Изобретение относится к контролю информационной безопасности или целостности для обеспечения надежности функционирования/ безопасности и для обеспечения защиты от атак/безопасности против атак для защиты от ущерба за счет манипулирования.
Основанная на Ethernet или на IP (Интернет-протокол) передача данных используется все в возрастающей степени, чтобы выполнять задачи управления и контроля. Так различные транспортные средства, в особенности рельсовые транспортные средства, имеют сети передачи данных для выполнения управления транспортным средством, а также для других функций оператора.
Точное, соответствующее надлежащему порядку выполнения задач управления и контроля транспортного средства или рельсового транспортного средства железнодорожного состава требует того, чтобы сеть управления и связанные посредством нее компоненты управления, такие как управляющие вычислители, подсистемы или полевые компоненты с датчиками и исполнительными элементами, функционировали надлежащим образом. Однако при манипуляциях в сети управления это не гарантируется, так как передаваемые управляющие и измерительные данные могут изменяться. Тем самым надлежащее функционирование ухудшается. При обстоятельствах функции, требуемые для безопасности функционирования транспортного средства, могут более не выполняться надлежащим образом.
Защитные меры для сетей транспортных средств известны в различных формах. Так сети управления могут устанавливаться с защитой доступа. Это осуществляется, например, в специальных кабельных шахтах, так что они не доступны для посторонних лиц, тем самым манипуляции могут предотвращаться. Однако это связано с высокими затратами и, ввиду затратной установки и выполнения работ по техническому обслуживанию, не может использоваться повсеместно. Простые физические меры защиты довольно просто обойти, если, например, нужно только снять или отвинтить крышку.
Сети управления чаще всего закрываются логически, то есть не связаны или не непосредственно связаны с внешними сетями. Через так называемый «брандмауэр» (средство межсетевой защиты) трафик данных может по меньшей мере ограничиваться, в том смысле, что выбираются данные, которыми можно обмениваться с внешними сетями. Тем самым основанная на сети атака извне становится невозможной или возможной только с высокими затратами.
Посредством описанных мер не может, однако, строиться защита от манипуляций на транспортном средстве, так что данные внутри сети транспортного средства могут подвергаться манипулированию.
Кроме того, известно, что данные при передаче защищаются посредством контрольной суммы, например, значения CRC - проверки циклической избыточностью. Эти контрольные суммы пригодны только для того, чтобы распознавать случайные ошибки передачи. Однако это не обеспечивает защиту от намеренных манипуляций, так как взломщик простым способом может рассчитать подходящее CRC-значение для данных, которыми он манипулирует.
Также известны криптографические контрольные суммы, как, например, «код аутентификации сообщения» или «цифровая подпись». При этом передаваемые данные, например данные управления для транспортного средства, при передаче дополняются криптографической контрольной суммой. При приеме она проверяется. Только корректным образом проверенные данные подвергаются дальнейшей обработке. Можно, например, коммуникацию зашифровывать посредством “MACsec”, “IPsec” или “SSL/TLS”. При этом передаваемые данные защищаются посредством криптографической контрольной суммы. Такая криптографическая защита может быть реализована только с затратами невыгодным образом как интеграция в компонентах автоматизации. Отдельный добавочный компонент шифрования также является затратным. Кроме того, вычисление и контроль криптографической контрольной суммы из-за высокозатратных криптографических операций приводят к задержке, что является нежелательным в случае задач управления и регулирования, критичных с точки зрения выполнения в реальном времени. Кроме того, известны так называемые «системы обнаружения вторжения», которые контролируют возникающий сетевой трафик. При «подозрительном» сетевом трафике выдается сигнал тревоги. При этом могут распознаваться известные шаблоны атаки, так называемые сигнатуры взлома, сетевого трафика. Однако за счет этого могут распознаваться только специальные, уже известные атаки. Посредством эвристического способа, как, например, распознавания значительного изменения статистических параметров, описывающих сетевой трафик, пытаются распознавать также до сих пор неизвестные атаки. При этом могут только распознаваться атаки, тем что оценивается значительное изменение статистических характеристик, как, например, длительность доступа или частота использования сетевой службы. При этом при случайных колебаниях легко может ошибочно обнаруживаться мнимая атака.
