[go: up one dir, main page]

EP4059803A1 - Railway technology device for a railway system and method for its operation - Google Patents

Railway technology device for a railway system and method for its operation Download PDF

Info

Publication number
EP4059803A1
EP4059803A1 EP22155143.5A EP22155143A EP4059803A1 EP 4059803 A1 EP4059803 A1 EP 4059803A1 EP 22155143 A EP22155143 A EP 22155143A EP 4059803 A1 EP4059803 A1 EP 4059803A1
Authority
EP
European Patent Office
Prior art keywords
warning signal
memory
key
railway
failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22155143.5A
Other languages
German (de)
French (fr)
Inventor
Detlef Kendelbacher
Fabrice Stein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP4059803A1 publication Critical patent/EP4059803A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0081On-board diagnosis or maintenance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/53Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • B61L2027/202Trackside control of safe travel of vehicle or train, e.g. braking curve calculation using European Train Control System [ETCS]

Definitions

  • the invention relates to a railway engineering device for a railway engineering system with at least one computing device and at least one key memory for storing cryptographic keys that enable encrypted and/or cryptographically secured transmission of data between a rail vehicle and trackside facilities.
  • the instances communicating in the ETCS require suitable key memories, which are supplied with the appropriate key material both offline and online.
  • the key distribution procedures to be used for this, like the actual train control protocol, are standardized at European level (UNISIG subsets 114 and 137).
  • the key memory of the ETCS instances is subject to special requirements in terms of reliability, performance and integrity. For example, certain crypto keys should be able to be selected from thousands of keys within seconds based on various characteristics such as ETCS identity and current system time. Even complex transactions, for example to update the validity of a large number of keys, should be able to be carried out without errors. In addition, the integrity of the key store should not be lost even if a power failure at any time interrupts ongoing transactions in an onboard computer. Finally, key memories implemented on flash hardware should be optimized with regard to their write cycles, since these memories are limited in terms of the number of write accesses (flash cells can only complete between 3,000 (MLC 25 nm) and 100,000 (SLC) write processes).
  • error messages for crypto keys stored on the vehicles are provided in the UNISIG specification. So that faulty crypto keys can be detected, the key integrity can be monitored at the application level, for example by storing a checksum for each specific crypto key and checking the crypto key cyclically or before it is used.
  • this approach only recognizes problems after they have occurred and works at the application level.
  • the invention is therefore based on the object of specifying a railway technology device that is improved in view of the above problem.
  • the railway engineering device is equipped with a failure prediction device that can determine a possible imminent failure of at least one component of the railway engineering device and output a warning signal indicating the possible failure.
  • a significant advantage of the railway engineering device according to the invention can be seen in the fact that it can use its failure prediction device to determine a possible impending failure, i.e. a failure that has not yet occurred, and to issue a warning signal indicating the possible failure in good time, which means that measures restricting operation can be avoided through timely maintenance or repairs be able.
  • errors in the ETCS code memory can advantageously be revealed before they occur, ie before any damaged or no longer usable keys have to be used to operate the system.
  • the key memory is preferably equipped with an internal memory monitoring device that can record status information relating to the key memory and output it on request.
  • the failure prediction device is preferably connected to the internal memory monitoring device and is designed to read out at least one piece of status information relating to the key memory from the internal memory monitoring device at regular or irregular intervals, based on the at least one piece of status information read out for a possible complete or partial failure of the key memory shut down and to generate the warning signal based on the at least one piece of status information read out.
  • the key memory has memory blocks used for storage as well as reserve blocks that are used as a replacement for the failed memory blocks if one or more memory blocks fail
  • the failure prediction device reads the number of reserve blocks already used from the internal memory monitoring device and the warning signal is generated at least also on the basis of the number of reserve blocks already used.
  • the warning signal is preferably generated as soon as the memory monitoring device receives the information that a predetermined number, which is preferably one, of reserve blocks has been used to replace a failed memory block.
  • the failure prediction device reads the read error rate from the internal memory monitoring device when reading the key memory and generates the warning signal at least also on the basis of the read error rate, in particular generates the warning signal if the read error rate exceeds a predetermined maximum read error rate value.
  • the failure prediction device reads the erasure error rate from the internal memory monitoring device when the key memory is erased and generates the warning signal at least also on the basis of the erasure error rate, in particular generates the warning signal if the erasure error rate exceeds a predetermined maximum erasure error rate value.
  • the failure prediction device reads out the number of uncorrectable errors in the key memory from the internal memory monitoring device and that Warning signal is generated at least also on the basis of the number of uncorrectable errors, in particular the warning signal is generated when the number of uncorrectable errors exceeds a predetermined maximum value.
  • the failure prediction device reads the number of timeouts for commands to the key memory from the internal memory monitoring device and generates the warning signal at least also on the basis of the number of timeouts for commands, in particular generates the warning signal if the Number of timeouts for commands to the key store exceeds a specified maximum value.
  • the failure prediction device reads the number of unstable, i.e. temporarily or permanently no longer readable, sectors of the key memory from the internal memory monitoring device and generates the warning signal at least on the basis of the number of unstable sectors, in particular the warning signal generated when the number of unstable sectors in the key memory exceeds a specified maximum value.
  • the failure prediction device is designed to read two or more items of status information from the internal memory monitoring device at regular or irregular intervals, to conclude on a possible complete or partial failure of the key memory on the basis of the two or more items of status read out, and to issue the warning signal based on the two or more pieces of status information.
  • the failure prediction device is preferably SMART-compatible (SMART: "Self-Monitoring, Analysis and Reporting Technology” or technology for self-monitoring, analysis and status reporting) and suitable SMART-compatible To direct queries to the internal memory monitoring device and to evaluate SMART-compatible responses from the internal memory monitoring device and to generate the warning signal at least also on the basis of the SMART-compatible responses from the internal memory monitoring device.
  • SMART Self-Monitoring, Analysis and Reporting Technology
  • the railway technology device is preferably suitable for receiving new cryptographic keys via a data transmission system from a trackside key exchange device and storing these as a replacement for old keys previously stored in the key memory.
  • the failure prediction device preferably transmits the warning signal to the key exchange device when a possible or imminent failure of the key memory is detected.
  • the railway technology device is preferably designed to transmit a positive acknowledgment signal to the key exchange device after the old key has been successfully replaced by a new key.
  • the railway technology device is preferably designed to transmit a negative acknowledgment signal to the key exchange device after an unsuccessful exchange of old keys with new keys.
  • the failure prediction device is preferably designed to transmit the warning signal together with or as part of the respective acknowledgment signal to the key exchange device when a possible or imminent failure of the key memory is detected.
  • the railway technology device is a vehicle control device, in particular an ETCS-compatible (ETCS: European Train Control System or European Train control system) Vehicle control unit that stores cryptographic information in a non-volatile manner.
  • ETCS-compatible European Train Control System or European Train control system
  • the railway technology device is a stationary route device, in particular an ETCS-compatible route device, or a route-side key distribution device.
  • the railway technology device has a volatile main memory in addition to the key memory.
  • the failure prediction device is preferably designed to detect a possible or imminent failure of the volatile main memory and to output a warning signal indicating the possible failure of the main memory.
  • the failure predictor is preferably arranged to detect parity errors of the main memory and to generate a warning signal indicative of the possible or impending failure of the main memory on the basis of the parity errors.
  • the computing device has at least one sensor, in particular a temperature sensor, which can record at least one piece of status information relating to the computing device, in particular the temperature of the computing device, while forming a sensor measurement value.
  • a temperature sensor which can record at least one piece of status information relating to the computing device, in particular the temperature of the computing device, while forming a sensor measurement value.
  • the failure prediction device is preferably designed in such a way that it generates a warning signal indicating a possible or imminent failure of the computing device, at least also on the basis of the measured value of the sensor.
  • the invention also relates to a railway system. According to the invention, it is provided with regard to the system that it has a railway technology device as has been described above.
  • the invention also relates to a vehicle, in particular a rail vehicle. According to the invention, it is provided with regard to the vehicle that it has a railway technology device as has been described above.
  • the invention also relates to a method for operating a railway engineering device that is equipped with at least one computing device and at least one key memory for storing cryptographic keys that enable encrypted and/or cryptographically secured transmission of data between the rail vehicle and trackside devices .
  • the railway engineering device is monitored for a possible failure of at least one component of the railway engineering device and a warning signal indicating the possible or imminent failure is output when a monitoring result of the monitoring indicates a possible failure.
  • the figure 1 shows a section of a railway system 10.
  • a rail vehicle 20 can be seen, which travels along a direction of arrow P on a track system 30.
  • the railway system 10 is equipped with a key exchange device 40 for sending cryptographic keys to other devices in the railway system 10 .
  • the key exchange device 40 is in the embodiment according to FIG figure 1 with a wayside communication device 50 in connection.
  • the trackside communication device 50 is in turn connected to a vehicle-side communication device 21 of the rail vehicle 20 .
  • the on-vehicle communication device 21 and the track-side communication device 50 thus form both components of a data transmission system 60 of the railway system 10.
  • the vehicle-side communication device 21 is connected to a vehicle control unit 22, which is connected to a in the figure 1 for reasons of clarity, a key memory that is not shown in more detail is suitable for storing cryptographic keys.
  • the cryptographic keys enable an encrypted and/or cryptographically secured transmission of data between the rail vehicle 20 and trackside devices, for example the trackside communication device 50 according to figure 1 .
  • the trackside key exchange device 40 is used to transmit new cryptographic keys via the data transmission system 60, for example to the vehicle control unit 22 of the rail vehicle 20, so that these can be stored as a replacement for old keys previously stored in the key memory of the rail vehicle 20 and can be used in the future.
  • the vehicle control unit 22 of the rail vehicle 20 is designed in such a way that after a successful exchange of old keys with new keys in the key memory (not shown), it transmits a positive acknowledgment signal QS or, if the exchange has not taken place, a negative acknowledgment signal QS to the key exchange device 40.
  • a failure prediction device is also not shown, which transmits a warning signal WS together with the said positive or negative acknowledgment signal or as part of the respective acknowledgment signal to the key exchange device 40 when a possible or imminent failure of the key memory is detected.
  • the figure 2 shows an exemplary embodiment of a railway technology device 100 according to the invention, which can be used as a vehicle control device 22 in the rail vehicle 20 .
  • the railway technology device 100 is preferably ETCS-compatible.
  • the railway engineering device 100 includes a computing device 110, a key memory 120, a volatile main memory 130 and a software memory 140 in which a railway engineering software module SPM is stored.
  • the railway engineering software module SPM serves to ensure the mode of operation of the railway engineering device 100 when executed by the computing device 110, ie here the mode of operation as an ETCS-compatible vehicle control device 22.
  • a failure prediction module AVM is stored in the software memory 140, which forms a failure prediction device when executed by the railway technology device 100.
  • the failure prediction module AVM or the failure prediction device formed by it is connected both to the key memory 120 and to the volatile main memory 130 .
  • the failure prediction module AVM or the failure prediction device formed by this is used to monitor the key memory 120 and also the volatile main memory 130 with regard to their functioning.
  • the key memory 120 is equipped with an internal memory monitoring device 121, which detects status information ZI relating to the key memory 120 and can output it on request.
  • the failure prediction module AVM or the failure prediction device formed by it can read the number of reserve blocks already used from the internal memory monitoring device 121 and generate the warning signal WS at least also on the basis of the number of reserve blocks already used. For example, the failure prediction module AVM or the failure prediction device formed by this will generate the warning signal WS as soon as the information is received from the memory monitoring device 121 that a first reserve block has been used to replace a failed memory block. Alternatively, it can only generate the warning signal WS when a predetermined maximum number of reserve blocks greater than one has been used.
  • the failure prediction module AVM or the failure prediction device formed by it can read the read error rate from the internal memory monitoring device 121 when reading the key memory 120 and generate the warning signal WS at least also on the basis of the reading error rate, in particular generate the warning signal WS if the reading error rate is one predetermined read error rate maximum value exceeds.
  • the figure 3 shows a further exemplary embodiment of a railway technology device 100, which is used as a vehicle control device 22 in the rail vehicle 20 according to FIG figure 1 can be used.
  • a railway technology device 100 which is used as a vehicle control device 22 in the rail vehicle 20 according to FIG figure 1 can be used.
  • an additional sensor 150 is provided, which monitors at least one physical property of computing device 110 .
  • sensor 150 can be a temperature sensor that detects status information relating to computing device 110 in the form of a temperature of computing device 110 and a corresponding sensor measurement value M forms and transmits this to the failure prediction module AVM.
  • the failure prediction module AVM will generate a corresponding warning signal WS on the output side and send it to the nearest trackside communication device 50 in accordance with figure 1 transmit, so that the corresponding failure information is available on the track side in good time.
  • the figure 4 shows a further exemplary embodiment of a railway system 10 in which a rail vehicle 20 runs on a track system 30 .
  • the trackside communication device 50 is also equipped with a railway technology device 100, as is exemplified in connection with figures 2 and 3 has been explained.
  • the configurations of the railway technology device 100 according to FIG figure 4 is accordingly on the above statements in connection with the figures 2 and 3 referred.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung bezieht sich auf ein Bahntechnikgerät (100) für eine bahntechnische Anlage (10) mit zumindest einer Recheneinrichtung (110) und zumindest einem Schlüsselspeicher (120) zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug (20) und streckenseitigen Einrichtungen (50) ermöglichen. Erfindungsgemäß ist vorgesehen, dass das Bahntechnikgerät (100) mit einer Ausfallvorhersageeinrichtung (AVM) ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) feststellen und ein den möglichen Ausfall anzeigendes Warnsignal (WS) ausgegeben kann.The invention relates to a railway engineering device (100) for a railway engineering system (10) with at least one computing device (110) and at least one key memory (120) for storing cryptographic keys, which enable encrypted and/or cryptographically secured transmission of data between the Enable rail vehicle (20) and trackside facilities (50). According to the invention, the railway engineering device (100) is equipped with a failure prediction device (AVM) which can determine a possible imminent failure of at least one component of the railway engineering device (100) and output a warning signal (WS) indicating the possible failure.

