用于識(shí)別對(duì)車(chē)輛網(wǎng)絡(luò)的操縱的方法和控制單元的制作方法
【專(zhuān)利摘要】用于對(duì)車(chē)輛（1）的至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）進(jìn)行操縱識(shí)別的方法，具有以下步驟：確定至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的數(shù)字指紋，將至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的數(shù)字指紋與參考信息進(jìn)行比較，根據(jù)比較的結(jié)果適配至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的功能，使得保證運(yùn)行安全性/安全性，如果未識(shí)別到對(duì)至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的操縱則激活正常控制模式或者如果識(shí)別到對(duì)至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的操縱則激活運(yùn)行安全控制模式。用于對(duì)車(chē)輛（1）的至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）進(jìn)行操縱識(shí)別的控制單元，其特征在于，根據(jù)至少一個(gè)車(chē)輛網(wǎng)絡(luò)（2）的數(shù)字指紋與控制網(wǎng)絡(luò)（21）的參考信息的比較的結(jié)果來(lái)執(zhí)行控制任務(wù)。
【專(zhuān)利說(shuō)明】用于識(shí)別對(duì)車(chē)輛網(wǎng)絡(luò)的操縱的方法和控制單元
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全性或完整性的監(jiān)控用以維持運(yùn)行安全性/安全性和用于維持攻擊安全性/防護(hù)性用以保護(hù)免受由操縱引起的損壞。
【背景技術(shù)】
[0002]越來(lái)越多地使用基于以太網(wǎng)或基于IP的數(shù)據(jù)傳輸，用以執(zhí)行控制和監(jiān)控任務(wù)。因此各種車(chē)輛、尤其是有軌車(chē)輛擁有用于執(zhí)行車(chē)輛控制以及用于其他運(yùn)行功能的數(shù)據(jù)網(wǎng)絡(luò)。
[0003]車(chē)輛協(xié)會(huì)的車(chē)輛或有軌車(chē)輛的控制和監(jiān)控任務(wù)的準(zhǔn)確的、按規(guī)定的實(shí)施需要，控制網(wǎng)絡(luò)和經(jīng)由其所連接的控制組件、諸如控制計(jì)算機(jī)、具有傳感器和執(zhí)行器的子系統(tǒng)或現(xiàn)場(chǎng)組件按規(guī)定地起作用。但是在控制網(wǎng)絡(luò)被操縱時(shí)，這不被保證，因?yàn)樗鶄鬏數(shù)目刂坪蜏y(cè)量數(shù)據(jù)可能被改變。由此，按規(guī)定的運(yùn)行受影響。也許對(duì)于車(chē)輛的運(yùn)行安全性可能不再按規(guī)定地滿(mǎn)足所需要的功能。
[0004]用于車(chē)輛網(wǎng)絡(luò)的保護(hù)措施以不同的形式已知。因此可以以接入保護(hù)的方式安裝控制網(wǎng)絡(luò)。這例如在特定電纜檢查井中發(fā)生，使得所述控制網(wǎng)絡(luò)對(duì)于局外設(shè)備不可接入并且因此操縱可以被阻止。但是這是成本耗費(fèi)的和由于耗費(fèi)的安裝和維護(hù)工作的執(zhí)行而一般不能被實(shí)施。如果例如僅需要除去或旋開(kāi)蓋板，簡(jiǎn)單的物理保護(hù)措施可以相對(duì)簡(jiǎn)單地被回避。
[0005]控制網(wǎng)絡(luò)大多在邏輯上是閉合的，也即不與外部網(wǎng)絡(luò)連接或不與外部網(wǎng)絡(luò)直接連接。通過(guò)所謂的“防火墻”，至少可以在選擇允許與外部網(wǎng)絡(luò)交換的數(shù)據(jù)的意義上限制數(shù)據(jù)通信業(yè)務(wù)。因此，從外部的基于網(wǎng)絡(luò)的攻擊是不可能的或僅以耗費(fèi)的方式是可能的。
[0006]但是通過(guò)所述措施不構(gòu)建免受對(duì)車(chē)輛操縱的保護(hù)，使得數(shù)據(jù)在車(chē)輛網(wǎng)絡(luò)內(nèi)仍可以被操縱。
[0007]此外已知的是,在傳輸時(shí)通過(guò)諸如“CRC值/循環(huán)冗余校驗(yàn)(Cyclic RedundancyCheck)”循環(huán)冗余校驗(yàn)的校驗(yàn)和來(lái)保護(hù)數(shù)據(jù)。這些校驗(yàn)和僅僅適用于識(shí)別隨機(jī)傳輸誤差。從而不能實(shí)現(xiàn)免受故意操作的保護(hù)，因?yàn)楣粽吣軌蛞院?jiǎn)單的方式計(jì)算由其所操縱的數(shù)據(jù)的有效CRC值。