Из-за этого эвристические, основанные на анализе статистических характеристик способы распознавания атак являются ненадежными и на практике используются чаще всего дополнительно.
С автоматическим распознаванием топологии в сети определяются, например, посредством “LLDP”, “CDP”, “SNMP” или “Широковещательного тестового опроса» все связанные сетевые приборы. Посредством ”LLDP” также может определяться топология сетевой кабельной разводки.
Документ US 2006/0180709, озаглавленный «Способ и система для IP ввода в эксплуатацию состава», описывает «освящение (пуск в эксплуатацию) состава», которое производится в основанной на IP сети управления поездом. При этом топография поезда, которая, в частности, интерпретируется на ведущей единице состава, определяется посредством сетевого распознавания. В зависимости от этого конфигурируются «маршрутизация» и IP-преобразование адреса/NAT.
В основе изобретения лежит задача установить изменения в сети транспортного средства, в частности на рельсовом транспортном средстве, и воспрепятствовать угрозе целостности, то есть безопасности функционирования и безопасности против атак.
Решение этой задачи осуществляется посредством комбинации признаков независимых пунктов формулы изобретения.
В основе изобретения лежит идея о том, что различные манипуляции или вандализм в сети транспортного средства, из-за чего может создаваться угроза корректному выполнению функций управления, могут распознаваться. Если безопасное в эксплуатации состояние не может гарантироваться, то не обеспечивается возможность регулярного режима работы.
Для регулярного режима работы транспортного средства в общем случае требуется целостность сети транспортного средства. Однако изменение преднамеренного или непреднамеренного типа или вызванное техническими ошибками может происходить в любое время. Целостность охватывает надежность функционирования/ безопасность, защиту от ошибок передачи и защиту от атак/безопасность, в частности защиту от умышленного изменения.
Распознавание манипуляций на транспортном средстве, в частности рельсовом транспортном средстве, происходит таким образом, что определяется цифровой «отпечаток пальца» (идентификационный признак) сети транспортного средства и сравнивается с сохраненной опорной информацией. Цифровой отпечаток пальца сети транспортного средства характеризует текущую имеющуюся конфигурацию сети транспортного средства, то есть количество связанных компонентов, таких как управляющие примеры, и/или некоторое количество идентифицирующей информации связанных сетевых компонентов. Идентифицирующая информация сетевого компонента может задаваться, например, посредством его сетевого адреса, такого как МАС-адрес, IP-адрес, или посредством его типа и его серийного номера. Цифровой отпечаток пальца сети транспортного средства может также включать в себя информацию, которая характеризует сетевую топологию, то есть, которая описывает, какой сетевой компонент непосредственно связан с каким другим сетевым компонентом и через какой интерфейс. В зависимости от результата сравнения осуществляется подстройка (адаптация) функции управления блока управления, связанного с рассматриваемой сетью транспортного средства, который, в частности, представляет собой управляющий вычислитель.
Для случая отклонения при этом сравнении происходит переключение на так называемое управление безопасностью или в безопасное при эксплуатации состояние. Тем самым при соответствующем манипулировании в сети транспортного средства за счет распознавания манипулирования и последующего переключения на управление безопасностью предотвращается возможность возникновения опасности для людей или повреждения установки/транспортного средства. При этом могут использоваться имеющиеся в соответствии со стандартом функции безопасности, чтобы противодействовать соответствующему происшествию или ограничить вытекающий из этого ущерб.
Определенная сравнительная информация проверяется по отношению к сохраненной опорной информации, чтобы определить, является ли фактическая сетевая конфигурация сети транспортного средства соответствующей опорной информации. Тем самым распознается манипулирование над сетью транспортного средства.
Существенным является распознавание манипулирования в сети управления транспортного средства. Например, можно различить, если дополнительный сетевой прибор соединяется с сетью транспортного средства, за счет того, что количество соединенных сетевых компонентов больше, чем сохраненное опорное значение. Также может распознаваться замена сетевого прибора другим сетевым прибором на основе различающейся идентифицирующей информации сетевых компонентов. Также может распознаваться переключение кабельной разводки.
