5, wherein in the ex ternal ⁇ interface module 350 in addition to the testing device 31 and the memory 32 nor a signature memory 33 is available.
  • signature memory 33 signatures are stored, which are considered valid and testing is ⁇ budding signed software update files SUD (sig) can be used, as has already been explained in connection with Figure 3 above.
  • FIG. 7 shows an exemplary embodiment of an arrangement in which a data diode 50 is present, as is also provided in the exemplary embodiments according to FIGS. 5 and 6.
  • the data diode 50 is connected differently.
  • the data output A50 of the data diode 50 in the exemplary embodiment according to FIG. 7 is not directly connected to the remote interrogator 40, but instead which is connected to the external interface module 350, be it to the third interface S3 of the external interface module 350 or, as shown in FIG. 7, another interface (referred to below as the fifth interface S5) of the external interface module 350.
  • Control device 20 requested data D are thus not transmitted by the data diode 50 directly to the remote access device 40, but first to the external Thomasstellenmo ⁇ dul 350 which then forwards the requested data to the remote access device below the 40th
  • FIG. 8 shows an arrangement which essentially corresponds to the arrangement according to FIG. 7; in addition, is provided according to figure 8 in the arrangement that the external interface ⁇ module 350 is equipped with a signature memory 33 to check signed software update files
  • SUD (sig) contains allowed signatures. Bezüg ⁇ Lich the verification of signed software update files
  • SUD (sig) is referred to the above statements in connection with FIGS. 3 and 6.
  • SUD (sig) is referred to the above statements in connection with FIGS. 3 and 6.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Selective Calling Equipment (AREA)
  • Computer And Data Communications (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

Die Erfindung bezieht sich u. a. auf eine Anordnung mit einer technischen Anlage (10), insbesondere einer sicherungstechnischen Anlage (10), und einer die Anlage (10) steuernden Steuereinrichtung (20), die mittels Steuerbefehlen (SB) den technischen Zustand der Anlage (10) verändern kann. Erfindungsgemäß ist vorgesehen, dass an die Steuereinrichtung (20) eine Schnittstelleneinrichtung (30) angeschlossen ist, die eine externe Schnittstelle zum Anschluss an eine externe Fernabfrageeinrichtung (40) bildet, wobei die Schnittstelleneinrichtung (30) eine Prüfeinrichtung (31) aufweist, die derart ausgestaltet ist, dass sie ein empfangenes Fernabfragesignal (FAS(AB)) auf das Vorliegen eines in der Schnittstelleneinrichtung (30) als zulässig abgespeicherten Abfragebefehls (AB) prüft und im Falle der Zulässigkeit allein den Abfragebefehl (AB) an die Steuereinrichtung (20) weiterleitet und das Weiterleiten des Fernabfragesignals (FAS(AB)) als solches oder aller anderen Steuerbefehle, die keine als zulässig abgespeicherten Abfragebefehle (AB) sind, blockiert.