[0008]同樣，密碼校驗(yàn)和是已知的，諸如“消息鑒權(quán)碼”或“數(shù)字簽名”。在此所傳輸?shù)臄?shù)據(jù)、例如用于車(chē)輛的控制數(shù)據(jù)在發(fā)送時(shí)被補(bǔ)充有密碼校驗(yàn)和。該密碼校驗(yàn)和在接收時(shí)被檢驗(yàn)。僅被正確檢驗(yàn)的數(shù)據(jù)被進(jìn)一步處理。例如可以用“MACseWlPsec”或“SSL/TLS”對(duì)通信加密。在此，所傳輸?shù)臄?shù)據(jù)通過(guò)密碼校驗(yàn)和來(lái)保護(hù)。這樣的密碼保護(hù)僅能耗費(fèi)地事后作為自動(dòng)化組件中的集成來(lái)實(shí)現(xiàn)。單獨(dú)的加密前置組件同樣是耗費(fèi)的。此外，加密校驗(yàn)和的計(jì)算以及檢驗(yàn)由于計(jì)算耗費(fèi)的密碼運(yùn)算導(dǎo)致延遲，這尤其是在實(shí)時(shí)關(guān)鍵的控制和調(diào)節(jié)任務(wù)情況下是不希望的。
[0009]此外，所謂“侵入探測(cè)系統(tǒng)”是已知的，所述侵入探測(cè)系統(tǒng)監(jiān)控出現(xiàn)的網(wǎng)絡(luò)通信業(yè)務(wù)。在“可疑的”網(wǎng)絡(luò)通信業(yè)務(wù)情況下觸發(fā)警報(bào)。在此可以識(shí)別網(wǎng)絡(luò)通信業(yè)務(wù)的已知攻擊模式、所謂的攻擊簽名。但是由此僅能識(shí)別特定的、已經(jīng)已知的攻擊。通過(guò)諸如識(shí)別描述網(wǎng)絡(luò)通信業(yè)務(wù)的統(tǒng)計(jì)參量的顯著變化的啟發(fā)式方法，嘗試也識(shí)別迄今未知的攻擊。由此通過(guò)分析諸如網(wǎng)絡(luò)服務(wù)的使用頻率和訪(fǎng)問(wèn)持續(xù)時(shí)間的統(tǒng)計(jì)特征值的顯著變化僅僅能夠識(shí)別攻擊。在此，在隨機(jī)波動(dòng)情況下，可能容易有誤地探測(cè)出主觀(guān)想象的攻擊。
[0010]由此基于統(tǒng)計(jì)特征值的啟發(fā)性攻擊識(shí)別方法是不可靠的并且在實(shí)際上最多以補(bǔ)充的方式被使用。
[0011]利用在網(wǎng)絡(luò)中的自動(dòng)拓?fù)渥R(shí)別，例如借助于“LLDP”、“CDP”、“SNMP”或“廣播Ping”確定所有相連接的網(wǎng)絡(luò)設(shè)備。通過(guò)“LLDP”也可以確定網(wǎng)絡(luò)電纜線(xiàn)路的拓?fù)洹?br> [0012]具有標(biāo)題“Methodand System for IP Train Inauguration，，的US 2006/0180709描述了在基于IP的列車(chē)控制網(wǎng)絡(luò)中運(yùn)行的列車(chē)設(shè)定裝置(Zugtaufe)。在此，尤其是根據(jù)引導(dǎo)車(chē)輛設(shè)計(jì)的列車(chē)拓?fù)浣柚诰W(wǎng)絡(luò)識(shí)別來(lái)確定。與此有關(guān)地配置“路由選擇”和IP地址轉(zhuǎn)換 /NAT。

【發(fā)明內(nèi)容】

[0013]本發(fā)明所基于的任務(wù)是，確定車(chē)輛網(wǎng)絡(luò)處的、尤其是有軌車(chē)輛的車(chē)輛網(wǎng)絡(luò)處的變化并且防止危及完整性、也即危及運(yùn)行安全性/安全性和攻擊安全性/防護(hù)性。
[0014]通過(guò)獨(dú)立表達(dá)的權(quán)利要求的相應(yīng)的特征組合來(lái)解決該任務(wù)。
[0015]本發(fā)明基于以下認(rèn)識(shí):可以識(shí)別對(duì)車(chē)輛網(wǎng)絡(luò)的不同的操縱或惡意破壞，其中通過(guò)所述不同的操縱或惡意破壞危及在車(chē)輛處的控制功能的正確執(zhí)行。如果運(yùn)行安全狀態(tài)不能得以保證，則不能實(shí)現(xiàn)正常的運(yùn)行。
[0016]為了正常地運(yùn)行車(chē)輛，一般需要車(chē)輛網(wǎng)絡(luò)的完整性。故意或非故意類(lèi)型的或由于技術(shù)故障引起的變化可能隨時(shí)出現(xiàn)。完整性包括運(yùn)行安全性/安全性、保護(hù)免受傳輸故障、和攻擊安全性/防護(hù)性，尤其是保護(hù)免受故意的變化。
[0017]車(chē)輛、尤其是有軌車(chē)輛處的操縱識(shí)別通過(guò)以下方式實(shí)現(xiàn)，即車(chē)輛網(wǎng)絡(luò)的數(shù)字指紋被確定并且與所存放的參考信息比較。車(chē)輛網(wǎng)絡(luò)的數(shù)字指紋表征車(chē)輛網(wǎng)絡(luò)的當(dāng)前存在的配置、也即所連接的網(wǎng)絡(luò)組件(例如控制設(shè)備)的數(shù)目和/或所連接的網(wǎng)絡(luò)組件的標(biāo)識(shí)信息的集合。網(wǎng)絡(luò)組件的標(biāo)識(shí)信息可以例如通過(guò)諸如MAC地址、IP地址的其網(wǎng)絡(luò)地址或通過(guò)其類(lèi)型和其序列號(hào)給出。車(chē)輛網(wǎng)絡(luò)的數(shù)字指紋也可以包括表征網(wǎng)絡(luò)拓?fù)涞男畔?，也即所述信息描述哪些網(wǎng)絡(luò)組件直接與哪些或哪個(gè)其他網(wǎng)絡(luò)組件相連接并且經(jīng)由哪個(gè)接口連接。根據(jù)比較的結(jié)果，適配與所考慮的車(chē)輛網(wǎng)絡(luò)相連接的控制單元的控制功能，所述控制單元尤其是是控制計(jì)算機(jī)。
