Verfahren und Vorrichtung zur Bestätigung eines betriebssicheren Zustandes eines sicherheitskritischen Systems

Die Erfindung betrifft ein Verfahren zur Bestätigung eines betriebssicheren Zustandes eines sicherheitskritischen Systems, insbesondere Eisenbahnsicherungssystems, sowie eine diesbezügliche Vorrichtung.

Sicherheitskritische Systeme sind häufig Steuer- und Regel ^¬ systeme, die beispielsweise zur Stellwerkssteuerung, Antriebs- und Bremsansteuerung für Verkehrsmittel aller Art so ^¬ wie auch Fertigungs- und Prozessleittechnik oder Kraftwerks- regelung eingesetzt werden. Üblicherweise werden dabei mit ^¬ tels Sensoren Messgrößen erfasst, um Aktionen an Stellgliedern mittels Aktoren auszuführen. Für diese Steuerungs- und Regelungsaufgaben müssen oft sicherheitsbezogene Eigenschaf ^¬ ten gewährleistet sein. Sicherheitsstufen sind in der

CENELEC-Norm EN50129 von SILO - signaltechnisch nicht sicher - bis SIL4 - signaltechnisch hochgradig sicher - definiert.

Für Wartungszwecke oder Software-Updates kann die Einhaltung der sicherheitsbezogenen Eigenschaften unter Umständen nicht automatisiert gewährleistet werden, sondern muss durch be ^¬ triebliche Maßnahmen sichergestellt werden. Dazu muss von einem Bediener bestätigt werden, dass sich das sicherheits ^¬ kritische System in einem betriebssicheren Zustand befindet. Für ein Schienenfahrzeug bedeutet das z. B., dass dieses tat- sächlich in einem Depot abgestellt ist, in dem die Wartungs ^¬ arbeiten durchgeführt werden können. Erst nach einer solchen Bestätigung darf das sicherheitskritische System in einen nicht sicheren Betriebszustand umschaltbar sein, wodurch ein Wartungszugang ermöglicht wird. Es muss sichergestellt sein, dass ein versehentliches Aktivieren des nicht sicheren Be ^¬ triebszustandes, beispielsweise durch Ausfälle, Störungen, Implementierungsfehler oder Fehlbedienung, quasi ausgeschlossen ist.

Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf die Anwendung des Verfahrens bzw. der Vorrichtung zur Bestätigung des betriebssicheren Zustandes für Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist.

Um den Wartungszugang zu einer sicherheitskritischen Komponente des Eisenbahnsicherungssystems abzusichern, ist es üb ^¬ lich, entsprechende Schnittstellen hinter einer zugangsge- schützten Wartungsklappe, beispielsweise eines Schienenfahr ^¬ zeuges, oder in einem zugangsgeschützten Gebäude, beispielsweise in einem Stellwerk, anzuordnen. In Verbindung mit entsprechenden organisatorischen Regelungen kann gewährleistet werden, dass nur berechtigtes Wartungspersonal Zugang zur Wartungsfunktionalität erhält. Das Wartungspersonal ist ange ^¬ wiesen, sicherheitskritische Wartungsaufgaben erst nach gesi ^¬ cherter Feststellung, dass sich das sicherheitskritische Sys ^¬ tem in einem betriebssicheren Zustand befindet, durchzuführen. Bei einfacher Inaugenscheinnahme könnte jedoch fälschli- cherweise ein betriebssicherer Zustand angenommen werden.

Auch wenn der betriebssichere Zustand durch Betätigen eines Tasters bestätigt werden muss, könnte es zu einer versehent ^¬ lichen Betätigung kommen und somit eine gefährliche Situation eintreten. Eine weitere Fehlerquelle kann durch Implementie- rungsfehler der Wartungsschnittstelle gegeben sein, wodurch unbeabsichtigt ein Bestätigungssignal erzeugt werden könnte.

Weiterhin ist bekannt, dass der Wartungszugang logisch freigeschaltet werden muss, z. B. durch Eingabe eines Passwortes, durch Authentisierung mit einer Chipkarte oder durch Aktivierung des Bediengerätes bzw. Wartungsgerätes mittels speziel ^¬ ler Tastenkombination. Es ist auch möglich, eine Authentifizierung eines externen

Gerätes gegenüber der sicherheitskritischen Komponente vorzusehen. Beispielsweise kann dann nur ein berechtigtes externes Gerät einen Programmiermodus der sicherheitskritischen Komponente aktivieren. Wenn zugelassene externe Geräte sich nur in einem autorisierten Wartungsdepot befinden und von qualifiziertem Servicepersonal bedient werden, kann damit auch im ^¬ plizit gewährleistet werden, dass diese Funktionalität nur genutzt wird, wenn die sicherheitskritische Komponente einen betriebssicheren Zustand aufweist. Dennoch können Bedienungs- fehler oder Implementierungsfehler auftreten.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung zur Bestätigung eines betriebssicheren Zu- standes eines sicherheitskritischen Systems anzugeben, welche sich durch extrem hohe Zuverlässigkeit auszeichnen.

Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass das System eine in nicht maschinenauswertbarer Form erzeugte Aktivierungscode-Information ausgibt und dass der zugehörige Aktivierungscode manuell in das System eingegeben wird.

Zur Durchführung des Verfahrens ist erfindungsgemäß vorgese ^¬ hen, dass das System Mittel zur Ausgabe einer nicht maschi ^¬ nenauswertbaren Aktivierungscode-Information aufweist.

Das sicherheitskritische System, dessen betriebssicherer Zustand zu verifizieren ist, kann beispielsweise ein Steuerge ^¬ rät mit temporär über ein Fahrzeugnetz angeschlossenes Wartungsgerät bzw. Bediengerät umfassen. Die manuelle Eingabe des Aktivierungscodes erfolgt dann vorzugsweise an dem War ^¬ tungsgerät bzw. Bediengerät.

Der Aktivierungscode, insbesondere eine Ziffern- oder Zei- chenfolge, wird dem Nutzer visuell, akustisch oder auf andere Weise angezeigt. Da diese Aktivierungscode-Information nicht in maschinenauswertbarer Form vorliegt, kann es auch bei einer fehlerhaften Implementierung nicht zu einer unbeabsichtigten Übertragung des Aktivierungscodes an das sicherheits- kritische System kommen. Auch ein einfaches, unbedachtes An ^¬ klicken eines Buttons genügt nicht zur Bestätigung des be ^¬ triebssicheren Zustandes, wodurch bestimmte Aktionen, beispielsweise die Umschaltung in einen für Wartungszwecke nicht betriebssicheren Modus ausgelöst werden könnten.

Die in nichtmaschinenauswertbarer Form erzeugte Aktivierungscode-Information kann z. B. in einer grafisch verzerrten Darstellungsart, d. h. als CAPTCHA - Completely Automated Public Turing test to teil Computers and Humans Apart - oder als akustisches Signal über einen Lautsprecher ausgegeben werden. Bei CAPTCHAs handelt es sich um Graphiken, die eine Ziffern ^¬ oder Zeichenfolge optisch verzerrt darstellen. Die Verzerrungen bewirken, dass die dargestellte Ziffern- oder Zeichenfolge nicht oder nur sehr schwer von einem Computer automati- siert durch eine Zeichenerkennung ausgewertet werden kann.

Auf diese Weise ist sichergestellt, dass nur ein menschlicher Nutzer den CAPTCHA entziffern kann und damit den dargestellten Wert korrekt in das System eingeben kann. Die Anzeige der Aktivierungscode-Information kann an jeglichen peripheren oder zentralen Komponenten des Systems erfolgen. Bei einem schienengebundenen Fahrzeug kann die Ausgabe beispielsweise über ein Sprachausgabesystem des Fahrzeugs erfolgen oder auch über eine grafische Anzeige eines Fahrgast- Informationssystems, die sich im Inneren des Fahrzeuges be ^¬ findet. Da diese Anzeige nur in unmittelbarer Nähe des Sys ^¬ tems >Schienenfahrzeug< ablesbar ist, muss sich die ablesende Person lokal am Fahrzeug befinden. Über einen Remote-Zugriff, z. B. über einen Remote-Service-Access, über ein öffentliches Datennetzwerk, wie Internet oder Mobilfunknetz, kann der Wert nicht - quasi aus der Entfernung - abgelesen werden. Folglich kann dieser Aktivierungscode auch nicht korrekt in das System eingegeben werden.

Eine noch größere Sicherheit kann erreicht werden, wenn die Ausgabe der Aktivierungscode-Information und die Eingabe des Aktivierungscodes interaktiv mehrfach hintereinander erfolgen muss. Dabei können auch unterschiedliche Eingabe- und Ausga- bemedien verwendet werden. Da der jeweils einzugebende Akti ^¬ vierungscode angezeigt wird, kann für jede Systemkomponente ein eigener Aktivierungscode verwendet werden. Umständliche und unsichere Arbeitsanweisungen, z. B. auf einem Papierbogen oder einem Speichermedium, über den einzugebenden Aktivie- rungscode entfallen. Der, beispielsweise von einem Wartungs ^¬ techniker, einzugebende Aktivierungscode kann insbesondere über eine Tastatur, ein Touchscreen oder jegliche andere Bedienelemente eingebbar sein. Gemäß Anspruch 2 ist vorgesehen, dass das System anhand des eingegebenen Aktivierungscodes ein Aktivierungscode-Bitfolge ^¬ muster zur Auslösung einer Aktion, insbesondere zur Freischaltung eines Wartungszuganges, erzeugt. Zusätzlich oder alternativ kann gemäß Anspruch 3 das von dem System erzeugte Aktivierungscode-Bitfolgemuster auch an ein externes Gerät, beispielsweise zur Durchführung von Software- Updates, übertragen werden, wobei dieses Gerät daraufhin eine Aktion, insbesondere eine Wartungsroutine oder ein Software- Update, bezüglich des Systems freischaltet oder auslöst.

Diese Aktionen, die einen Eingriff in die sicherheitlichen Eigenschaften des Systems bedeuten, können nur bei vorheriger korrekter Eingabe des Aktivierungscodes ausgelöst werden. Eine Speicherung der Aktivierungscode-Bitfolgemuster ist nicht erforderlich, da diese zufällig, beispielsweise anhand einer Hash-Funktion, insbesondere einer kryptographischen Hash-Funktion, wie MD5, SHA-1 oder SHA256, entstehen. Da keine Speicherung stattfindet, ist auch keine unbeabsichtigte Deaktivierung der sicherheitlichen Eigenschaften des Systems infolge eines Implementierungsfehlers möglich. Bei einem hin ^¬ reichend langen Aktivierungscode-Bitfolgemuster, z. B. 128 Bit, ist die Wahrscheinlichkeit, den korrekten Wert zufällig zu ermitteln, vernachlässigbar.

Gemäß Anspruch 4 ist vorgesehen, dass das externe Gerät das empfangene Aktivierungscode-Bitfolgemuster mit einem geräte- spezifischen Bitfolgemuster vergleicht und nur bei Übereinstimmung die Aktion auslöst. Dadurch kann sichergestellt werden, dass sich der Bediener am richtigen externen Gerät, beispielsweise zur Durchführung von Software-Updates, befindet. Das externe Gerät, das temporär angeschlossen ist, kann somit auch nicht einfach gewechselt oder durch ein anderes externes Gerät ersetzt werden.