Description

Die Erfindung bezieht sich auf ein Bahntechnikgerät für eine bahntechnische Anlage mit zumindest einer Recheneinrichtung und zumindest einem Schlüsselspeicher zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen einem Schienenfahrzeug und streckenseitigen Einrichtungen ermöglichen.The invention relates to a railway engineering device for a railway engineering system with at least one computing device and at least one key memory for storing cryptographic keys that enable encrypted and/or cryptographically secured transmission of data between a rail vehicle and trackside facilities.

Im Bereich der Eisenbahntechnik stützt sich die sicherungstechnische Datenübertragung über Mobilfunknetze für Zugsteuerungsanwendungen (ETCS - European Train Control System) auf kryptografischen Verfahren ab. Für diese Verfahren werden geheime Kryptoschlüssel genutzt, um die Integrität und Authentizität der zwischen Zügen und Streckenzentralen ausgetauschten Steuerungsdaten sicherzustellen.In the field of railway technology, security-related data transmission via mobile radio networks for train control applications (ETCS - European Train Control System) is based on cryptographic processes. Secret crypto keys are used for these procedures to ensure the integrity and authenticity of the control data exchanged between trains and route control centers.

Da für jede Relation von Zug und Streckenzentrale üblicherweise mindestens ein Schlüsselpaar eingesetzt wird, wird abhängig vom Umfang des Bahnnetzes und der Anzahl der Züge eine Vielzahl von Kryptoschlüsseln in den Fahrzeugen und Streckenzentralen hinterlegt, insbesondere auch dann, wenn die Kryptoschlüssel lediglich eine zeitliche Gültigkeitsbeschränkung (Validity Period) besitzen.Since at least one pair of keys is usually used for each relation between the train and the route control center, a large number of crypto keys are stored in the vehicles and route control centers depending on the size of the railway network and the number of trains, especially if the crypto keys only have a time limit (validity Period) own.

Demzufolge benötigen die im ETCS kommunizierenden Instanzen geeignete Schlüsselspeicher, die sowohl offline als auch online, mit entsprechendem Schlüsselmaterial versorgt werden. Die dafür anzuwendenden Schlüsselverteilverfahren sind ebenso wie das eigentliche Protokoll der Zugsteuerung europäisch genormt (UNISIG Subsets 114 und 137).As a result, the instances communicating in the ETCS require suitable key memories, which are supplied with the appropriate key material both offline and online. The key distribution procedures to be used for this, like the actual train control protocol, are standardized at European level (UNISIG subsets 114 and 137).

An die Schlüsselspeicher der ETCS-Instanzen werden besondere Anforderungen hinsichtlich Ausfallsicherheit, Performance und Integrität gestellt. Beispielsweise sollen bestimmte Kryptoschlüssel anhand verschiedener Merkmale wie ETCS-Identität und aktueller Systemzeit innerhalb von Sekunden aus tausenden von Schlüsseln selektiert werden können. Auch komplexe Transaktionen, beispielsweise zum Update der Gültigkeit einer Vielzahl von Schlüsseln sollen fehlerfrei durchführbar sein. Darüber hinaus soll die Integrität des Schlüsselspeichers auch dann nicht verloren gehen, wenn ein Stromausfall zu einer beliebigen Zeit laufende Transaktionen in einem Onboard-Rechner unterbricht. Schließlich sollen Schlüsselspeicher, die auf Flash-Hardware implementiert sind, hinsichtlich ihrer Schreibzyklen optimiert werden, da diese Speicher hinsichtlich der Anzahl von Schreibzugriffen limitiert sind (Flashzellen können nur zwischen 3.000 (MLC 25 nm) und 100.000 (SLC) Schreibvorgänge absolvieren).The key memory of the ETCS instances is subject to special requirements in terms of reliability, performance and integrity. For example, certain crypto keys should be able to be selected from thousands of keys within seconds based on various characteristics such as ETCS identity and current system time. Even complex transactions, for example to update the validity of a large number of keys, should be able to be carried out without errors. In addition, the integrity of the key store should not be lost even if a power failure at any time interrupts ongoing transactions in an onboard computer. Finally, key memories implemented on flash hardware should be optimized with regard to their write cycles, since these memories are limited in terms of the number of write accesses (flash cells can only complete between 3,000 (MLC 25 nm) and 100,000 (SLC) write processes).

Eine weitere Forderung, die sich sowohl aus der europäischen Norm (UNISIG Subset 137), als auch aus den Erfordernissen eines zuverlässigen ETCS Zugverkehrs ergibt, besteht darin, Fehler in den lokal abgespeicherten Schlüsseldaten zu offenbaren, da falsche oder nicht lesbare Kryptoschlüssel zum Ausfall des ETCS Bahnbetriebes und damit zu erheblichen betrieblichen Problemen führen kann.Another requirement, which results from both the European standard (UNISIG Subset 137) and the requirements for reliable ETCS train traffic, is to reveal errors in the locally stored key data, since incorrect or illegible crypto keys lead to the failure of the ETCS railway operations and thus can lead to considerable operational problems.

