FRIES, Steffen (Eberweg 3, Baldham, 85598, DE)
FALK, Rainer (Parkstraße 43, Erding, 85435, DE)
FRIES, Steffen (Eberweg 3, Baldham, 85598, DE)
| Patentansprüche 1. Steuernetzwerk (1) für ein Schienenfahrzeug, bei dem Steu¬ ergeräte (SG) des Schienenfahrzeuges über mindestens zwei Kommunikationspfade ringförmig miteinander verbunden sind, wobei ein erstes Steuergerät (SGI) Nutzdaten (ND) über einen Kommunikationspfad in einer ersten Richtung zu einem zweiten Steuergerät (SG2) überträgt und zu den Nutz¬ daten (ND) zugehörige Prüfdaten (PD) zur Überprüfung der Nutzdaten (ND) über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät (SG2) überträgt. 2. Steuernetzwerk nach Anspruch 1, wobei die Prüfdaten (PD) von dem ersten Steuergerät (SGI) in regelmäßigen Zeitabständen oder bei einem Wechsel eines Betriebszustandes des Schienenfahrzeuges gesendet werden . 3. Steuernetzwerk nach Anspruch 1 oder 2, wobei die Nutzdaten (ND) Fahrgastinformationsdaten und Gerätesteuerdaten aufweisen. 4. Steuernetzwerk nach Anspruch 1 bis 3, wobei die Nutzdaten (ND) in Datenpaketen über ein Datennetzwerk mit Ring-Topologie zwischen den Steuergeräten (SG) übertragen werden. 5. Steuernetzwerk nach Anspruch 4, wobei das Datennetzwerk ein Ethernet-Datennetzwerk, insbesondere das Profinet, ist. 6. Steuernetzwerk nach Anspruch 4, wobei das Datennetzwerk ein optisches oder elektrisches Datennetzwerk mit Ring-Topologie ist, das in einem Waggon des Schienenfahrzeuges verlegt ist. 7. Steuernetzwerk nach Anspruch 6, wobei in dem Datennetzwerk mit Ringtopologie eine Überwa¬ chungseinrichtung vorgesehen ist, welche die Geschlossenheit der Ring-Topologie überwacht, wobei nach Unterbre¬ chung der Ring-Topologie die Prüfdaten (PD) und die Nutz- daten (ND) über einen verbleibenden Kommunikationspfad von dem ersten Steuergerät (SGI) zu dem zweiten Steuerge¬ rät (SG2) übertragen werden. 8. Steuernetzwerk nach Anspruch 1 bis 7, wobei das zweite Steuergerät (SG2) Gegenmaßnahmen veran¬ lasst, sofern die Überprüfung der durch das zweite Steuergerät (SG2) empfangenen Nutzdaten (ND) anhand der durch das zweite Steuergerät (SG2) empfangenen Prüfdaten (PD) ergibt, dass die Nutzdaten (ND) nicht von dem ersten Steuergerät (SGI) stammen. 9. Steuernetzwerk nach Anspruch 8, wobei die Gegenmaßnahmen das Senden einer Alarmmeldung durch das zweite Steuergerät (SG2) an mindestens ein wei- teres Steuergerät und/oder das Aktivieren einer einge¬ schränkten Betriebsart durch das zweite Steuergerät (SG2) aufweisen . 10. Steuernetzwerk nach Anspruch 6, wobei das Datennetzwerk eines Waggons (2-i) des Schienenfahrzeuges über ein übergeordnetes Datennetzwerk des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons (2-j) des Schienenfahrzeuges oder eines Zugwagens zur Datenübertragung zwischen den Steuergeräten (SG) des Schienenfahrzeuges verbunden ist. 11. Steuernetzwerk nach Anspruch 10, wobei das übergeordnete Datennetzwerk des Schienenfahrzeuges ein Schienenfahrzeug-Datenbus oder ein Schienen- fahrzeug-Datennetzwerk mit Ring-Topologie ist. 12. Steuernetzwerk nach Anspruch 10, wobei das Datennetzwerk eines Waggons (2-i) des Schienenfahrzeuges über elektrisch leitfähige Schienen, über WLAN-Funkmodule oder über Spannungsversorgungsleitungen zur Spannungsversorgung des Schienenfahrzeuges mit weite- ren Datennetzwerken von weiteren Waggons (2-i) oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten (SG) des Schienenfahrzeuges verbunden ist. 13. Steuernetzwerk nach Anspruch 1 bis 12, wobei die zur Überprüfung der Nutzdaten (ND) vorgesehenen Prüfdaten (PD) -Prüfsummen der Nutzdaten oder -kryptographische Schlüssel zur Entschlüsselung einer kryptographisch gesicherte Prüfsumme der Nutzdaten oder -Parameter zum Einrichten eines kryptographischen Schlüssels oder -Datenpaketverwaltungsdaten von Datenpaketen zur Übertragung der Nutzdaten aufweisen. 14. Steuernetzwerk nach Anspruch 13, wobei die zur Überprüfung der Nutzdaten (ND) vorgesehenen Prüfdaten (PD) Hashwerte der Nutzdaten oder Hashwerte der Datenpaketverwaltungsdaten oder Hashwerte der Nutzdaten und der Datenpaketverwaltungsdaten aufweisen. 15. Verfahren zur manipulationssicheren Datenübertragung zwi sehen Steuergeräten (SG) eines Schienenfahrzeuges, die über mindestens zwei Kommunikationspfade miteinander verbunden sind, wobei ein erstes Steuergerät (SGI) Nutzdaten (ND) über einen Kommunikationspfad in einer ersten Richtung zu einem zweiten Steuergerät (SG2) überträgt und zu den Nutz¬ daten (ND) zugehörige Prüfdaten (PD) zur Überprüfung der Nutzdaten (ND) über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät (SG2) überträgt. |