[0018]對(duì)于在該比較情況下有偏差的情況，轉(zhuǎn)換到所謂的安全性控制或運(yùn)行安全狀態(tài)。因此在對(duì)車(chē)輛網(wǎng)絡(luò)的有關(guān)操縱情況下通過(guò)操作識(shí)別和接著轉(zhuǎn)換到安全性控制來(lái)防止:可能發(fā)生對(duì)人員的傷害或?qū)υO(shè)備/車(chē)輛的損害。在此可以使用按標(biāo)準(zhǔn)存在的安全性功能，以便對(duì)付有關(guān)的事故或限制由所述事故造成的損壞。
[0019]所確定的比較信息相對(duì)于所存儲(chǔ)的參考信息被檢驗(yàn)，以便確定車(chē)輛網(wǎng)絡(luò)的實(shí)際網(wǎng)絡(luò)配置是否對(duì)應(yīng)于參考信息。因此，識(shí)別出對(duì)車(chē)輛網(wǎng)絡(luò)的操縱。
[0020]重要的是，識(shí)別對(duì)車(chē)輛的控制網(wǎng)絡(luò)的操縱。例如當(dāng)附加網(wǎng)絡(luò)設(shè)備與車(chē)輛網(wǎng)絡(luò)連接時(shí)可以識(shí)別這一點(diǎn)，其方式是，所連接的網(wǎng)絡(luò)組件的數(shù)目高于所存儲(chǔ)的參考值。也可以根據(jù)網(wǎng)絡(luò)組件的不同標(biāo)識(shí)信息識(shí)別出一個(gè)網(wǎng)絡(luò)設(shè)備被另一個(gè)網(wǎng)絡(luò)設(shè)備替換。也可以識(shí)別電纜線(xiàn)路的轉(zhuǎn)接。[0021]比較信息或參考信息可以被理解為車(chē)輛網(wǎng)絡(luò)的數(shù)字參考指紋。
[0022]“數(shù)字指紋”分別表征單個(gè)車(chē)輛網(wǎng)絡(luò)2。
[0023]如果用于控制車(chē)輛所使用的控制網(wǎng)絡(luò)的所確定的數(shù)字指紋與所存儲(chǔ)的參考指紋匹配，則車(chē)輛控制裝置執(zhí)行正常的控制。在偏差情況下，受限制地運(yùn)行或去激活車(chē)輛，以便將所述車(chē)輛保持在運(yùn)行安全狀態(tài)。
[0024]有利的是，使用基于以太網(wǎng)或IP的車(chē)輛網(wǎng)絡(luò)，其僅與已知組件根據(jù)固定電纜線(xiàn)路連接。這意味著，涉及具有固定配置的閉合網(wǎng)絡(luò)。這適用于以下情況，即只要沒(méi)有探測(cè)到控制網(wǎng)絡(luò)的所確定的指紋與所存儲(chǔ)的參考指紋的偏差，則在車(chē)輛控制網(wǎng)絡(luò)處進(jìn)行了操縱識(shí)另IJ。根據(jù)本發(fā)明，在比較時(shí)可以容易地識(shí)別與所述固定網(wǎng)絡(luò)配置的偏差。有利的是，在出現(xiàn)與所存放的固定配置的偏差情況下適配車(chē)輛控制。由此即使在故意或無(wú)意地操縱的車(chē)輛控制網(wǎng)絡(luò)時(shí)也可以避免有誤的控制。由此實(shí)現(xiàn)防止危及乘客的目的。
[0025]在“數(shù)字指紋”和參考信息之間執(zhí)行比較可以通過(guò)控制單元(諸如在車(chē)輛網(wǎng)絡(luò)范圍中的控制計(jì)算機(jī))本身來(lái)執(zhí)行。但是同樣可以將比較的結(jié)果輸送給另外的控制單元。這可以經(jīng)由控制網(wǎng)絡(luò)本身或經(jīng)由單獨(dú)的控制線(xiàn)路進(jìn)行。
[0026]使用可存儲(chǔ)器編程的控制單元是有利的。由此可以進(jìn)行空調(diào)、門(mén)、傳動(dòng)裝置、制動(dòng)裝置等的操控。
[0027]尤其是對(duì)于車(chē)輛的運(yùn)行安全狀態(tài)，可以在轉(zhuǎn)發(fā)時(shí)以密碼方式保護(hù)比較或檢驗(yàn)結(jié)果。這例如可以通過(guò)所謂的“消息鑒權(quán)碼/MAC”或通過(guò)“數(shù)字簽名”實(shí)現(xiàn)。由此該信息獲得所述信息不能被操縱的狀態(tài)。
[0028]為了識(shí)別操縱，有利地可以考慮網(wǎng)絡(luò)電纜線(xiàn)路的拓?fù)渫暾缘臋z驗(yàn)。拓?fù)渫暾员焕斫鉃?與車(chē)輛控制網(wǎng)絡(luò)連接的網(wǎng)絡(luò)組件的網(wǎng)絡(luò)接口的連接通過(guò)網(wǎng)絡(luò)電纜不被改變。即使數(shù)據(jù)通信是可能的，則在錯(cuò)誤連接的網(wǎng)絡(luò)電纜情況下例如也不排除在一些網(wǎng)絡(luò)連接上的網(wǎng)絡(luò)過(guò)負(fù)荷，或者在網(wǎng)絡(luò)電纜上在網(wǎng)絡(luò)連接上的實(shí)時(shí)關(guān)鍵的網(wǎng)絡(luò)控制通信可能被另外的數(shù)據(jù)通信干擾，所述另外的數(shù)據(jù)通信在如所設(shè)置的所連接的網(wǎng)絡(luò)電纜情況下不會(huì)存在。在此檢驗(yàn)，設(shè)備是否如平常那樣接線(xiàn)或組件或網(wǎng)絡(luò)電纜是否例如被轉(zhuǎn)接。此外可以檢驗(yàn)，正常的設(shè)備是否可達(dá)并且確定的、不期望的設(shè)備也實(shí)際上不可達(dá)。可以檢驗(yàn)，未被占用的網(wǎng)絡(luò)端子是否實(shí)際上是未被占用的。在此可以考慮，各個(gè)控制設(shè)備可以由車(chē)輛服務(wù)關(guān)斷。因此在搜索操縱時(shí)可以將組件缺乏立即歸為負(fù)的、也即不允許的偏差。
[0029]此外有利的是，使用物理傳感器用于監(jiān)控網(wǎng)絡(luò)電纜線(xiàn)路。因此例如可以監(jiān)控以數(shù)字方式、也即僅斷開(kāi)或僅接通地被控制的部件。
[0030]在另一變型方案中，考慮物理傳輸參數(shù)用于分析。在此，確定網(wǎng)絡(luò)電纜線(xiàn)路的脈沖應(yīng)答并且與參考值進(jìn)行比較。以網(wǎng)絡(luò)電纜更換形式或?qū)W(wǎng)絡(luò)電纜的物理操縱形式的操縱因此可以被識(shí)別。
[0031]此外有利的是，借助于IP地址或MAC地址標(biāo)識(shí)外來(lái)設(shè)備或更換設(shè)備。連接在車(chē)輛網(wǎng)絡(luò)上的組件被標(biāo)識(shí)或鑒權(quán)。在此，其設(shè)備類(lèi)型按照諸如制造商、型號(hào)、序列號(hào)等準(zhǔn)則來(lái)確定。此外，密碼設(shè)備鑒權(quán)可以進(jìn)行。在此，對(duì)所連接的設(shè)備的鑒權(quán)可以借助于口令、密碼密鑰或數(shù)字設(shè)備證書(shū)來(lái)執(zhí)行。該詢(xún)問(wèn)可以在操縱識(shí)別本身的范圍中被執(zhí)行或者在鑒權(quán)另外的組件時(shí)發(fā)生的通信通過(guò)操縱識(shí)別被監(jiān)控和分析。此外，測(cè)試數(shù)據(jù)可以經(jīng)由車(chē)輛網(wǎng)絡(luò)被傳輸，以便驗(yàn)證其正確的傳輸。[0032]借助于控制單元根據(jù)控制網(wǎng)絡(luò)的檢驗(yàn)的結(jié)果執(zhí)行至少一個(gè)控制任務(wù)。在此，用于運(yùn)行的控制設(shè)備的功能性被釋放、受限制地被釋放或被去激活?？梢詫⑷ゼせ钜话愕乩斫鉃檐?chē)輛的自安全運(yùn)行狀態(tài)。作為特別的服務(wù)可以將釋放通知發(fā)送給控制設(shè)備。由此實(shí)現(xiàn)，設(shè)備即使在對(duì)控制網(wǎng)絡(luò)的當(dāng)前操縱的情況下也不能切換到非運(yùn)行安全的運(yùn)行狀態(tài)下?？梢詫?shí)現(xiàn)車(chē)輛的受限制的運(yùn)行，諸如以有限的行駛速度或可見(jiàn)行駛(Fahren auf Sicht)。
[0033]附加的優(yōu)點(diǎn)從在耦合多個(gè)車(chē)輛網(wǎng)絡(luò)情況下使用控制計(jì)算機(jī)中得出，以便將允許的通信限制于網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)。一般，存在不同的車(chē)輛子網(wǎng)絡(luò)，諸如旅客網(wǎng)絡(luò)、運(yùn)營(yíng)商網(wǎng)絡(luò)等，其通常完全從車(chē)輛網(wǎng)絡(luò)退耦，所述車(chē)輛網(wǎng)絡(luò)負(fù)責(zé)控制車(chē)輛。在用于操縱識(shí)別的方法流程中，可以置入計(jì)算，其中為了繼續(xù)運(yùn)行車(chē)輛必須滿(mǎn)足附加準(zhǔn)則。因此可以例如檢驗(yàn)，具有防火墻功能性的網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)實(shí)際上真實(shí)地阻止在車(chē)輛控制網(wǎng)絡(luò)和經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)連接的運(yùn)營(yíng)商網(wǎng)絡(luò)或旅客網(wǎng)絡(luò)之間的不允許的通信。但是如果這樣的不允許的通信是可能的，例如因?yàn)榫W(wǎng)絡(luò)電纜錯(cuò)誤地被插接至網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)或者因?yàn)榫W(wǎng)絡(luò)耦合器/網(wǎng)關(guān)的防火墻功能性不按規(guī)定地起作用，則故障被探測(cè)出來(lái)，也即操縱識(shí)別識(shí)別出偏差/操縱。
[0034]為了跟蹤故障通知，可以發(fā)生到故障存儲(chǔ)器中的錄入。這同樣適用于檢驗(yàn)的正結(jié)果。
[0035]此外，如果數(shù)據(jù)的傳輸被傳輸給陸地側(cè)單元，例如經(jīng)由“WLAN”或移動(dòng)無(wú)線(xiàn)電網(wǎng)絡(luò)、諸如 “ GSM”、“ GPRS ”、“ UMTS ”、“ WIMAX ” 等，則得出優(yōu)點(diǎn)。
[0036]用于識(shí)別操縱的方法可以在不同時(shí)間被應(yīng)用，該方法可以規(guī)則地、持續(xù)地或可選地被調(diào)用。該方法例如可以在以下條件下被激活:
-在結(jié)束用于釋放來(lái)運(yùn)行的維護(hù)模式時(shí)，
-在激活控制功能時(shí)，
-在切換操作者以進(jìn)行新操作者的鑒權(quán)時(shí)，
-在進(jìn)行中的運(yùn)行中。
[0037]車(chē)輛、尤其是有軌車(chē)輛可以擁有車(chē)輛網(wǎng)或者車(chē)輛網(wǎng)絡(luò)，例如以便實(shí)施不同的車(chē)輛網(wǎng)絡(luò)任務(wù)或車(chē)輛控制任務(wù)。這里要列舉的是:
?傳動(dòng)網(wǎng)絡(luò)，
?制動(dòng)網(wǎng)絡(luò)，
?列車(chē)保險(xiǎn)網(wǎng)絡(luò)，
?空調(diào)控制網(wǎng)絡(luò)，
?門(mén)控制網(wǎng)絡(luò)，
?旅客信息網(wǎng)絡(luò)或者 ?視頻監(jiān)控網(wǎng)絡(luò)。
[0038]監(jiān)控可以涉及這些車(chē)輛網(wǎng)絡(luò)中的單個(gè)車(chē)輛網(wǎng)絡(luò)。也可能的是，在一個(gè)車(chē)輛網(wǎng)絡(luò)上實(shí)現(xiàn)多個(gè)車(chē)輛網(wǎng)絡(luò)任務(wù)。因此例如傳動(dòng)網(wǎng)絡(luò)和制動(dòng)網(wǎng)絡(luò)可以重合。各個(gè)車(chē)輛網(wǎng)絡(luò)可以經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)連接。
[0039]在另一變型方案中，監(jiān)控車(chē)輛網(wǎng)絡(luò)的完整性并且在偏差情況下阻止或限制與車(chē)輛網(wǎng)絡(luò)的數(shù)據(jù)通信。如果例如識(shí)別出，運(yùn)營(yíng)商網(wǎng)絡(luò)或用于例如空調(diào)控制或照明控制的控制網(wǎng)絡(luò)與已知的參考配置不同，因?yàn)閭溆迷O(shè)備或維護(hù)設(shè)備與該車(chē)輛網(wǎng)絡(luò)連接，則可以將網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)與另外的子網(wǎng)、例如車(chē)輛的控制網(wǎng)絡(luò)或制動(dòng)網(wǎng)絡(luò)連接。此外，可以限制或阻止所考慮的車(chē)輛控制網(wǎng)絡(luò)與另外的網(wǎng)絡(luò)的數(shù)據(jù)通信。因此防止，任何車(chē)輛網(wǎng)絡(luò)的變化危險(xiǎn)地影響另外的車(chē)輛網(wǎng)絡(luò)的可靠運(yùn)行。
[0040]特別有利的是，參考信息不僅可以固定地被預(yù)先給定，而且在變型方案中可以被訓(xùn)練。在車(chē)輛維護(hù)(其中有缺陷的控制設(shè)備被替換)時(shí)，車(chē)輛網(wǎng)絡(luò)的指紋也改變。為了不必明確地由操作人員存儲(chǔ)參考指紋，在結(jié)束維護(hù)時(shí)或在結(jié)束車(chē)輛維護(hù)模式時(shí)可以確定車(chē)輛網(wǎng)絡(luò)的當(dāng)前存在的指紋并且將其作為新的參考指紋進(jìn)行存儲(chǔ)。這可以通過(guò)車(chē)輛的控制設(shè)備進(jìn)行或者通過(guò)所連接的維護(hù)設(shè)備、例如維護(hù)筆記本進(jìn)行。在此，所確定的指紋也可以被修改或者所修改的指紋可以被存儲(chǔ)為參考指紋，以便例如從參考指紋中去除涉及所連接的維護(hù)筆記本的信息。如果車(chē)輛釋放用于車(chē)輛運(yùn)行的參考信息，從而在維護(hù)車(chē)輛或有軌車(chē)輛時(shí)，所述參考信息可以被檢測(cè)和存儲(chǔ)。這在該情況下只有當(dāng)經(jīng)由有軌車(chē)輛的維護(hù)接口進(jìn)行有權(quán)利的維護(hù)訪(fǎng)問(wèn)時(shí)才是可能的。
【專(zhuān)利附圖】

【附圖說(shuō)明】
[0041]下面根據(jù)示意圖描述不限制本發(fā)明的實(shí)施例:
圖1示出具有多個(gè)不同車(chē)輛網(wǎng)絡(luò)2的有軌車(chē)輛，其中網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW將車(chē)輛網(wǎng)絡(luò)2與車(chē)輛主網(wǎng)絡(luò)3連接，
圖2示出圖1的變型方案，其中有軌車(chē)輛擁有多個(gè)車(chē)輛網(wǎng)絡(luò)2，所述車(chē)輛網(wǎng)絡(luò)2經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)G W彼此連接，以及同時(shí)經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW與車(chē)輛主網(wǎng)絡(luò)3耦合，圖3示出用于操縱識(shí)別和相應(yīng)的反應(yīng)的流程圖。
【具體實(shí)施方式】
[0042]圖1和2分別示出具有車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3的車(chē)輛1，尤其是有軌車(chē)輛，所述車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW將一個(gè)或多個(gè)電耦合EK連接。如在圖1中所示的，車(chē)輛網(wǎng)絡(luò)2的車(chē)輛子網(wǎng)絡(luò)21至26彼此經(jīng)由車(chē)輛控制網(wǎng)絡(luò)總線(xiàn)4連接，其中存在至網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW的連接。車(chē)輛網(wǎng)絡(luò)2可以尤其是被實(shí)現(xiàn)為以太網(wǎng)網(wǎng)絡(luò)或IP網(wǎng)絡(luò)或其組合。該車(chē)輛網(wǎng)絡(luò)2在圖1中作為總線(xiàn)示出，其中車(chē)輛控制設(shè)備或車(chē)輛子網(wǎng)絡(luò)21-24和網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW經(jīng)由所述總線(xiàn)連接。車(chē)輛網(wǎng)絡(luò)2或一組車(chē)輛網(wǎng)絡(luò)2同樣可以被構(gòu)造為環(huán)或星形。
[0043]圖2示出一種變型方案，其中三個(gè)車(chē)輛控制網(wǎng)絡(luò)或三個(gè)車(chē)輛控制子網(wǎng)絡(luò)21-23以及25-26分別聯(lián)合。根據(jù)圖2的車(chē)輛控制子網(wǎng)絡(luò)因此部分地彼此連接并且部分地經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW相互連接并且單獨(dú)地和總體地經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW與車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3連接。
[0044]圖的附圖標(biāo)記詳細(xì)地表示:
I車(chē)輛
2車(chē)輛網(wǎng)絡(luò)/VCS車(chē)輛控制網(wǎng)絡(luò) 3車(chē)輛主網(wǎng)絡(luò)總線(xiàn)
4車(chē)輛子網(wǎng)絡(luò)總線(xiàn)/車(chē)輛控制網(wǎng)絡(luò)總線(xiàn) 車(chē)輛子網(wǎng)絡(luò):
21控制網(wǎng)絡(luò)22制動(dòng)網(wǎng)絡(luò)/制動(dòng)控制設(shè)備
23空調(diào)網(wǎng)絡(luò)/空調(diào)控制設(shè)備/HVAC控制裝置
24列車(chē)保險(xiǎn)網(wǎng)絡(luò)ATP
25乘客信息網(wǎng)絡(luò)PIS-S
26乘客信息網(wǎng)絡(luò)AIS-D
圖3:
31開(kāi)始
32確定車(chē)輛網(wǎng)絡(luò)的指紋 33與參考信息比較 34判定:操縱是/否 35否 36是
37激活正?？刂颇Ｊ? 38激活運(yùn)行安全控制模式 39結(jié)束
GW網(wǎng)絡(luò)耦合器/網(wǎng)關(guān) EK電耦合。
[0045]在圖1中繪出的有軌車(chē)輛包含多個(gè)車(chē)輛控制設(shè)備，所述車(chē)輛控制設(shè)備彼此連接在一起?？刂凭W(wǎng)絡(luò)21的車(chē)輛控制設(shè)備在該情況下作為“車(chē)輛控制服務(wù)器(VCS)”承擔(dān)引導(dǎo)作用并且可以操控各個(gè)子系統(tǒng)/車(chē)輛子網(wǎng)絡(luò)/車(chē)輛控制設(shè)備22-24。在該情況下屬于子網(wǎng)絡(luò)的有:
?制動(dòng)控制設(shè)備或制動(dòng)網(wǎng)絡(luò)22，
?空調(diào)控制設(shè)備或空調(diào)網(wǎng)絡(luò)23，HVAC，供暖、通風(fēng)、空調(diào)，和 ?列車(chē)保險(xiǎn)控制設(shè)備或列車(chē)保險(xiǎn)網(wǎng)絡(luò)24、自動(dòng)列車(chē)保護(hù)，ATP0
[0046]車(chē)輛I的控制網(wǎng)絡(luò)21經(jīng)由網(wǎng)絡(luò)耦合器GW與車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3連接。該車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3可以是以太網(wǎng)網(wǎng)絡(luò)或IP網(wǎng)絡(luò)或其組合。列車(chē)的存在的主網(wǎng)絡(luò)例如是“以太網(wǎng)列車(chē)骨干”，ETB/以太網(wǎng)/列車(chē)基礎(chǔ)網(wǎng)絡(luò)。
[0047]在對(duì)車(chē)輛控制網(wǎng)絡(luò)2進(jìn)行操縱識(shí)別情況下，在操縱被識(shí)別時(shí)適配車(chē)輛控制、也即所實(shí)現(xiàn)的控制功能性。操縱識(shí)別可以在網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW中或作為“車(chē)輛控制服務(wù)器VCS”、也即車(chē)輛控制網(wǎng)絡(luò)或車(chē)輛控制設(shè)備21的部分實(shí)現(xiàn)。在變型方案中，所述操縱識(shí)別是列車(chē)保險(xiǎn)控制設(shè)備24/ “自動(dòng)列車(chē)保護(hù)”ATP的部分。
[0048]根據(jù)另一實(shí)施例，操縱識(shí)別的結(jié)果可以經(jīng)由車(chē)輛主網(wǎng)絡(luò)總線(xiàn)3和電耦合EK被傳輸給另外的車(chē)輛。在此存在以下可能性:在操作臺(tái)處顯示操縱識(shí)別的結(jié)果。
[0049]圖2是一種變型方案，其中有軌車(chē)輛的裝備包括大量車(chē)輛子網(wǎng)絡(luò)21-26。這些車(chē)輛子網(wǎng)絡(luò)經(jīng)由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)GW連接。
[0050]在圖2中這是:控制網(wǎng)絡(luò)21，所述控制網(wǎng)絡(luò)21包括作為車(chē)輛控制服務(wù)器(VCS)的車(chē)輛控制設(shè)備，以及制動(dòng)控制設(shè)備22和具有空調(diào)控制網(wǎng)絡(luò)23的空調(diào)控制設(shè)備。此外，存在具有列車(chē)保險(xiǎn)控制設(shè)備24的列車(chē)保險(xiǎn)網(wǎng)絡(luò)以及具有兩個(gè)乘客信息控制設(shè)備25 PIS-S和26PIS-D的乘客信息控制網(wǎng)絡(luò)。[0051]圖3示出用于操縱識(shí)別的流程圖。在開(kāi)始31之后，運(yùn)行用于當(dāng)前網(wǎng)絡(luò)的所謂數(shù)字指紋的確定32。接著，將結(jié)果與所存儲(chǔ)的參考信息比較33。如果操縱識(shí)別34得出:在該測(cè)試中不存在偏差，也即具有應(yīng)答“否35 ”的左邊支路適用，則運(yùn)行正常控制模式的激活37。如果在參考信息和車(chē)輛網(wǎng)絡(luò)的所確定的指紋之間存在偏差，則沿著具有“是36”的右邊支路走向并且激活38運(yùn)行安全控制模式。接下來(lái)，用于操縱識(shí)別的方法方式到達(dá)結(jié)束39。
【權(quán)利要求】
1.用于對(duì)車(chē)輛(I)的至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)進(jìn)行操縱識(shí)別的方法，具有以下步驟: -確定至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的數(shù)字指紋， -將至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的數(shù)字指紋與參考信息進(jìn)行比較用于確定操縱， -根據(jù)比較的結(jié)果適配至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的功能，使得保證運(yùn)行安全性/安全性，-如果未識(shí)別到對(duì)至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的操縱則激活(37)正?？刂颇Ｊ交蛘呷绻R(shí)別到對(duì)至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的操縱則激活(38)運(yùn)行安全控制模式。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，借助于控制單元實(shí)施至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的適配。
3.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，使用所存放的安全性功能，用以在操縱被識(shí)別時(shí)將所引起的損壞保持得最小。
4.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，為了識(shí)別對(duì)至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的操縱使用參考信息與車(chē)輛網(wǎng)絡(luò)的數(shù)字指紋的比較的結(jié)果。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，只有當(dāng)用于控制車(chē)輛(I)所使用的車(chē)輛控制網(wǎng)絡(luò)(21)的所確定的數(shù)字指紋與所存儲(chǔ)的參考信息匹配時(shí)，才在車(chē)輛控制網(wǎng)絡(luò)(21)中實(shí)施正?？刂颇Ｊ健?br> 6.根據(jù)權(quán)利要求4所述的方法，其特征在于，在所接收的數(shù)字指紋與參考信息之間有偏差時(shí)，所述至少一個(gè)車(chē)輛 網(wǎng)絡(luò)(2)在受限制的模式中運(yùn)行或被去激活，以便將車(chē)輛保持在運(yùn)行安全狀態(tài)。
7.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，車(chē)輛控制網(wǎng)絡(luò)(21)是以太網(wǎng)或基于IP的車(chē)輛控制網(wǎng)絡(luò)或其組合。
8.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，使用具有固定網(wǎng)絡(luò)配置的閉合車(chē)輛網(wǎng)絡(luò)(2)，使得可以簡(jiǎn)單地識(shí)別與該固定網(wǎng)絡(luò)配置的偏差。
9.根據(jù)權(quán)利要求8所述的方法，其特征在于，當(dāng)在固定參考網(wǎng)絡(luò)配置信息和要檢驗(yàn)的至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的數(shù)字指紋之間的比較有偏差時(shí)，適配至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的控制。
10.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，對(duì)于識(shí)別到對(duì)車(chē)輛的控制網(wǎng)絡(luò)的操縱或惡意破壞、由此危及控制功能的正確執(zhí)行的情況，不進(jìn)行車(chē)輛(I)的正常運(yùn)行。
11.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，檢驗(yàn)網(wǎng)絡(luò)電纜線(xiàn)路的拓?fù)渫暾浴?br> 12.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，使用物理傳感器并且詢(xún)問(wèn)開(kāi)關(guān)元件的雙極狀態(tài)。
13.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，分析物理傳輸參數(shù)并且與參考值進(jìn)行比較。
14.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，識(shí)別在車(chē)輛網(wǎng)絡(luò)中存在的外來(lái)設(shè)備。
15.根據(jù)權(quán)利要求14所述的方法，其特征在于，借助于密碼密鑰保護(hù)設(shè)備的標(biāo)志。
16.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，可以訓(xùn)練參考信息。
17.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，操縱識(shí)別持續(xù)地或者在所選擇的時(shí)刻或者在所選擇的事件情況下或在所選擇的運(yùn)行狀態(tài)情況下進(jìn)行。
18.根據(jù)前述權(quán)利要求之一所述的方法，其特征在于，在各個(gè)車(chē)輛子網(wǎng)絡(luò)(21至26)處進(jìn)行監(jiān)控。
19.用于對(duì)車(chē)輛(I)的至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)進(jìn)行操縱識(shí)別的控制單元，其特征在于，根據(jù)至少一個(gè)車(chē)輛網(wǎng)絡(luò)(2)的數(shù)字指紋與控制網(wǎng)絡(luò)(21)的參考信息的比較的結(jié)果來(lái)執(zhí)行控制任務(wù)。
20.根據(jù)權(quán)利要求19所述的控制單元，其特征在于，所述控制單元被設(shè)計(jì)為使得可以執(zhí)行自檢驗(yàn)。
21.根據(jù)權(quán)利要求19至20之一所述的控制單元，其特征在于，對(duì)于正常運(yùn)行，通過(guò)控制單元可以釋放、受限制地釋放或去激活至少一個(gè)控制設(shè)備。
22.根據(jù)權(quán)利要求19至21之一所述的控制單元，其特征在于，所述控制單元包括控制計(jì)算機(jī)，所述控制計(jì)算機(jī)限制經(jīng)由用于耦合多個(gè)車(chē)輛網(wǎng)絡(luò)(2)的網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)(GW)的允許的通信。
23.根據(jù)權(quán)利要求19至22之一所述的控制單元，其特征在于，可以關(guān)掉顯示操縱識(shí)別的警報(bào)通知并且可以記錄正常運(yùn)行。
24.根據(jù)權(quán)利要求19至23之一所述的控制單元，其特征在于，存在用于存儲(chǔ)檢驗(yàn)結(jié)果的故障存儲(chǔ)器。
25.根據(jù)權(quán)利要求19至24之一所述的控制單元，其特征在于，可以經(jīng)由按標(biāo)準(zhǔn)的移動(dòng)無(wú)線(xiàn)電網(wǎng)絡(luò)將用于操縱識(shí)別的數(shù)據(jù)通信傳輸給陸地側(cè)單元。
26.根據(jù)權(quán)利要求19至25之一所述的控制單元，其特征在于，存在多個(gè)車(chē)輛網(wǎng)絡(luò)(2)或車(chē)輛子網(wǎng)絡(luò)(21至26)，其經(jīng)·由網(wǎng)絡(luò)耦合器/網(wǎng)關(guān)(GW)連接。
【文檔編號(hào)】G06F21/64GK103547975SQ201280024676
【公開(kāi)日】2014年1月29日 申請(qǐng)日期:2012年5月15日 優(yōu)先權(quán)日:2011年5月24日
【發(fā)明者】R.貝耶, R.法爾克 申請(qǐng)人:西門(mén)子公司