Um diese Anforderung zu erfüllen, sind in der UNISIG Spezifikation Fehlermeldungen für auf den Fahrzeugen abgespeicherte Kryptoschlüssel vorgesehen. Damit fehlerhafte Kryptoschlüssel erkannt werden können, kann die Schlüsselintegrität auf Anwendungsniveau überwacht werden, indem beispielsweise für jeden spezifischen Kryptoschlüssel eine Prüfsumme mit abgespeichert wird und zyklisch oder vor Nutzung des Kryptoschlüssels überprüft wird. Dieses Vorgehen erkennt Probleme jedoch erst nach deren Auftreten und arbeitet auf Anwendungsniveau.In order to meet this requirement, error messages for crypto keys stored on the vehicles are provided in the UNISIG specification. So that faulty crypto keys can be detected, the key integrity can be monitored at the application level, for example by storing a checksum for each specific crypto key and checking the crypto key cyclically or before it is used. However, this approach only recognizes problems after they have occurred and works at the application level.

Der Erfindung liegt somit die Aufgabe zugrunde, ein mit Blick auf die obenstehende Problematik verbessertes Bahntechnikgerät anzugeben.The invention is therefore based on the object of specifying a railway technology device that is improved in view of the above problem.

Diese Aufgabe wird erfindungsgemäß durch ein Bahntechnikgerät mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Bahntechnikgeräts sind in Unteransprüchen angegeben.According to the invention, this object is achieved by a railway technology device having the features according to patent claim 1 . Advantageous refinements of the railway technology device according to the invention are specified in the dependent claims.

Danach ist erfindungsgemäß vorgesehen, dass das Bahntechnikgerät mit einer Ausfallvorhersageeinrichtung ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts feststellen und ein den möglichen Ausfall anzeigendes Warnsignal ausgegeben kann.According to the invention, it is provided that the railway engineering device is equipped with a failure prediction device that can determine a possible imminent failure of at least one component of the railway engineering device and output a warning signal indicating the possible failure.

Ein wesentlicher Vorteil des erfindungsgemäßen Bahntechnikgeräts ist darin zu sehen, dass dieses mit seiner Ausfallvorhersageeinrichtung einen möglicherweise bevorstehenden Ausfall, also noch nicht eingetretenen Ausfall, feststellen und rechtzeitig ein den möglichen Ausfall anzeigendes Warnsignal ausgeben kann, wodurch betriebseinschränkende Maßnahmen noch durch rechtzeitige Wartung oder Reparatur vermieden werden können. So kann in vorteilhafter Weise eine Offenbarung von Fehlern im ETCS-Schlüsselspeicher noch vor deren Auftreten erfolgen, also noch bevor etwaig beschädigte oder nicht mehr verwendbare Schlüssel zum Anlagenbetrieb eingesetzt werden müssen.A significant advantage of the railway engineering device according to the invention can be seen in the fact that it can use its failure prediction device to determine a possible impending failure, i.e. a failure that has not yet occurred, and to issue a warning signal indicating the possible failure in good time, which means that measures restricting operation can be avoided through timely maintenance or repairs be able. In this way, errors in the ETCS code memory can advantageously be revealed before they occur, ie before any damaged or no longer usable keys have to be used to operate the system.

Der Schlüsselspeicher ist vorzugsweise mit einer internen Speicherüberwachungseinrichtung ausgestattet, die den Schlüsselspeicher betreffende Zustandsinformationen erfassen und auf Abfrage ausgeben kann.The key memory is preferably equipped with an internal memory monitoring device that can record status information relating to the key memory and output it on request.

Die Ausfallvorhersageeinrichtung steht vorzugsweise mit der internen Speicherüberwachungseinrichtung in Verbindung und ist dazu ausgestaltet, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung zumindest eine den Schlüsselspeicher betreffende Zustandsinformation auszulesen, auf der Basis der zumindest einen ausgelesenen Zustandsinformation auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers zu schließen und das Warnsignal auf der Basis der zumindest einen ausgelesenen Zustandsinformation zu erzeugen.The failure prediction device is preferably connected to the internal memory monitoring device and is designed to read out at least one piece of status information relating to the key memory from the internal memory monitoring device at regular or irregular intervals, based on the at least one piece of status information read out for a possible complete or partial failure of the key memory shut down and to generate the warning signal based on the at least one piece of status information read out.

Bei der letztgenannten Variante ist es vorteilhaft, wenn der Schlüsselspeicher zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist und die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der bereits verwendeten Reserveblöcke ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugt. Vorzugsweise wird das Warnsignal erzeugt, sobald von der Speicherüberwachungseinrichtung die Information eingeht, dass eine vorgegebene Anzahl, die vorzugsweise Eins beträgt, an Reserveblöcken als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde.In the latter variant, it is advantageous if the key memory has memory blocks used for storage as well as reserve blocks that are used as a replacement for the failed memory blocks if one or more memory blocks fail, and the failure prediction device reads the number of reserve blocks already used from the internal memory monitoring device and the warning signal is generated at least also on the basis of the number of reserve blocks already used. The warning signal is preferably generated as soon as the memory monitoring device receives the information that a predetermined number, which is preferably one, of reserve blocks has been used to replace a failed memory block.

Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Lesefehlerrate beim Lesen des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Lesefehlerrate erzeugt, insbesondere das Warnsignal erzeugt, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet.Alternatively or additionally, it can advantageously be provided that the failure prediction device reads the read error rate from the internal memory monitoring device when reading the key memory and generates the warning signal at least also on the basis of the read error rate, in particular generates the warning signal if the read error rate exceeds a predetermined maximum read error rate value.

Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Löschfehlerrate beim Löschen des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Löschfehlerrate erzeugt, insbesondere das Warnsignal erzeugt, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet.Alternatively or additionally, it can advantageously be provided that the failure prediction device reads the erasure error rate from the internal memory monitoring device when the key memory is erased and generates the warning signal at least also on the basis of the erasure error rate, in particular generates the warning signal if the erasure error rate exceeds a predetermined maximum erasure error rate value.

Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, it can advantageously be provided that the failure prediction device reads out the number of uncorrectable errors in the key memory from the internal memory monitoring device and that Warning signal is generated at least also on the basis of the number of uncorrectable errors, in particular the warning signal is generated when the number of uncorrectable errors exceeds a predetermined maximum value.

Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, it can advantageously be provided that the failure prediction device reads the number of timeouts for commands to the key memory from the internal memory monitoring device and generates the warning signal at least also on the basis of the number of timeouts for commands, in particular generates the warning signal if the Number of timeouts for commands to the key store exceeds a specified maximum value.

Alternativ oder zusätzlich kann in vorteilhafter Weise vorgesehen sein, dass die Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers ausliest und das Warnsignal zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugt, insbesondere das Warnsignal erzeugt, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, it can advantageously be provided that the failure prediction device reads the number of unstable, i.e. temporarily or permanently no longer readable, sectors of the key memory from the internal memory monitoring device and generates the warning signal at least on the basis of the number of unstable sectors, in particular the warning signal generated when the number of unstable sectors in the key memory exceeds a specified maximum value.

Besonders vorteilhaft ist es, wenn die Ausfallvorhersageeinrichtung dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung zwei oder mehr Zustandsinformationen auszulesen, auf der Basis der zwei oder mehr ausgelesenen Zustandsinformationen auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers zu schließen und das Warnsignal auf der Basis der zwei oder mehr Zustandsinformation zu erzeugen.It is particularly advantageous if the failure prediction device is designed to read two or more items of status information from the internal memory monitoring device at regular or irregular intervals, to conclude on a possible complete or partial failure of the key memory on the basis of the two or more items of status read out, and to issue the warning signal based on the two or more pieces of status information.

Die Ausfallvorhersageeinrichtung ist vorzugsweise S.M.A.R.T.-kompatibel (S.M.A.R.T.: "Self-Monitoring, Analysis and Reporting Technology" bzw. Technologie zur Selbstüberwachung, Analyse und Statusmeldung) und geeignet, S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung zu richten und S.M.A.R.T.-kompatible Antworten der internen Speicherüberwachungseinrichtung auszuwerten und das Warnsignal zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung zu erzeugen.The failure prediction device is preferably SMART-compatible (SMART: "Self-Monitoring, Analysis and Reporting Technology" or technology for self-monitoring, analysis and status reporting) and suitable SMART-compatible To direct queries to the internal memory monitoring device and to evaluate SMART-compatible responses from the internal memory monitoring device and to generate the warning signal at least also on the basis of the SMART-compatible responses from the internal memory monitoring device.

Das Bahntechnikgerät ist vorzugsweise geeignet, über ein Datenübertragungssystem von einer streckenseitigen Schlüsselaustauscheinrichtung neue kryptografische Schlüssel zu empfangen und diese als Ersatz für vorher im Schlüsselspeicher abgespeicherte alte Schlüssel abzuspeichern.The railway technology device is preferably suitable for receiving new cryptographic keys via a data transmission system from a trackside key exchange device and storing these as a replacement for old keys previously stored in the key memory.

Die Ausfallvorhersageeinrichtung übermittelt vorzugsweise bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers das Warnsignal an die Schlüsselaustauscheinrichtung.The failure prediction device preferably transmits the warning signal to the key exchange device when a possible or imminent failure of the key memory is detected.