Description

Beschreibung
ANORDNUNG MIT EINER SICHERUNGSTECHNISCHEN ANLAGE SOWIE VERFAHREN ZU DEREN GESCHÜTZTEM BETRIEB MITTELS FERNABFRAGE
Die Erfindung bezieht sich auf eine Anordnung mit einer technischen Anlage, insbesondere einer sicherungstechnischen Anlage, und einer die Anlage steuernden Steuereinrichtung, die mittels Steuerbefehlen den technischen Zustand der Anlage verändern kann.
Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung an¬ zugeben, die ein Abfragen von Daten aus der Steuereinrichtung mittels einer externen Fernabfrageeinrichtung ermöglicht, je- doch eine Manipulation der Steuereinrichtung von außen in zuverlässiger Weise verhindert.
Diese Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind in Unteransprüchen angegeben.
Danach ist erfindungsgemäß vorgesehen, dass an die Steuereinrichtung eine Schnittstelleneinrichtung angeschlossen ist, die eine externe Schnittstelle zum Anschluss an eine externe Fernabfrageeinrichtung bildet, wobei die Schnittstelleneinrichtung eine Prüfeinrichtung aufweist, die derart ausgestal¬ tet ist, dass sie ein empfangenes Fernabfragesignal auf das Vorliegen eines in der Schnittstelleneinrichtung als zulässig abgespeicherten Abfragebefehls prüft und im Falle der Zuläs- sigkeit allein den Abfragebefehl an die Steuereinrichtung weiterleitet und das Weiterleiten des Fernabfragesignals als solches oder aller anderen Steuerbefehle, die keine als zu¬ lässig abgespeicherten Abfragebefehle sind, blockiert.
Ein wesentlicher Vorteil der erfindungsgemäßen Anordnung ist darin zu sehen, dass die Schnittstelleneinrichtung eine Fernabfrage von Anlagendaten aus der Steuereinrichtung und damit der technischen Anlage insgesamt ermöglicht, ohne dabei die Sicherheit des Betriebs der technischen Anlage zu gefährden; denn die Schnittstelleneinrichtung unterbindet ein unmittelbares Einspeisen von Steuersignalen oder Steuerbefehlen in die Steuereinrichtung bzw. die technische Anlage. Erfindungs¬ gemäß erfolgt nach Empfang eines Fernabfragesignals zunächst eine Überprüfung auf das Vorliegen eines als zulässig abge¬ speicherten Abfragebefehls und - nur falls ein solcher von der Schnittstelleneinrichtung erkannt wurde - eine mittelbare Weitergabe allein des jeweiligen Abfragebefehls an die Steu¬ ereinrichtung. Ein Fernabfragesignal als solches erreicht die Steuereinrichtung also nicht.
Insbesondere auf dem Gebiet der Eisenbahntechnik müssen hohe Sicherheitsanforderungen erfüllt werden; demgemäß wird es als vorteilhaft angesehen, wenn die sicherungstechnische Anlage eine Eisenbahnanlage ist und die Steuerbefehle, die den tech¬ nischen Zustand der Anlage verändern würden, solche sind, die den Betriebszustand der Eisenbahnanlage verändern würden.
Mit Blick auf eine besonders gute Entkopplung zwischen der Steuereinrichtung und der externen Fernabfrageeinrichtung wird es als vorteilhaft angesehen, wenn die Schnittstelleneinrichtung zwei- oder mehrstufig ist und zwei oder mehr Schnittstellenmodule aufweist, die über Schnittstellen kas- kadiert hintereinander geschaltet sind, wobei zwischen zumindest zweien der Schnittstellenmodule eine Signalübertragung mit einem anderen Übertragungsstandard oder auf der Basis ei¬ nes anderen Paketprotokolls erfolgt als die Kommunikation zwischen der Schnittstelleneinrichtung und der Fernabfrageeinrichtung .
Vorteilhaft ist es, wenn das in der Kaskade erste Schnitt¬ stellenmodul, das mit der externen Fernabfrageeinrichtung in Verbindung steht, derart ausgestaltet ist, dass es bei Vor¬ liegen eines Fernabfragesignals, das einen als zulässig er¬ kannten Abfragebefehl erhält, ausschließlich den Abfragebefehl an das in der Kaskade nächste Schnittstellenmodul wei- terleitet, und zwar unter Paketprotokolländerung oder auf der Basis einer paketfreien Signalübertragung (also unter völligen Wegfalls eines Paketprotokolls) . Bei einer als besonders vorteilhaft angesehenen Ausgestaltung der Anordnung ist vorgesehen, dass die Schnittstelleneinrichtung ein internes Schnittstellenmodul und ein externes
Schnittstellenmodul aufweist, die jeweils eine interne
Schnittstelle und eine externe Schnittstelle aufweisen, das interne Schnittstellenmodul mittels seiner internen Schnitt¬ stelle - nachfolgend erste Schnittstelle genannt - mit der Steuereinrichtung und mittels seiner externen Schnittstelle - nachfolgend zweite Schnittstelle genannt - mit einem vor¬ geordneten Schnittstellenmodul der Modulkaskade, im Falle zweier Schnittstellenmodule dem externen Schnittstellenmodul, verbunden ist, das externe Schnittstellenmodul mittels seiner internen Schnittstelle - nachfolgend dritte Schnittstelle ge¬ nannt - mit der Schnittstelle eines nachgeordneten Schnitt¬ stellenmoduls, im Falle zweier Schnittstellenmodule mit dem internen Schnittstellenmodul, verbunden ist, und mittels sei¬ ner externen Schnittstelle - nachfolgend vierte Schnittstelle genannt - mit der Fernabfrageeinrichtung verbindbar ist, und die Prüfeinrichtung in dem externen Schnittstellenmodul enthalten ist.
Die Prüfeinrichtung ist vorzugsweise in dem externen Schnittstellenmodul enthalten.
Mit Blick auf eine wirkungsvolle Entkopplung zwischen der Steuereinrichtung und der externen Abfrageeinrichtung wird es als vorteilhaft angesehen, wenn die vierte Schnittstelle eine paketorientierte Schnittstelle ist, die eine protokollbasier¬ te Kommunikation mit der Fernabfrageeinrichtung auf der Basis eines vorgegebenen externen Paketprotokolls durchführt, und die Datenübertragung zwischen zumindest zweien der Schnittstellenmodule, im Falle zweier Schnittstellenmodule zwischen der zweiten und dritten Schnittstelle, auf einer internen paketfreien Signalübertragung basiert oder auf einem internen Paketprotokoll beruht, das sich von dem externen Paketproto¬ koll unterscheidet.
Das interne Schnittstellenmodul ist vorzugsweise derart aus- gestaltet, dass es - bei Vorliegen eines Abfragebefehls an seiner zweiten Schnittstelle - den Abfragebefehl an die erste Schnittstelle und damit an die Steuereinrichtung weiterlei¬ tet, und zwar auf der Basis eines dritten Paketprotokolls, das sich von dem internen Paketprotokoll und/oder dem exter- nen Paketprotokoll unterscheidet, oder auf der Basis einer paketfreien Signalübertragung, die sich von der internen paketfreien Signalübertragung unterscheidet.
Die Steuereinrichtung kann bei Vorliegen eines Abfragebefehls die angefragten Daten über die Schnittstelleneinrichtung an die externe Fernabfrageeinrichtung übermitteln.