Steuernetzwerk für ein Schienenfahrzeug Die Erfindung betrifft ein Steuernetzwerk für ein Schienenfahrzeug und ein Verfahren zur manipulationssicheren Datenübertragung zwischen Steuergeräten eines Schienenfahrzeuges, insbesondere eines Zuges. Schienenfahrzeuge verfügen über eine Vielzahl von Steuergerä ¬ ten zur Ansteuerung von Geräten, beispielsweise Bremseinrichtungen, Antriebseinrichtungen, Beleuchtungseinrichtungen, Türverschließungseinrichtungen sowie Klimaanlagen. Weiterhin können die Steuergeräte Fahrgastinformationseinheiten oder Einrichtungen zur Sitzplatzreservierung für Fahrgäste steuern. Fahrgastinformationseinrichtungen informieren beispielsweise die Fahrgäste über Umsteigemöglichkeiten zu anderen Zügen mittels akustischer Durchsagen oder optischer Anzeigen. Weiterhin können Steuergeräte Daten von Videoüberwachungsein- richtungen erhalten, welche beispielsweise an den Zugführer übertragen werden. Steuergeräte eines Schienenfahrzeuges tau ¬ schen untereinander Nutzdaten aus. Diese Nutzdaten können Fahrgastinformationsdaten oder Gerätesteuerdaten umfassen. Steuergeräte von Schienenfahrzeugen werden zunehmend unter Verwendung standardisierter Protokolle wie Ethernet oder IP über Datennetzwerke untereinander vernetzt. Die Steuergeräte werden dabei häufig in einem für Dritte physikalisch schwer zugänglichen Bereich innerhalb eines Waggons oder eines Zug- wagens des Schienenfahrzeuges untergebracht. Das Datenkommu ¬ nikationsnetzwerk, über welches die Steuergeräte Nutzdaten zu anderen Steuergeräten übertragen, zieht sich demgegenüber ü- ber nicht oder über nur aufwändig physikalisch schützbare Ab ¬ schnitte des Schienenfahrzeuges hin. Diese Datenkommunikati- onsnetzwerke sind insbesondere auch im Fahrgastbereich des
Schienenfahrzeuges verlegt und somit für Dritte relativ ein ¬ fach zugänglich. Daher besteht für Dritte prinzipiell die Möglichkeit, eine Datenleitung des Datenkommunikationsnetz- werkes anzuzapfen, um Manipulationen vorzunehmen, beispielsweise Datenpakete über das Datenkommunikationsnetzwerk einzuschleusen oder eine Datenübertragung abzuhören. Es ist daher eine Aufgabe der vorliegenden Erfindung ein Steuernetzwerk und ein Verfahren für Schienenfahrzeuge zu schaffen, die es erlauben, Manipulationen an der Verkabelung des Datenkommunikationsnetzwerkes des Schienenfahrzeuges zu erkennen .
Diese Aufgabe wird erfindungsgemäß durch ein Steuernetzwerk mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
Die Erfindung schafft ein Steuernetzwerk für ein Schienen- fahrzeug, bei dem Steuergeräte des Schienenfahrzeuges über mindestens zwei Kommunikationspfade ringförmig miteinander verbunden sind,
wobei ein erstes Steuergerät Nutzdaten über einen Kommunika ¬ tionspfad in einer ersten Richtung zu einem zweiten Steuerge- rät überträgt und zu den Nutzdaten zugehörige Prüfdaten zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät überträgt. Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes werden die Prüfdaten von dem ersten Steuergerät in regelmäßigen Zeitabständen oder bei Wechsel eines Betriebszustandes des Schienenfahrzeuges gesendet. Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes sind die Nutzdaten Fahrgastinformationsdaten.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes sind die übertragenen Nutzdaten Ge- rätesteuerdaten .
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes werden die Nutzdaten in Datenpaketen über ein Daten- netzwerk mit Ring-Topologie zwischen den Steuergeräten des Schienenfahrzeuges übertragen.
Bei einer Ausführungsform des erfindungsgemäßen Steuernetz- werkes handelt es sich bei diesem Datennetzwerk um ein Ether- net-Datennetzwerk, insbesondere ein Profinet.
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk ein elektrisches Datennetzwerk mit Ring-Topologie, das in einem Waggon des Schienenfahrzeu ¬ ges verlegt ist.
Bei einer alternativen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk ein optisches Daten- netzwerk mit Ring-Topologie, das in einem Waggon des Schie ¬ nenfahrzeuges verlegt ist.
Bei einer Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist in dem Datennetzwerk mit Ring-Topologie mindestens eine Überwachungseinheit vorgesehen, welche die Geschlossen ¬ heit der Ring-Topologie überwacht, wobei nach Unterbrechung der Ring-Topologie die Prüfdaten und die Nutzdaten über einen verbleibenden Kommunikationspfad von dem ersten Steuergerät zu dem zweiten Steuergerät übertragen werden.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes veranlasst das zweite Steuergerät Gegenmaß ¬ nahmen, sofern die Überprüfung der durch das zweite Steuergerät empfangenen Nutzdaten anhand der durch das zweite Steuer- gerät empfangenen Prüfdaten ergibt, dass die Nutzdaten nicht von dem ersten Steuergerät stammen.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die Gegenmaßnahmen das Senden einer Alarmmeldung durch das zweite Steuergerät an mindestens ein weiteres Steuergerät. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die Gegenmaßnahmen das Aktivieren einer eingeschränkten Betriebsart durch das zweite Steuergerät .
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über ein übergeordnetes Datennetzwerk des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Da ¬ tenübertragung zwischen den Steuergeräten des Schienenfahrzeuges verbunden.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes handelt es sich bei dem übergeordneten Da ¬ tennetzwerk um einen Schienenfahrzeug-Datenbus.
Bei einer weiteren alternativen Ausführungsform des erfindungsgemäßen Steuernetzwerkes handelt es sich bei dem überge- ordneten Datennetzwerk um ein Schienenfahrzeug-Datennetzwerk, das seinerseits eine Ring-Topologie aufweist.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über elektrisch leitfähige Schienen mit weiteren Datennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten des Schienenfahrzeuges verbunden. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über WLAN-Funkmodule mit weiteren Da ¬ tennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen Steuergerä- ten des Schienenfahrzeuges verbunden.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes ist das Datennetzwerk eines Waggons des Schienenfahrzeuges über Spannungsversorgungsleitungen zur Spannungsversorgung des Schienenfahrzeuges mit weiteren Da ¬ tennetzwerken von weiteren Waggons oder eines Zugwagens des Schienenfahrzeuges zur Datenübertragung zwischen Steuergerä ¬ ten des Schienenfahrzeuges verbunden.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Prüfsummen der Nutzdaten.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten kryptographische Schlüssel zur Entschlüsselung bzw. Prüfung einer kryptographisch verschlüsselten bzw. kryptographisch geschützten Prüfsumme der Nutzdaten .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Parameter zum Einrichten eines kryptographischen Schlüssels.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes umfassen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Datenpaketverwaltungsdaten bzw. Headerdaten der Datenpakete, in welchen die Nutzdaten übertragen werden.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes weisen die zur Überprüfung der Nutzdaten vorgesehenen Prüfdaten Hashwerte auf.
Bei einer möglichen Ausführungsform sind die Hashwerte Hashwerte der Nutzdaten.
Bei einer weiteren möglichen Ausführungsform sind die Hashwerte Hashwerte der Datenpaketverwaltungsdaten. Bei einer weiteren möglichen Ausführungsform sind die Hash- werte Hashwerte des gesamten Datenpakets einschließlich Nutz ¬ daten und Datenpaketverwaltungsdaten . Die Erfindung schafft ferner ein Verfahren zur manipulationssicheren Datenübertragung zwischen Steuergeräten eines Schienenfahrzeuges, die über zwei Kommunikationspfade ringförmig miteinander verbunden sind,
wobei ein erstes Steuergerät Nutzdaten über einen Kommunika- tionspfad in einer ersten Richtung zu einem zweiten Steuergerät überträgt und zu den Nutzdaten zugehörige Prüfdaten zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten zu der ersten Richtung gegenläufigen Richtung zu dem zweiten Steuergerät überträgt.
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Steuernetzwerkes und des erfindungsgemäßen Verfahrens zur manipulationssicheren Datenübertragung zwischen Steuergeräten eines Schienenfahrzeuges unter Bezugnahme auf die bei- gefügten Figuren beschrieben.
Es zeigen:
Fig. 1 ein Diagramm zur Darstellung eines Ausführungs- beispieles des Steuernetzwerkes für ein Schie ¬ nenfahrzeug mit mehreren ringförmigen Datennetzwerken, die in verschiedenen Waggons bzw. Wagen des Schienenfahrzeuges vorgesehen sind; Fig. 2A, 2B Diagramme zur Darstellung von Ausführungsbei ¬ spielen des erfindungsgemäßen Steuernetzwerkes für ein Schienenfahrzeug;
Fig. 3A, 3B Diagramme zur Erläuterung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes;
Fig. 4 ein weiteres Diagramm zur Darstellung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes; Fig. 5 ein weiteres Diagramm zur Darstellung eines weiteren Ausführungsbeispiels des erfindungsge ¬ mäßen Steuernetzwerkes;
Fig. 6 ein Diagramm zur Darstellung eines weiteren
Ausführungsbeispiels des erfindungsgemäßen Steuernetzwerkes; ein Diagramm zur Darstellung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Steuernetzwerkes .
Fig. 1 zeigt ein Ausführungsbeispiel des erfindungsgemäßen Steuernetzwerkes 1. Das Steuernetzwerk 1 befindet sich in ei ¬ nem Schienenfahrzeug, das sich auf Schienen bewegt, bei ¬ spielsweise einem Zug. Dieser Zug umfasst bei dem in Fig. 1 dargestellten Beispiel einen Zugwagen 2-1 und drei daran gekoppelte Waggons bzw. Wagen 2-2, 2-3, 2-4. Die verschiedenen Wägen des Schienenfahrzeuges können, wie in Fig. 1 darge ¬ stellt, mechanisch miteinander verkoppelt sein. Jeder Wagen des Schienenfahrzeuges weist Steuergeräte SG auf, die über ein Datennetzwerk mit Ring-Topologie miteinander ringförmig verbunden sind. Bei diesen Steuergeräten SG kann es sich z. B. um Steuergeräte einer Bremsanlage, einer Antriebsanla ¬ ge, einer Klimaanlage, einer Beleuchtungsanlage, einer Tür ¬ verschlussanlage handeln, die untereinander über ein Datennetzwerk mit Ring-Topologie kommunizieren bzw. Daten austauschen. Die Daten werden dabei vorzugsweise als Nutzdaten in Datenpaketen in dem jeweiligen Datennetzwerk übertragen. Diese Datenpakete umfassen Datenpaketverwaltungsdaten sowie Nutzdaten. Nutzdaten können Steuerdaten zur Ansteuerung von Steuergeräten SG, beispielsweise von Brems- oder Antriebseinrichtungen, aber auch Informationsdaten, beispielsweise Fahr- gastinformationsdaten oder Sitzplatzreservierungsdaten umfassen. Weiterhin können die Nutzdaten auch Sensordaten von Sensoren enthalten, die an Steuergeräte SG angeschlossen sind. Bei den Datennetzwerken mit Ring-Topologie, die in den ver- schiedenen Wagen 2-i des Schienenfahrzeuges verlegt sind, kann es sich jeweils um ein elektrisches Datennetzwerk mit Ring-Topologie oder um ein optisches Netzwerk mit Ring- Topologie handeln. Die Steuergeräte SG, die ringförmig mit- einander sind, können über eine oder mehrere Leitungen aneinander angeschlossen werden. Die Leitungen umfassen beispielsweise elektrische Kabel. Alternativ können die Leitungen auch durch Lichtwellenleiter bzw. Glasfasern gebildet werden. Bei einer möglichen Ausführungsform ist das ringförmige Daten- netzwerk ein Ethernet-Datennetzwerk, welches Datenpakete in Echtzeit überträgt, beispielsweise ein Profinet.
Bei dem erfindungsgemäßen Steuernetzwerk überträgt ein erstes Steuergerät SGI Nutzdaten ND über einen Kommunikationspfad in einer ersten Richtung zu mindestens einem zweiten Steuergerät SG2 und gleichzeitig oder zeitversetzt zu den jeweiligen Nutzdaten ND zugehörige Prüfdaten PD zur Überprüfung der Nutzdaten über einen anderen Kommunikationspfad in einer zweiten, zu der ersten Richtung gegenläufigen Richtung, zu dem zweiten Steuergerät SG2. Bei einer zeitversetzten Übertragung der Nutzdaten ND und der Prüfdaten PD können die Prüfdaten PD sowohl vor wie auch nach den Nutzdaten übertragen werden. In dem in Fig. 1 dargestellten Beispiel überträgt ein erstes Steuergerät SGI in dem letzten Wagen 2-4 des Schienenfahrzeu ¬ ges Nutzdaten ND zu einem zweiten Steuergerät SG2 in einer ersten Richtung über den jeweiligen Ring und gleichzeitig zugehörige Prüfdaten PD zur Prüfung der Nutzdaten ND über einen anderen Kommunikationspfad in einer zweiten, zu der ersten Richtung gegenläufigen Richtung. Bei dem in Fig. 1 dargestellten Beispiel werden die Nutzdaten ND im Uhrzeigersinn über den dargestellten Ring von dem ersten Steuergerät SGI zu dem zweiten Steuergerät SG2 übertragen bzw. transportiert und die zugehörigen Prüfdaten PD werden entgegen dem Uhrzeigersinn zu dem gleichen Steuergerät SG2 übertragen. Die Übertragung der Prüfdaten PD von dem ersten Steuergerät SGI zu dem zweiten Steuergerät SG2 kann bei einer möglichen Ausführungs- form in regelmäßigen Zeitabständen erfolgen, z. B. einmal pro Minute, einmal pro Stunde oder einmal pro Tag. Bei einer al ¬ ternativen Ausführungsform werden die Prüfdaten PD von dem ersten Steuergerät SGI bei Bedarf, insbesondere bei Wechsel eines Betriebszustandes einer Einheit des Schienenfahrzeuges, zu dem zweiten Steuergerät SG2 gesendet. Der Zustandswechsel kann beispielsweise durch Aktivieren einer Steuerfunktion bei einem Steuergerät SG eintreten, beispielsweise wenn eine Be ¬ leuchtungseinrichtung oder eine Klimaeinrichtung ein- bzw. ausgeschaltet wird. Weiterhin kann ein Zustandswechsel mit ¬ tels Sensoren sensorisch erfasst werden. Beispielsweise sendet ein Steuergerät SGI einem zweiten Steuergerät SG2 Nutzda ¬ ten ND, wenn das Schienenfahrzeug anfährt oder das Schienen ¬ fahrzeug in einen Wartungsbetriebsmodus überführt wird. Die Nutzdaten ND und die zugehörigen Prüfdaten PD können bei einer möglichen Ausführungsform von dem ersten Steuergerät SGI zu dem zweiten Steuergerät SG2 in Echtzeit übertragen werden.
Bei einer möglichen Ausführungsform ist in jedem Datennetz- werk mit Ring-Topologie mindestens eine Überwachungseinheit vorgesehen, die die Geschlossenheit des jeweiligen Ringes bzw. der Ring-Topologie überwacht. Bei Unterbrechung der Ring-Topologie beispielsweise durch einen Brand in dem jewei ¬ ligen Wagen 2-i, können dann die Prüfdaten PD und die Nutzda- ten ND von dem ersten Steuergerät SGI über den verbleibenden Kommunikationspfad zu dem zweiten Steuergerät übertragen wer ¬ den. Fällt bei dem in Fig. 1 dargestellten Beispiel der Kommunikationspfad, der im Uhrzeigersinn zwischen den beiden Steuergeräten SG im Wagen 2-4 besteht, aus, wird dies über die Überwachungseinheit des Datennetzwerkes des Wagens 2-4 erfasst. Die verschiedenen Steuergeräte SGi des Datennetzwer ¬ kes werden dann von der Überwachungseinheit angewiesen, sowohl die Nutzdaten ND als auch die zugehörigen Prüfdaten PD im Gegenuhrzeigersinn in dem betroffenen Netzwerk zu übertra- gen. Dies bietet den Vorteil, dass bei einer Unterbrechung eines Datenlinks zwischen Steuergeräten SG, beispielsweise aufgrund eines Kabelbrandes oder aufgrund sonstiger Beschädi ¬ gungen der Datenverbindung das betroffene ringförmige Daten- netzwerk noch funktionsfähig ist und zuverlässig Nutzdaten ND und zugehörige Prüfdaten PD zwischen den Steuergeräten SG ü- berträgt .
Das zweite Steuergerät SG2 führt eine Überprüfung der durch das zweite Steuergerät SG2 empfangenen Nutzdaten ND anhand der von dem zweiten Steuergerät SG2 empfangenen Prüfdaten PD durch. Ergibt diese Überprüfung, dass die erhaltenen Nutzdaten ND nicht von dem ersten Steuergerät SGI stammen, veranlasst das zweite Steuergerät SG2 bei einer bevorzugten Aus ¬ führungsform entsprechende Gegenmaßnahmen. Beispielsweise sendet das zweite Steuergerät SG2 eine Alarmmeldung an min ¬ destens ein anderes Steuergerät, um den aufgetretenen Fehler zu melden. Weiterhin können auch Aktoren aktiviert werden, beispielsweise eine Warnlampe im Zugwagen 2-1 des Schienen ¬ fahrzeuges. Bei einer möglichen Ausführungsform wird ein Nothalt des Schienenfahrzeuges veranlasst. Weiterhin ist es mög ¬ lich, dass bei einer Alarmmeldung ein entsprechender Eintrag in eine Logdatei bzw. in einem Fehlerspeicher erfolgt. In einer weiteren möglichen Variante wird als Gegenmaßnahme das zweite Steuergerät SG2 in einen eingeschränkten Betriebsmodus versetzt. Beispielsweise wird ein Wechsel in einem fehlersi ¬ cheren Betriebsmodus veranlasst, in dem keine Gefährdung ei ¬ nes Fahrbetriebs des Schienenfahrzeugs von dem betroffenen zweiten Steuergerät SG2 ausgeht. In einer weiteren möglichen Ausführungsform veranlasst das zweite Steuergerät SG2 einen eingeschränkten Fahrbetrieb des Schienenfahrzeugs. Weiterhin ist es möglich, dass das betroffene Steuergerät SG2 einzelne empfangene Nachrichten verwirft bzw. nur einzelne Nachrichten akzeptiert und weiterverarbeitet.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 werden die zur Überprüfung der Nutzdaten ND eingesetzten Prüfdaten PD durch Prüfsummen der Nutzdaten ND gebildet. Beispielsweise kann es sich dabei um CRC- Prüfsummen oder CBC-MAC-Werte oder HMAC-Werte handeln. Die Prüfdaten PD können insbesondere auch Hashwerte der Nutzdaten ND oder Hashwerte der Header bzw. Datenpaketverwaltungsdaten der übertragenen Datenpakete umfassen. Zur Überprüfung können Prüfsummen einer oder mehrerer übertragener Nutzdatennachrichten bzw. Nutzdatendatenpakete verwendet werden.
Bei einer weiteren möglichen Ausführungsform sind die verwendeten Prüfdaten PD kryptographische Schlüssel zur Entschlüs ¬ selung einer kryptographisch verschlüsselten Prüfsumme der Nutzdaten ND, bzw. zum Prüfen einer kryptographisch geschützten Prüfsumme.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 werden als Prüfdaten PD Datenpa- ketverwaltungsdaten bzw. Headerdaten der übertragenen Datenpakete eingesetzt. Diese Datenpaketverwaltungsdaten umfassen beispielsweise die MAC-Adresse des empfangenden Steuergerä ¬ tes. Weiterhin ist es möglich, dass es sich bei den verwende ¬ ten Prüfdaten PD um eine IP-Adresse des zu sendenden und empfangenden Steuergerätes handelt. Weiterhin eignen sich Portnummer oder Protokoll-IDs als Prüfdaten PD.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Steuernetzwerkes 1 sind die zur Überprüfung der Nutzdaten ND vorgesehenen Prüfdaten PD Parameter zum Einrichten bzw. Aktualisieren von kryptographischen Schlüsseln. Hierbei können Daten in einem von Schlüsselvereinbarungsprotokoll, z. B. IKE oder IEEE 802. laf, über einen Kommunikationspfad ausgetauscht werden, während die Nutzdaten über den anderen Kommunikationspfad ausgetauscht werden. Hierbei ist es auch möglich, eine Prüfsumme der bei dem Schlüsselvereinbarungs ¬ protokoll benutzten Parameter über den zweiten Kommunikationspfad auszutauschen. Weiterhin ist es möglich, einen ersten Parameter zum Einrichten bzw. Aktualisieren eines kryptographischen Schlüssels über den ersten Kommunikationspfad und einem zweiten Parameter über den zweiten Kommunikationspfad zu übertragen und anschließend den kryptographischen Schlüssel basierend auf dem ersten und dem zweiten Parameter zu bestimmen. Das zweite Steuergerät SG2 kann anhand der erhaltenen Sicherheitsinformationen bzw. Prüfdaten PD erkennen, ob die empfangenen Nutzdaten ND von einem Dritten eingeschleust wurden o- der manipuliert sind. Somit ist es bei dem erfindungsgemäßen Steuernetzwerk 1 möglich, Manipulationen bei der Datenübertragung zu erkennen. Dies erlaubt die Datenübertragungskabel in dem Zug nicht oder nur geringfügig geschützt zu verlegen, so dass der Aufwand bei der Verkabelung reduziert werden kann, ohne an Sicherheit zu verlieren. Auch kann in manchen Realisierungen nur ein Teil der Verkabelung geschützt verlegt werden, z.B. im Unterbodenbereich, wogegen ein anderer Teil der Verkabelung in einem relativ einfach zugänglichen Bereich, z.B. im Passagierbereich, verlegt ist. Beim erfindungsgemäßen Steuernetzwerk ist es ausreichend, die verschie- denen Steuergeräte SG physikalisch geschützt in dem jeweili ¬ gen Wagen des Schienenfahrzeuges unterzubringen. Bei einem erfindungsgemäßen Steuernetzwerk 1 hat ein Angreifer, der nur an einem Punkt das des ringförmige Datennetzwerk anzapft bzw. manipuliert, keinen Zugriff auf die entsprechenden Prüfinfor- mationen bzw. Prüfdaten, die über den anderen Kommunikationspfad übertragen werden. Daher sind vorgenommene Manipulatio ¬ nen für das empfangende zweite Steuergerät SG2 erkennbar. Bei dem erfindungsgemäßen Steuernetzwerk 1 ist es möglich, auch ohne Einsatz von aufwändigen kryptographischen Verfahren die Sicherheit bei der Datenkommunikation signifikant zu erhöhen. Bei dem erfindungsgemäßen Steuernetzwerk 1 und dem erfindungsgemäßen Verfahren kann man, insbesondere bei Verwendung von asymmetrischen Sicherheitsmechanismen, die auf öffentlichen und korrespondierenden privaten kryptographischen
Schlüsseln basieren, durch ein Schlüsselvereinbarungsproto ¬ koll die Überprüfung der öffentlichen Schlüssel ermöglichen. Dies ist insbesondere in Umgebungen wichtig, in denen kein Schlüsselmaterial verwendet wird. Bei Verwen- dung eines symmetrischen kryptographischen Schlüssels kann dieser Über einen Pfad übertragen bzw. vereinbart werden, und über den zweiten Pfad in Gegenrichtung wird eine vom eingerichteten bzw. vereinbarten Schlüssel abhängige Prüfinforma ¬ tion übertragen, z.B. eine Prüfsumme oder ein Hash-Wert. Die ringförmig verschalteten Steuergeräte SG verfügen vorzugsweise jeweils über mindestens zwei Netzwerkschnittstel ¬ len. Die Netzwerkschnittstellen können Sicherheitsfunktionen, beispielsweise Paketfilter zur Filterung von Datenpaketen, zur Verschlüsselung sowie PrüfSummenüberprüfung zugeordnet sein. Die verschiedenen Steuergeräte SG verfügen vorzugsweise über mindestens eine Datenverarbeitungseinheit bzw. einen Prozessor, welcher die empfangenen Nutzdaten ND verarbeitet oder an ein anderes Steuergerät SG weiterleitet. Die empfan ¬ genen Nutzdaten ND können Steuerdaten sein, die durch den Prozessor als Steuerkommandos interpretiert werden. Der Pro ¬ zessor kann in Abhängigkeit der empfangenen Steuerdaten Aktoren des jeweiligen Steuergerätes SG entsprechend ansteuern. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD bzw. Prüfinformationen werden vorzugsweise durch das empfangende Steuergerät über eine andere Netzwerkschnittstelle empfangen. Die übertragenen Nutzdaten können auch Konfigurationsdaten der verschiedenen Steuergeräte SG beinhalten.
Die Fig. 2A, 2B zeigen verschiedene Ausführungsbeispiele des erfindungsgemäßen Steuernetzwerkes 1. In den dargestellten Ausführungsbeispielen sind die verschiedenen Datennetzwerke der Schienenfahrzeugwagen über ein übergeordnetes Datennetz- werk des Schienenfahrzeuges mit weiteren Datennetzwerken von weiteren Waggons des Schienenfahrzeuges zur Datenübertragung zwischen den Steuergeräten SG des Schienenfahrzeuges verbunden. Die in den Zugwagen 2-1 sowie den Waggons 2-2, 2-3, 2-4 verlegten ringförmigen Datennetzwerke umfassen jeweils mehre- re Steuergeräte SG, wobei jeder Ring über ein Gateway GW mit weiteren Datennetzwerken des Schienenfahrzeuges verbunden ist. Bei dem in Fig. 2A dargestellten Ausführungsbeispiel wird das übergeordnete Datennetzwerk durch einen Schienenfahrzeug-Datenbus gebildet. Bei dem in Fig. 2B dargestellten Ausführungsbeispiel wird das übergeordnete Datennetzwerk des Schienenfahrzeuges durch ein Datennetzwerk gebildet, das e- benfalls eine Ring-Topologie aufweist. Bei dem in Fig. 2B dargestellten Ausführungsbeispiel bilden die verschiedenen Gateways GW der in den verschiedenen Waggons verlegten Datennetzwerke ihrerseits ein Datennetzwerk mit Ring-Topologie . Bei dem in Fig. 2A dargestellten Beispiel sind die verschie ¬ denen Gateways GW über einen Datenbus miteinander verbunden der als übergeordnetes Datennetzwerk beispielsweise über die mechanischen Kupplungseinrichtungen der verschiedenen Schienenfahrzeugwagen verlegt sein kann.
Fig. 3A, 3B zeigen Diagramme zur Verdeutlichung der Funkti- onsweise des erfindungsgemäßen Steuernetzwerkes. Bei dem in
Fig. 3A dargestellten Beispiel überträgt ein erstes Steuerge ¬ rät SGI Nutzdaten zu einem in dem gleichen Ring befindlichen zweiten Steuergerät SG2. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden in gegenläufiger Richtung zu dem gleichen Steuergerät SG2 übertragen und dort mit den empfangenen Nutzdaten verglichen.
Bei dem in Fig. 3B dargestellten Beispiel überträgt ein erstes Steuergerät SGI, das in einem ersten ringförmigen Daten- netzwerk befindet, Daten an ein zweites Steuergerät SG2, wel ¬ ches sich in einem anderen zweiten ringförmigen Datennetzwerk befindet. Die Datenübertragung erfolgt dabei über die Gate ¬ ways sowie das übergeordnete Datennetzwerk, welches bei dem dargestellten Ausführungsbeispiel ein Datenbus ist. Wie man in Fig. 3B erkennen kann, werden die zugehörigen Prüfdaten in den jeweiligen Ringen in gegenläufiger Richtung zu dem zweiten Steuergerät SG2 übertragen. In dem übergeordneten Datenbus werden die Nutzdaten ND und die Prüfdaten PD in der gleichen Richtung übertragen. Die Übertragung der Prüfdaten PD und der Nutzdaten ND kann über verschiedene Datenleitungen des gemeinsamen Datenbusses erfolgen. Bei einer alternativen Ausführungsform werden die Nutzdaten ND und die Prüfdaten PD zeitlich versetzt über den Datenbus in der gleichen Richtung übertragen, insbesondere wenn der Datenbus nur über eine ein- zige Leitung verfügt.
Fig. 4 zeigt ein weiteres Diagramm zur Darstellung der Funktionsweise des erfindungsgemäßen Steuernetzwerkes 1. Bei dem in Fig. 4 dargestellten Beispiel ist das übergeordnete Daten ¬ netzwerk ebenfalls durch einen Ring gebildet. Bei dem darge ¬ stellten Beispiel überträgt ein Steuergerät SGI in einem ers ¬ ten Ring Nutzdaten ND über das ringförmige übergeordnete Da- tennetzwerk zu einem zweiten Steuergerät SG2, das sich in einem anderen ringförmigen Netzwerk befindet. Die beiden ringförmigen Datennetzwerke befinden sich beispielsweise in ver ¬ schiedenen Waggons eines Schienenfahrzeuges. Wie man aus Fig. 4 erkennen kann, werden die Nutzdaten ND von dem ersten Steuergerät SGI in den ringförmig verlegten Datennetzwerken der verschiedenen Waggons in gegenläufiger Richtung zu dem zweiten Steuergerät SG2 übertragen. Darüber hinaus erfolgt auch eine gegenläufige Übertragung der Nutzdaten ND und der Prüfdaten PD in dem ringförmigen Datennetzwerk des Schienen- fahrzeuges, das heißt dem übergeordneten Datennetzwerk des gesamten Schienenfahrzeugs.
Fig. 5 zeigt ein weiteres Ausführungsbeispiel des erfindungs ¬ gemäßen Steuernetzwerkes. Bei dem in Fig. 5 dargestellten Ausführungsbeispiel überträgt ein erstes Steuergerät SGI in einem ersten Wagen 2-i Nutzdaten ND zunächst zu einem weiteren Steuergerät innerhalb des gleichen Rings, das eine elekt ¬ rische Verbindung mit einer ersten Schiene Sl besitzt. Die Nutzdaten ND werden über die erste Schiene Sl zu einem ande- ren Wagen 2-j übertragen und gelangen von einem mit den
Schienenrädern elektrisch verbundenen Gerät des zweiten ringförmigen Datennetzwerkes 2-j zu dem zweiten Steuergerät SG2. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden von dem ersten Steuergerät SGI über eine zweite Schiene S2 zu dem in dem anderen Waggon 2-j befindlichen Steuergerät SG2 in gegenläufiger Richtung übertragen. Die Schienen Sl, S2 sind e- lektrisch leitfähig und eignen sich bei dem dargestellten Ausführungsbeispiel zur Datenübertragung. Das in Fig. 5 dargestellte Ausführungsbeispiel hat den Vorteil, dass die bei- den Wagen 2-i, 2-j mechanisch nicht miteinander gekoppelt sein müssen. Bei den beiden Wagen 2-i, 2-j kann es sich auch um Wagen unterschiedlicher Schienenfahrzeuge handeln. Bei einer möglichen Ausführungsform bildet jeder der beiden Wagen 2-i, 2-j ein eigenes Schienenfahrzeug, beispielsweise zum Transport von Passagieren von einem Flughafen.
Bei einer möglichen Ausführungsform sendet das zweite Steuergerät SG2 des Wagens 2-j bei Empfang von Nutzdaten ND seiner- seits Daten zurück an das erste Steuergerät SGI des anderen Wagens 2-i. Auf diese Weise können bidirektional Nutzdaten ND und zugehörige Prüfdaten PD zwischen den beiden Wagen 2-i, 2- j ausgetauscht werden. Bei einer möglichen Ausführungsform tauschen die beiden Steuergeräte SGI, SG2 Positionsdaten als Nutzdaten aus, beispielsweise um einen Mindestabstand zwi ¬ schen den beiden Fahrzeugwagen 2-i, 2-j zu gewährleisten. Wird beispielsweise durch das zweite Steuergerät SG2 anhand der empfangenen Nutzdaten ND festgestellt, dass ein Mindestabstand zwischen den beiden Fahrzeugwagen 2-i, 2-j unter- schritten wird, kann das zweite Steuergerät SG2 ein anderes Steuergerät in dem Wagen 2-j dazu veranlassen, den Wagen 2-j zu bremsen bzw. zu beschleunigen.
Fig. 6 zeigt ein weiteres Ausführungsbeispiel des erfindungs- gemäßen Steuernetzwerkes 1. Bei dem in Fig. 6 dargestellten
Ausführungsbeispiel überträgt das erste Steuergerät SGI Nutz ¬ daten zu einem zweiten Steuergerät SG2 über eine Spannungs ¬ versorgungsleitung zur Spannungsversorgung des Schienenfahrzeuges. Die zugehörigen Prüfdaten PD werden über einen alter- nativen Kommunikationspfad zu dem zweiten Steuergerät SG2 ü- bertragen. Bei dem in Fig. 6 dargestellten Beispiel werden die Prüfdaten PD von dem ersten Steuergerät SGI über eine Schiene S zu dem ersten Waggon 2-2 hin von dem zweiten Waggon 2-3 gesendet und dort abgegriffen und an das zweite Steuerge- rät SG2 weitergeleitet. Bei der in Fig. 6 dargestellten Aus ¬ führungsform ist die dort angedeutete mechanische Kopplung zwischen den verschiedenen Wagen 2-i des Schienenfahrzeuges nicht zwingend erforderlich, um eine Datenkommunikation zwischen verschiedenen Wagen 2-i zu ermöglichen.
Fig. 7 zeigt ein weiteres Ausführungsbeispiel des erfindungs ¬ gemäßen Steuernetzwerkes 1. In dem in Fig. 7 dargestellten Ausführungsbeispiel sendet ein Steuergerät SGI in dem Wagen 2-2 Nutzdaten ND an ein Steuergerät SG2 in dem Wagen 2-3 des Schienenfahrzeuges. Die Nutzdaten ND werden mit Hilfe eines WLAN-Funkmoduls W von dem zweiten Wagen 2-2 zu dem dritten Wagen 2-3 über eine Luftschnittstelle übertragen. Die zu den Nutzdaten ND zugehörigen Prüfdaten PD werden bei dem in Fig. 7 dargestellten Beispiel über eine Schiene S zu dem zweiten Steuergerät SG2 übertragen.
Verschiedene Kombinationen der in den Fig. 5, 6, 7 darge- stellten Ausführungsbeispiele sind möglich. Zur Erhöhung der Manipulationssicherheit können die Prüfdaten PD und weitere Prüfdatenkopien auf verschiedenen Kommunikationspfaden von dem ersten Steuergerät SGI zu dem zweiten Steuergerät SG2 ge ¬ langen. Beispielsweise werden die Prüfdaten PD nicht nur wie in Fig. 4 dargestellt über ein zugeordnetes ringförmiges Da ¬ tennetzwerk des Schienenfahrzeuges gegenläufig zu den Nutzda ¬ ten ND zu einem anderen Wagen übertragen, sondern zusätzlich auch über eine Luftschnittstelle oder eine Schiene oder eine Spannungsversorgungsleitung. In diesem Ausführungsbeispiel erhält das zweite Steuergerät SG2 die Prüfdaten PD auf ver ¬ schiedenen Signalwegen und kann sie untereinander vergleichen. Auch die Nutzdaten ND können auf mehreren Kommunikationspfaden bzw. Übertragungswegen in möglichen Ausführungsformen von dem ersten Steuergerät SGI zu dem zweiten Steuergerät SG2 übertragen werden. Bei dem erfindungsgemäßen Steuernetzwerk 1 werden die Signalpfade bzw. Kommunikationspfade für die Nutzdaten ND und die zugehörigen Prüfdaten PD derart gewählt, dass die Überlappung zwischen den beiden Kommunikationspfaden möglichst gering ist. Im Idealfall weisen die bei- den Kommunikationspfade keine Überlappung auf. Durch das er ¬ findungsgemäße Steuernetzwerk wird die Redundanz in verschie ¬ denen Kommunikationspfaden ausgenutzt, um die Manipulations ¬ sicherheit zu erhöhen.