Das Bahntechnikgerät ist vorzugsweise dazu ausgebildet, nach erfolgreichem Austausch alter Schlüssel durch neue Schlüssel jeweils ein positives Quittungssignal an die Schlüsselaustauscheinrichtung zu übermitteln.The railway technology device is preferably designed to transmit a positive acknowledgment signal to the key exchange device after the old key has been successfully replaced by a new key.

Das Bahntechnikgerät ist vorzugsweise dazu ausgebildet, nach erfolglosem Austausch alter Schlüssel durch neue Schlüssel jeweils ein negatives Quittungssignal an die Schlüsselaustauscheinrichtung zu übermitteln.The railway technology device is preferably designed to transmit a negative acknowledgment signal to the key exchange device after an unsuccessful exchange of old keys with new keys.

Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgebildet, bei Feststellung eines möglichen oder bevorstenden Ausfalls des Schlüsselspeichers das Warnsignal zusammen mit dem oder als Bestandteil des jeweiligen Quittungssignals an die Schlüsselaustauscheinrichtung zu übermitteln.The failure prediction device is preferably designed to transmit the warning signal together with or as part of the respective acknowledgment signal to the key exchange device when a possible or imminent failure of the key memory is detected.

Bei einer vorteilhaften Ausgestaltung ist das Bahntechnikgerät ein Fahrzeugsteuergerät, insbesondere ein ETCS-kompatibles (ETCS: European Train Control System bzw. Europäisches Zugbeeinflussungssystem) Fahrzeugsteuergerät, das kryptografische Informationen nichtflüchtig speichert.In an advantageous embodiment, the railway technology device is a vehicle control device, in particular an ETCS-compatible (ETCS: European Train Control System or European Train control system) Vehicle control unit that stores cryptographic information in a non-volatile manner.

Bei einer anderen vorteilhaften Ausgestaltung ist das Bahntechnikgerät ein ortsfestes Streckengerät, insbesondere ein ETCS-kompatibles Streckengerät, oder eine streckenseitige Schlüsselverteileinrichtung.In another advantageous embodiment, the railway technology device is a stationary route device, in particular an ETCS-compatible route device, or a route-side key distribution device.

Vorteilhaft ist es, wenn das Bahntechnikgerät zusätzlich zu dem Schlüsselspeicher einen flüchtigen Hauptspeicher aufweist.It is advantageous if the railway technology device has a volatile main memory in addition to the key memory.

Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgestaltet, einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers zu erkennen und ein den möglichen Ausfall des Hauptspeichers anzeigendes Warnsignal auszugeben.The failure prediction device is preferably designed to detect a possible or imminent failure of the volatile main memory and to output a warning signal indicating the possible failure of the main memory.

Die Ausfallvorhersageeinrichtung ist vorzugsweise dazu ausgestaltet, Paritätsfehler des Hauptspeichers zu erkennen und ein den möglichen oder bevorstehenden Ausfall des Hauptspeichers anzeigendes Warnsignal auf der Basis der Paritätsfehler zu erzeugen.The failure predictor is preferably arranged to detect parity errors of the main memory and to generate a warning signal indicative of the possible or impending failure of the main memory on the basis of the parity errors.

Auch ist es von Vorteil, wenn die Recheneinrichtung zumindest einen Sensor, insbesondere Temperatursensor, aufweist, der zumindest eine die Recheneinrichtung betreffende Zustandsinformationen, insbesondere die Temperatur der Recheneinrichtung, unter Bildung eines Sensormesswerts erfassen kann.It is also advantageous if the computing device has at least one sensor, in particular a temperature sensor, which can record at least one piece of status information relating to the computing device, in particular the temperature of the computing device, while forming a sensor measurement value.

Die Ausfallvorhersageeinrichtung ist vorzugsweise derart ausgestaltet, dass sie ein einen möglichen oder bevorstehenden Ausfall der Recheneinrichtung angebendes Warnsignal zumindest auch auf der Basis des Sensormesswerts des Sensors erzeugt.The failure prediction device is preferably designed in such a way that it generates a warning signal indicating a possible or imminent failure of the computing device, at least also on the basis of the measured value of the sensor.

Die Erfindung bezieht sich darüber hinaus auf eine bahntechnische Anlage. Erfindungsgemäß ist bzgl. der Anlage vorgesehen, dass diese ein Bahntechnikgerät aufweist, wie es oben beschrieben worden ist.The invention also relates to a railway system. According to the invention, it is provided with regard to the system that it has a railway technology device as has been described above.

Bezüglich der Vorteile und vorteilhafter Ausgestaltungen der erfindungsgemäßen Anlage sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.With regard to the advantages and advantageous configurations of the system according to the invention, reference is made to the above statements in connection with the railway technology device according to the invention and its advantageous configurations.

Die Erfindung bezieht sich darüber hinaus auf ein Fahrzeug, insbesondere Schienenfahrzeug. Erfindungsgemäß ist bzgl. des Fahrzeugs vorgesehen, dass dieses ein Bahntechnikgerät aufweist, wie es oben beschrieben worden ist.The invention also relates to a vehicle, in particular a rail vehicle. According to the invention, it is provided with regard to the vehicle that it has a railway technology device as has been described above.

Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Fahrzeugs sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.With regard to the advantages and advantageous configurations of the vehicle according to the invention, reference is made to the above statements in connection with the railway engineering device according to the invention and its advantageous configurations.

Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Betreiben eines Bahntechnikgeräts, das mit zumindest einer Recheneinrichtung und zumindest einem Schlüsselspeicher zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug und streckenseitigen Einrichtungen ermöglichen, ausgestattet ist. Erfindungsgemäß ist vorgesehen, dass das Bahntechnikgerät auf einen möglichen Ausfall zumindest einer Komponente des Bahntechnikgeräts überwacht wird und ein den möglichen oder bevorstehenden Ausfall anzeigendes Warnsignal ausgegeben wird, wenn ein Überwachungsergebnis der Überwachung auf einen möglichen Ausfall hindeutet.The invention also relates to a method for operating a railway engineering device that is equipped with at least one computing device and at least one key memory for storing cryptographic keys that enable encrypted and/or cryptographically secured transmission of data between the rail vehicle and trackside devices . According to the invention, the railway engineering device is monitored for a possible failure of at least one component of the railway engineering device and a warning signal indicating the possible or imminent failure is output when a monitoring result of the monitoring indicates a possible failure.

Bezüglich der Vorteile und vorteilhafter Ausgestaltungen des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Bahntechnikgerät sowie dessen vorteilhafter Ausgestaltungen verwiesen.With regard to the advantages and advantageous configurations of the method according to the invention, reference is made to the above statements in connection with the railway technology device according to the invention and its advantageous configurations.

Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen näher erläutert; dabei zeigen beispielhaft

Figur 1
ein Ausführungsbeispiel für einen Abschnitt einer erfindungsgemäßen eisenbahntechnischen Anlage, die von einem Ausführungsbeispiel für ein erfindungsgemäßes Schienenfahrzeug befahren wird,
Figur 2
ein Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät für die Anlage und das Schienenfahrzeug gemäß Figur 1,
Figur 3
ein weiteres Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät für die Anlage und das Schienenfahrzeug gemäß Figur 1 und
Figur 4
ein weiteres Ausführungsbeispiel für einen Abschnitt einer erfindungsgemäßen eisenbahntechnischen Anlage, die von einem Ausführungsbeispiel für ein erfindungsgemäßes Schienenfahrzeug befahren wird.
The invention is explained in more detail below using exemplary embodiments; show examples
figure 1
an exemplary embodiment of a section of a railway system according to the invention, which is traveled over by an exemplary embodiment of a rail vehicle according to the invention,
figure 2
according to an exemplary embodiment of a railway engineering device according to the invention for the system and the rail vehicle figure 1 ,
figure 3
a further exemplary embodiment of a railway technology device according to the invention for the system and the rail vehicle according to FIG figure 1 and
figure 4
a further exemplary embodiment of a section of a railway system according to the invention, which is traveled over by an exemplary embodiment of a rail vehicle according to the invention.

In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet.For the sake of clarity, the figures always use the same reference symbols for identical or comparable components.

Die Figur 1 zeigt einen Abschnitt einer bahntechnischen Anlage 10. Man erkennt ein Schienenfahrzeug 20, das entlang einer Pfeilrichtung P auf einer Gleisanlage 30 fährt.the figure 1 shows a section of a railway system 10. A rail vehicle 20 can be seen, which travels along a direction of arrow P on a track system 30.

Die bahntechnische Anlage 10 ist mit einer Schlüsselaustauscheinrichtung 40 zum Übersenden kryptographischer Schlüssel an andere Einrichtungen der bahntechnischen Anlage 10 ausgestattet. Die Schlüsselaustauscheinrichtung 40 steht bei dem Ausführungsbeispiel gemäß Figur 1 mit einer streckenseitigen Kommunikationseinrichtung 50 in Verbindung.The railway system 10 is equipped with a key exchange device 40 for sending cryptographic keys to other devices in the railway system 10 . The key exchange device 40 is in the embodiment according to FIG figure 1 with a wayside communication device 50 in connection.

Die streckenseitige Kommunikationseinrichtung 50 steht wiederum mit einer fahrzeugseitigen Kommunikationseinrichtung 21 des Schienenfahrzeugs 20 in Verbindung. Die fahrzeugseitige Kommunikationseinrichtung 21 und die streckenseitige Kommunikationseinrichtung 50 bilden somit beide Bestandteile eines Datenübertragungssystems 60 der bahntechnischen Anlage 10.The trackside communication device 50 is in turn connected to a vehicle-side communication device 21 of the rail vehicle 20 . The on-vehicle communication device 21 and the track-side communication device 50 thus form both components of a data transmission system 60 of the railway system 10.

Die fahrzeugseitige Kommunikationseinrichtung 21 ist mit einem Fahrzeugsteuergerät 22 verbunden, das mit einem in der Figur 1 aus Gründen der Übersicht nicht weiter dargestellten Schlüsselspeicher zum Abspeichern von kryptographischen Schlüsseln geeignet ist. Die kryptographischen Schlüssel ermöglichen eine verschlüsselte und/oder kryptographisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug 20 und streckenseitigen Einrichtungen, beispielsweise der streckenseitigen Kommunikationseinrichtung 50 gemäß Figur 1.The vehicle-side communication device 21 is connected to a vehicle control unit 22, which is connected to a in the figure 1 for reasons of clarity, a key memory that is not shown in more detail is suitable for storing cryptographic keys. The cryptographic keys enable an encrypted and/or cryptographically secured transmission of data between the rail vehicle 20 and trackside devices, for example the trackside communication device 50 according to figure 1 .

Die streckenseitige Schlüsselaustauscheinrichtung 40 dient dazu, über das Datenübertragungssystem 60 neue kryptographische Schlüssel beispielsweise zu dem Fahrzeugsteuergerät 22 des Schienenfahrzeugs 20 zu übertragen, damit diese als Ersatz für vorher im Schlüsselspeicher des Schienenfahrzeugs 20 abgespeicherte alte Schlüssel abgespeichert und zukünftig verwendet werden können.The trackside key exchange device 40 is used to transmit new cryptographic keys via the data transmission system 60, for example to the vehicle control unit 22 of the rail vehicle 20, so that these can be stored as a replacement for old keys previously stored in the key memory of the rail vehicle 20 and can be used in the future.

Das Fahrzeugsteuergerät 22 des Schienenfahrzeugs 20 ist derart ausgebildet, dass es nach einem erfolgreichen Austausch alter Schlüssel durch neue Schlüssel im nicht dargestellten Schlüsselspeicher jeweils ein positives Quittungssignal QS oder im Falle eines nicht erfolgten Austauschs ein negatives Quittungssignal QS an die Schlüsselaustauscheinrichtung 40 übermittelt.The vehicle control unit 22 of the rail vehicle 20 is designed in such a way that after a successful exchange of old keys with new keys in the key memory (not shown), it transmits a positive acknowledgment signal QS or, if the exchange has not taken place, a negative acknowledgment signal QS to the key exchange device 40.

Darüber hinaus ist das Fahrzeugsteuergerät 22 mit einer in der Figur 1 aus Gründen der Übersicht ebenfalls nicht dargestellten Ausfallvorhersageeinrichtung ausgestattet, die bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers ein Warnsignal WS zusammen mit dem genannten positiven oder negativen Quittungssignal oder als Bestandteil des jeweiligen Quittungssignals an die Schlüsselaustauscheinrichtung 40 übermittelt.In addition, the vehicle control unit 22 with a in the figure 1 For reasons of clarity, a failure prediction device is also not shown, which transmits a warning signal WS together with the said positive or negative acknowledgment signal or as part of the respective acknowledgment signal to the key exchange device 40 when a possible or imminent failure of the key memory is detected.

Die Figur 2 zeigt ein Ausführungsbeispiel für ein erfindungsgemäßes Bahntechnikgerät 100, das als Fahrzeugsteuergerät 22 bei dem Schienenfahrzeug 20 eingesetzt werden kann. Das Bahntechnikgerät 100 ist vorzugsweise ETCS-kompatibel.the figure 2 shows an exemplary embodiment of a railway technology device 100 according to the invention, which can be used as a vehicle control device 22 in the rail vehicle 20 . The railway technology device 100 is preferably ETCS-compatible.

Das Bahntechnikgerät 100 umfasst eine Recheneinrichtung 110, einen Schlüsselspeicher 120, einen flüchtigen Hauptspeicher 130 und einen Softwarespeicher 140, in dem ein bahntechnisches Softwaremodul SPM abgespeichert ist. Das bahntechnische Softwaremodul SPM dient dazu, die Arbeitsweise des Bahntechnikgeräts 100 bei Ausführung durch die Recheneinrichtung 110, hier also die Arbeitsweise als ETCS-kompatibles Fahrzeugsteuergerät 22, zu gewährleisten.The railway engineering device 100 includes a computing device 110, a key memory 120, a volatile main memory 130 and a software memory 140 in which a railway engineering software module SPM is stored. The railway engineering software module SPM serves to ensure the mode of operation of the railway engineering device 100 when executed by the computing device 110, ie here the mode of operation as an ETCS-compatible vehicle control device 22.

In dem Softwarespeicher 140 ist darüber hinaus ein Ausfallvorhersagemodul AVM abgespeichert, das bei Ausführung durch das Bahntechnikgerät 100 eine Ausfallvorhersageeinrichtung bildet.In addition, a failure prediction module AVM is stored in the software memory 140, which forms a failure prediction device when executed by the railway technology device 100.

Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung steht sowohl mit dem Schlüsselspeicher 120 als auch mit dem flüchtigen Hauptspeicher 130 in Verbindung. Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung dient dazu, den Schlüsselspeicher 120 sowie auch den flüchtigen Hauptspeicher 130 hinsichtlich ihrer Funktionsweise zu überwachen.The failure prediction module AVM or the failure prediction device formed by it is connected both to the key memory 120 and to the volatile main memory 130 . The failure prediction module AVM or the failure prediction device formed by this is used to monitor the key memory 120 and also the volatile main memory 130 with regard to their functioning.

Um diese Überwachung des Schlüsselspeichers 120 zu ermöglichen bzw. zu vereinfachen, ist der Schlüsselspeicher 120 mit einer internen Speicherüberwachungseinrichtung 121 ausgestattet, die den Schlüsselspeicher 120 betreffende Zustandsinformationen ZI erfassen und auf Abfrage ausgeben kann.In order to enable or simplify this monitoring of the key memory 120, the key memory 120 is equipped with an internal memory monitoring device 121, which detects status information ZI relating to the key memory 120 and can output it on request.

Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung steht mit der internen Speicherüberwachungseinrichtung 121 in Verbindung und ist dazu ausgestaltet, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung 121 zumindest eine den Schlüsselspeicher 120 betreffende Zustandsinformation ZI auszulesen. Sie wertet die zumindest eine ausgelesene Zustandsinformation ZI aus und schließt ggf. auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers 120. Anschließend erzeugt sie ggf. das Warnsignal WS auf der Basis der Auswertung der zumindest einen ausgelesenen Zustandsinformation ZI.The failure prediction module AVM or the failure prediction device formed by it is connected to the internal memory monitoring device 121 and is designed to communicate with the internal memory monitoring device 121 at least at regular or irregular intervals to read out status information ZI relating to the key memory 120 . It evaluates the at least one piece of status information ZI that has been read and, if necessary, concludes that key memory 120 has failed completely or partially.

Vorteilhaft ist es, wenn der Schlüsselspeicher 120 zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist. In diesem Falle kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der bereits verwendeten Reserveblöcke auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugen. Beispielsweise wird das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung das Warnsignal WS erzeugen, sobald von der Speicherüberwachungseinrichtung 121 die Information eingeht, dass ein erster Reserveblock als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde. Alternativ kann sie das Warnsignal WS auch erst dann erzeugen, wenn eine vorgegebene Maximalzahl größer als Eins an Reserveblöcken eingesetzt wurde.It is advantageous if the key memory 120 has memory blocks used for storage as well as reserve blocks that are used to replace the failed memory blocks if one or more memory blocks fail. In this case, the failure prediction module AVM or the failure prediction device formed by it can read the number of reserve blocks already used from the internal memory monitoring device 121 and generate the warning signal WS at least also on the basis of the number of reserve blocks already used. For example, the failure prediction module AVM or the failure prediction device formed by this will generate the warning signal WS as soon as the information is received from the memory monitoring device 121 that a first reserve block has been used to replace a failed memory block. Alternatively, it can only generate the warning signal WS when a predetermined maximum number of reserve blocks greater than one has been used.

Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Lesefehlerrate beim Lesen des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Lesefehlerrate erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet.Alternatively or additionally, the failure prediction module AVM or the failure prediction device formed by it can read the read error rate from the internal memory monitoring device 121 when reading the key memory 120 and generate the warning signal WS at least also on the basis of the reading error rate, in particular generate the warning signal WS if the reading error rate is one predetermined read error rate maximum value exceeds.

Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Löschfehlerrate beim Löschen des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Löschfehlerrate erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet.Alternatively or additionally, the failure prediction module AVM or the failure prediction device formed by this read out the erasure error rate from internal memory monitoring device 121 when key memory 120 is erased and generate the warning signal WS at least also on the basis of the erasure error rate, in particular generate the warning signal WS if the erasure error rate exceeds a predetermined maximum erasure error rate value.

Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, the failure prediction module AVM or the failure prediction device formed by it can read out the number of uncorrectable errors in the key memory 120 from the internal memory monitoring device 121 and generate the warning signal WS at least also on the basis of the number of uncorrectable errors, in particular generate the warning signal WS if the number of uncorrectable errors exceeds a predetermined maximum value.

Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher 120 einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, the failure prediction module AVM or the failure prediction device formed by it can read out the number of timeouts for commands to the key memory 120 from the internal memory monitoring device 121 and generate the warning signal WS at least on the basis of the number of timeouts for commands, in particular the warning signal Generate WS if the number of timeouts for commands to the key store 120 exceeds a predetermined maximum value.

Alternativ oder zusätzlich kann das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung aus der internen Speicherüberwachungseinrichtung 121 die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers 120 auslesen und das Warnsignal WS zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugen, insbesondere das Warnsignal WS erzeugen, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers 120 einen vorgegebenen Maximalwert überschreitet.Alternatively or additionally, the failure prediction module AVM or the failure prediction device formed by it can read out the number of unstable, i.e. temporarily or permanently no longer readable sectors of the key memory 120 from the internal memory monitoring device 121 and generate the warning signal WS at least also on the basis of the number of unstable sectors , In particular, generate the warning signal WS when the number of unstable sectors of the key memory 120 exceeds a predetermined maximum value.

Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung und die interne Speicherüberwachungseinrichtung 121 sind vorzugsweise S.M.A.R.T.-kompatibel. Dies bedeutet, dass das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung 121 richten kann und die interne Speicherüberwachungseinrichtung 121 S.M.A.R.T.-kompatible Antworten erzeugen kann. Das Ausfallvorhersagemodul AVM bzw. die durch dieses gebildete Ausfallvorhersageeinrichtung wertet die S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung 121 aus und erzeugt das Warnsignal WS zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung 121.The failure prediction module AVM or the failure prediction device formed by this and the internal memory monitoring device 121 are preferably S.M.A.R.T.-compatible. This means that the failure prediction module AVM or the failure prediction device formed by it can direct S.M.A.R.T.-compatible queries to the internal memory monitoring device 121 and the internal memory monitoring device 121 can generate S.M.A.R.T.-compatible answers. The failure prediction module AVM or the failure prediction device formed by it evaluates the S.M.A.R.T.-compatible responses from the internal memory monitoring device 121 and generates the warning signal WS at least on the basis of the S.M.A.R.T.-compatible responses from the internal memory monitoring device 121.

Das Ausfallvorhersagemodul AVM ist darüber hinaus derart ausgebildet, dass es den flüchtigen Hauptspeicher 130 hinsichtlich dessen Funktionsweise überwacht. Konkret wird das Ausfallvorhersagemodul AVM bei Ausführung durch die Recheneinrichtung 110 einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers 130 erkennen und ein den möglichen Ausfall des Hauptspeichers 120 anzeigendes Warnsignal WS erzeugen, wenn Paritätsfehler im Hauptspeicher 130 erkannt werden.The failure prediction module AVM is also designed in such a way that it monitors the volatile main memory 130 with regard to its functioning. Specifically, the failure prediction module AVM, when executed by the computing device 110, will detect a possible or imminent failure of the volatile main memory 130 and generate a warning signal WS indicating the possible failure of the main memory 120 if parity errors are detected in the main memory 130.

Die Figur 3 zeigt ein weiteres Ausführungsbeispiel für ein Bahntechnikgerät 100, das als Fahrzeugsteuergerät 22 bei dem Schienenfahrzeug 20 gemäß Figur 1 eingesetzt werden kann. Im Unterschied zu dem Bahntechnikgerät 100 gemäß Figur 2 ist bei dem Bahntechnikgerät 100 gemäß Figur 3 ein zusätzlicher Sensor 150 vorgesehen, der zumindest eine physikalische Eigenschaft der Recheneinrichtung 110 überwacht. Beispielsweise kann es sich bei dem Sensor 150 um einen Temperatursensor handeln, der einen die Recheneinrichtung 110 betreffende Zustandsinformation in Form einer Temperatur der Recheneinrichtung 110 erfasst und einen entsprechenden Sensormesswert M bildet und diesem zu dem Ausfallvorhersagemodul AVM übermittelt.the figure 3 shows a further exemplary embodiment of a railway technology device 100, which is used as a vehicle control device 22 in the rail vehicle 20 according to FIG figure 1 can be used. In contrast to the railway technology device 100 according to figure 2 is in accordance with the railway engineering device 100 figure 3 an additional sensor 150 is provided, which monitors at least one physical property of computing device 110 . For example, sensor 150 can be a temperature sensor that detects status information relating to computing device 110 in the form of a temperature of computing device 110 and a corresponding sensor measurement value M forms and transmits this to the failure prediction module AVM.

Liegt eine Zustandsinformation des Sensors 150 in dem Ausfallvorhersagemodul AVM vor, wonach ein Ausfall der Recheneinrichtung 110 beispielsweise durch Überhitzung zu erwarten ist, so wird das Ausfallvorhersagemodul AVM ausgangsseitig ein entsprechendes Warnsignal WS erzeugen und zu der jeweils nächstliegenden streckenseitigen Kommunikationseinrichtung 50 gemäß Figur 1 übermitteln, damit streckenseitig die entsprechende Ausfallinformation rechtzeitig vorliegt.If there is status information from sensor 150 in the failure prediction module AVM, according to which a failure of the computing device 110 is to be expected, for example due to overheating, the failure prediction module AVM will generate a corresponding warning signal WS on the output side and send it to the nearest trackside communication device 50 in accordance with figure 1 transmit, so that the corresponding failure information is available on the track side in good time.

Die Figur 4 zeigt ein weiteres Ausführungsbeispiel für eine bahntechnische Anlage 10, bei der ein Schienenfahrzeug 20 auf einer Gleisanlage 30 fährt. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 ist auch die streckenseitige Kommunikationseinrichtung 50 mit einem Bahntechnikgerät 100 ausgestattet, wie es beispielhaft im Zusammenhang mit den Figuren 2 und 3 erläutert worden ist. Bezüglich der Ausgestaltungen des Bahntechnikgeräts 100 gemäß Figur 4 sei demgemäß auf die obigen Ausführungen im Zusammenhang mit den Figuren 2 und 3 verwiesen.the figure 4 shows a further exemplary embodiment of a railway system 10 in which a rail vehicle 20 runs on a track system 30 . In contrast to the embodiment according to figure 1 the trackside communication device 50 is also equipped with a railway technology device 100, as is exemplified in connection with figures 2 and 3 has been explained. With regard to the configurations of the railway technology device 100 according to FIG figure 4 is accordingly on the above statements in connection with the figures 2 and 3 referred.

Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.Although the invention has been illustrated and described in more detail by means of preferred exemplary embodiments, the invention is not restricted by the disclosed examples and other variations can be derived therefrom by a person skilled in the art without departing from the protective scope of the invention.

Claims (15)

Bahntechnikgerät (100) für eine bahntechnische Anlage (10) mit zumindest einer Recheneinrichtung (110) und zumindest einem Schlüsselspeicher (120) zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug (20) und streckenseitigen Einrichtungen (50) ermöglichen,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) mit einer Ausfallvorhersageeinrichtung (AVM) ausgestattet ist, die einen möglicherweise bevorstehenden Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) feststellen und ein den möglichen Ausfall anzeigendes Warnsignal (WS) ausgegeben kann.Railway engineering device (100) for a railway engineering system (10) with at least one computing device (110) and at least one key memory (120) for storing cryptographic keys, which enable encrypted and/or cryptographically secured transmission of data between the rail vehicle (20) and trackside facilities (50) enable
characterized in that the railway engineering device (100) is equipped with a failure prediction device (AVM) which can determine a possible imminent failure of at least one component of the railway engineering device (100) and output a warning signal (WS) indicating the possible failure. Bahntechnikgerät (100) nach Anspruch 1,
dadurch gekennzeichnet, dass - der Schlüsselspeicher (120) mit einer internen Speicherüberwachungseinrichtung (121) ausgestattet ist, die den Schlüsselspeicher (120) betreffende Zustandsinformationen (ZI) erfassen und auf Abfrage ausgeben kann, und - die Ausfallvorhersageeinrichtung (AVM) mit der internen Speicherüberwachungseinrichtung (121) in Verbindung steht und dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung (121) zumindest eine den Schlüsselspeicher (120) betreffende Zustandsinformation (ZI) auszulesen, auf der Basis der zumindest einen ausgelesenen Zustandsinformation (ZI) auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers (120) zu schließen und das Warnsignal (WS) auf der Basis der zumindest einen ausgelesenen Zustandsinformation (ZI) zu erzeugen. Railway technology device (100) according to claim 1,
characterized in that - the key memory (120) is equipped with an internal memory monitoring device (121) which can record status information (ZI) relating to the key memory (120) and output it on request, and - the failure prediction device (AVM) is connected to the internal memory monitoring device (121) and is designed to read at least one item of status information (ZI) relating to the key memory (120) from the internal memory monitoring device (121) at regular or irregular intervals, on the basis to conclude from the at least one piece of status information (ZI) that has been read out a possible complete or partial failure of the key memory (120) and to generate the warning signal (WS) on the basis of the at least one piece of status information (ZI) that has been read out. Bahntechnikgerät (100) nach Anspruch 2,
dadurch gekennzeichnet, dass - der Schlüsselspeicher (120) zum Speichern herangezogene Speicherblöcke sowie Reserveblöcke, die bei Ausfall eines oder mehrerer Speicherblöcke als Ersatz für die ausgefallenen Speicherblöcke eingesetzt werden, aufweist und - die Ausfallvorhersageeinrichtung (AVM) aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der bereits verwendeten Reserveblöcke ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl der bereits verwendeten Reserveblöcke erzeugt, insbesondere das Warnsignal (WS) erzeugt, sobald von der Speicherüberwachungseinrichtung (121) die Information eingeht, dass eine vorgegebene Anzahl, die vorzugsweise Eins beträgt, an Reserveblöcken als Ersatz für einen ausgefallenen Speicherblock eingesetzt wurde. Railway technology device (100) according to claim 2,
characterized in that - The key memory (120) used for storing memory blocks and reserve blocks that in the event of a failure or more memory blocks are used as a replacement for the failed memory blocks, and - the failure prediction device (AVM) reads the number of reserve blocks already used from the internal memory monitoring device (121) and generates the warning signal (WS) at least on the basis of the number of reserve blocks already used, in particular generates the warning signal (WS) as soon as the Memory monitoring device (121) receives the information that a predetermined number, which is preferably one, was used to reserve blocks as a replacement for a failed memory block. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 3,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestaltet ist, in regelmäßigen oder unregelmäßigen Abständen aus der internen Speicherüberwachungseinrichtung (121) zwei oder mehr Zustandsinformationen (ZI) auszulesen, auf der Basis der zwei oder mehr ausgelesenen Zustandsinformationen (ZI) auf einen möglichen vollständigen oder teilweisen Ausfall des Schlüsselspeichers (120) zu schließen und das Warnsignal (WS) auf der Basis der zwei oder mehr Zustandsinformation (ZI) zu erzeugen.Railway technology device (100) according to one of the preceding claims 2 to 3,
characterized in that the failure prediction device (AVM) is designed to read out two or more items of status information (ZI) from the internal memory monitoring device (121) at regular or irregular intervals, on the basis of the two or more items of status information (ZI) read out for a possible complete or to close partial failure of the key memory (120) and to generate the warning signal (WS) on the basis of the two or more pieces of status information (ZI). Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 4,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) - aus der internen Speicherüberwachungseinrichtung (121) die Lesefehlerrate beim Lesen des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Lesefehlerrate erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Lesefehlerrate einen vorgegebenen Lesefehlerratenmaximalwert überschreitet, und/oder - aus der internen Speicherüberwachungseinrichtung (121) die Löschfehlerrate beim Löschen des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Löschfehlerrate erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Löschfehlerrate einen vorgegebenen Löschfehlerratenmaximalwert überschreitet und/oder - aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der unkorrigierbaren Fehler des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl unkorrigierbarer Fehler erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl unkorrigierbarer Fehler einen vorgegebenen Maximalwert überschreitet und/oder - aus der internen Speicherüberwachungseinrichtung (121) die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl der Zeitüberschreitungen für Kommandos erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl der Zeitüberschreitungen für Kommandos an den Schlüsselspeicher (120) einen vorgegebenen Maximalwert überschreitet und/oder - aus der internen Speicherüberwachungseinrichtung (121) die Anzahl instabiler, das heißt zeitweise oder permanent nicht mehr lesbarer Sektoren des Schlüsselspeichers (120) ausliest und das Warnsignal (WS) zumindest auch auf der Basis der Anzahl instabiler Sektoren erzeugt, insbesondere das Warnsignal (WS) erzeugt, wenn die Anzahl der instabilen Sektoren des Schlüsselspeichers (120) einen vorgegebenen Maximalwert überschreitet. Railway technology device (100) according to one of the preceding claims 2 to 4,
characterized in that the failure prediction device (AVM) - reads the read error rate from the internal memory monitoring device (121) when reading the key memory (120) and generates the warning signal (WS) at least also on the basis of the read error rate, in particular generates the warning signal (WS) if the read error rate exceeds a predetermined maximum read error rate value, and /or - from the internal memory monitoring device (121) the deletion error rate when deleting the key memory (120) reads and generates the warning signal (WS) at least also on the basis of the erase error rate, in particular generates the warning signal (WS) when the erase error rate exceeds a predetermined erase error rate maximum value and/or - reads the number of uncorrectable errors in the key memory (120) from the internal memory monitoring device (121) and generates the warning signal (WS) at least also on the basis of the number of uncorrectable errors, in particular generates the warning signal (WS) if the number of uncorrectable errors is one exceeds the specified maximum value and/or - reads the number of timeouts for commands to the key memory (120) from the internal memory monitoring device (121) and generates the warning signal (WS) at least also on the basis of the number of timeouts for commands, in particular generates the warning signal (WS) if the number of timeouts for commands to the key memory (120) exceeds a predetermined maximum value and/or - reads the number of unstable sectors of the key memory (120), i.e. sectors that are temporarily or permanently no longer readable, from the internal memory monitoring device (121) and generates the warning signal (WS) at least on the basis of the number of unstable sectors, in particular the warning signal (WS) generated when the number of unstable sectors in the key store (120) exceeds a predetermined maximum value. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche 2 bis 5,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) S.M.A.R.T.-kompatibel ist und geeignet ist, - S.M.A.R.T.-kompatible Abfragen an die interne Speicherüberwachungseinrichtung (121) zu richten und - S.M.A.R.T.-kompatible Antworten der internen Speicherüberwachungseinrichtung (121) auszuwerten und das Warnsignal (WS) zumindest auch auf der Basis der S.M.A.R.T.-kompatiblen Antworten der internen Speicherüberwachungseinrichtung (121) zu erzeugen. Railway technology device (100) according to one of the preceding claims 2 to 5,
characterized in that the failure prediction device (AVM) is SMART compatible and is suitable - direct SMART-compatible queries to the internal memory monitor (121), and - Evaluate SMART-compatible responses from the internal memory monitoring device (121) and the warning signal (WS) at least also on the basis of the SMART-compatible generate internal memory monitor (121) responses. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass - das Bahntechnikgerät (100) geeignet ist, über ein Datenübertragungssystem (60) von einer streckenseitigen Schlüsselaustauscheinrichtung (40) neue kryptografische Schlüssel zu empfangen und diese als Ersatz für vorher im Schlüsselspeicher (120) abgespeicherte alte Schlüssel abzuspeichern, und - die Ausfallvorhersageeinrichtung (AVM) bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal (WS) an die Schlüsselaustauscheinrichtung (40) übermittelt. Railway technology device (100) according to one of the preceding claims,
characterized in that - the railway technology device (100) is suitable for receiving new cryptographic keys via a data transmission system (60) from a trackside key exchange device (40) and storing these as a replacement for old keys previously stored in the key memory (120), and - The failure prediction device (AVM) transmits the warning signal (WS) to the key exchange device (40) upon detection of a possible or imminent failure of the key memory (120). Bahntechnikgerät (100) nach Anspruch 7,
dadurch gekennzeichnet, dass - das Bahntechnikgerät (100) dazu ausgebildet ist, nach erfolgreichem Austausch alter Schlüssel durch neue Schlüssel jeweils ein positives Quittungssignal (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln, und - die Ausfallvorhersageeinrichtung (AVM) dazu ausgebildet ist, bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal (WS) zusammen mit dem oder als Bestandteil des Quittungssignals (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln. Railway technology device (100) according to claim 7,
characterized in that - the railway engineering device (100) is designed to transmit a positive acknowledgment signal (QS) to the key exchange device (40) after the old key has been successfully replaced by a new key, and - The failure prediction device (AVM) is designed to transmit the warning signal (WS) together with or as part of the acknowledgment signal (QS) to the key exchange device (40) when a possible or imminent failure of the key memory (120) is detected. Bahntechnikgerät (100) nach Anspruch 7 oder 8,
dadurch gekennzeichnet, dass - das Bahntechnikgerät (100) dazu ausgebildet ist, nach erfolglosem Austausch alter Schlüssel durch neue Schlüssel jeweils ein negatives Quittungssignal (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln, und - die Ausfallvorhersageeinrichtung (AVM) dazu ausgebildet ist, bei Feststellung eines möglichen oder bevorstehenden Ausfalls des Schlüsselspeichers (120) das Warnsignal zusammen mit dem oder als Bestandteil des Quittungssignals (QS) an die Schlüsselaustauscheinrichtung (40) zu übermitteln. Railway technology device (100) according to claim 7 or 8,
characterized in that - the railway technology device (100) is designed to transmit a negative acknowledgment signal (QS) to the key exchange device (40) after an unsuccessful exchange of old keys with new keys, and - The failure prediction device (AVM) is designed to, upon detection of a possible or imminent Failure of the key memory (120) to transmit the warning signal together with or as part of the acknowledgment signal ( QS ) to the key exchange device (40). Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) - ein Fahrzeugsteuergerät, insbesondere ein ETCS-kompatibles Fahrzeugsteuergerät ist, das kryptografische Informationen nichtflüchtig speichert, oder ein - ortsfestes Streckengerät (50) ist, insbesondere ein ETCS-kompatibles Streckengerät, das kryptografische Informationen nichtflüchtig speichert, oder eine streckenseitige Schlüsselverteileinrichtung (40) ist. Railway technology device (100) according to one of the preceding claims,
characterized in that the railway technology device (100) - A vehicle control unit, in particular an ETCS-compatible vehicle control unit, which stores cryptographic information in a non-volatile manner, or a - Stationary track device (50), in particular an ETCS-compatible track device that stores cryptographic information in a non-volatile manner, or a key distribution device (40) on the track. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass - das Bahntechnikgerät (100) zusätzlich zu dem Schlüsselspeicher (120) einen flüchtigen Hauptspeicher (130) aufweist und - die Ausfallvorhersageeinrichtung (AVM) dazu ausgestaltet ist, einen möglichen oder bevorstehenden Ausfall des flüchtigen Hauptspeichers (130) zu erkennen und ein den möglichen Ausfall des Hauptspeichers (130) anzeigendes Warnsignal (WS) auszugegeben. Railway technology device (100) according to one of the preceding claims,
characterized in that - the railway technology device (100) has a volatile main memory (130) in addition to the key memory (120) and - the failure prediction device (AVM) is designed to detect a possible or imminent failure of the volatile main memory (130) and output a warning signal (WS) indicating the possible failure of the main memory (130). Bahntechnikgerät (100) nach Anspruch 11,
dadurch gekennzeichnet, dass die Ausfallvorhersageeinrichtung (AVM) dazu ausgestattet ist, Paritätsfehler des Hauptspeichers (130) zu erkennen und ein den möglichen oder bevorstehenden Ausfall des Hauptspeichers (130) anzeigendes Warnsignal (WS) auf der Basis der Paritätsfehler zu erzeugen.Railway technology device (100) according to claim 11,
characterized in that the failure prediction means (AVM) is arranged to detect parity errors of the main memory (130) and to generate a warning signal (WS) indicating the possible or impending failure of the main memory (130) on the basis of the parity errors. Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass - die Recheneinrichtung (110) zumindest einen Sensor (150), insbesondere Temperatursensor, aufweist, der zumindest eine die Recheneinrichtung (110) betreffende Zustandsinformationen (ZI), insbesondere die Temperatur der Recheneinrichtung (110), unter Bildung eines Sensormesswerts (M) erfassen kann und - die Ausfallvorhersageeinrichtung (AVM) derart ausgestaltet ist, dass sie ein einen möglichen oder bevorstehenden Ausfall der Recheneinrichtung (110) angebendes Warnsignal (WS) zumindest auch auf der Basis des Sensormesswerts (M) des Sensors (150) erzeugt. Railway technology device (100) according to one of the preceding claims,
characterized in that - the computing device (110) has at least one sensor (150), in particular a temperature sensor, which can record at least one item of status information (ZI) relating to the computing device (110), in particular the temperature of the computing device (110), while forming a sensor measurement value (M). and - the failure prediction device (AVM) is designed in such a way that it generates a warning signal (WS) indicating a possible or impending failure of the computing device (110), at least also on the basis of the sensor measurement value (M) of the sensor (150). Eisenbahntechnische Anlage (10) oder Schienenfahrzeug (20) für eine eisenbahntechnische Anlage (10),
dadurch gekennzeichnet, dass die eisenbahntechnische Anlage (10) oder das Schienenfahrzeug (20) mit einem Bahntechnikgerät (100) nach einem der voranstehenden Ansprüche ausgestattet ist.Railway system (10) or rail vehicle (20) for a railway system (10),
characterized in that the railway system (10) or the rail vehicle (20) is equipped with a railway system device (100) according to one of the preceding claims. Verfahren zum Betreiben eines Bahntechnikgeräts (100), das mit zumindest einer Recheneinrichtung (110) und zumindest einem Schlüsselspeicher (120) zum Abspeichern von kryptografischen Schlüsseln, die eine verschlüsselte und/oder kryptografisch gesicherte Übertragung von Daten zwischen dem Schienenfahrzeug (20) und streckenseitigen Einrichtungen (50) ermöglichen, ausgestattet ist,
dadurch gekennzeichnet, dass das Bahntechnikgerät (100) auf einen möglichen Ausfall zumindest einer Komponente des Bahntechnikgeräts (100) überwacht wird und ein den möglichen oder bevorstehenden Ausfall anzeigendes Warnsignal (WS) ausgegeben wird, wenn ein Überwachungsergebnis der Überwachung auf einen möglichen Ausfall hindeutet.Method for operating a railway engineering device (100), which has at least one computing device (110) and at least one key memory (120) for storing cryptographic keys, which enable encrypted and/or cryptographically secured transmission of data between the rail vehicle (20) and trackside devices (50) enable, equipped,
characterized in that the railway engineering device (100) is monitored for a possible failure of at least one component of the railway engineering device (100) and a warning signal (WS) indicating the possible or imminent failure is output if a monitoring result of the monitoring indicates a possible failure.
EP22155143.5A 2021-03-16 2022-02-04 Railway technology device for a railway system and method for its operation Pending EP4059803A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021202528.5A DE102021202528A1 (en) 2021-03-16 2021-03-16 Railway engineering device for a railway engineering system and method for its operation

Publications (1)

Publication Number Publication Date
EP4059803A1 true EP4059803A1 (en) 2022-09-21

Family

ID=80218430

Family Applications (1)

Application Number Title Priority Date Filing Date
EP22155143.5A Pending EP4059803A1 (en) 2021-03-16 2022-02-04 Railway technology device for a railway system and method for its operation

Country Status (2)

Country Link
EP (1) EP4059803A1 (en)
DE (1) DE102021202528A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3459810A1 (en) * 2017-09-26 2019-03-27 Siemens Mobility GmbH Method for predicting a failure of a sensor
WO2021006940A1 (en) * 2019-07-10 2021-01-14 Pure Storage, Inc. Generating tags for data allocation

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007041177B4 (en) 2007-08-27 2009-04-30 Siemens Ag ETCS online key management process
DE102014212516A1 (en) 2014-06-27 2015-12-31 Siemens Aktiengesellschaft Checking the authenticity of a balise
DE102015205546A1 (en) 2015-03-26 2016-09-29 Siemens Aktiengesellschaft Method of operating a train protection system and train protection system
EP3528524A1 (en) 2018-02-20 2019-08-21 Siemens Aktiengesellschaft Control unit and method for manipulation-proof detection of operating safety-related integrity monitoring data
DE102019208925A1 (en) 2019-06-19 2020-12-24 Siemens Mobility GmbH Procedure for generic display security and operating system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3459810A1 (en) * 2017-09-26 2019-03-27 Siemens Mobility GmbH Method for predicting a failure of a sensor
WO2021006940A1 (en) * 2019-07-10 2021-01-14 Pure Storage, Inc. Generating tags for data allocation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANSALDO ET AL: "On-line Key Management FFFIS Subset 137", 17 December 2015 (2015-12-17), pages 1 - 65, XP055941190, Retrieved from the Internet <URL:https://www.era.europa.eu/sites/default/files/filesystem/ertms/ccs_tsi_annex_a_-_mandatory_specifications/set_of_specifications_3_etcs_b3_r2_gsm-r_b1/index083_-_subset-137_v100.pdf> [retrieved on 20220712] *
SMITH J ET AL: "Security as a safety issue in rail communications", ADVANCES IN ONTOLOGIES, AUSTRALIAN COMPUTER SOCIETY, INC, P.O. BOX 319 DARLINGHURST, NSW 2010 AUSTRALIA, 1 October 2003 (2003-10-01), pages 79 - 88, XP058177277, ISSN: 1445-1336, ISBN: 978-1-920682-36-1 *

Also Published As

Publication number Publication date
DE102021202528A1 (en) 2022-09-22

Similar Documents

Publication Publication Date Title
EP2882626B1 (en) Method and arrangement for monitoring a route section which is bounded by two axle-counting sensor units
WO2016096599A1 (en) Method and apparatus for repercussion-free capture of data
DE102010006949B4 (en) Method and apparatus for monitoring train completion
WO2019175006A1 (en) Method for exchanging data with a vehicle control unit
EP3137363A1 (en) Checking the authenticity of a balise
DE112008000795T5 (en) In-vehicle forwarding connection unit
WO2019042615A1 (en) System and method for acquiring operating data of a rail vehicle
WO2019161958A1 (en) Control unit and method for the tamper-proof detection of operational safety-related integrity monitoring data
DE102018112584A1 (en) Configurable sensor device and method for monitoring its configuration
EP4059803A1 (en) Railway technology device for a railway system and method for its operation
EP1024639A1 (en) Method and device for determining of a data transfer reliability
WO2008119444A1 (en) Data recording system and method for acquiring data by means of a data recording system
DE10107571A1 (en) System for communications between adjacent vehicle units in compound vehicle has short distance communications devices mutually offset relative to central axis of compound vehicle
WO2004066219A1 (en) Mobile data transmission method and system
EP4034448A1 (en) Method for monitoring functions of a balise and reader suitable therefor
DE69924012T2 (en) PROCESS AND DEVICE FOR MEMORY DATA ERROR DETECTION AND MEMORY MODULE ERROR DETECTION
DE102019212065A1 (en) Method for logging a usage history of a battery system as well as battery system and motor vehicle
AT524500B1 (en) Method and system for operating a railway system
DE102019202764A1 (en) INTELLIGENT VIDEO SURVEILLANCE SYSTEM
EP1469627A1 (en) Method for secure data transfer
EP1813499A2 (en) System, in particular a railway system, with vehicles moving along a route and method for safe control of the vehicles
DE10105027C1 (en) Method for generating an alarm signal indicating a bearing damage to an axle bearing
DE102019208669B3 (en) Sensor arrangement for monitoring a technical system and method for operating a sensor arrangement
EP2002446B1 (en) Method for operating a memory unit comprising the marking of memory blocks that are identified as defective
EP3743322B1 (en) Measuring arrangement and method for detecting a derailment

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221005

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR