Verfahren zur Absicherung einer Datenverbindung

Die Erfindung betri f ft ein Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer als „Landseite" bezeichneten Kontrollstelle .

Für die Steuerung von Funktionen von Schienenfahrzeugen durch eine als „Landseite" bezeichnete , bevorzugt orts feste Kontrollstelle wird eine sichere , hoch verfügbare und verfälschungssichere Datenverbindung zwischen einem betrachteten Schienenfahrzeug und der Kontrollstelle benötigt .

Die hohe Verfügbarkeit der Datenverbindung wird insbesondere benötigt , wenn Fahrzeugfunktionen von der Landseite aus gesteuert werden, die für den Fährbetrieb und/oder für die Sicherheit des Schienenfahrzeugs wichtig sind .

Zugleich ist diese Datenverbindung wegen zugrunde liegender Sicherheitseinstufungen der realisierten Fahrzeugfunktionen gegen eine unbeabsichtigte Datenverfälschung abzusichern .

Darüber hinaus muss die Datenverbindung vorgegebenen IT- Sicherheitsanforderungen entsprechen, um die Datenverbindung sowie die damit übertragenen Daten gegen unberechtigte Zugri f fe Dritter abzusichern und die Daten gegen absichtlichen oder unabsichtlichen Missbrauch zu schützen .

Es ist bekannt , Datenverbindungen zwischen Schienenfahrzeugen und der Landseite unter Verwendung von bekannten Mobil funknetzen, mit Hil fe einer Schienennetz-Betreiber eigenen Infrastruktur oder mit Hil fe des „digitalen Zugfunks" durchzufüh- ren . Dabei werden Datensicherungsmaßnahmen, beispielsweise die Verwendung von Safety-Codes , VPN-Kanälen oder Telegramm- Zählern, j e nach Anwendungs fall verwendet .

Die Schienennetz-Betreiber eigene Infrastruktur ist dabei entlang der Bahnlinien angeordnet und verwendet beispielsweise im Gleis verlegte Linienleiter, Eurobalisen, WLAN- Komponenten, etc . , mit denen Komponenten der Infrastruktur und darauf fahrender Schienenfahrzeuge Daten-technisch verbunden sind .

Die genannten Möglichkeiten verwirklichen die oben genannten Anforderungen an die Datenverbindung j edoch nur teilweise , so dass bei einer konkreten Gestaltung der Datenverbindung mit Nachteilen behaftete Kompromisse eingegangen werden müssen .

Es ist daher die Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer orts festen, d . h . „landseitigen" Kontrollstelle anzugeben .

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst . Vorteilhafte Weiterbildungen sind in den abhängigen Patentansprüchen angegeben .

Die Erfindung betri f ft ein Verfahren zur Absicherung einer Datenverbindung zwischen einem Schienenfahrzeug und einer als „Landseite" bezeichneten, bevorzugt orts festen Kontrollstelle bzw . Leitstelle .

Die Datenverbindung wird zwischen dem Schienenfahrzeug und der Kontrollstelle eingerichtet und betrieben, so dass Daten, die für die Steuerung von Fahrzeugfunktionen relevant sind, durch die Datenverbindung zwischen dem Schienenfahrzeug und der landseitigen Infrastruktur bzw . Kontrollstelle übertragen werden .

Die Datenverbindung umfasst mindestens zwei Kommunikationsverbindungen, über die die Datenübertragung parallel und unabhängig voneinander durchgeführt wird .

Empfangsseitig werden dann die Daten hinsichtlich ihrer Qualität und Gültigkeit bewertet und für Fahrzeugfunktionen verwendet , die von der Landseite bzw . von der Kontrollstelle aus gesteuert werden und die für den Fährbetrieb oder für die Sicherheit des Schienenfahrzeugs wichtig sind .

In einer vorteilhaften ersten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zwei voneinander unabhängige Funkkanäle eines ersten Funksystems verwendet , wobei das erste Funksystem das Schienenfahrzeug und die Kontrollstelle miteinander verbindet .

Beispielsweise weist das erste Funksystem einen ersten Sender und einen ersten Empfänger auf , die über die beiden Funkkanäle miteinander verbunden sind .

Zur Realisierung des ersten Funksystems wird eine herkömmliche Funktechnologie , insbesondere eine Mobil funk-Technologie eingesetzt bzw . verwendet .

Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und mit einem Safety- bzw . Sicherheitscode versehen seitens des Schienenfahrzeugs dem ersten Funksystem zugeführt .

Dieses verwendet die beiden unabhängigen Funkkanäle für eine VPN-basierte Datenübertragung zur Kontrollstelle . Die Kon- trollstelle setzt dann die empfangenen Daten in Nutzdaten um und bewertet die redundant übertragenen Daten .

Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .

Durch die VPN-basierte Datenübertragung werden die Daten gegen unbefugten Zugri f f geschützt .

In einer bevorzugten Weiterbildung werden die Nutzdaten sendeseitig in zwei Datentelegramme umgesetzt , wobei die Datentelegramme bezüglich der Nutzdaten inhaltlich identisch sind .

Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funkkanäle übertragen .

Durch das parallele Versenden der Datentelegramme über die beiden Funkkanäle wird die Verfügbarkeit der Daten bzw . Nutzdaten sowie die Datenverbindung erhöht : falls das über einen ersten Funkkanal übertragene Datentelegramm nicht oder verfälscht übertragen wird, wird das über einen zweiten Funkkanal übertragene Datentelegramm empfangsseitig verwendet .

Jedes Datentelegramm setzt sich zusammen aus einem sogenannten „Header" , aus einer UID-Kennung, aus einer Kanal-Kennung, aus den Nutzdaten und aus dem Safety-Code .

Der Header wird zur

- Identi fikation des Schienenfahrzeugs ,

- Identi fikation eines sendenden Geräts bzw . Senders ,

- Identi fikation eines adressierten Empfängers ,

- Versionskennung des Datentelegramms , und/oder zur

- Identi fikation der Fahrzeugposition verwendet .

Die Identi fikation des Senders wird verwendet , um auf der Landseite eine Zuordnung zu erlauben, zu welchem Subsystem das Datentelegramm gehört ( z . B . zu Türen, zum Antrieb, etc . ) .

Die Identi fikation des Empfängers wird benötigt , um bei einem landseitigen System mit mehreren „mitlesenden" Empfängern einen ausgewählten Empfänger individuell zu adressieren .

Die Versionskennung wird benötigt , um in einem betrachteten Lebens zyklus unterschiedliche Telegrammversionen von verschiedenen Fahrzeugen zur gleichen Zeit verwenden zu können .

Die Fahrzeugposition wird benötigt , um einerseits eine Qualitätskontrolle und andererseits Steuerungsaspekte durchführen zu können .

Bevorzugt wird für die Identi fikation des Schienenfahrzeugs beim Header eine Kennzeichnung bzw . Serien-Nummer verwendet , die dem Schienenfahrzeug individuell zugeordnet und für dieses eindeutig ist .

Hier bietet sich im europäischen Raum die UIC-Kennzeichnung bzw . UIC-Nummer an .

Die UID-Kennung ist für beide Datentelegramme identisch und erlaubt deren eindeutige Identi fi zierung, so dass zusammengehörige Datentelegramme empfangsseitig zuordenbar sind .

Aufeinander folgende Datentelegramme bekommen neue UID- Kennungen zugeordnet , selbst wenn deren Nutzdaten- Inhalt identisch zum vorhergehenden Datentelegramm sein sollte . Wird das über den ersten Funkkanal übertragene Datentelegramm nicht oder nicht korrekt übertragen, wird es vom Empfänger verworfen . In diesem Fall wird das Datentelegramm verwendet , das über den zweiten Funkkanal übertragen wurde , sofern dieses empfangsseitig als „korrekt und vollständig übertragen" bewertet wurde .

Die Kanal-Kennung legt eine Nummer eines Funkkanals fest , der zur Datentelegramm-Übertragung verwendet werden soll .

Der Safety-Code wird zur Absicherung des Datentelegramms gegen Datenverfälschung gebildet und eingesetzt .

Der Safety-Code wird gemäß einer zu verwendenden Safety- Sicherheitsstuf e (bevorzugt nach EN 50129 und EN 50128 bzw . EN 50657 ) gewählt und verwendet , so dass empfangsseitig eine gegebene Datenintegrität überprüfbar ist .

In einer vorteilhaften Weiterbildung werden zur empfangsseitigen Bewertung der Datentelegramme bzw . der Datenverbindung bei der Übertragung der Datentelegramme ein Zeitstempel und ein Datentelegramm-Zähler verwendet .

Damit werden unterschiedliche Lauf zeiten der Datentelegramme , benötigte Übertragungs zeiten und Datentelegramm-Verluste erkennbar .

Diese Kenntnisse sind für die Realisierung von Steuerungsaufgaben besonders wichtig - der Empfänger bewertet , ob eine benötigte Übertragungs zeit für eine zugeordnete Steuerungsaufgabe auseichend gewählt war, ob die Daten für eine Verwendung aktuell genug sind, etc . Da für die Realisierung von Steuerungsaufgaben häufig zyklische Daten verwendet werden, ist neben dem Datentelegramm- Zähler insbesondere der korrekt übertragene Zeitstempel wichtig . Dieser ermöglicht die empfängerseitige Beurteilung, ob die übertragenen Daten für eine umzusetzende Funktion ausreichend aktuell sind oder nicht .

Um den Zeitstempel korrekt bewerten zu können, ist es erforderlich, dass die Kontrollstelle und das Schienenfahrzeug mit hinreichender Genauigkeit eine identische Uhrzeit verwenden .

Dafür wird bevorzugt beim Kommunikationsaufbau, mindestens j edoch einmal am Tag, die Uhrzeit zwischen der Kontrollstelle und den beteiligten Schienenfahrzeugen synchronisiert .

Hierzu kann ein geeigneter Uhrzeit-Dienst , wie z . B . NTP gemäß RFC 5905 , verwendet werden .

Bevorzugt übernimmt die Fahrzeugseite die Uhrzeit der Landseite .

In einer vorteilhaften und nachfolgend als „m-aus-n Auswahl" bezeichneten Weiterbildung werden mehr als zwei getrennte Funkkanäle zur Datentelegramm-Ubertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Da- ten-Sicherheit zu erhöhen .

Beispielsweise werden n-Funkkanäle verwendet , aus denen mit m<n empfangsseitig m-Funkkanäle ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .

In einer vorteilhaften zweiten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zumindest zwei getrenn- te Funksysteme verwendet , die das Schienenfahrzeug und die Kontrollstelle miteinander verbinden .

Zur Realisierung der beiden Funksysteme werden herkömmliche Funktechnologien, insbesondere Mobil funk-Technologien, eingesetzt bzw . verwendet .

Beispielsweise weist ein erstes Funksystem einen ersten Sender und einen ersten Empfänger auf , die über einen ersten Funkkanal miteinander verbunden sind . Entsprechend weist ein zweites Funksystem einen zweiten Sender und einen zweiten Empfänger auf , die über einen zweiten Funkkanal miteinander verbunden sind .

Im Vergleich zur ersten Ausgestaltung der Erfindung sind hier also senderseitig und empfängerseitig verwendete Hardware- bzw . Kommunikations-Komponenten voneinander getrennt und doppelt ausgeführt .

Diese Ausgestaltung erhöht die Daten-Verfügbarkeit zusätzlich, weil Aus fälle und/oder Störungen der Hardware bei der Datenübertragung keine Einschränkungen verursachen .

Zusätzlich ermöglicht die Verwendung getrennter Hardware eine Verwendung von unterschiedlichen Funkanbietern, was die Verfügbarkeit der Hardware auf der Landseite in der Praxis deutlich erhöht .

Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und dem ersten Funksystem und dem zweiten Funksystem parallel zugeführt .

Zugeordnete Sender der Schienenfahrzeug-seitigen Funksysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Da- tentelegramme und parallel zueinander an zugeordnete Empfänger der Funksysteme der landseitigen Kontrollstelle .

Die Kontrollstelle setzt dann die empfangenen Daten bzw . Nutzdaten um und bewertet die redundant übertragenen Daten .

Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .

Die beiden Funksysteme verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m- aus-n Auswahl .

Beim Datentelegramm werden wieder die Nutzdaten sendeseitig in zwei Datentelegramme umgesetzt , die bezüglich der enthaltenen Nutzdaten identisch sind .

Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funksysteme getrennt übertragen .

Bevorzugt setzt sich j edes Datentelegramm zusammen aus dem „Header" , aus der UID-Kennung, aus den Nutzdaten und aus dem Safety-Code .

Eine optionale Funksystem-Kennung legt das zu verwendende Funksystem für die Übertragung des j eweiligen Datentelegramms f est .

Bei der m-aus-n Auswahl werden entsprechend mehr als zwei getrennte Funksysteme zur Datentelegramm-Übertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Daten-Sicherheit zu erhöhen . Beispielsweise werden n-Funksysteme verwendet , aus denen mit m<n empfangsseitig m- Funksysteme ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .

In einer vorteilhaften dritten Ausgestaltung der Erfindung werden als Kommunikationsverbindungen zumindest zwei getrennte Übertragungssysteme verwendet , die das Schienenfahrzeug und die Kontrollstelle miteinander verbinden .

Die beiden Übertragungssysteme unterscheiden sich physikalisch voneinander .

Beispielsweise wird für die parallele Datenübertragung als erstes Übertragungssystem ein Funksystem verwendet .

Als zweites Übertragungssystem wird beispielsweise ein Infra- struktur-basiertes System verwendet , beispielsweise ein im Gleis verlegter Linienleiter . Über den Linienleiter wird durch induktive Kopplung eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle ermöglicht .

Alternativ dazu wird als zweites Übertragungssystem

- ein WLAN-basiertes System, oder

- der herkömmliche Zugfunk, oder

- eine induktive Übertragung über eine Hochspannungsleitung, die das Schienenfahrzeug mit Energie versorgt , oder

- weitere Komponenten des Schienensystems verwendet , um eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle durchzuführen .

Die zugehörige Verwendung von diversitären Hardware-Systemen stellt ein besonders hohes Maß an Datensicherheit und Übertragungsverfügbarkeit sicher, um eine Wahrscheinlichkeit für einen Aus fall der Datenverbindung und die Wahrscheinlichkeit für eine unerkannte Datenverfälschung zu minimieren .

Durch die diversitären Hardware-Systeme wird verhindert , dass bei einem gleichen Fehlertyp ein Aus fall der verwendeten Systeme erfolgt .

Die Daten werden als Nutzdaten seitens des Schienenfahrzeugs gebildet und dem ersten Übertragungssystem und dem zweiten Übertragungssystem parallel zugeführt .

Zugeordnete Sender der Schienenfahrzeug-seitigen Übertragungssysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Übertragungssysteme der landseitigen Kontrollstelle .

Die Kontrollstelle setzt dann die empfangenen Daten in Nutzdaten um und bewertet die redundant übertragenen Daten .

Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle zum Schienenfahrzeug .

Die beiden Übertragungssysteme verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .

Beim Datentelegramm werden wieder die Nutzdaten sendeseitig in zwei auf die Daten bezogene inhaltlich identische Datentelegramme umgesetzt . Die beiden Datentelegramme werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Übertragungssysteme getrennt übertragen . Bevorzugt setzt sich j edes Datentelegramm zusammen aus dem „Header" , aus der UID-Kennung, aus den Nutzdaten und aus dem Safety-Code .

Optional wird beim Datentelegramm zur Datenübertragung eine zusätzliche Kennung verwendet , die das zu verwendende Übertragungssystem festlegt bzw . kennzeichnet .

Bei der m-aus-n Auswahl werden entsprechend mehr als zwei getrennte Ubertragungssysteme zur Datentelegramm-Übertragung verwendet , um empfangsseitig sowohl die Daten-Verfügbarkeit als auch die Daten-Sicherheit zu erhöhen .

Beispielsweise werden n- Übertragungssysteme verwendet , aus denen mit m<n empfangsseitig m- Übertragungssysteme ausgewählt werden, um deren Daten miteinander zu vergleichen und zu bewerten .

Für die oben beschriebenen Ausgestaltungen der Erfindung wird bei einer erkannten Übertragungsstörung bzw . bei einer dauerhaft als falsch erkannten Übertragung eine entsprechende , auf die Fahrzeugsicherheit gerichtete Reaktion seitens des Schienenfahrzeugs initiiert .

Diese Reaktion beinhaltet j e nach gestörter Funktion des Schienenfahrzeugs beispielhaft folgende Maßnahmen :

- Information des Fahrzeugführers bzw . des Betriebspersonals über die Störung,

- automatische Überführung des Schienenfahrzeugs in einen gesicherten Fährbetrieb (beispielsweise Reduzierung der Fahrzeug-Geschwindigkeit auf einen Wert < 50 km/h) ,

- Anhalten des Schienenfahrzeugs an einer ausgewählten, geeigneten Stelle , - Umschalten der landseitig gesteuerten Funktionen des Schienenfahrzeugs auf autarke Funktionen, die keine landseitige Kommunikation benötigen .

Für die oben beschriebenen Ausgestaltungen der Erfindung wird in einer bevorzugten Weiterbildung zusätzlich eine kontinuierliche Überwachung der Kommunikation entlang des gesamten Fahrwegs des Schienenfahrzeugs durchgeführt . Damit werden Sicherheit und Verfügbarkeit der Datenübertragung dauerhaft und unter wechselnden Umwelteinflüssen gewährleistet .

Zu diesem Zweck werden auf der Landseite zu allen empfangenen Datentelegrammen anhand der übertragenen Zeitstempel die für die Übertragung vom Sender zum Empfänger benötigte j eweilige Zeit berechnet .

Zu den Datentelegrammen werden empfangsseitig als weitere Informationen das Datum, die Zeit , der Sende-Ort und die benötigte Übertragungs zeit erfasst und dauerhaft gespeichert .

Diese Informationen werden für alle Schienenfahrzeuge und Fahrten erfasst und als Qualitätsdaten der Datenübertragung auf Veränderungen der Ubertragungs zeit in Abhängigkeit von Datum, Zeit sowie Sende-Ort kontinuierlich bewertet .

Dadurch lassen sich örtliche Qualitätsunterschiede sowie der zeitliche Verlauf von Qualitätsänderungen bei der Datenübertragung erkennen und bewerten . Werden gravierende Unterschiede erkannt , die die Sicherheit und Verfügbarkeit der Datenübertragung negativ beeinflussen, werden entsprechende Gegenmaßnahmen eingeleitet .

Die vorliegende Erfindung beruht auf der Idee eines Diversi- ty-Übertragungsverf ährens . Durch die vorliegende Erfindung wird eine sichere und hochverfügbare Datenverbindung erreicht , die für die Verwendung in sicherheitsrelevanten Steuerungs funktionen zwischen Schienenfahrzeug einerseits und der Landseite bzw . der Kontrollstelle andererseits geeignet ist .

Durch die vorliegende Erfindung ist die Datenverbindung bzw . die Übertragung der Daten in beiden Richtungen ( d . h . vom Schienenfahrzeug zur Kontrollstelle bzw . von der Kontrollstelle zum Schienenfahrzeug) redundant abgesichert .

Durch die vorliegende Erfindung werden die an die Datenverbindung gerichteten Erfordernisse bezüglich der hohen Verfügbarkeit und der Absicherung gegen unbeabsichtigte oder beabsichtigte Datenverfälschung erfüllt .

Durch die vorliegende Erfindung werden Auswirkungen von Übertragungsstörungen bei der Datenverbindung vermieden und ein sicherer Zustand beim Betrieb des Schienenfahrzeugs erreicht .

Durch die vorliegende Erfindung wird bei geringem Aufwand eine Realisierung von Steuerungsaufgaben des Schienenfahrzeugs über die Landseite ermöglicht .

Die vorliegende Erfindung ist durch eine einfache Software- Architektur umsetzbar, so dass für deren Realisierung lediglich geringe Kosten entstehen . Dies ermöglicht eine beschleunigte Markteinführung und bietet den Vorteil von geringen Software-Wartungskosten .

Nachfolgend wird die Erfindung mit Hil fe einer Zeichnung näher erläutert . Dabei zeigt :

FIG 1 eine erste Ausgestaltung der Erfindung, FIG 2 mit Bezug auf FIG 1 ein zugehöriges Datentelegramm, FIG 3 eine zweite Ausgestaltung der Erfindung, und FIG 4 eine dritte Ausgestaltung der Erfindung .

FIG 1 zeigt eine erste Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zwei voneinander unabhängige Funkkanäle FK1 , FK2 eines ersten Funksystems FS 1 verwendet werden .

Das erste Funksystem FS 1 verbindet das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander .

Beispielsweise weist das erste Funksystem FS 1 einen ersten Sender und einen ersten Empfänger auf , die über die beiden Funkkanäle FK, FK2 miteinander verbunden sind .

Zur Realisierung des ersten Funksystems FS 1 wird eine herkömmliche Funktechnologie , insbesondere eine Mobil funk- Technologie , eingesetzt bzw . verwendet .

Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs SFZ in einer Leittechnik LT gebildet und wie nachfolgend beschrieben mit einem Safety- bzw . Sicherheitscode SAVC, mit einer Kanalkennung sowie mit einem Header versehen und seitens des Schienenfahrzeugs SFZ dem ersten Funksystem FS 1 zugeführt .

Dieses verwendet die beiden unabhängigen Funkkanäle FK1 , FK2 für eine VPN-basierte Datenübertragung zur Kontrollstelle KS .

Die Kontrollstelle KS setzt dann die empfangenen Daten in Nutzdaten ND in einer Leitstelle LS um und bewertet die redundant übertragenen Daten . Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ.

Durch die VPN-basierte Datenübertragung werden die Daten gegen unbefugten Zugriff geschützt.

FIG 2 zeigt mit Bezug auf FIG 1 ein zugehöriges Datentelegramm DATEL.

Die Nutzdaten ND werden sendeseitig in zwei Datentelegramme DATEL umgesetzt, die identische Nutzdaten enthalten.

Die beiden Datentelegramme DATEL werden dann parallel zueinander und bevorzugt zeitgleich über die beiden Funkkanäle FK1, FK2 übertragen.

Jedes Datentelegramm DATEL setzt sich zusammen aus einem sogenannten „Header" HD, aus einer UID-Kennung UID, aus einer Kanal-Kennung KK, aus den Nutzdaten ND und aus dem Safety- Code SAVC.

Der Header HD wird, wie vorstehend ausgeführt, zur

- Identifikation des Schienenfahrzeugs SFZ,

- Identifikation eines sendenden Geräts bzw. Senders,

- Identifikation eines adressierten Empfängers,

- Versionskennung, und/oder zur

- Identifikation der Fahrzeugposition verwendet .

Die Identifikation des Senders wird verwendet, um auf der Landseite eine Zuordnung zu erlauben, zu welchem Subsystem das Datentelegramm gehört (z.B. zu Türen, zum Antrieb, etc.) . Die Identi fikation des Empfängers wird benötigt , um bei einem landseitigen System mit mehreren „mitlesenden" Empfängern einen ausgewählten Empfänger individuell zu adressieren .

Die Versionskennung wird benötigt , um in einem betrachteten Lebens zyklus unterschiedliche Telegrammversionen von verschiedenen Fahrzeugen zur gleichen Zeit verwenden zu können .

Die Fahrzeugposition wird benötigt , um einerseits eine Qualitätskontrolle und andererseits Steuerungsaspekte durchführen zu können .

Bevorzugt wird für die Identi fikation des Schienenfahrzeugs SFZ beim Header HD eine Kennzeichnung bzw . Serien-Nummer verwendet , die dem Schienenfahrzeug SFZ bei der Neuzulassung individuell zugeordnet und für dieses eindeutig ist .

Bevorzugt wird für das Schienenfahrzeug SFZ als Header HD eine UIC-Kennzeichnung bzw . UIC-Nummer verwendet .

Die UID-Kennung UID ist für beide Datentelegramme DATEL identisch und erlaubt deren eindeutige Identi fi zierung, so dass zusammengehörige Datentelegramme DATEL empfangsseitig zuordenbar sind .

Die Kanal-Kennung KK legt die Nummer des Funkkanals fest - also entweder Funkkanal FK1 oder Funkkanal FK2 - der zur Da- tentelegramm-Ubertragung DATEL verwendet werden soll .

Sie dient zudem zur Kontrolle auf der Empfängerseite , ob die Datentelegramme über den richtigen Kanal übertragen wurden .

Der Safety-Code SAVC wird zur Absicherung des Datentelegramms DATEL gegen Datenverfälschung gebildet und eingesetzt . FIG 3 zeigt eine zweite Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zumindest zwei getrennte Funksysteme FS 1 , FS2 verwendet werden, die das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander verbinden .

Zur Realisierung der beiden Funksysteme FS 1 , FS2 werden herkömmliche Funktechnologien, insbesondere Mobil funk- Technologien, eingesetzt bzw . verwendet .

Beispielsweise weist ein erstes Funksystem FS 1 einen ersten Sender und einen ersten Empfänger auf , die über einen ersten Funkkanal FK1 miteinander verbunden sind . Entsprechend weist ein zweites Funksystem FS2 einen zweiten Sender und einen zweiten Empfänger auf , die über einen zweiten Funkkanal FK2 miteinander verbunden sind .

Im Vergleich zur ersten Ausgestaltung der Erfindung sind hier also senderseitig und empfängerseitig verwendete Hardware- bzw . Kommunikations-Komponenten voneinander getrennt und doppelt ausgeführt .

Die Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs in einer Leittechnik LT gebildet und dem ersten Funksystem FS 1 und dem zweiten Funksystem FS2 parallel zugeführt .

Zugeordnete Sender der Schienenfahrzeug-seitigen Funksysteme FS 1 , FS2 übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Funksysteme FS 1 , FS2 der landseitigen Kontrollstelle KS .

Die Kontrollstelle KS setzt dann in einer Leistelle LS die empfangenen Daten in Nutzdaten ND um und bewertet die redundant übertragenen Daten . Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ .

Die beiden Funksysteme FS 1 , FS2 verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .

FIG 4 zeigt eine dritte Ausgestaltung der Erfindung, bei der als Kommunikationsverbindungen zumindest zwei getrennte Übertragungssysteme UEB1 , UEB2 verwendet werden, die das Schienenfahrzeug SFZ und die Kontrollstelle KS miteinander verbinden .

Die beiden Übertragungssysteme UEB1 , UEB2 unterscheiden sich physikalisch voneinander .

Beispielsweise wird für die parallele Datenübertragung als erstes Übertragungssystem UEB1 ein Funksystem verwendet .

Als zweites Übertragungssystem UEB2 wird beispielsweise ein Inf rastruktur-basiertes System verwendet , beispielsweise ein im Gleis verlegter Linienleiter . Über den Linienleiter wird durch induktive Kopplung eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle ermöglicht .

Alternativ dazu wird als zweites Übertragungssystem UEB2

- ein WLAN-basiertes System, oder

- der herkömmliche Zugfunk, oder

- eine induktive Übertragung über eine Hochspannungsleitung, die das Schienenfahrzeug mit Energie versorgt , oder

- weitere Komponenten des Schienensystems verwendet , um eine Datenübertragung zwischen dem Schienenfahrzeug und der Kontrollstelle durchzuführen .

Die Daten werden als Nutzdaten ND seitens des Schienenfahrzeugs SFZ in einer Leittechnik LT gebildet und dem ersten Übertragungssystem UEB1 und dem zweiten Übertragungssystem UEB2 parallel zugeführt .

Zugeordnete Sender der Schienenfahrzeug-seitigen Übertragungssysteme übertragen die j eweiligen Daten bevorzugt in Form zweier Datentelegramme und parallel zueinander an zugeordnete Empfänger der Übertragungssysteme der landseitigen Kontrollstelle .

Die Kontrollstelle KS setzt dann die empfangenen Daten in Nutzdaten ND in einer Leitstelle LS um und bewertet die redundant übertragenen Daten .

Gleiches gilt sinngemäß für die Datenübertragung von der Kontrollstelle KS zum Schienenfahrzeug SFZ .

Die beiden Übertragungssysteme UEB1 , UEB2 verwenden sinngemäß und wie vorstehend beschrieben die vorteilhaften Weiterbildungen zum Datentelegramm, zum Zeitstempel , zum Datentelegramm-Zähler und zur m-aus-n Auswahl .