Сравнительная информация или опорная информация может пониматься как цифровой опорный отпечаток пальца сети транспортного средства.
«Цифровой отпечаток пальца» является также характерным для отдельной сети 2 транспортного средства.
При этом управление транспортным средством выполняет регулярное управление, когда определенный цифровой отпечаток пальца для сети управления, применяемой для управления транспортным средством, совпадает с сохраненным опорным отпечатком пальца. При отклонении транспортное средство эксплуатируется ограниченным образом или деактивируется, чтобы сохранить безопасное в функционировании состояние.
Является предпочтительным применять основанную на Ethernet или IP сеть транспортного средства, которая соединена только с известными компонентами в соответствии с постоянной кабельной разводкой. Это означает, что речь идет о замкнутой сети с жесткой (постоянной) конфигурацией. Это справедливо для случая, когда в сети управления транспортного средства предпринималось распознавание манипулирования, если никакое отклонение определенного отпечатка пальца сети управления от сохраненного опорного отпечатка пальца не обнаруживается. В соответствии с изобретением при сравнении может легко устанавливаться отклонение от этой жесткой сетевой конфигурации. Является предпочтительным, при возникновении отклонения от сохраненной жесткой конфигурации, адаптировать управление транспортным средством. За счет этого можно также при преднамеренном или непреднамеренном манипулировании сетью транспортного средства избежать ошибочного управления. Тем самым достигается цель, состоящая в предотвращении угрозы для пассажиров.
Выполнение сравнения между «цифровым отпечатком пальца» и опорной информацией может самостоятельно выполняться посредством блока управления, такого как управляющий вычислитель в рамках сети транспортного средства. Однако также результат сравнения может подаваться на дополнительный блок управления. Это может осуществляться посредством самой сети управления или через отдельную линию управления.
Предпочтительным является использование программируемого в памяти блока управления. Тем самым может осуществляться управление кондиционерами, дверями, приводами, тормозами и т.д.
В особенности для безопасного в эксплуатации состояния транспортного средства результаты сравнения и проверки могут защищаться криптографически при дальнейшем перенаправлении. Это может происходить с помощью так называемого «кода аутентификации сообщения/МАС» или посредством «цифровой сигнатуры». Тем самым эта информация переводится в состояние, в котором она не может подвергаться манипулированию.
Для распознавания манипулирования можно предпочтительным образом привлечь проверку топологической целостности кабельной разводки сети. Под топологической целостностью понимается то, что соединение сетевых интерфейсов сетевых компонентов с сетью управления транспортного средства посредством сетевого кабеля является неизменным. Также если возможна передача данных, то при неверно соединенных сетевых кабелях может не исключаться, например, перегрузка сети на некоторых сетевых соединениях, или критичные с точки зрения реального времени передачи на сетевом соединении на сетевом кабеле могут подвергаться помехам со стороны дополнительной передачи данных, которой не имелось бы при соединенных предусмотренным образом сетевых кабелях. При этом проверяется, являются ли приборы подсоединенными, как обычно, или компоненты или сетевые кабели были, например, переключены. Кроме того, может проверяться, являются ли достижимыми регулярные приборы, и определенные, не ожидаемые приборы также фактически не являются достижимыми. Может проверяться, являются ли незадействованные сетевые выводы действительно незадействованными. При этом может учитываться, что отдельные управляющие приборы могут отключаться от службы транспортного средства. Тем самым отсутствие компонента при выявлении манипулирования может немедленно классифицироваться как негативное, то есть как недопустимое отклонение.
Кроме того, является предпочтительным использовать физические сенсоры для контроля сетевой кабельной разводки. Так могут, например, контролироваться компоненты, которые управляются цифровым образом, то есть лишь открываются или лишь закрываются.
В другом варианте для оценки используются физические параметры управления. При этом определяется импульсный отклик сетевой кабельной разводки и сравнивается с опорным значением. Манипулирование в форме замены сетевого кабеля или в форме физического манипулирования над сетевым кабелем может, таким образом, распознаваться.
Кроме того, является предпочтительным, на основе IP-адреса или МАС-адреса идентифицировать посторонние приборы или замененные приборы. Подключенные к сети транспортного средства компоненты идентифицируются или аутентифицируются. При этом определяется их тип прибора по таким критериям, как изготовитель, модель, серийный номер и т.д. Кроме того, может осуществляться криптографическая аутентификация прибора. При этом аутентификация подключенных приборов осуществляется посредством пароля, криптографического ключа или цифрового сертификата прибора. Этот опрос может предприниматься в рамках собственно распознавания манипулирования, или передача, возникающая при аутентификации дополнительного компонента, контролируется и анализируется посредством распознавания манипулирования. Кроме того, могут передаваться тестовые данные по сети транспортного средства, чтобы верифицировать их корректную передачу.
Посредством блока управления выполняется по меньшей мере одна задача управления в зависимости от результата проверки сети управления. При этом функциональность управляющего прибора допускается к эксплуатации, допускается к эксплуатации с ограничениями или деактивируется. Под деактивированием, как правило, понимается самозащищенное рабочее состояние транспортного средства. В качестве особой службы может отсылаться разрешающее сообщение на управляющий прибор. За счет этого достигается то, что установка и при наличии манипуляции в сети транспортного средства не переходит в рабочее состояние, не являющееся безопасным в эксплуатации. Может осуществляться ограниченное функционирование транспортного средства, такое как с ограниченной скоростью движения или кратковременное движение.
Дополнительные преимущества следуют из использования управляющего вычислителя при связи нескольких сетей транспортного средства, чтобы ограничить допустимый обмен данными на одном сетевом элементе связи/шлюзе. Как правило, имеются различные сети транспортного средства, такие как пассажирская сеть, сеть оператора и т.п., которые обычно полностью не связаны с сетью транспортного средства, которая предназначена для управления транспортным средством. В ходе способа для распознавания манипулирования могут встраиваться вычисления, при которых для продолжения функционирования транспортного средства должны выполняться дополнительные критерии. Так может, например, проверяться, что сетевой элемент связи/шлюз с функциональностью брандмауэра действительно препятствует недопустимому обмену данными между сетью управления транспортного средства и соединенной через сетевой элемент связи/шлюз сетью оператора или пассажирской сетью. Если, однако, такой недопустимый обмен данными возможен, например, потому что сетевой кабель или сетевой элемент связи/шлюз неправильно подключен или потому что функциональность брандмауэра сетевого элемента связи/шлюза функционирует не надлежащим образом, то обнаруживается ошибка, то есть процесс распознавания манипулирования распознает отклонение/манипуляцию.
Для дальнейшего прослеживания сообщений об ошибках может происходить запись в память ошибок. Это справедливо также для положительных результатов проверки.
Обеспечиваются дополнительные преимущества, если производится передача данных к блоку на местности, например, через WLAN или сеть мобильной радиосвязи, такую как, например, GSM, GPRS, UMTS, WIMAX и т.п.
Способ распознавания манипулирования может применяться в различное время, он может вызываться регулярно, постоянно или опционально. Способ может активироваться, например, при следующих условиях:
- при окончании режима технического обслуживания для запуска в эксплуатацию,
- при активировании функции управления,
- при начале движения транспортного средства,
- при смене обслуживающего персонала для аутентификации нового обслуживающего персонала,
- при текущем функционировании.
Транспортное средство, в особенности рельсовое транспортное устройство, может иметь сети или схемы транспортного средства, например, для того чтобы выполнять различные задачи сети транспортного средства или задачи управления транспортным средством, среди которых:
- сеть (схема) привода,
- сеть (схема) торможения,
- сеть обеспечения безопасности железнодорожного состава (автоматическая локомотивная сигнализация с автостопом),
- сеть управления системой кондиционирования воздуха,
- сеть управления дверями,
- пассажирская информационная сеть или
- сеть видеонаблюдения.
Контроль может касаться одной отдельной из этих сетей транспортного средства. Также возможно реализовать несколько задач схем транспортного средства на одной сети транспортного средства. Так, например, схема привода и схема торможения могут совпадать. Отдельные сети транспортного средства могут быть соединены через сетевой элемент связи/шлюз.
В другом варианте контролируется целостность сети транспортного средства, и при отклонении обмен данными с сетью транспортного средства запрещается или ограничивается. Если, например, распознано, что сеть оператора или сеть управления для, например, управления кондиционированием воздуха или управления освещением отклоняется от известной опорной конфигурации, так как дополнительный прибор или прибор технического обслуживания соединен с этой сетью транспортного средства, то сетевой элемент связи/шлюз в качестве замены может соединяться с дальнейшей частичной сетью, например, управляющей сетью или тормозной сетью транспортного средства. Кроме того, обмен данными рассматриваемой сети транспортного средства с другими сетями ограничивается или запрещается. Таким образом предотвращается то, что изменения какой-либо одной сети транспортного средства оказывали бы негативное воздействие на надежную работу другой сети транспортного средства.
Особенно предпочтительным является то, что опорная информация может задаваться не только постоянным образом, но и в одном варианте может также быть получена обучением. При техническом обслуживании транспортного средства, при котором дефектный прибор управления заменяется, также изменяется «отпечаток пальца» сети транспортного средства. Для того чтобы опорный отпечаток пальца не требовалось сохранять в явном виде обслуживающим персоналом, при окончании технического обслуживания или при окончании режима обслуживания транспортного средства текущий имеющийся отпечаток пальца сети транспортного средства может определяться и сохраняться в качестве нового опорного отпечатка пальца. Это может осуществляться посредством управляющего прибора транспортного средства или с помощью подключенного прибора технического обслуживания, например ноутбука технического обслуживания. При этом определенный отпечаток пальца может также модифицироваться, и модифицированный отпечаток пальца может сохраняться в качестве опорного отпечатка пальца, чтобы, например, удалить информацию, относящуюся к подключенному ноутбуку технического обслуживания из опорного отпечатка пальца. Тем самым при техническом обслуживании транспортных средств или рельсовых транспортных средств может определяться и сохраняться то, когда опорная информация транспортного средства будет разрешаться к использованию для режима движения. В этом случае это возможно только тогда, когда через интерфейс технического обслуживания рельсового транспортного средства осуществляется санкционированный доступ технического обслуживания.
Далее будут пояснены неограничительные примеры выполнения изобретения со ссылками на схематичные чертежи, на которых представлено следующее:
Фиг. 1 - рельсовое транспортное средство с несколькими различными сетями 2 транспортного средства, причем сетевой элемент связи/шлюз GW соединяет сети 2 транспортного средства с главной сетью 3 транспортного средства,
Фиг. 2 - вариант фиг. 1, причем рельсовое транспортное средство имеет несколько сетей 2 транспортного средства, которые соединены между собой через сетевой элемент связи/шлюз GW, а также одновременно через сетевой элемент связи/шлюз GW связаны с главной сетью 3 транспортного средства,
Фиг. 3 - блок-схема последовательности операций для распознавания манипулирования и соответствующих реакций.
Фиг. 1 и 2 показывают соответствующее транспортное средство 1, в частности рельсовое транспортное средство с шиной 3 главной сети транспортного средства, которая соединяет одно или несколько электрических сочленений ЕК через сетевой элемент связи/шлюз GW. Частичные сети 21-26 транспортного средства сети 2 транспортного средства, как показано на фиг. 1, соединены между собой посредством шины 4 сети управления транспортного средства, причем существует соединение с сетевым элементом связи/шлюзом GW. Сеть 2 транспортного средства может быть реализована как сеть Ethernet или IP-сеть или как их комбинация. Она показана на фиг. 1 как шина, через которую соединены управляющие приборы транспортного средства или частичные сети 21-24 транспортного средства и сетевой элемент связи/шлюз GW. Сеть 2 транспортного средства или ее группа может также быть выполнена как кольцевая или звездообразная структура.
Фиг. 2 показывает вариант, при котором три сети управления транспортного средства или три частичных сети (схемы) 21-23, а также 25-26 управления транспортного средства, соответственно, скомпонованы вместе. Частичные сети управления транспортного средства соответственно фиг. 2, таким образом, частично соединены между собой и частично через сетевой элемент связи/шлюз GW соединены друг с другом и по отдельности и вместе через сетевой элемент связи/шлюз GW - с шиной 3 главной сети транспортного средства.
ССЫЛОЧНЫЕ ПОЗИЦИИ НА ЧЕРТЕЖАХ ОБОЗНАЧАЮТ СЛЕДУЮЩЕЕ:
1 транспортное средство
2 сети транспортного средства/VCS сеть управления транспортного средства
3 шина главной сети транспортного средства
4 шина частичных сетей транспортного средства/частичные сети транспортного средства шины частичных сетей транспортного средства
21 сеть управления
22 сеть торможения/прибор управления торможением
23 сеть кондиционирования воздуха/прибор управления кондиционированием воздуха/HVAC управление
24 сеть автоматической локомотивной сигнализации с автостопом АТР
25 пассажирская информационная сеть PIS-S
26 пассажирская информационная сеть AIS-D
Фиг. 3:
31 старт
32 определение отпечатка пальца сети транспортного средства
33 сравнение с опорной информацией
34 решение: манипулирование да/нет
35 нет
36 да
37 активирование регулярного режима управления
38 активирование безопасного в эксплуатации режима управления
39 конец
GW сетевой элемент связи/шлюз
ЕК электрическое сочленение
Показанное на фиг. 1 рельсовое транспортное средство содержит несколько приборов управления транспортным средством, которые соединены между собой. Прибор управления транспортным средством сети 21 управления принимает на себя в этом случае в качестве «сервера управления транспортным средством (VCS)» ведущую роль и может управлять отдельными подсистемами/частичными сетями транспортного средства/приборами 22-24 управления транспортного средства. К подсистемам в этом случае относятся следующие:
- прибор управления торможением или сеть управления торможением, 22,
- прибор управления кондиционированием воздуха или сеть кондиционирования воздуха, 23, HVAC, обогрев, вентиляция, кондиционирование воздуха, и
- прибор управления автоматической локомотивной сигнализации с автостопом или сеть автоматической локомотивной сигнализации с автостопом, 24, Automatic Train Protection, АТР.
Сеть 21 управления транспортного средства 1 соединена через сетевой элемент связи GW с шиной 3 главной сети транспортного средства. Эта шина 3 главной сети транспортного средства может быть сетью Ethernet или IP-сетью или их комбинацией. Существующей главной сетью железнодорожного состава является, например, Ethernet Train Backbone, ETB/Ethernet/базовая сеть железнодорожного состава.
В случае распознавания манипулирования в сети 2 управления транспортного средства, при распознанном манипулировании, управление транспортным средством, то есть реализуемая функциональность, соответственно адаптируется. Распознавание манипулирования может быть реализовано в сетевом элементе связи/шлюзе GW или как часть сервера управления транспортным средством («Vehicle Control Server (VCS)», то есть сети или прибора 21 управления транспортным средством. В одном варианте оно является частью прибора 24 управления автоматической локомотивной сигнализации с автостопом/«Automatic Train Protection» АТР.
Согласно другому примеру выполнения, результат распознавания манипулирования может передаваться на другую единицу подвижного состава по шине главной сети транспортного средства и электрическое сочленение ЕК. При этом существует возможность результат манипулирования индицировать на пульте управления.
Фиг. 2 показывает вариант, в котором выполнение рельсового транспортного средства имеет большое число частичных сетей 21-26 транспортного средства. Они соединены через сетевой элемент связи/шлюз GW.
На фиг. 2 таковыми являются: сеть 21 управления, которая охватывает прибор управления транспортным средством как сервер управления транспортным средством (VCS), а также прибор 22 торможения и прибор управления кондиционированием воздуха с сетью 23 управления кондиционированием воздуха. Кроме того, имеются сеть автоматической локомотивной сигнализации с прибором 24 автоматической локомотивной сигнализации с автостопом, а также пассажирская информационная сеть с двумя приборами PIS-S 25 и AIS-D 26 пассажирской информационной сети.
Фиг. 3 показывает блок-схему последовательности операций для распознавания манипулирования и соответствующих реакций. После старта 31 выполняется определение 32 так называемого цифрового отпечатка пальца для текущей сети. Затем результат сравнивается (33) с сохраненной опорной информацией. Если распознавание 34 манипулирования указывает, что в этом тесте не имеется отклонения, то есть правильной является левая ветвь с ответом «нет» 35, то осуществляется активирование 37 регулярного режима управления. Если имеет место отклонение между опорной информацией и определенным отпечатком пальца сети транспортного средства, то переходят к правой ветви с ответом «да» 36, и осуществляется активирование 38 безопасного в эксплуатации режима управления. Затем данный способ действий для распознавания манипулирования подходит к концу 39.
Изобретение относится к контролю информационной безопасности. Технический результат - обеспечение безопасности сети транспортного средства. Способ распознавания манипулирования в по меньшей мере одной сети транспортного средства транспортного средства, имеющий следующие этапы: определение идентификационного признака, характеризующего текущую конфигурацию сети транспортного средства, по меньшей мере одной сети транспортного средства, сравнение указанного идентификационного признака по меньшей мере одной сети транспортного средства с эталонной информацией для установления манипулирования, адаптация функции по меньшей мере одной сети транспортного средства в зависимости от результата сравнения таким образом, что гарантируется надежность функционирования/безопасность, активирование регулярного режима управления, если не распознается манипулирование в по меньшей мере одной сети транспортного средства, или активирование безопасного в эксплуатации режима управления, если распознается манипулирование в по меньшей мере одной сети транспортного средства. 2 н. и 25 з.п. ф-лы, 3 ил.
1. Способ распознавания манипулирования в по меньшей мере одной сети (2) транспортного средства транспортного средства (1), имеющий следующие этапы:
- определение идентификационного признака, характеризующего текущую конфигурацию сети транспортного средства, по меньшей мере одной сети (2) транспортного средства,
- сравнение указанного идентификационного признака по меньшей мере одной сети (2) транспортного средства с эталонной информацией для установления манипулирования,
- адаптация функции по меньшей мере одной сети (2) транспортного средства в зависимости от результата сравнения таким образом, что гарантируется надежность функционирования/безопасность,
- активирование (37) регулярного режима управления, если не распознается манипулирование в по меньшей мере одной сети (2) транспортного средства, или активирование (38) безопасного в эксплуатации режима управления, если распознается манипулирование в по меньшей мере одной сети (2) транспортного средства.
2. Способ по п. 1, отличающийся тем, что адаптацию по меньшей мере одной сети (2) транспортного средства выполняют посредством блока управления.
3. Способ по п. 1 или 2, отличающийся тем, что используют сохраненные функции безопасности, чтобы при распознанном манипулировании вызываемый ущерб поддерживать минимальным.
4. Способ по п. 1, отличающийся тем, что для распознавания манипулирования в по меньшей мере одной сети (2) транспортного средства применяют результат сравнения опорной информации с идентификационным признаком сети транспортного средства.
5. Способ по п. 4, отличающийся тем, что регулярный режим управления в сети (21) управления транспортным средством выполняют только тогда, когда определенный идентификационный признак сети (21) управления транспортным средством, применяемой для управления транспортным средством (1), совпадает с сохраненной опорной информацией.
6. Способ по п. 4, отличающийся тем, что при отклонении между полученным идентификационным признаком и опорной информацией по меньшей мере одну сеть (2) транспортного средства эксплуатируют в ограниченном режиме или деактивируют, чтобы транспортное средство поддерживать в безопасном для функционирования состоянии.
7. Способ по п. 1, отличающийся тем, что сеть (21) управления транспортным средством является сетью Ethernet или основанной на IP сетью управления транспортным средством, или их комбинацией.
8. Способ по п. 1, отличающийся тем, что применяют замкнутую сеть (2) транспортного средства с постоянной сетевой конфигурацией, так что отклонение от этой постоянной сетевой конфигурации может просто распознаваться.
9. Способ по п. 8, отличающийся тем, что при отклонении при сравнении между постоянной сетевой опорной конфигурационной информацией и идентификационным признаком контролируемой по меньшей мере одной сети (2) транспортного средства адаптируют управление по меньшей мере одной сетью (2) транспортного средства.
10. Способ по п. 1, отличающийся тем, что для случая, когда в сети управления транспортного средства распознано манипулирование или вандализм, которое угрожает корректному выполнению функциональности управления, не допускают регулярный режим функционирования транспортного средства (1).
11. Способ по п. 1, отличающийся тем, что проверяют топологическую целостность сетевой кабельной разводки.
12. Способ по п. 1, отличающийся тем, что используют физические сенсоры и опрашивают биполярные состояния переключающих элементов.
13. Способ по п. 1, отличающийся тем, что оценивают физические параметры передачи и сравнивают их с опорными значениями.
14. Способ по п. 1, отличающийся тем, что распознают имеющиеся в сети транспортного средства посторонние приборы.
15. Способ по п. 14, причем идентификатор прибора защищен криптографическим ключом.
16. Способ по п. 1, отличающийся тем, что опорную информацию получают обучением.
17. Способ по п. 1, отличающийся тем, что распознавание манипулирования осуществляют постоянно, или в выбранные моменты времени, или при выбранных событиях, или при выбранных рабочих состояниях.
18. Способ по п. 1, отличающийся тем, что контроль выполняют на отдельных частичных сетях (21-26) транспортного средства.
19. Блок управления для распознавания манипулирования в по меньшей мере одной сети (2) транспортного средства (1), отличающийся тем, что он содержит управляющий вычислитель, предназначенный для сравнения идентификационного признака, характеризующего текущую конфигурацию сети транспортного средства, по меньшей мере одной сети (2) транспортного средства с опорной информацией сети (21) управления, и выполнения задач управления в зависимости от результата сравнения.
20. Блок управления по п. 19, отличающийся тем, что блок управления выполнен с возможностью выполнения самопроверки.
21. Блок управления по п. 19 или 20, отличающийся тем, что посредством блока управления по меньшей мере один управляющий прибор может разрешаться к использованию для регулярного функционирования, разрешаться к использованию с ограничением или деактивироваться.
22. Блок управления по п. 19, отличающийся тем, что управляющий вычислитель ограничивает допустимый обмен данными через сетевой элемент связи/шлюз (GW) для сочленения нескольких сетей (2) транспортного средства.
23. Блок управления по п. 19, отличающийся тем, что сообщение тревоги, которое индицирует распознавание манипулирования, может отменяться и может приниматься регулярный режим работы.
24. Блок управления по п. 19, отличающийся тем, что имеется память ошибок для хранения результатов контроля.
25. Блок управления по п. 19, отличающийся тем, что передача данных для распознавания манипуляции может передаваться к блоку на местности через стандартизованную сеть мобильной связи.
26. Блок управления по п. 19, отличающийся тем, что имеется несколько сетей (2) транспортного средства или частичных сетей (21-26) транспортного средства, которые соединены через сетевой элемент связи/шлюз (GW).
27. Блок управления по п. 19, отличающийся тем, что он выполнен с возможностью передачи результата сравнения на дополнительный блок управления.
Пресс для выдавливания из деревянных дисков заготовок для ниточных катушек | 1923 |
|
SU2007A1 |
Пломбировальные щипцы | 1923 |
|
SU2006A1 |
Пресс для выдавливания из деревянных дисков заготовок для ниточных катушек | 1923 |
|
SU2007A1 |
Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор | 1923 |
|
SU2005A1 |
US 6308272 B1, 23.10.2001. |
Авторы
Даты
2016-04-10—Публикация
2012-05-15—Подача