Bei einer besonders bevorzugten Variante ist vorgesehen, dass parallel zu zumindest dem in der Kaskade - von der Fernabfra- geeinrichtung aus gesehen - letzten Schnittstellenmodul, also demjenigen, das mit der Steuereinrichtung in Verbindung steht, - insbesondere dem internen Schnittstellenmodul im Falle von zwei Schnittstellenmodulen - oder parallel zu der Schnittstelleneinrichtung insgesamt eine Datendiode geschal- tet ist und die Steuereinrichtung bei Vorliegen eines Abfra¬ gebefehls die angefragten Daten über die Datendiode und damit an dem mit der Steuereinrichtung verbundenen Schnittstellenmodul , - insbesondere dem internen Schnittstellenmodul im Falle von zwei Schnittstellenmodulen - oder an der Schnitt- Stelleneinrichtung insgesamt vorbei an die externe Fernabfra¬ geeinrichtung übermittelt. Durch ein Vorbeileiten der Daten an der Schnittstelleneinrichtung insgesamt oder an zumindest einem der Schnittstellenmodule lässt sich in vorteilhafter Weise eine hohe Übertragungsrate der Daten erreichen, weil kommerziell erhältliche Datendioden üblicherweise für hohe Übertragungsraten ausgelegt sind. Mit Blick auf eine Durchführung von Updates aus der Ferne wird es als vorteilhaft angesehen, wenn die Schnittstelleneinrichtung einen Signaturspeicher zur Abspeicherung einer oder mehrerer als gültig angesehener Signaturen aufweist, und die Schnittstelleneinrichtung derart ausgestaltet ist, dass sie ein an ihrer externen Schnittstelle empfangenes Software¬ update auf das Vorliegen einer oder mehrerer als gültig abge¬ speicherter Signaturen prüft, bei erfolgreicher Signaturprüfung das Softwareupdate ausführt und bei erfolgloser Signa- turprüfung die Ausführung des Softwareupdates unterlässt.
Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Betreiben einer Anordnung, die eine technische Anlage, insbesondere sicherungstechnische Anlage, und eine die Anlage steuernde Steuereinrichtung, die mittels Steuerbefehlen den technischen Zustand der Anlage verändern kann, aufweist.
Bezüglich eines solchen Verfahrens ist erfindungsgemäß vorge¬ sehen, dass mittels einer externen Fernabfrageeinrichtung ein Fernabfragesignal an eine der Steuereinrichtung vorgeordnete Schnittstelleneinrichtung gesendet wird, die Schnittstelleneinrichtung prüft, ob das Fernabfragesignal einen in der Schnittstelleneinrichtung als zulässig abgespeicherten Abfragebefehl zur Abfrage von Anlagendaten enthält, falls ein als zulässig abgespeicherter Abfragebefehl im Fernabfragesignal enthalten ist, dieser Abfragebefehl an die Steuereinrichtung weitergeleitet wird und andernfalls eine Weiterleitung unter¬ bleibt, und im Falle eines zulässigen Abfragebefehls die an¬ gefragten Daten an die externen Fernabfrageeinrichtung über- mittelt werden.
Bezüglich der Vorteile des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Anordnung verwiesen.
Vorteilhaft ist es, wenn vor der Weiterleitung des Abfragebe¬ fehls an die Steuereinrichtung dieser von einem externen Schnittstellenmodul der Schnittstelleneinrichtung zunächst an ein internes Schnittstellenmodul der Schnittstelleneinrichtung übermittelt wird, und zwar unter Paketprotokolländerung oder auf der Basis einer paketfreien Signalübertragung und der Abfragebefehl von dem internen Schnittstellenmodul der Schnittstelleneinrichtung an die Steuereinrichtung weitergeleitet wird.
Das interne Schnittstellenmodul führt das Weiterleiten des Abfragebefehls an die Steuereinrichtung vorzugsweise auf der Basis eines dritten Paketprotokolls durch, das sich von dem internen Paketprotokoll und/oder dem externen Paketprotokoll unterscheidet, oder auf der Basis einer paketfreien Signal¬ übertragung, die sich von der internen paketfreien Signalübertragung unterscheidet.
Auch ist es vorteilhaft, wenn parallel zu zumindest dem in der Kaskade - von der Fernabfrageeinrichtung aus gesehen - letzten Schnittstellenmodul, also demjenigen, das mit der Steuereinrichtung in Verbindung steht, - insbesondere also dem internen Schnittstellenmodul im Falle von zwei Schnitt¬ stellenmodulen -, oder parallel zu der Schnittstelleneinrichtung insgesamt eine Datendiode geschaltet ist und die Daten¬ diode derart gepolt ist, dass Daten in Richtung der externen Fernabfrageeinrichtung gesendet werden können, und bei Vor- liegen eines Abfragebefehls die angefragten Daten über die
Datendiode und damit an dem mit der Steuereinrichtung verbundenen Schnittstellenmodul - insbesondere dem internen
Schnittstellenmodul im Falle von zwei Schnittstellenmodulen - oder an der Schnittstelleneinrichtung insgesamt vorbei an die externe Fernabfrageeinrichtung übermittelt werden.
Zur Durchführung eines Softwareupdates wird vorzugsweise eine Softwareupdatedatei signiert, und zwar auf der Basis einer oder mehrerer in der Schnittstelleneinrichtung als gültig ab- gespeicherter Signaturen. Die signierte Softwareupdatedatei wird vorzugsweise an die Schnittstelleneinrichtung übertra¬ gen, die die Softwareupdatedatei auf das Vorliegen einer oder mehrerer als gültig abgespeicherter Signaturen prüft. Bei er- folgreicher Signaturprüfung wird das in der Softwareupdatedatei enthaltene Softwareupdate ausgeführt und bei erfolgloser Signaturprüfung wird die Ausführung des Softwareupdates unterlassen .
Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len näher erläutert; dabei zeigen beispielhaft
Figur 1 ein Ausführungsbeispiel für eine Anordnung mit ei- ner technischen Anlage und einer die Anlage steu¬ ernden Steuereinrichtung, wobei zum Zwecke einer Fernabfrage die Steuereinrichtung mit einer Schnittstelleneinrichtung in Verbindung steht, ein Ausführungsbeispiel für eine Anordnung, bei der parallel zur Schnittstelleneinrichtung eine Datendiode parallelgeschaltet ist,
Figur 3 ein Ausführungsbeispiel für eine Anordnung, bei der eine Schnittstelleneinrichtung einen Signaturspeicher zur Speicherung von Signaturen aufweist,
Figur 4 ein Ausführungsbeispiel für eine Anordnung, bei der eine Schnittstelleneinrichtung durch eine Kaskade hintereinander geschalteter Schnittstellenmodule gebildet ist,
Figur 5 ein Ausführungsbeispiel für eine Anordnung, bei der eine Schnittstelleneinrichtung eine Kaskade von Schnittstellenmodulen aufweist und zu der Kaskade eine Datendiode parallelgeschaltet ist,
Figur 6 die Anordnung gemäß Figur 5, wobei zusätzlich ein
Signaturspeicher in der Schnittstelleneinrichtung vorgesehen ist,
Figur 7 ein Ausführungsbeispiel für eine Anordnung, bei der eine Schnittstelleneinrichtung durch eine Kaskade hintereinander geschalteter Schnittstellenmodule gebildet ist und eine Datendiode vorhanden ist, die einen Datenfluss von der Steuereinrichtung in eines der Schnittstellenmodule der Schnittstelleneinrich- tung erlaubt, und
Figur 8 ein Ausführungsbeispiel für eine Anordnung, die vom
Aufbau der Anordnung gemäß Figur 7 entspricht, wo¬ bei in der Schnittstelleneinrichtung zusätzlich ein Signaturspeicher vorhanden ist.
In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet .
Die Figur 1 zeigt eine Anordnung mit einer technischen Anlage 10, bei der es sich beispielsweise um eine Eisenbahnanlage handeln kann. Die technische Anlage 10 steht mit einer Steu¬ ereinrichtung 20 in Verbindung, die die technische Anlage 10 mittels Steuerbefehlen SB steuern und den Zustand der technischen Anlage mittels der Steuerbefehle SB verändern kann. Bei der Steuereinrichtung 20 kann es sich beispielsweise um einen Stellwerksrechner eines Eisenbahnstellwerks oder einen Leit¬ stellenrechner einer Eisenbahnleitstelle handeln.
Mit der Steuereinrichtung 20 steht eine Schnittstelleneinrichtung 30 in Verbindung, die eine externe Schnittstelle zum Anschluss an eine externe Fernabfrageeinrichtung 40 bildet. Die Schnittstelleneinrichtung 30 ermöglicht es, mittels der Fernabfrageeinrichtung 40 Fernabfragebefehle über die
Schnittstelleneinrichtung 30 an die Steuereinrichtung 20 zu senden, um eine Übermittlung angefragter Daten D zu initiieren . Die Schnittstelleneinrichtung 30 weist eine Prüfeinrichtung 31 auf, die geeignet ist, eingehende Fernabfragesignale
FAS (AB) auszuwerten, darin enthaltene Abfragebefehle AB zu erkennen und diese, sofern sie zulässig sind bzw. als zuläs- sig erkannt werden, an die Steuereinrichtung 20 weiterzulei¬ ten, damit die mittels des Abfragebefehls AB angefragten Da¬ ten D von der Steuereinrichtung 20 über die Schnittstelleneinrichtung 30 zur Fernabfrageeinrichtung 40 übermittelt wer- den können. Zur Prüfung der Abfragebefehle AB weist die Prüf- einrichtung 31 einen Speicher 32 auf, in dem alle als zulässig angesehenen Abfragebefehle abgespeichert sind.
Die Anordnung gemäß Figur 1 kann beispielsweise wie folgt be- trieben werden.
Zur Abfrage von Daten D aus der Steuereinrichtung 20 wird ein Fernabfragesignal FAS (AB) mittels der Fernabfrageeinrichtung 40 in eine externe Schnittstelle 30ex der Schnittstellenein- richtung 30 eingespeist. Das Fernabfragesignal FAS (AB) ge¬ langt zu der Prüfeinrichtung 31, die das Fernabfragesignal FAS (AB) auf einen darin enthaltenen Abfragebefehl AB untersucht . Wird ein solcher Abfragebefehl AB identifiziert, so wird geprüft, ob der jeweilige Abfragebefehl AB als zulässig angesehen wird. Hierzu greift die Prüfeinrichtung 31 auf den Speicher 32 zurück, in dem alle als zulässig angesehenen Abfragebefehle abgespeichert sind. Mit anderen Worten ver¬ gleicht die Prüfeinrichtung 31 den im Fernabfragesignal
FAS (AB) enthaltenen Abfragebefehl AB mit den im Speicher 32 enthaltenen Abfragebefehlen und leitet den jeweiligen Abfragebefehl AB über die interne Schnittstelle 30in der Schnitt¬ stelleneinrichtung 30 an die Steuereinrichtung 20 weiter, wenn der Abfragebefehl in dem Speicher 32 aufgefunden wurde und demgemäß zulässig ist. Wird im Speicher 32 kein entspre- chender Eintrag gefunden, so schließt die Prüfeinrichtung 31 daraus, dass der Abfragebefehl AB ungültig ist und nicht wei¬ tergeleitet werden kann.
Geht bei der Steuereinrichtung 20 der Abfragebefehl AB von der Schnittstelleneinrichtung 30 ein, so wird die Steuereinrichtung 20 die angefragten Daten D über die Schnittstelleneinrichtung 30 an die Fernabfrageeinrichtung 40 übermitteln. Die Schnittstelleneinrichtung 30 gemäß Figur 1 ermöglicht somit eine Fernabfrage von Daten D der technischen Anlage 10 mittels der Fernabfrageeinrichtung 40, sofern im Rahmen der Fernabfrage zulässige Abfragebefehle übermittelt werden, aber sie blockiert jedwedes unmittelbares Einspeisen von Steuerbe¬ fehlen oder Abfragebefehlen AB in die Steuereinrichtung 20. Die Steuereinrichtung 20 wird somit durch die Schnittstelleneinrichtung 30 vor einem unmittelbaren bzw. direkten Zugriff seitens der Fernabfrageeinrichtung 40 geschützt.
Die Figur 2 zeigt ein Ausführungsbeispiel für eine Anlage, bei der eine Datendiode 50 parallel zur Schnittstellenein¬ richtung 30 geschaltet ist. Die Datendiode 50 ermöglicht eine unidirektionale Datenübertragung von der Steuereinrichtung 20 in Richtung der Fernabfrageeinrichtung 40, aber sie blockiert jegliche Übertragung von Signalen oder Daten in umgekehrter Richtung, hier also von der Fernabfrageeinrichtung 40 in Richtung zu der Steuereinrichtung 20. Die Steuereinrichtung 20 ist somit durch die Datendiode 50 vor einem unmittelbaren Zugriff der Fernabfrageeinrichtung 40 geschützt.
Wird nun mittels der Fernabfrageeinrichtung 40 ein zulässiger Abfragebefehl AB mittels eines Fernabfragesignals FAS (AB) an die Schnittstelleneinrichtung 30 übertragen, so wird die Schnittstelleneinrichtung 30 den Abfragebefehl AB an die
Steuereinrichtung 20 weiterleiten. Die Steuereinrichtung 20 wird die angefragten Daten D über die Datendiode 50 an die Fernabfrageeinrichtung 40 übermitteln. Ein Vorteil der Anordnung gemäß Figur 2 besteht darin, dass bei entsprechender Ausgestaltung der Datendiode eine höhere Datenübertragungsrate erreicht werden kann als bei der Anord¬ nung gemäß Figur 1, bei der die Daten D über die bidirektio¬ nal betriebene Schnittstelleneinrichtung 30 weitergeleitet werden. Im Übrigen gelten die Ausführungen im Zusammenhang mit der Figur 1 bei dem Ausführungsbeispiel gemäß Figur 2 entspre¬ chend . Die Figur 3 zeigt ein Ausführungsbeispiel für eine Anordnung, bei der die Schnittstelleneinrichtung 30 zusätzlich mit einem Signaturspeicher 33 ausgestattet ist. In dem Signaturspeicher 33 sind als gültig angesehene Signaturen gespeichert. Anhand der in dem Signaturspeicher 33 gespeicherten Signaturen kann die Prüfeinrichtung 31 feststellen, ob eine an der externen Schnittstelle 30ex der Schnittstelleneinrichtung 30 eingehende signierte Software-Update-Datei korrekt signiert ist und das in der signierten Software-Update-Datei enthalte- ne Software-Update ausgeführt werden darf.
Die Anordnung gemäß Figur 3 kann beispielsweise wie folgt be¬ trieben werden: Soll die Schnittstelleneinrichtung 30 und/oder die Steuereinrichtung 20 upgedatet werden, so wird eine das entsprechende Software-Update für die Schnittstelleneinrichtung 30 bzw. die Steuereinrichtung 20 enthaltende Software-Update-Datei er¬ zeugt. Anschließend wird die Software-Update-Datei signiert, wobei eine signierte Software-Update-Datei erzeugt wird. Die signierte Software-Update-Datei ist in der Figur 3 mit dem Bezugszeichen SUD(sig) gekennzeichnet.
Die Prüfeinrichtung 31 wird die an ihrer externen Schnitt- stelle 30ex eingehende signierte Software-Update-Datei
SUD(sig) auf eine korrekte Signatur prüfen, wobei sie die im Signaturspeicher 33 gespeicherten Signaturen berücksichtigt. Stellt sie fest, dass die Software-Update-Datei SUD(sig) mit einer im Signaturspeicher 33 gespeicherten Signatur bzw. kor- rekt signiert ist, so wird sie die Ausführung des Software- Updates erlauben und - wenn sich das Software-Update auf die Schnittstelleneinrichtung 30 bezieht - das Software-Update selbst ausführen oder - wenn sich das Software-Update auf die Steuereinrichtung 20 bezieht - das Software-Update an die Steuereinrichtung 20 zur Ausführung weiterleiten.
Die Signierung und Signaturprüfung kann beispielsweise auf Schlüsselpaaren mit einem öffentlichen und einem privaten Schlüssel beruhen, wie sie beispielsweise von der PGP- oder S/MIME-Verschlüsselung bekannt ist.
Im Übrigen gelten die Ausführungen im Zusammenhang mit den Figuren 1 und 2 bei der Anordnung gemäß Figur 3 entsprechend. Die Übermittlung der Daten D in Richtung der Fernabfrageeinrichtung 40 kann über die Schnittstelleneinrichtung 30 - wie in den Figuren 1 und 3 gezeigt - oder über eine Datendiode 50 - wie in Figur 2 gezeigt - erfolgen.
Die Figur 4 zeigt ein Ausführungsbeispiel für eine Schnitt¬ stelleneinrichtung 30, die eine Kaskade von zwei hintereinander geschalteten Schnittstellenmodulen umfasst. So erkennt man in der Figur 4 ein internes Schnittstellenmodul 300 und ein externes Schnittstellenmodul 350, die jeweils eine inter¬ ne Schnittstelle und eine externe Schnittstelle aufweisen.
Das interne Schnittstellenmodul 300 ist mittels seiner inter¬ nen Schnittstelle - nachfolgend erste Schnittstelle Sl ge- nannt - mit der internen Schnittstelle 30in der Schnittstel¬ leneinrichtung 30 und damit mit der Steuereinrichtung 20 verbunden. Mit seiner externen Schnittstelle - nachfolgend zwei¬ te Schnittstelle S2 genannt - ist das interne Schnittstellen¬ modul 300 mit dem vorgeordneten externen Schnittstellenmodul 350 verbunden.
Das externe Schnittstellenmodul 350 ist mittels seiner inter¬ nen Schnittstelle - nachfolgend dritte Schnittstelle S3 ge¬ nannt - mit der zweiten Schnittstelle S2 verbunden; mittels seiner externen Schnittstelle - nachfolgend vierte Schnitt¬ stelle S4 genannt - ist das externe Schnittstellenmodul 350 mit der externen Schnittstelle 30ex der Schnittstellenein- richtung 30 und damit mit der Fernabfrageeinrichtung 40 verbunden .
Die Prüfeinrichtung 31 der Schnittstelleneinrichtung 30 ist vorzugsweise im externen Schnittstellenmodul 350 angeordnet, da das externe Schnittstellenmodul 350 das - von der Fernab¬ frageeinrichtung 40 aus gesehen - erste Schnittstellenmodul bildet . Die Anordnung gemäß Figur 4 kann beispielsweise wie folgt be¬ trieben werden:
Geht an der externen Schnittstelle 30ex der Schnittstelleeinrichtung 30 bzw. an der vierten Schnittstelle S4 des externen Schnittstellenmoduls 350 ein Fernabfragesignal FAS (AB) der Fernabfrageeinrichtung 40 ein, so wird die in dem externen Schnittstellenmodul 350 angeordnete Prüfeinrichtung 31 prü¬ fen, ob in dem Fernabfragesignal FAS (AB) ein zulässiger Abfragebefehl AB enthalten ist. Zu diesem Zweck wird sie den Speicher 32, in dem als zulässig abgespeicherte Abfragebefehle gespeichert sind, abfragen und einen entsprechenden Vergleich durchführen. Der Speicher 32, der die zulässigen Abfragebefehle enthält, ist vorzugsweise Bestandteil des exter¬ nen Schnittstellenmoduls 350.
Stellt das externe Schnittstellenmodul 350 fest, dass der Ab¬ fragebefehl AB gültig ist, so wird dieser über die dritte Schnittstelle S3 zur zweiten Schnittstelle S2 übermittelt. Mit Blick auf eine optimale Entkopplung des internen Schnitt- Stellenmoduls 300 von der Fernabfrageeinrichtung 40 - also mit Blick auf einen möglichst guten Schutz vor einem Hacker- Angriff - wird es als vorteilhaft angesehen, wenn die Datenübertragung zwischen der zweiten Schnittstelle S2 und der dritten S3 paketfrei oder auf der Basis einer anderen paket- orientierten Signalübertragung erfolgt als die Datenübertragung zwischen der Fernabfrageeinrichtung 40 und der vierten Schnittstelle S4. Mit anderen Worten soll es einen Bruch bzw. Protokollbruch in der Signalübertragung geben, durch den das interne Schnittstellenmodul 300 von der Fernabfrageeinrich¬ tung 40 bestmöglich entkoppelt wird.
Geht der Abfragebefehl AB bei dem internen Schnittstellenmo- dul 300 ein, so wird es diesen an die Steuereinrichtung 20 weiterleiten. Die Steuereinrichtung 20 wird die angefragten Daten D nachfolgend über die Schnittstelleneinrichtung 30 zur Fernabfrageeinrichtung 40 übermitteln, wie dies im Zusammenhang mit der Figur 1 bereits erläutert worden ist.
Die Figur 5 zeigt ein Ausführungsbeispiel für eine Anordnung, die im Wesentlichen der Anordnung gemäß Figur 4 entspricht, mit der Ausnahme, dass die Übertragung der Daten D von der Steuereinrichtung 20 zur Fernabfrageeinrichtung 40 nicht über die Schnittstelleneinrichtung 30, sondern über eine parallel geschaltete Datendiode 50 erfolgt, wie dies bereits im Zusam¬ menhang mit dem Ausführungsbeispiel gemäß Figur 2 erläutert wurde. Diesbezüglich sei auf die obigen Ausführungen im Zusammenhang mit der Figur 2 verwiesen.
Die Figur 6 zeigt ein Ausführungsbeispiel für eine Anordnung, die der Anordnung gemäß Figur 5 entspricht, wobei in dem ex¬ ternen Schnittstellenmodul 350 zusätzlich zur Prüfeinrichtung 31 und dem Speicher 32 noch ein Signaturspeicher 33 vorhanden ist. In dem Signaturspeicher 33 sind Signaturen abgespeichert, die als gültig angesehen werden und zur Prüfung einge¬ hender signierter Software-Update-Dateien SUD(sig) herangezogen werden, wie dies im Zusammenhang mit der Figur 3 oben bereits erläutert worden ist.
Die Figur 7 zeigt ein Ausführungsbeispiel für eine Anordnung, bei der eine Datendiode 50 vorhanden ist, wie sie auch bei den Ausführungsbeispielen gemäß Figur 5 und 6 vorgesehen ist. Im Unterschied zu dem Ausführungsbeispiel gemäß den Figuren 5 und 6 ist die Datendiode 50 anders verschaltet. So lässt sich erkennen, dass der Datenausgang A50 der Datendiode 50 bei dem Ausführungsbeispiel gemäß Figur 7 nicht unmittelbar mit der Fernabfrageeinrichtung 40 in Verbindung steht, sondern statt dessen an das externe Schnittstellenmodul 350, sei es an die dritte Schnittstelle S3 des externen Schnittstellenmoduls 350 oder - wie in der Figur 7 gezeigt - eine andere Schnittstelle (nachfolgend fünfte Schnittstelle S5 genannt) des externen Schnittstellenmoduls 350, angeschlossen ist. Die von der
Steuereinrichtung 20 angefragten Daten D werden somit von der Datendiode 50 nicht unmittelbar zur Fernabfrageeinrichtung 40 übermittelt, sondern zunächst zum externen Schnittstellenmo¬ dul 350, das die angefragten Daten dann nachfolgend an die Fernabfrageeinrichtung 40 weiterleitet.
Durch die Anordnung der Datendiode 50 innerhalb der Kaskade der Schnittstellenmodule 300 und 350 wird eine besonders gute Entkopplung zwischen der Steuereinrichtung 20 und der Fernab- frageeinrichtung 40 auch in der Abfragerichtung der Daten D erreicht, weil die Datendiode 50 von dem externen Schnitt¬ stellenmodul 350 bei der Trennung der Steuereinrichtung 20 von der Fernabfrageeinrichtung 40 unterstützt wird. Die Figur 8 zeigt eine Anordnung, die im Wesentlichen der Anordnung gemäß Figur 7 entspricht; zusätzlich ist bei der Anordnung gemäß Figur 8 vorgesehen, dass das externe Schnitt¬ stellenmodul 350 mit einem Signaturspeicher 33 ausgestattet ist, der zur Prüfung signierter Software-Update-Dateien
SUD(sig) als zulässig angesehene Signaturen enthält. Bezüg¬ lich der Prüfung von signierten Software-Update-Dateien
SUD(sig) sei auf die obigen Ausführungen im Zusammenhang mit den Figuren 3 und 6 verwiesen. Obwohl die Erfindung im Detail durch bevorzugte Ausführungs¬ beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Anordnung mit einer technischen Anlage (10), insbesondere einer sicherungstechnischen Anlage (10), und einer die Anlage (10) steuernden Steuereinrichtung (20), die mittels Steuerbe¬ fehlen (SB) den technischen Zustand der Anlage (10) verändern kann,
d a d u r c h g e k e n n z e i c h n e t, dass
- an die Steuereinrichtung (20) eine Schnittstelleneinrich- tung (30) angeschlossen ist, die eine externe Schnittstel¬ le zum Anschluss an eine externe Fernabfrageeinrichtung (40) bildet,
- wobei die Schnittstelleneinrichtung (30) eine Prüfeinrichtung (31) aufweist, die derart ausgestaltet ist, dass sie ein empfangenes Fernabfragesignal (FAS (AB) ) auf das Vor¬ liegen eines in der Schnittstelleneinrichtung (30) als zulässig abgespeicherten Abfragebefehls (AB) prüft und im Falle der Zulässigkeit allein den Abfragebefehl (AB) an die Steuereinrichtung (20) weiterleitet und das Weiterlei- ten des Fernabfragesignals (FAS (AB) ) als solches oder al¬ ler anderen Steuerbefehle, die keine als zulässig abge¬ speicherten Abfragebefehle (AB) sind, blockiert.
2. Anordnung nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t, dass
die sicherungstechnische Anlage (10) eine Eisenbahnanlage ist und die Steuerbefehle, die den technischen Zustand der Anlage (10) verändern würden, solche sind, die den Betriebszustand der Eisenbahnanlage verändern würden.
3. Anordnung nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- die Schnittstelleneinrichtung (30) zwei- oder mehrstufig ist und zwei oder mehr Schnittstellenmodule (300, 350) aufweist, die über Schnittstellen kaskadiert hintereinander geschaltet sind,
- wobei zwischen zumindest zweien der Schnittstellenmodule (300, 350) eine Signalübertragung mit einem anderen Über- tragungsstandard oder auf der Basis eines anderen Paket¬ protokolls erfolgt als die Kommunikation zwischen der Schnittstelleneinrichtung (30) und der Fernabfrageeinrichtung (40) .
4. Anordnung nach Anspruch 3,
d a d u r c h g e k e n n z e i c h n e t, dass
das in der Kaskade erste Schnittstellenmodul (350), das mit der externen Fernabfrageeinrichtung (40) in Verbindung steht, derart ausgestaltet ist, dass es bei Vorliegen eines Fernab¬ fragesignals (FAS (AB) ) , das einen als zulässig erkannten Ab¬ fragebefehl (AB) enthält, ausschließlich den Abfragebefehl (AB) an das in der Kaskade nächste Schnittstellenmodul (300) weiterleitet, und zwar unter Paketprotokolländerung oder auf der Basis einer paketfreien Signalübertragung.
5. Anordnung nach einem der voranstehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t, dass
- die Schnittstelleneinrichtung (30) ein internes Schnitt- Stellenmodul (300) und ein externes Schnittstellenmodul
(350) aufweist, die jeweils eine interne Schnittstelle und eine externe Schnittstelle aufweisen,
- das interne Schnittstellenmodul (300) mittels seiner in¬ ternen Schnittstelle - nachfolgend erste Schnittstelle (Sl) genannt - mit der Steuereinrichtung (20) und mittels seiner externen Schnittstelle - nachfolgend zweite
Schnittstelle (S2) genannt - mit einem vorgeordneten
Schnittstellenmodul (350) der Modulkaskade, im Falle zwei¬ er Schnittstellenmodule (300, 350) dem externen Schnitt- Stellenmodul (350), verbunden ist,
- das externe Schnittstellenmodul (350) mittels seiner in¬ ternen Schnittstelle - nachfolgend dritte Schnittstelle genannt (S3) - mit der Schnittstelle eines nachgeordneten Schnittstellenmoduls (300), im Falle zweier Schnittstel- lenmodule (300, 350) dem internen Schnittstellenmodul
(300), verbunden ist, und mittels seiner externen Schnitt¬ stelle - nachfolgend vierte Schnittstelle (S4) genannt - mit der Fernabfrageeinrichtung (40) verbindbar ist, und - die Prüfeinrichtung (31) in dem externen Schnittstellenmodul (350) enthalten ist.
6. Anordnung nach Anspruch 5,
d a d u r c h g e k e n n z e i c h n e t, dass
- die vierte Schnittstelle (S4) eine paketorientierte
Schnittstelle ist, die eine protokollbasierte Kommunikati¬ on mit der Fernabfrageeinrichtung (40) auf der Basis eines vorgegebenen externen Paketprotokolls durchführt, und - die Datenübertragung zwischen zumindest zweien der
Schnittstellenmodule (300, 350), im Falle zweier Schnitt¬ stellenmodule (300, 350) zwischen der zweiten und dritten Schnittstelle (S2, S3) , auf einer internen paketfreien Signalübertragung basiert oder auf einem internen Paket- protokoll beruht, das sich von dem externen Paketprotokoll unterscheidet .
7. Anordnung nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- das interne Schnittstellenmodul (300) derart ausgestaltet ist, dass es - bei Vorliegen eines Abfragebefehls (AB) an seiner zweiten Schnittstelle (S2) - den Abfragebefehl (AB) an die erste Schnittstelle (Sl) und damit an die Steuer¬ einrichtung (20) weiterleitet,
- und zwar auf der Basis eines dritten Paketprotokolls, das sich von dem internen Paketprotokoll und/oder dem externen Paketprotokoll unterscheidet, oder auf der Basis einer pa¬ ketfreien Signalübertragung, die sich von der internen paketfreien Signalübertragung unterscheidet.
8. Anordnung nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
die Steuereinrichtung (20) bei Vorliegen eines Abfragebefehls (AB) die angefragten Daten (D) über die Schnittstellenein- richtung (30) an die externe Fernabfrageeinrichtung (40) übermittelt .
9. Anordnung nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- parallel zu zumindest dem in der Kaskade - von der Fernab¬ frageeinrichtung (40) aus gesehen - letzten Schnittstellenmodul (300), also demjenigen, das mit der Steuerein- richtung (20) in Verbindung steht, - insbesondere dem internen Schnittstellenmodul (300) im Falle von zwei
Schnittstellenmodulen - oder parallel zu der Schnittstelleneinrichtung (30) insgesamt eine Datendiode (50) ge¬ schaltet ist und
- die Steuereinrichtung (20) bei Vorliegen eines Abfragebe¬ fehls (AB) die angefragten Daten über die Datendiode (50) und damit an dem mit der Steuereinrichtung (20) verbundenen Schnittstellenmodul (300), - insbesondere dem internen Schnittstellenmodul (300) im Falle von zwei Schnittstel- lenmodulen - oder an der Schnittstelleneinrichtung (30) insgesamt vorbei an die externe Fernabfrageeinrichtung (40) übermittelt.
10. Anordnung nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- die Schnittstelleneinrichtung (30) einen Signaturspeicher (33) zur Abspeicherung einer oder mehrerer als gültig angesehener Signaturen aufweist, und
- die Schnittstelleneinrichtung (30) derart ausgestaltet
ist, dass sie ein an ihrer externen Schnittstelle empfan¬ genes Softwareupdate auf das Vorliegen einer oder mehrerer als gültig abgespeicherter Signaturen prüft, bei erfolg¬ reicher Signaturprüfung das Softwareupdate ausführt und bei erfolgloser Signaturprüfung die Ausführung des Soft- wareupdates unterlässt.
11. Verfahren zum Betreiben einer Anordnung, die eine technische Anlage (10), insbesondere sicherungstechnische Anlage (10), und eine die Anlage (10) steuernde Steuereinrichtung (20), die mittels Steuerbefehlen (SB) den technischen Zustand der Anlage (10) verändern kann, aufweist,
d a d u r c h g e k e n n z e i c h n e t, dass - mittels einer externen Fernabfrageeinrichtung (40) ein Fernabfragesignal (FAS (AB) ) an eine der Steuereinrichtung (20) vorgeordnete Schnittstelleneinrichtung (30) gesendet wird,
- die Schnittstelleneinrichtung (30) prüft, ob das Fernab¬ fragesignal (FAS (AB) ) einen in der Schnittstelleneinrichtung (30) als zulässig abgespeicherten Abfragebefehl (AB) zur Abfrage von Anlagendaten enthält,
- falls ein als zulässig abgespeicherter Abfragebefehl (AB) im Fernabfragesignal (FAS (AB) ) enthalten ist, dieser Ab¬ fragebefehl (AB) an die Steuereinrichtung (20) weitergeleitet wird und andernfalls eine Weiterleitung unter¬ bleibt, und
- im Falle eines zulässigen Abfragebefehls (AB) die ange- fragten Daten an die externen Fernabfrageeinrichtung (40) übermittelt werden.
12. Verfahren nach Anspruch 11,
d a d u r c h g e k e n n z e i c h n e t, dass
- vor der Weiterleitung des Abfragebefehls (AB) an die Steu¬ ereinrichtung (20) dieser von einem externen Schnittstellenmodul (350) der Schnittstelleneinrichtung (30) zunächst an ein internes Schnittstellenmodul (300) der Schnittstel¬ leneinrichtung (30) übermittelt wird, und zwar unter Pa- ketprotokolländerung oder auf der Basis einer paketfreien
Signalübertragung und
- der Abfragebefehl (AB) von dem internen Schnittstellenmodul (300) der Schnittstelleneinrichtung (30) an die Steuereinrichtung (20) weitergeleitet wird.
13. Verfahren nach Anspruch 12,
d a d u r c h g e k e n n z e i c h n e t, dass
das interne Schnittstellenmodul (300) das Weiterleiten des Abfragebefehls (AB) an die Steuereinrichtung (20) auf der Ba- sis eines dritten Paketprotokolls durchführt, das sich von dem internen Paketprotokoll und/oder dem externen Paketprotokoll unterscheidet, oder auf der Basis einer paketfreien Sig- nalübertragung, die sich von der internen paketfreien Signalübertragung unterscheidet.
14. Verfahren nach einem der voranstehenden Ansprüche 11-13, d a d u r c h g e k e n n z e i c h n e t, dass
- parallel zu zumindest dem in der Kaskade - von der Fernab¬ frageeinrichtung (40) aus gesehen - letzten Schnittstellenmodul (300), also demjenigen, das mit der Steuerein¬ richtung (20) in Verbindung steht, - insbesondere also dem internen Schnittstellenmodul (300) im Falle von zwei
Schnittstellenmodulen -, oder parallel zu der Schnittstelleneinrichtung (30) insgesamt eine Datendiode (50) ge¬ schaltet ist und die Datendiode (50) derart gepolt ist, dass Daten in Richtung der externe Fernabfrageeinrichtung (40) gesendet werden können, und
- bei Vorliegen eines Abfragebefehls (AB) die angefragten Daten (D) über die Datendiode (50) und damit an dem mit der Steuereinrichtung (20) verbundenen Schnittstellenmodul (300) - insbesondere dem internen Schnittstellenmodul (300) im Falle von zwei Schnittstellenmodulen - oder an der Schnittstelleneinrichtung (30) insgesamt vorbei an die externe Fernabfrageeinrichtung (40) übermittelt werden.
15. Verfahren nach einem der voranstehenden Ansprüche 11-14, d a d u r c h g e k e n n z e i c h n e t, dass
- zur Durchführung eines Softwareupdates eine Softwareup¬ datedatei signiert wird, und zwar auf der Basis einer oder mehrerer in der Schnittstelleneinrichtung (30) als gültig abgespeicherter Signaturen,
- die signierte Softwareupdatedatei (SUD(sig)) an die
Schnittstelleneinrichtung (30) übertragen wird,
- die Schnittstelleneinrichtung (30) die signierte Software¬ updatedatei (SUD(sig)) auf das Vorliegen einer oder mehre¬ rer als gültig abgespeicherter Signaturen prüft, bei er- folgreicher Signaturprüfung das in der Softwareupdatedatei
(SUD(sig)) enthaltene Softwareupdate ausführt und bei er¬ folgloser Signaturprüfung die Ausführung des Softwareupdates unterlässt.
PCT/EP2017/067967 2016-08-16 2017-07-17 Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage Ceased WO2018033318A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
ES17743000T ES2898899T3 (es) 2016-08-16 2017-07-17 Disposición con una instalación técnica de seguridad así como procedimiento para su funcionamiento protegido por medio de una consulta remota
US16/326,421 US11529983B2 (en) 2016-08-16 2017-07-17 Arrangement having a safety-related system and method for the protected operation thereof by means of a remote query
AU2017312380A AU2017312380B2 (en) 2016-08-16 2017-07-17 Arrangement having a safety-related system and method for the protected operation thereof by means of a remote query
EP17743000.6A EP3475143B1 (de) 2016-08-16 2017-07-17 Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage
RU2019104242A RU2719094C1 (ru) 2016-08-16 2017-07-17 Устройство с системой безопасности и способ защищенной эксплуатации указанного устройства посредством удаленного запроса

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016215243.2 2016-08-16
DE102016215243.2A DE102016215243A1 (de) 2016-08-16 2016-08-16 Anordnung mit einer technischen Anlage sowie Verfahren zu deren Betrieb

Publications (1)

Publication Number Publication Date
WO2018033318A1 true WO2018033318A1 (de) 2018-02-22

Family

ID=59388064

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/067967 Ceased WO2018033318A1 (de) 2016-08-16 2017-07-17 Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage

Country Status (7)

Country Link
US (1) US11529983B2 (de)
EP (1) EP3475143B1 (de)
AU (1) AU2017312380B2 (de)
DE (1) DE102016215243A1 (de)
ES (1) ES2898899T3 (de)
RU (1) RU2719094C1 (de)
WO (1) WO2018033318A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020254106A1 (de) 2019-06-20 2020-12-24 Siemens Mobility GmbH Filter, anordnung und betriebsverfahren für eine anordnung

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108749859B (zh) * 2018-05-31 2020-06-26 北京全路通信信号研究设计院集团有限公司 一种列车调度集中控制系统及控制方法
US11422788B2 (en) * 2020-08-17 2022-08-23 Dell Products L.P. Deploying firmware updates

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909692A2 (de) * 1997-09-19 1999-04-21 Siemens Aktiengesellschaft Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung
EP0997807A2 (de) * 1998-10-30 2000-05-03 Siemens Aktiengesellschaft Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik
US20050091515A1 (en) * 2002-03-12 2005-04-28 Roddy Brian J. Providing security for external access to a protected computer network
DE102013217324A1 (de) * 2013-08-30 2015-03-05 Siemens Aktiengesellschaft Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System
DE102013226171A1 (de) * 2013-12-17 2015-07-02 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur Übertragung von Daten

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19508731C2 (de) * 1995-02-28 1998-05-20 Siemens Ag Einrichtung zur ortsungebundenen wechselseitigen Kommunikation mit einer Sicherungseinrichtung
US7181017B1 (en) * 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US7853677B2 (en) * 2005-09-12 2010-12-14 Rockwell Automation Technologies, Inc. Transparent bridging and routing in an industrial automation environment
SG177597A1 (en) * 2009-07-10 2012-03-29 Certicom Corp System and method for performing serialization of devices
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
FR2994623B1 (fr) * 2012-08-16 2015-11-13 Astrium Sas Dispositif et procede de transfert unidirectionnel de donnees
CA2882207C (en) 2012-09-20 2021-04-20 Wabtec Holding Corp. Method and system for transmitting enforceable instructions in positive train control systems
DE102012023395A1 (de) * 2012-11-29 2014-06-05 Eads Deutschland Gmbh Schnittstellenvorrichtung und Verfahren zum Austauschen von Nutzdaten
US9367375B2 (en) 2014-04-14 2016-06-14 Artesyn Embedded Computing, Inc. Direct connect algorithm
DE102014226398A1 (de) 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
DE102016205983A1 (de) 2016-04-11 2017-10-12 Siemens Aktiengesellschaft Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909692A2 (de) * 1997-09-19 1999-04-21 Siemens Aktiengesellschaft Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung
EP0997807A2 (de) * 1998-10-30 2000-05-03 Siemens Aktiengesellschaft Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik
US20050091515A1 (en) * 2002-03-12 2005-04-28 Roddy Brian J. Providing security for external access to a protected computer network
DE102013217324A1 (de) * 2013-08-30 2015-03-05 Siemens Aktiengesellschaft Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System
DE102013226171A1 (de) * 2013-12-17 2015-07-02 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur Übertragung von Daten

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020254106A1 (de) 2019-06-20 2020-12-24 Siemens Mobility GmbH Filter, anordnung und betriebsverfahren für eine anordnung

Also Published As

Publication number Publication date
ES2898899T3 (es) 2022-03-09
EP3475143A1 (de) 2019-05-01
US11529983B2 (en) 2022-12-20
US20210284211A1 (en) 2021-09-16
AU2017312380B2 (en) 2020-07-30
DE102016215243A1 (de) 2018-02-22
RU2719094C1 (ru) 2020-04-17
AU2017312380A1 (en) 2019-02-14
EP3475143B1 (de) 2021-08-25

Similar Documents

Publication Publication Date Title
EP2577903B1 (de) Verfahren und system zur manipulationssicheren übertragung von steuerdaten
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
DE19952527C2 (de) Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
DE60022764T2 (de) Busspannungsdetektor in einem Feldgerät
WO2018033318A1 (de) Anordnung mit einer sicherungstechnischen anlage sowie verfahren zu deren geschütztem betrieb mittels fernabfrage
EP3907569A1 (de) Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode
WO1999064938A1 (de) Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung
EP3718263B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3993339B1 (de) Zertifikatsmanagement in einer technischen anlage
EP2707782B1 (de) Verfahren und system zum bereitstellen von gerätespezifischen eigenschaftsdaten für ein automatisierungsgerät einer automatisierungsanlage
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
EP3957033B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
EP2599258B1 (de) Verfahren zum verarbeiten von nachrichten in einem kommunikationsnetz aus mehreren netzknoten
WO2015062812A1 (de) Sicherheitsrelevantes system mit supervisor
EP2118708A1 (de) Leitsystem einer technischen anlage
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
EP3957052B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
EP4099639A1 (de) Verfahren zur kommunikation eines heizgerätes mit einem netzwerk
DE102019109753A1 (de) Industrieanlage
DE102013221164A1 (de) System, Unterbrecher - Vorrichtung und Überwachungseinheit zur Unterbrechung einer Datenkommunikation
AT507122B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
DE102018216958B4 (de) Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren
EP3957051A1 (de) Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais
WO2025017028A1 (de) Attestierung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17743000

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2017743000

Country of ref document: EP

Effective date: 20190122

ENP Entry into the national phase

Ref document number: 2017312380

Country of ref document: AU

Date of ref document: 20170717

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE