Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR AUTHENTICATION AT A CONTROL UNIT OF A SUB-SYSTEM OF A RAIL VEHICLE
Document Type and Number:
WIPO Patent Application WO/2016/097095
Kind Code:
A1
Abstract:
The invention relates to a method for authentication at a control unit of a sub-system, in particular a braking system, of a rail vehicle, wherein the control unit has a data interface to an external operating unit for an access to a control application carried out by the control unit, wherein the control unit communicates an action to the operating unit that is to be executed for a granting of the access, the sub-system monitors the execution of the action, and, after execution of the action, grants the operating unit access to the control application carried out by the control unit.

Inventors:
HAEHLE, Frank (Waldhornstr. 92, Germering, 82110, DE)
SCHMID, Rainer (Bingener Str. 11, München, 80993, DE)
RIEDIGER, Oliver (Stadelberstr. 16, München, 81547, DE)
NAGY, Gabor (Repce utca 50, 9024 Györ, 9024, HU)
Application Number:
EP2015/080151
Publication Date:
June 23, 2016
Filing Date:
December 17, 2015
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
KNORR-BREMSE SYSTEME FÜR SCHIENENFAHRZEUGE GMBH (Moosacher Str. 80, München, 80809, DE)
International Classes:
B60T13/66; B60T17/22
Domestic Patent References:
WO2002053438A22002-07-11
Foreign References:
EP2811713A12014-12-10
DE102013209683A12014-11-27
US6227625B12001-05-08
EP2388972A12011-11-23
DE102007061663A12008-11-13
Download PDF:
Claims:
Patentansprüche

1. Verfahren zur Authentifizierung an einer Steuereinheit (10) eines Subsystems (12), insbesondere eines Bremssystems, eines Schienenfahrzeugs, wobei die Steuereinheit (10) eine Datenschnittstelle (26) zu einer externen Bedieneinheit (28) für einen Zugriff auf eine von der Steuereinheit (10) ausgeführte Steueranwendung (24) aufweist, bei dem die Steuereinheit (10) der Bedieneinheit (28) eine für eine Gewährung des Zugriffs durchzuführende Aktion mitteilt,

das Subsystem (12) auf die Durchführung der Aktion überwacht, und nach Durchführung der Aktion der Bedieneinheit (28) Zugriff auf die von der Steuereinheit (10) ausgeführte Steueranwendung (24) gewährt.

2. Verfahren nach Anspruch 1 ,

dadurch g e k e n n z e i c h n e t , dass

nur dann Zugriff auf die Steueranwendung (24) gewährt wird, falls die Aktion innerhalb einer vorbestimmten Zeitperiode durchgeführt wird.

3. Verfahren nach Anspruch 1 oder 2,

dadurch g e k e n n z e i c h n e t , dass

nur dann Zugriff auf die Steueranwendung (24) gewährt wird, falls sich das

Schienenfahrzeug in einem sicheren Zustand befindet.

4. Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass der Bedieneinheit (28) die für eine Gewährung des Zugriffs durchzuführende Aktion auf eine Zugriffsanfrage der Bedieneinheit (28) an die Steuereinheit (10) hin mitteilt wird.

Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

der Zugriff auf die Steueranwendung (24) beendet wird, falls die Bed' heit (28) über eine vorbestimmte Zeitperiode hinweg inaktiv ist.

Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

nur Zugriff auf vorbestimmte Funktionen der Steueranwendung (24) gewährt wird.

Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

die Steuereinheit (10) mit Komponenten des Subsystems (12) mittels Datenbusses (16) gekoppelt ist.

Verfahren nach Anspruch 7,

dadurch g e k e n n z e i c h n e t , dass

ein die Durchführung der Aktion anzeigendes Signal des Datenbusses (16) auf eine Flanke hin überwacht wird. Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

die Steuereinheit (10) mit einem Kontroll- und Überwachungssystem (32) des Schienenfahrzeugs mittels eines weiteren Datenbusses (22) gekoppelt ist.

10. Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

zur Durchführung der Aktion Zugang zu einem Betätigungsmittel erforderlich ist, der mechanisch gesichert ist.

11. Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

zwischen der Steuereinheit (10) und der Bedieneinheit (28) eine Datenverbindung gemäß einem Client-/Server-Prinzip aufgebaut wird, wobei die Steuereinheit (10) den Server umfasst.

12. Verfahren nach zumindest einem der vorstehenden Ansprüche ,

dadurch g e k e n n z e i c h n e t , dass

die Bedieneinheit (28) einen Browser bereitstellt, welcher über ein Internetprotokoll, insbesondere HTTP oder HTTPS, auf die Steuereinheit (10) zugreift.

13. Verfahren nach zumindest einem der vorstehenden Ansprüche,

dadurch g e k e n n z e i c h n e t , dass

die Datenschnittstelle (26) zu der Bedieneinheit (28) eine Ethernet- Verbindung (30) umfasst.

14. Steuereinheit (10) eines Subsystems (12), insbesondere eines Bremssystems, eines Schienenfahrzeug, wobei die Steuereinheit (10) eine Datenschnittstelle (26) zu einer externen Bedieneinheit (28) für einen Zugriff auf eine von der Steuereinheit (10) ausgeführte Steueranwendung (24) aufweist, wobei die Steuereinheit (10) dazu ausgebildet ist,

der Bedieneinheit (28) eine für eine Gewährung des Zugriffs durchzuführende Aktion mitzuteilen, das Subsystem (12) auf die Durchführung der Aktion zu überwachen, und

nach Durchführung der Aktion der Bedieneinheit (28) Zugriff auf die von der Steuereinheit (10) ausgeführte Steueranwendung (24) zu gewäh- ren.

Description:
Verfahren zur Authentifizierung an einer Steuereinheit eines Subsystems eines Schienenfahrzeugs

Die vorliegende Erfindung betrifft ein Verfahren zur Authentifizierung an einer Steuereinheit eines Subsystems, insbesondere eines Bremssystems, eines Schienenfahrzeugs, wobei die Steuereinheit eine Datenschnittstelle zu einer externen Bedieneinheit für einen Zugriff auf eine von der Steuereinheit ausgeführte Steueranwendung aufweist.

Schienenfahrzeuge verfügen üblicherweise über eine Vielzahl von Subsystemen bzw. Teilsystemen, beispielsweise ein Bremssystem bzw. eine Bremssteuerung und On-Board-Systeme wie ein Türsystem, ein Klimasystem und ein Scheiben- wischsystem. Zu Diagnose- und Wartungszwecken kann auf das jeweilige Subsystem, insbesondere die jeweilige Steueranwendung, mittels eines sogenannten "Service Terminal", der Bedieneinheit, zugegriffen werden, beispielsweise um Parameter des jeweiligen Subsystems auszulesen und/oder zu modifizieren. Insbesondere können durch Wartungspersonal der Zustand des jeweiligen Subsystems und beispielsweise von dem Subsystem geloggte Daten, wie z.B. die Anzahl der Bremsvorgänge, die Abnutzung von Bremsbelägen, die Anzahl der Türbetätigungen und dergleichen über die Steuereinheit aus der Steueranwendung ausge- lesen werden, und es kann eine Diagnose durchgeführt werden. Zudem können im Bedarfsfall die Betriebsparameter des jeweiligen Subsystems verändert und/ oder neue Soft- oder Firmware-Versionen aufgespielt werden.

Da es sich beispielsweise bei einem Bremssystem um ein sicherheitskritisches System handelt, sollte der Zugriff auf das Subsystem gesichert werden. Beispielsweise kann der Zugriff auf die jeweilige Steueranwendung durch Benutzernamen und Kennwörter geschützt werden. Gerade bei mehreren Subsystemen besteht für die Bediener jedoch der Aufwand, sich die jeweiligen Benutzernamen und Kennwörter merken zu müssen, so dass die Gefahr besteht, dass die Bediener diese im Bereich der Datenschnittstelle in Klartext hinterlegen, um im Bedarfsfall - und ohne sich diese merken zu müssen - darauf zugreifen zu können.

Es ist die der Erfindung zugrundeliegende Aufgabe, ein Authentifizierungsverfah- ren für den Zugriff auf eine Steuereinheit eines Subsystems eines Schienenfahrzeugs anzugeben, welches einen verbesserten Schutz vor unerlaubtem Zugriff auf die Steueranwendung bietet.

Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 und insbesondere dadurch gelöst, dass die Steuereinheit der Bedieneinheit eine für eine Gewährung des Zugriffs durchzuführende Aktion mitteilt, dass die Steuereinheit das insbeson- dere sichere Subsystem auf die Durchführung der Aktion überwacht und dass die Steuereinheit nach Durchführung der Aktion der Bedieneinheit Zugriff auf die von der Steuereinheit ausgeführte Steueranwendung gewährt.

Anders ausgedrückt erfolgt die Authentifizierung an der Steuereinheit dadurch, dass einem Benutzer mittels der Bedieneinheit eine von der Steuereinheit mitgeteilte durchzuführende Aktion angezeigt wird, wobei die Aktion an bzw. in dem Subsystem durchzuführen ist. Beispielsweise kann die Aktion das Lösen der Notbremse und das sofort darauffolgende Wiedereinlegen der Notbremse sein. Die Durchführung der Aktion wird von der Steuereinheit überwacht und der Zugriff auf die Steueranwendung wird gestattet, sobald die Steuereinheit erkannt hat, dass die Aktion durchgeführt wurde.

Der Erfindung liegt dabei die Erkenntnis zugrunde, dass auf die Eingabe eines Benutzernamens/Kennworts verzichtet werden kann, wenn der Bediener zum Nachweis seiner Erlaubnis für den Zugriff auf die Steueranwendung Zugang zu dem Betätigungsmittel hat, das zur Durchführung der Aktion erforderlich ist, beispielsweise der vorgenannten Notbremse, die sich in der Fahrerkabine / dem Führerstand des Schienenfahrzeugs befindet, welche/r üblicherweise verschlossen und damit für Nicht-Berechtigte nicht zugänglich ist. Es wird also davon aus- gegangen, dass ein Bediener, der in der Lage ist, an bzw. in dem Subsystem eine Handlung vorzunehmen, auch berechtigt sein muss, Zugriff auf die Steueranwendung zu erlangen. Die Abfrage eines Benutzernamens/Kennworts kann zusätzlich weiterhin erfolgen. Das erfindungsgemäße Verfahren macht sich damit bereits bestehende Schutzmechanismen des Subsystems zunutze, um diese auch zur Authentifizierung an der Steuereinheit zu verwenden. Auf diese Weise wird eine erhöhte Sicherheit gewährleistet, wobei zugleich praktisch kein zusätzlicher Aufwand erforderlich ist (sogenanntes„zero deployment"), wie er hingegen z.B. bei der Verwendung von digitalen Signaturen und/oder Zertifikaten für deren Verwaltung, Bereitstellung und Installation anfallen würde. Das erfindungsgemäße Authentifizierungsverfahren ist somit auch besonders wirtschaftlich und damit kostengünstig.

Insbesondere handelt es sich bei der Steuereinheit um eine übergeordnete Steu- ereinheit, welche mittels der Steueranwendung das Subsystem steuert und/oder kontrolliert. Die Steuereinheit kann einen oder mehrere Mikroprozessoren und/ oder Mikrocontroller umfassen, um die die Steueranwendung auszuführen. Bei der Bedieneinheit kann es sich insbesondere um ein tragbares Gerät wie ein Notebook oder ein Smartphone handeln, welche eine drahtgebundene oder drahtlose Datenverbindung mit der Steuereinheit herstellen können. Insbesondere bildet oder umfasst das Subsystem ein geschlossenes Netzwerk. Bevorzugt ist die zur Gewährung des Zugriffs auf die Steueranwendung durchzuführende Aktion beispielsweise projektspezifisch im Vorhinein festgelegt. Vorteilhafte Ausführungsformen der Erfindung sind der Beschreibung, der Zeichnung und den Unteransprüchen zu entnehmen.

Bevorzugt wird nur dann Zugriff auf die Steueranwendung gewährt, falls die Aktion innerhalb einer vorbestimmten Zeitperiode durchgeführt wird. Die vorbestimmte Zeitperiode kann beispielsweise 30 Sekunden oder 1 Minute betragen, wobei die Zeitperiode zu laufen beginnt, sobald die Steuereinheit der Bedieneinheit die auszuführende Aktion mitgeteilt hat. Nach Ablauf der Zeitperiode ohne erfolgreiche Durchführung der Aktion muss das Authentifizierungsverfahren wiederholt werden.

Gemäß einer weiteren vorteilhaften Ausführungsform wird nur dann Zugriff auf die Steueranwendung gewährt, falls sich das Schienenfahrzeug in einem sicheren Zustand befindet. Der sichere Zustand kann sich zum Beispiel dadurch auszeichnen, dass eine Feststellbremse eingelegt ist und/oder das Schienenfahrzeug sich im Stillstand befindet, insbesondere Geschwindigkeitssensoren des Schienenfahrzeugs den Wert Null zeigen. Nur in diesem Zustand soll der Zugriff auf die Steueranwendung gewährt werden, um nicht beispielsweise während der Fahrt des Schienenfahrzeugs das Bremssystem oder ähnliche Systeme zu modifizieren und damit potentiell gefährliche Zustände herbeizuführen.

Bevorzugt wird der Bedieneinheit die für eine Gewährung des Zugriffs durchzuführende Aktion auf eine Zugriffsanfrage der Bedieneinheit an die Steuereinheit hin mitteilt. Die Kommunikation zwischen Bedieneinheit und Steuereinheit wird dann von der Bedieneinheit initiiert.

Der Zugriff auf die Steueranwendung kann beendet werden, falls die Bedieneinheit über eine vorbestimmte Zeitperiode hinweg inaktiv ist. Die vorbestimmte Zeitperiode kann beispielsweise mehrere Minuten betragen. Nach Ablauf der Zeitperiode ohne Aktivität der Bedieneinheit muss sich der Bediener erneut an der Steuerein- heit authentifizieren. Vorteilhafterweise wird nur Zugriff auf vorbestimmte Funktionen der Steueranwendung gewährt. Dies bedeutet, dass nach der Durchführung der Aktion der Bedieneinheit zwar Zugriff auf die Steueranwendung gewährt wird, der Zugriff jedoch eingeschränkt ist. Beispielsweise kann es gestattet werden, lediglich nicht sicherheitsrelevante und nicht internes Know-how betreffende Daten abzurufen und zu modifizieren. Zudem kann es gestattet sein, sicherheitsrelevante Veränderungen nur in dem sicheren Zustand bzw. nicht in einem unsicheren Zustand durchzuführen. Ferner kann der eingeschränkte Zugriff auch das Herunterladen von zertifi- zierter Software erlauben.

Gemäß einer weiteren Ausführungsform übermittelt die Bedieneinheit der Steuereinheit einen digital signierten Token und die Steuereinheit überprüft, ob die digitale Signatur gültig ist, d.h. insbesondere, ob das Token von einem vertrauenswür- digen Bediener signiert wurde, wobei bei Vorliegen einer gültigen digitalen Signatur der Bedieneinheit Zugriff auf die Steueranwendung gewährt wird. Zur Erstellung der digitalen Signatur muss eine entsprechende Software auf der Bedieneinheit installiert sein. Einem Benutzer, der sich durch eine digitale Signatur authentifiziert hat, kann dann beispielsweise unbeschränkter Zugriff auf alle Funktionen der Steueranwendung gewährt werden. Eine Authentifizierung über die durchzuführende Aktion ist dabei nicht erforderlich. Hierdurch können verschiedene Benutzergruppen definiert werden, denen unterschiedliche Rechte zugewiesen werden können. Insbesondere kann es einem Benutzer, der sich über einen digital signierten Token authentifizieren kann, im Gegensatz zu einem Benutzer, der sich über eine durchzuführende Aktion authentifiziert, zusätzlich gestattet sein, sicherheitsrelevante und internes Know-how betreffende Daten abzurufen und zu verändern, sicherheitsrelevante Aktionen in einem unsicheren Zustand des Schienenfahrzeugs durchzuführen oder nicht zertifizierte Software herunterzuladen. Gemäß einer weiteren vorteilhaften Ausführungsform ist die Steuereinheit mit Komponenten des Subsystems, beispielsweise Sensoren, Schaltern oder festverdrahten Ein-/Ausgängen, mittels eines Datenbusses gekoppelt. Bei dem Datenbus kann es sich zum Beispiel um einen CAN-Bus oder dergleichen handeln. Die Steuereinheit kann das Subsystem mittels des Datenbusses auf die Durchführung der Aktion hin überwachen. Alternativ kann das Subsystem mittels des Datenbusses die Durchführung der Aktion von sich aus der Steuereinheit melden.

Insbesondere kann ein die Durchführung der Aktion anzeigendes Signal des Da- tenbusses auf eine insbesondere steigende oder fallende Flanke hin überwacht werden, so dass nicht nur ein vorliegender Zustand, sondern die Durchführung der Aktion zu einem bestimmten Zeitpunkt überwacht werden kann. Der Zugriff auf die Steueranwendung kann dann nicht dadurch manipuliert werden, dass ein die Durchführung der Aktion anzeigendes Signal permanent auf aktiv gesetzt wird.

Die Steuereinheit kann mit einem Kontroll- und Überwachungssystem des Schienenfahrzeugs mittels eines weiteren Datenbusses gekoppelt sein. Insbesondere kann über das Kontroll- und Überwachungssystem der Steuereinheit Zugriff auf andere Subsysteme gewährt werden. Bei dem weiteren Datenbus kann es sich zum Beispiel um einen Multifunction Vehicle Bus (MVB), einen High-Level Data Link Control (HDLC)-Bus oder einen Common Industrial Protocol (CIP)-Bus oder dergleichen handeln.

Gemäß einer weiteren vorteilhaften Ausführungsform ist zur Durchführung der Aktion Zugang zu einem Betätigungsmittel erforderlich, welcher Zugang bzw.

welches Betätigungsmittel mechanisch gesichert ist. Das Subsystem kann durch seinen Einbauort, zum Beispiel in einem verschlossenen Schaltschrank des verschlossenen Führerstands mechanisch schwer zugänglich und auf diese Weise geschützt sein. Die Aktion zur Erlangung des Zugriffs auf die Steueranwendung kann in diesem Fall nur dann durchgeführt werden kann, wenn ein Bediener nicht durch mechanische Sicherungsmittel darin gehindert wird, das Betätigungsmittel zu betätigen.

Gemäß einer weiteren vorteilhaften Ausführungsform wird zwischen der Steuer- einheit und der Bedieneinheit eine Datenverbindung gemäß einem Client-/Server- Prinzip aufgebaut, wobei die Steuereinheit den Server umfasst. Die Steuereinheit kann also den Zugriff auf die Steueranwendung in Form eines Dienstes anbieten.

Bevorzugt stellt die Bedieneinheit einen Browser bereit, welcher über ein Internet- Protokoll, insbesondere http oder https, auf die Steuereinheit zugreift. Der Zugriff mittels eines Browsers bzw. Webbrowsers hat den Vorteil, dass ein solcher auf nahezu jedem Notebook und Smartphone verfügbar ist, wodurch eine Vielzahl von Geräten für den Zugriff auf die Steueranwendung verwendet werden kann. Dabei sind insbesondere keine Voreinstellungen und auch keine vorinstallierten Kompo- nenten notwendig (sogenanntes„zero deployment"). Die Steuereinheit kann einen Webserver bereitstellen, der z.B. über http, https oder über Websockets, insbesondere mittels einer bidirektionalen TCP-Verbindung, mit dem Browser kommuniziert. Der Webserver kann als rudimentärer Webserver ausgebildet sein, der nur wenige Kilobyte Speicher in einem Prozessor der Steuereinheit benötigt.

Gemäß einer weiteren vorteilhaften Ausführungsform umfasst die Datenschnittstelle zu der Bedieneinheit eine Ethernet-Verbindung. Die Kommunikation zwischen der Bedieneinheit und der Steuereinheit kann mittels eines Ethernet-Kabels oder drahtlos erfolgen.

Die Erfindung betrifft weiterhin eine Steuereinheit eines Subsystems, insbesondere eines Bremssystems, eines Schienenfahrzeugs, wobei die Steuereinheit eine Datenschnittstelle zu einer externen Bedieneinheit für einen Zugriff auf eine von der Steuereinheit ausgeführte Steueranwendung aufweist, wobei die Steuereinheit dazu ausgebildet ist, der Bedieneinheit eine für eine Gewährung des Zugriffs durchzuführende Aktion mitzuteilen, das Subsystem auf die Durchführung der Aktion zu überwachen und nach Durchführung der Aktion der Bedieneinheit Zugriff auf die von der Steuereinheit ausgeführte Steueranwendung zu gewähren. Die mit Bezug auf das Authentifizierungsverfahren getroffenen obigen Aussagen gelten für die erfindungsgemäße Steuereinheit entsprechend.

Nachfolgend wird die Erfindung rein beispielhaft anhand einer vorteilhaften Ausführungsform unter Bezugnahme auf die Zeichnung näher erläutert.

Es zeigen:

Fig. 1 eine Steuereinheit eines Subsystems eines Schienenfahrzeug mit gekoppelter Bedieneinheit; und

Fig. 2 eine Darstellung der zwischen der Steuereinheit und der

Bedieneinheit stattfindenden Kommunikation zur Gewährung eines Zugriffs der Bedieneinheit auf eine von der Steuereinheit ausführte Steueranwendung, und

Fig. 3 eine Zustandsmaschine der Steuereinheit.

In Fig. 1 ist schematisch eine Steuereinheit 10 eines Sub- oder Teilsystems 12 eines Schienenfahrzeugs gezeigt. In dem vorliegenden Beispiel handelt es sich bei dem Subsystem um das Bremssystem des Schienenfahrzeugs. Die Steuereinheit 10 ist dabei über eine erste Busschnittstelle 14 und einen ersten Datenbus 16 an lokale Komponenten 18 des Bremssystems 12 wie z.B. Sensoren, Schalter und dergleichen, insbesondere eine Notbremse und einen Notbremshebel, gekoppelt. Das Bremssystem 12 wird über eine Bremssteueranwendung bzw. -applikation 24, die von Prozessoren der Steuereinheit 12 ausgeführt wird, gesteuert. Darüber hinaus ist die Steuereinheit 10 über eine zweite Busschnittstelle 20 und einen zweiten Datenbus 22 mit einem Kontroll- und Überwachungssystem 32 gekoppelt. Über das Kontroll- und Überwachungssystem 32 kann die Steuerein- heit 10 zumindest einen beschränkten Zugriff auf weitere Subsysteme des Schienenfahrzeugs, beispielsweise eine Zugsteuerung, ein Türsystem, ein Klimasystem und/oder ein Scheibenwischsystem, erhalten.

Die Steuereinheit 10 umfasst ferner eine Datenschnittstelle 26, die als Ethernet- Buchse ausgebildet ist und mittels welcher ein Service-Notebook 28 über ein Ethernet-Kabel 30 oder kabellos kommuniziert. Das Service-Notebook 28 stellt dabei eine Bedieneinheit für einen Zugriff auf die Bremssteueranwendung 24 dar.

Um zu Diagnose- und Wartungszwecken über das Service-Notebook 28 Zugriff auf die Bremssteueranwendung 24 zu erlangen, muss sich der Benutzer zunächst an der Steuereinheit 10 authentifizieren.

Hierzu wird gemäß Fig. 2 mittels eines auf dem Service-Notebook 28 ausgeführten Webbrowsers (nicht gezeigt) in einem ersten Schritt S1 eine Zugriffsanfrage an die Steuereinheit 10 gesendet. Die Steuereinheit 10 teilt dem Service-Notebook 28 und damit dem Benutzer gemäß Schritt S2 anschließend eine Aktion mit, die von dem Benutzer an bzw. in dem Bremssteuersystem 12 durchzuführen ist, um Zugriff auf die Bremssteueranwendung 24 erlangen zu können. Die Aktion kann beispielsweise das Lösen und Wiedereinlegen einer Notbremse erfordern. Diese Aktion kann jedoch nur von Personen durchgeführt werden, die auch Zugang zu dem Bremshebel der Notbremse, welcher sich in dem normalerweise verschlossenen Führerstand des Schienenfahrzeugs befindet, haben.

Das Lösen und Einlegen der Notbremse 18 wird ständig von der Steuereinheit 10 überwacht. Sobald die Steuereinheit 10 erkennt, dass der Benutzer gemäß Schritt S3 die Aktion durchgeführt hat, wird gemäß Schritt S4 dem Service-Notebook 28 die Durchführung der Aktion bestätigt, woraufhin gemäß Schritt S5 der Benutzer auf die Bremssteueranwendung 24 zugreifen kann. Dann können Parameter der Bremssteueranwendung 24 bzw. des Bremssystems 12 ausgelesen und/oder verändert werden. Auch können Soft- und Firmware-Updates eingespielt werden.

Die Authentifizierung an der Steuereinheit 10 wird mittels der in Fig. 3 gezeigten Zustandsmaschine 34 (state machine) realisiert. Die Zustandsmaschine 34 um- fasst drei Zustände, wobei ein erster Zustand 36 dadurch gekennzeichnet ist, dass dem Service-Notebook 28 kein Zugriff auf die Bremssteueranwendung 24 gewährt wird. Wird von dem Benutzer des Service-Notebooks 28 eine Sicherheitsbestätigung in Form einer durchzuführenden Aktion angefordert, tritt die Zustandsmaschine 34 über einen ersten Zustandsübergang 38 in einen zweiten Zustand 40 ein, in welchem auf die Sicherheitsbestätigung, d.h. das Durchführen der Aktion, gewartet wird.

Nach Ablauf einer vorbestimmten Zeitperiode, innerhalb welcher keine Sicherheitsbestätigung eingegangen ist oder wenn ein unsicherer Zustand des Schienenfahrzeugs festgestellt wird, wird mittels eines zweiten Zustandsübergangs 42 in den ersten Zustand 36 zurückgesprungen.

Wenn die Sicherheitsbestätigung hingegen eingeht, wird mittels eines dritten Zustandsübergangs 44 in einen dritten Zustand 46 übergegangen, in dem mittels des Service-Notebooks 28 auf die Bremssteueranwendung 24 zumindest beschränkt zugegriffen werden kann. Durch Aktivität 48 des Service-Notebooks 28 kann in dem dritten Zustand 46 verblieben werden, um beispielsweise wiederholt Konfigurationen der Bremssteueranwendung 24 zu verändern.

Wird im dritten Zustand 46 Inaktivität oder das Vorliegen eines unsicheren Zustande des Schienenfahrzeugs festgestellt, so wird mittels eines vierten Zustande- Übergangs 50 in den ersten Zustand 36 zurückgekehrt. Um nun wieder Zugriff auf die Bremssteueranwendung 24 zu erlangen, muss das Service-Notebook 28 erneut wie vorstehend erläutert an der Steuereinheit 10 authentifiziert werden. Durch das beschriebene Verfahren bzw. durch die beschriebene Vorrichtung können unerlaubte Zugriffe auf die Steueranwendung des jeweiligen Subsystems dadurch verhindert werden, dass es nur dem Personenkreis, dem Zugriff auf die Steueranwendung gestattet werden soll, auch möglich ist, die für eine Authentifizierung erforderliche Aktion durchzuführen.

Bezugszeichenliste

10 Steuereinheit

12 Bremssystem

14 Busschnittstelle

16 Datenbus

18 Komponente

20 weitere Busschnittstelle

22 weiterer Datenbus

24 Bremssteueranwendung

26 Datenschnittstelle

28 Service-Notebook

30 Ethernet-Kabel

32 Kontroll- und Überwachungssystem

34 Zustandsmaschine

36 erster Zustand

38 erster Zustandsübergang

40 zweiter Zustand

42 zweiter Zustandsübergang

44 dritter Zustandsübergang

46 dritter Zustand

48 Aktivität

50 vierter Zustandsübergang

51 Schritt 1

52 Schritt 2

53 Schritt 3

54 Schritt 4

S5 Schritt 5