Your SlideShare is downloading. ×
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Mü 8004 20031222 V10 Pages From 255 To 269
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Mü 8004 20031222 V10 Pages From 255 To 269

2,190

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,190
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
24
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. Eisenbahn-Bundesamt Mü 8004 Leitlinien und Grundprinzipien Grundprinzipien für eine sichere Meldebildanzeige im elektronischen Stellwerk und in Betriebszentralen durch ein duales unabhängiges Rückleseverfahren (DUR) Ausgabe: 12.01.1999 Anzahl der Seiten: 9 1 Vorbemerkung Beim elektronischen Stellwerk oder in Betriebszentralen sind in besonderen Betriebssituationen sichere Melde- bildauswertungen auf z. B. der Lupe oder Berü (Bereichsübersicht) notwendig. Deshalb muss die Meldebilddarstel- lung den Anforderungen für eine sicherheitsrelevante Auswertung des Meldebildes genügen. Ferner erfordern zusätzliche betriebliche Forderungen eine Konzentration und Integration verschiedener Funktionen in der Bedien- und Anzeigeebene. Diese sind: − sichere Anzeige entsprechend dem hierfür erforderlichen Niveau, − hohe Bildauflösung, − vollgrafische Darstellung, − LAN-Fähigkeit, − flexible Aufschaltung unterschiedlicher Bilder, − Migrationsfähigkeit. Die sichere Anzeige von Meldeinformationen in Betriebszentralen und ESTW wird unter Beachtung der Anforderun- gen an nachstehend beschriebenes Verfahren erreicht. 2 Das Verfahren DUR (duales unabhängiges Rückleseverfahren) Das DUR basiert auf handelsüblichen Hardware- und Software-Komponenten, wobei sich die Funktion auf Betrach- tungseinheiten (Abbildung 1) aufteilen lässt: 1. eine oder mehrere Anzeigeeinheiten (AE), die in der Lage sind, vollgrafische Monitore anzusteuern. Jede Anzeigeeinheit besteht aus zwei Anzeigerechnern, A und B; 2. zwei Vergleichsrechner (VR), A und B, von denen jeder die Meldungen der sicheren Quelle (ESTW) über physikalisch oder logisch unabhängige Wege empfängt und gemäß dem Anzeigekatalog in grafische Basis- Informationen umsetzt; 3. in das ESTW, welches im Rahmen des DUR generell zur Verhinderung von KF-Bedienungen dient. Diese Betrachtungseinheiten bilden das sichere Kernsystem des DUR. Die Anzeigeeinheit und die Vergleichsrechner sind über je ein LAN miteinander verbunden. Jeder Vergleichsrechner ist über einen eigenen physikalisch oder lo- gisch unabhängigen Verbindungsweg mit dem ESTW verbunden. Bei dem DUR ist die korrekte Durchführung der Aufgaben der Betrachtungseinheiten für die sichere Anzeige inner- halb von Prüfzyklen zu überprüfen. Dabei sind Soft- und Hardware-Komponenten nur in dem Maße zu prüfen, wie es für die korrekte Durchführung dieser Funktion erforderlich ist. Es ist zu prüfen, ob die Anzeigeeinheit (AE) in der Lage ist, jedes Element in allen möglichen Kombinationen von Form und Farbe korrekt darzustellen. Bei den Vergleichsrechnern (VR) ist die Funktion von dem sicheren Meldeemp- fang bis zur Ausgabe des Anzeigecodes zu prüfen. Diese Prüfung muss vom Bediener durchgeführt werden. 2.1 Ungefährlichkeit von Einzelausfällen 226 EBA
  2. Grundprinzipien vom 12.01.1999 2 Mü 8004 Damit jeder Einzelausfall erkannt wird und ungefährlich bleibt, sind bei dem DUR für eine sichere Meldebildanzeige folgende Maßnahmen durchzuführen: 2.1.1 Die Vergleichsrechner (A und B) müssen ihre Meldeinformationen vom sicheren Stellwerksrechner über physikalisch oder logisch unabhängige Wege erhalten. 2.1.2 In der Anzeigeeinheit muss der Bildwiederholspeicher pixelorientiert aufgebaut und mit einer zentralen Farb- steuereinheit ausgerüstet sein. Die Mindestauflösung muss 768 x 1024 Pixel betragen. 2.1.3 Die Anzeigeeinheit muss eine Verfälschung (Einzelausfall) der Meldeinformation erkennen. 2.1.4 Die Vergleichsrechner müssen die vom sicheren Stellwerksrechner erhaltenen Meldeinformationen gegen- prüfen, bevor die Meldeinformation an die Anzeigerechner weitergeleitet wird (Abbildung 2). 2.1.5 Die Anzeigerechner müssen die CRC-Prüfsumme eines jeden geänderten Elementes in dem (pixelorientier- ten) Bildwiederholspeicher ermitteln und diese an den zugeordneten Vergleichsrechner übertragen. Jeder Ver- gleichsrechner muss die von dem Anzeigerechner übertragene CRC-Prüfsumme mit der in einem Anzeigekatalog abgespeicherten vergleichen, die der anstehenden Meldung im Vergleichsrechner entspricht. Dieser Vergleich muss innerhalb von drei Sekunden nach dem Wechsel eines Elementes erfolgen. 2.1.6 Zusätzlich müssen innerhalb der Ausfalloffenbarungszeit CRC-Prüfsummen über alle Elemente in den Kata- logen der Vergleichsrechner A und B gebildet werden und die Ergebnisse sind vom ESTW zu bewerten (Abbildung 3). 2.1.7 Die Funktionstüchtigkeit der Anzeigeeinheit ist innerhalb der Ausfalloffenbarungszeit mindestens einmal über eine sequentielle Abbildungsprüfung und einen Farbtest zu prüfen. 2.1.8 Zum Erkennen von Übertragungsfehlern bei den anzuzeigenden Informationen zwischen der sicheren Da- tenquelle (ESTW) und dem Vergleichsrechner sowie zwischen der Anzeigeeinheit und dem Vergleichsrechner ge- nügt der Prozessdatenfluss. Das Übertragungsverfahren muss einen Fehlererkennungscode mit einer Hamming- distanz von ≥ 6 haben. 2.1.9 Die Aktualität der Anzeige ist von den Anzeigerechnern über eine Überwachungsschleife zu überwachen. Das ESTW hat die Aktualität ebenfalls im Rahmen einer KF-Bedienung zu überwachen. Die Antwortzeit der Überwa- chung darf maximal drei Sekunden betragen. Die Antwortzeit beinhaltet den Zeitrahmen vom Beginn eines Ereignis- ses bis zur Darstellung auf dem Monitorbild. 2.1.10 Die in den Meldestapeln der Vergleichsrechner enthaltenen Meldungen sind über die Meldewiederholer A und B und eine Meldeauswertung in beiden Vergleichsrechnern zu vergleichen. Die Zeit für diese Prüfung darf drei Sekunden nach Eingang einer Meldung nicht überschreiten (Abbildung 2). 2.2 Ausfalloffenbarung Zur Ausfalloffenbarung sind Prüfprogramme vorzusehen, bei denen die Funktionalität aller Funktionseinheiten der Vergleichsrechner und den Anzeigerechnern durch eine Kombination mit dem jeweils anderen Vergleichsrechner, dem Anzeigerechner und des ESTW geprüft wird. Diese Prüfungen müssen für beide Kanäle innerhalb der Ausfallof- fenbarungszeit durchgeführt werden. Aus den Pixelwerten der Anzeigeelemente des pixelorientierten Bildwiederholspeichers wird bei jeder Änderung eines Anzeigeelements eine individuelle Prüfsumme durch die Anzeigerechner gebildet und an die Vergleichsrechner (Anzeigerechner A an Vergleichsrechner A, Anzeigerechner B an Vergleichsrechner B) weitergeleitet. Jede CRC- Prüfsumme wird durch die Vergleichsrechner gegen die Prüfsumme dieses Elementes in diesem Zustand im Anzei- gekatalog geprüft (Abbildung 4). Das Rücklesen muss unmittelbar nach einer Änderung eines Anzeigeelementes erfolgen. 2.3 Sichere Ausfallzustände Sobald eine Betrachtungseinheit einen Ausfall in der zu prüfenden Einheit feststellt, ist beim ESTW sicherzustellen, dass keine KF-Bedienung mehr durchgeführt werden kann. Ferner muss gemeldet werden, dass die Anzeige nicht mehr für sicherheitsrelevante Auswertungen genutzt werden darf. Wird ein Ausfall des VR festgestellt, müssen die KF-Bedienungen im gesamten Überwachungsbereich verhindert werden (generelle Sperrung). Beim Ausfall einer Anzeigeeinheit müssen KF-Bedienungen mit den daran angeschlossenen Monitoren verhindert werden (selektive KF-Sperrung). 2.3.1 Im Fehlerfall des VR ist die KF-Bedienung durch das ESTW zu verhindern. 2.3.2 Die Rücknahme der generellen Sperrung muss manuell durch das Wartungspersonal erfolgen. Dazu ist nach einem Ausfall des VR ein Prüfzyklus durchzuführen, bei dem der komplette Anzeigekatalog geprüft wird. Die 226 EBA
  3. Mü 8004 3 Grundprinzipien vom 12.01.1999 Überwachung des Prüfzyklus und die Anzeige für das Wartungspersonal obliegt der Anzeigeeinheit. Erst nach positi- vem Durchlauf des Prüfzyklus darf vom Wartungspersonal die generelle Sperrung aufgehoben werden. 2.3.3 Die selektive Sperrung der KF-Bedienung durch Aussenden entsprechender Telegramme durch beide Ver- gleichsrechner an das ESTW bei Ausfall eines Anzeigerechners gewährleistet in ausreichender Form, dass die erfor- derliche Sperrung der KF-Taste erfolgt. 2.3.4 Die Rücknahme der selektiven Sperrung muss manuell durch das Wartungspersonal erfolgen. Dazu ist nach Ausfall einer Anzeigeeinheit ein Prüfzyklus in dieser Anzeigeeinheit durchzuführen, der sämtliche Elemente enthält mit der Anzeige des aktuellen Meldebildes. Die Überwachung des Prüfzyklus und die Anzeige für das Wartungsper- sonal obliegt dem Vergleichsrechner. Erst nach positivem Durchlauf des Prüfzyklus darf vom Wartungspersonal die selektive Sperrung aufgehoben werden. 3 Prüfung der Software Bei Anzeigesystemen, deren Aufgabe die Aufbereitung und sichere Anzeige des Meldebildes ist, die über den Daten- fluss keine Auswirkung auf den signaltechnisch sicheren Prozess im „Kern“ des ESTW haben, genügt es, die Soft- ware durch eine Funktionsprüfung im Rahmen von Testläufen zu prüfen. Bei dem DUR sind die im sicheren Stellwerksrechner liegenden Funktionen: − generelle Zurückweisung von KF-Bedienungen der gesamten Anlage bei Ausfall des DUR, − selektive Zurückweisung von KF-Bedienungen durch den Ausfall eines einzelnen Anzeigerechners, − korrekte Funktion des Farbmonitors und der Überwachungselemente (Lebenszeichen) auf der Lupe, − korrekte Funktion der sequentiellen Abbildungsprüfung, zu prüfen. 226 EBA
  4. Grundprinzipien vom 12.01.1999 4 Mü 8004 Begriffsbestimmungen Anzeigerechner (AR): Hierbei handelt es sich um einen eigenständigen Rechner, der in der Lage ist, vollgrafische Monitore anzusteuern. Von dem Vergleichsrechner (VR) werden Anzeigecodes an den Anzeigerechner gesendet, in dem sie in grafische Darstellungen auf dem angeschlossenen Monitor umgewandelt werden. Die Auflösung der Grafikkarte des Anzeigerechners muss mindestens 768 x 1024 Bildpunkte betragen. Anzeigeeinheit (AE): Die Anzeigeeinheit besteht aus zwei oben beschriebenen Anzeigerechnern Vergleichsrechner (VR): Die Aufgabe der Vergleichsrechner, bei denen es sich um jeweils einen eigenständigen Rechner handelt, besteht im Sinne des DUR darin, die Meldeinformationen der angeschlossenen sicheren Einrichtungen zu empfangen und einer Auswertung zu unterziehen. Das Ergebnis dieser Auswertung besteht in Anzeigecodes, die jedem darzustellenden Element auf der Lupe bzw. Berü einen Status (gelb, rot, blinkend usw.) zuweisen. Diese Anzeigecodes werden an die angeschlossenen Anzeigerechner weitergeleitet. Sequentielle Abbildungsprüfung (SAP): Die sequentielle Abbildungsprüfung wird durch Anzeigen eines speziellen Testbildes durchgeführt, bei dem alle mög- lichen Anzeigeelemente in allen möglichen Zuständen und Farben an allen Bildschirmpositionen dargestellt werden. Die Ergebnisse dieser Prüfung werden automatisch bewertet. Farbtest: Der Farbtest ist eine zyklische Prüfung der Funktion des Anzeigemonitors zur Anzeige aller Farben. Der Test wird durch den Bediener bewertet. Sicherer Stellwerksrechner (ESTW): Beim sicheren Stellwerksrechner handelt es sich um eine sichere Quelle, von der aus die Meldeinformationen für eine sichere Darstellung an die Vergleichsrechner übertragen werden. Anzeigekatalog: Ein definierter Anzeigekatalog ist in den Vergleichsrechnern gespeichert und enthält die CRC-Prüfsummen aller darzustellenden Anzeigeelemente. Weiterhin werden für jedes Anzeigeelement alle Anzeigeregeln festgelegt. Der Anzeigekatalog bildet die Schablone, gegen die alle Elementprüfungen der Anzeigeeinheiten erfolgen. 226 EBA
  5. Mü 8004 5 Grundprinzipien vom 12.01.1999 RGB-Signal zum Monitor AE AR A AR B Bildwiederholspeicher Bildwiederholspeicher (pixelorientiert) (pixelorientiert) Bildwiederholspeicher Bildwiederholspeicher (vektororientiert) (vektororientiert) VR A VR B Meldespeicher und Meldespeicher und Auswerteeinheit Auswerteeinheit Meldungsstapel Meldungsstapel KF-Verhinderung ESTW Abbildung 1: Betrachtungseinheiten des DUR 226 EBA
  6. Grundprinzipien vom 12.01.1999 6 Mü 8004 RGB-Signal zum Monitor AE AR A AR B Bildwiederhol- Bildwiederhol- speicher speicher (pixelorientiert) (pixelorientiert) Bildwiederhol- Bildwiederhol- speicher speicher (vektororientiert) (vektororientiert) VR A VR B Melde- Melde- speicher speicher Melde- Melde- auswertung auswertung Melde- Melde- wieder- wieder- Meldungs- holer B holer A Meldungs- stapel stapel KF-Verhinderung ESTW Abbildung 2: Zweikanalige Meldeauswertung durch die Vergleichsrechner 226 EBA
  7. Mü 8004 7 Grundprinzipien vom 12.01.1999 AE AR A AR B Bildwiederholspeicher Bildwiederholspeicher (pixelorientiert) (pixelorientiert) CRC-Bildung aus CRC-Bildung aus Bildpixeln eines Bildpixeln eines Elementes Elementes VR A VR B CRC- Anzeige- CRC- Anzeige- Meldestapel A katalog Meldestapel B katalog CRC-Vergleicher CRC-Vergleicher Anzeige- katalog CRC-Addition und CRC-Addition und Stapel Stapel CRC-Summenvergleicher ESTW Abbildung 3: Gegenprüfung der Bildwiederholspeicher der Anzeigerechner durch die Vergleichsrechner und das ESTW 226 EBA
  8. Grundprinzipien vom 12.01.1999 8 Mü 8004 AE AR A AR B Bildwiederholspeicher (pixelorientiert) Bildwiederholspeicher (pixelorientiert) CRC-Bildung aus Bildwiederhol- CRC-Bildung aus Bildwiederhol- Bildpixeln eines speicher Bildpixeln eines speicher Elementes (vektororientiert) Elementes (vektororientiert) VR A VR B CRC-Vergleicher Meldespeicher CRC-Vergleicher Meldespeicher Anzeige- Anzeige- katalog katalog CRC-Addition und Meldungsstapel CRC-Addition und Meldungsstapel Stapel Stapel CRC- Summenvergleicher ESTW Abbildung 4: Gegenprüfung der Bildwiederholspeicher durch die Vergleichsrechner und das ESTW 226 EBA
  9. Eisenbahn-Bundesamt Mü 8004 Leitlinien und Grundprinzipien Leitlinie für die zu erfüllenden Bedingungen bei der sicheren Übertragung von Informa- tionen für Signalanlagen Ausgabe: 28.12.1989 Anzahl der Seiten: 5 (1) Vorbemerkungen Ziel dieser Leitlinie ist es, in Ergänzung zur Mü 8004 Bedingungen vorzugeben, die für die sichere Übertragung von Informationen für Signalanlagen einzuhalten sind. Bei einem idealen Übertragungssystem für Sicherheitsinformationen ist die an einer Informationssenke ankommende Information mit der von einer Informationsquelle ausgesendeten Information auch ohne zusätzliche Maßnahmen identisch. Nach dem Stand der Technik ist bei Übertragungssystemen jedoch mit Informationsverfälschungen zu rechnen. Die sichere Übertragung muss daher so gestaltet sein, dass Informationsverfälschungen erkannt und die erforderlichen Sicherungsmaßnahmen eingehalten werden. Unterschiedliche Informationsübertragungen sind für die Steuerung und Sicherung des Eisenbahnbetriebes notwen- dig. Im wesentlichen müssen Informationen zu entfernten Teilen einer Anlage, zwischen festen Anlagen und Fahr- zeugen sowie zwischen Fahrzeugen ausgetauscht werden. Beispiele für die Übertragung von sicherungstechnischen Informationen sind: a) Zwischen Teilen von Anlagen: − Zwischen der Stellwerkszentrale und abgesetzten Rechnern b) Von festen Anlagen zu festen Anlagen: – Fernsteuerung von Stellwerken – Streckenblock zwischen Stellwerken – Bahnübergänge c) Zwischen festen Anlagen und Fahrzeugen: – Übertragung von Ortungsinformationen – Übertragung von Strecken- und Geschwindigkeitsinformationen d) Von Fahrzeug zu Fahrzeug: – zuginterne Zugschlussmeldung. Für die leitungsgebundene sichere Fernübertragung von Informationen für Signalanlagen eignen sich die bei der DB verwendeten Kabel mit Reduktionsschutz und optischen Fasern (optische Fasern eignen sich besonders gut für die Übertragung von Sicherheitsinformationen; sie sind für viele Fehlerquellen unzugänglich und so gut wie immun ge- genüber elektromagnetischen Störungen und Nebensprechen). Als Mindestanforderung sind die nach dem Pflichten- heft für Kabel vorgegebenen Werte anzunehmen. In Ausnahmefällen können für kurze Übertragungswege auch Kabel ohne Reduktionsschutz verwendet werden. (2) Struktur Der Aufbau und das Verfahren eines sicheren Übertragungssystems müssen strukturiert und klar verständlich sein; die Dokumentation ist vom Ersteller aufzustellen. Aus der Struktur muss erkennbar sein, wo und wie Informationsver- fälschungen im System auftreten und wie sie beherrscht werden können. Eine mögliche Art der Darstellung ist in Anlage 1 aufgezeichnet. (3) Schutzverfahren gegen Verfälschungen Es sind Schutzverfahren gegen Verfälschungen vorzusehen; diese müssen die Eigenschaften des gesamten Über- tragungssystems berücksichtigen und ihre Wirksamkeit ist vom Ersteller nachzuweisen. 226 EBA
  10. Leitlinie vom 24.02.1994 2 Mü 8004 (4) Fehlervermeidung Arbeiten die Übertragungssysteme nach dem Prinzip der Fehlervermeidung, dann müssen alle Übertragungsgeräte fail-safe aufgebaut sein. (5) Fehlerkorrigierende Codes Es dürfen keine Fehlerkorrekturen mit Hilfe fehlerkorrigierender Maßnahmen durchgeführt werden. (6) Störungen Systeminterne oder -externe Störungen, z. B. auf die Steuerlogik, dürfen nicht zu unerkannten Verfälschungen der Information führen. (7) Unterbrechung von Übertragungswegen Werden Übertragungswege unterbrochen, muss die sicherheitsrelevante Informationssenke - nach einer auf den Anwendungsfall bezogenen Zeit - einen sicheren Zustand annehmen. (8) Kanalüberwachung Um sicherzustellen, dass Informationsverfälschungen erkannt werden, ist bei einer unzulässigen Fehlerrate der Über- tragungsweg abzuschalten bzw. zu wechseln. Die zulässige Fehlerrate ist vom Ersteller des Sicherheitsnachweises anzugeben. (9) Übertragungspegel Für die Übertragung von Sicherheitsinformationen ist vom Ersteller des Sicherheitsnachweises der maximale Sendepegel unter Beachtung der DS 861 100, der minimal zulässige Empfangspegel und der notwendige Nutz- /Störabstand anzugeben. (10) Speicher Sicherheitsinformationen dürfen nur dort gespeichert werden, wo die Speicherinhalte kontrolliert werden (z. B. durch Verfahrensprüfung). (11) Schnittstellen Standardschnittstellen und -Protokolle dürfen verwendet werden. Die elektromagnetische Verträglichkeit zu anderen Systemen ist zu berücksichtigen. (12) Tests Durch experimentelle Tests (z. B. EMV) ist die Funktionsfähigkeit des Übertragungssystems nachzuweisen. (13) Hard-/Software Wenn in Datenübertragungseinrichtungen marktgängige Hard-/Software eingesetzt wird, so ist die Unbedenklichkeit im Rahmen eines Verfahrenssicherheitsnachweises vom Ersteller des Sicherheitsnachweises nachzuweisen. (14) Änderung der EMV-Bedingungen Die Sicherheit eingesetzter Übertragungssysteme muss erneut betrachtet werden, wenn sich elektromagnetische Umgebungsbedingungen (z. B. Traktion, Funkanlagen usw.) in relevantem Umfang ändern. (15) Instandhaltungspersonal Gegen die Verfälschung der übertragenden Informationen durch fehlerhafte Aktionen des Instandhaltungspersonals müssen Vorkehrungen getroffen werden. (16) Fehlerstruktur Der Ersteller des Sicherheitsnachweises hat dafür zu sorgen, dass sich Bit- und Büschelfehler nicht an die Informati- onsstruktur im Übertragungsweg anlehnen. 226 EBA
  11. Mü 8004 3 Leitlinie vom 28.12.1989 (17) Hammingabstand Bei sicheren Übertragungssystemen müssen Fehlererkennungscodes zum Schutz vor Bit- und Büschelfehlern einen Hammingabstand von mindestens 6 haben. Ausnahmen sind zugelassen, wenn durch andere Maßnahmen die gleiche Sicherheit nachgewiesen werden kann. (18) Mehrfachübertragung Bei sicheren Übertragungssystemen müssen die Informationen mehrfach übertragen werden. Auf dem Übertragungsweg (siehe Anlage 1) müssen bei Mehrfachübertragung die einzelnen Übertragungen parallel oder seriell voneinander unabhängig sein. Anmerkung: Eine Variante der seriellen Übertragung ist ein Verfahren mit Rückübertragung und geeignet codiertem Frei- gabebefehl. Modulator/Demodulator und Sender/Empfänger (siehe Anlage 1) müssen entweder zweikanalig, unabhängig, parallel in Hardware realisiert sein oder bei einkanaliger Auslegung folgenden Bedingungen genügen: Der Hersteller muss nachweisen, dass bei den anzunehmenden Störungen und/oder Ausfällen das gewählte Schutzverfahren gegen Verfälschungen die möglichen Informationsverfälschungen beherrscht. (19) Zusätzliche Maßnahmen Folgende zusätzliche Maßnahmen sind mindestens zu erfüllen: – Im Rahmen der Mehrfachübertragung ist die Information sowohl normal auch invertiert zu übertragen oder es sind gleichwertige Maßnahmen zu ergreifen. – An der Informationssenke (oder bei Rückübertragung an der Informationsquelle) ist ein sicherer Bit-zu-Bit- Vergleich durchzuführen. (20) Bestehende Systeme und Anlagen Für bereits bestehende und zugelassene Anlagen und Systeme sowie die, deren Entwicklung vor dem Abschluss steht und die bis spätestens Ende 1990 in Betrieb gehen werden, darf von vorgenannten Regeln abgewichen wer- den. Anmerkung: Bei Änderungen bzw. Weiterentwicklung von Anlagen und Systemen ist die Regel 6 des Teils 00 020 zu be- achten. 226 EBA
  12. Leitlinie vom 24.02.1994 4 Mü 8004 Anlage 1 226 EBA
  13. Eisenbahn-Bundesamt Mü 8004 Leitlinien und Grundprinzipien Leitlinie für die signaltechnisch sichere Übertragung über Netze Ausgabe: 24.02.1994 Anzahl der Seiten: 16 1. Vorbemerkungen In einem mit marktgängigen Komponenten aufgebauten Netz mit Fehlerkorrektur kann aufgrund des komplexen Systemverhaltens nicht wie in der Vergangenheit auf der Basis von Fehlermodellen für die Sicherheitsanalyse gear- beitet werden, zumal sich auch nicht vorherbestimmen lässt, welche Wege die zu übertragende Nachricht oder teile davon in dem Netz nehmen. Aus dieser Erkenntnis heraus und der Tatsache, dass die Betriebsleittechnik auch künf- tige Entwicklungen auf dem Gebiet der Übertragungstechnik nicht beeinflussen kann, wird die Übertragungsstrecke zwischen signaltechnisch sicheren Verarbeitungseinheiten als „grauer Kanal“ betrachtet. Die signaltechnische Si- cherheit muss dabei mit einem integrierten Sicherheitsverfahren in den signaltechnisch sicheren Quellen und Senken realisiert werden. Ein wesentlicher Bestandteil zur Absicherung der Nachricht ist der Redundanzteil der verwendeten Telegramme. Die zur Fehlererkennung dienende Redundanz zu einer Nachricht soll dabei durch ein kryptografisches Verfahren, in das eingeht, erzeugt werden. Der kryptografische Redundanzteil wird durch einen sogenannten Message-Authentication- Code (MAC) auf der Basis eines symmetrischen Blockverschlüsselungsalgorithmus realisiert, der geeignet ist, unbe- fugte Manipulationen an Nachrichtenströmen zu erkennen. Durch das nachstehend festgelegte Verfahren braucht beim Übertragungsweg nicht angenommen zu werden, dass dieser korrekte MAC erzeugt. Bei betriebshemmenden Nachrichten ist neben der Erfüllung der nachstehenden Sicherheitsanforderungen zusätz- lich auf eine vom System geforderte Verfügbarkeit zu achten. 2. Sicherheitsanforderung 2.1 Die Redundanz einer Nachricht ist mittels einer kryptografischen Prüfsumme in Form eines MAC zu bilden. Dieser dient auch dazu, unbefugte Manipulationen an den zu übertragenden Nachrichten erkennbar zu machen. Die MAC-Bildung muss durch Hardware realisiert werden. 2.2 Für die MAC-Generierung muss der normierte „Data-Encryption-Standard“ (DES) in der Betriebsart „Cipher Block Chaining“ (CBC) gemäß ISO/IEC DIS 9797 verwendet werden. Für eventuelle Füllbits ist das Pad- ding-Verfahren 1 (Anlage 1) anzuwenden (Auffüllen mit 0-Bits). Voraussetzung für die Zulassung der kryp- tografischen Funktionen ist eine Zertifizierung der korrekten DES-Implementierung entsprechend der Grundlage der FIPS Pub 74. Der MAC-Anhang muss acht Bytes betragen und wird mit einem Schlüssel erzeugt, der nicht von Unbefug- ten unerkannt ermittelt werden kann. Das für die MAC-Bildung und alle weiteren Keymanagement-Funktionen, wie Einbringung und Verwendung der Daten erforderliche Schlüsselmanagement ist vorgeschrieben (Anlage 2). Dabei wird unterschieden zwischen einem geschlossenen System und einer Anbindung an ein offenes Netz. 2.3 Die signaltechnisch sichere Erstellung und Bearbeitung der Telegramme einschließlich der Redundanz muss in der Quelle und Senke des Übertragungsweges in einer signaltechnisch sicheren Einrichtung erfol- gen (Anlage 3). 2.4 Im Telegrammrahmen muss neben dem MAC noch folgender Inhalt vorhanden sein: - Sende- und Empfangsadresse (logische Rechneradresse), - Sequenznummer, - Informationsart (z.B. Prüftelegramm Nutztelegramm), - Nutzdaten. Der Aufbau des Telegrammrahmens ist in der Anlage 4 beispielhaft dargestellt. Auf eine separate Sende-/Empfangsadresse kann verzichtet werden, wenn auf andere Art und Weise nachgewiesen wird, dass nur die gewollte Verbindung zwischen definierter Quelle und Senke angespro- chen wird. 226 EBA
  14. Leitlinie vom 15.12.1994 2 Mü 8004 2.5 Bei jeder Initialisierung muss ein Identifikations- und Authentikationsdialog stattfinden. Ein als richtig er- kanntes Folgetelegramm muss in der Senke vor Ablauf einer anwendungsspezifischen Überwachungszeit eingetroffen sein. Falls dies nicht der Fall ist, muss vom Anwender sicher reagiert werden. 2.6 Bei jeder Initialisierung einer signaltechnisch sicheren Übertragungsverbindung sind Telegrammprozeduren gemäß Anlage 5 zu realisieren. Vor der Nutzdatenübertragung ist eine Initialisierung in Form eines „ereig- nisgesteuerten Telegrammverkehrs“ durchzuführen, d.h. es muss von signaltechnisch sicherer Quelle zu signaltechnisch sicherer Senke ein Starttelegramm gesendet werden. Dieses Telegramm ist in der Senke auf Integrität und Authentizität zu prüfen. Nach positiver Prüfung ist von der Senke ein Telegramm mit in- haltlichem Bezug zum empfangenen Telegramm zur Quelle zurückzusenden. Das empfangene Telegramm ist in der Quelle mit dem abgesandten Telegramm zu vergleichen. Bei positivem Vergleich sendet die Quel- le an die Senke eine Quittung in Form eines Freigabetelegramms. Dieses muss bei der Senke innerhalb einer definierten Zeit eingetroffen sein. Diese Telegrammprozedur muss mindestens zweimal stattfinden, zuerst in Richtung Quelle – Senke und dann in umgekehrter Richtung, bevor mit der Übertragung der Anwenderdaten begonnen werden darf. Bei diesen Telegrammprozeduren kann die Initialisierung von Schlüsseln und Zufallszahlen mit eingehen. 2.7 In den Einrichtungen sind Verfahren nachzuweisen, welche alle unberechtigten Zugriffe auf das System und Systemteile (z.B. handelsübliche Gateways) - über ein Netz, - über weitere Schnittstellen an Netzkomponenten wirksam unterbinden und solche Versuche protokollieren (Zugangskontrolle). Die Integrität des gesamten Systems muss zyklisch geprüft werden. 2.8 Das Einbringen der Schlüssel in das System wird abhängig von der möglichen Netzkonfiguration (siehe An- lage 2) festgelegt. 2.9 Im geschlossenen System müssen die Baugruppen, in denen Schlüssel gespeichert sind, unter besonde- ren Sicherheitsauflagen gelagert und transportiert werden. 2.10 Für die im Netz korrespondierenden Systeme sind die Adressen von der Bahn zentral zu vergeben. 2.11 Zunächst wird das hier beschriebene Verfahren nur zur Anwendung in geschlossenen Netzen freigegeben. 3. Ungefährlichkeit von Einzelausfällen Die Ungefährlichkeit von Einzelausfällen wird durch das beschriebene Übertragungsverfahren gewährleistet (siehe Anlage 5). 1. Ausfalloffenbarung Die signaltechnisch sicheren Einrichtungen (Quellen und Senken) offenbaren Telegrammverfälschungen durch Überprüfung der Sequenznummer und des MAC. Werden keine Nutzdaten übertragen, sind vor Ablauf einer Überwachungszeit „Lebenszeichenteegramme“ zu übertragen. Erfolgt von einer Quelle oder Senke – während der vorgegebenen Überwachungszeit - keine Reaktion, so muss sicher reagiert werden. Darüber hinausgehende Maßnahmen zur Ausfalloffenbarung sind nicht erforderlich. 4. Prüfung der Software Der „graue Kanal“ beginnt an der Stelle, an der das signaltechnisch sichere Telegramm zum ersten Mal vorliegt. Für das Schlüsselmanagement ist eine gesonderte Spezifikation zu erstellen. In den Laboranlagen der Firmen müssen Testläufe der festgelegten Telegrammrahmen stattfinden, bei denen al- le Informationen, entsprechend der jeweiligen Anwendung, benutzt werden. Es muss nachgewiesen werden, dass davon abweichende Telegramme zu entsprechenden Fehlerbehandlungen führen. Für die Abnahme vor Ort muss zusätzlich noch ein „Testtelegramm“, welches eine Fehlerbehandlung erzeugt, generiert werden. Für das Schlüsselmanagement müssen ebenfalls Labortests stattfinden, die mit standardisierten Telegrammen durchgeführt werden. 226 EBA
  15. Mü 8004 3 Leitlinie vom 24.02.1994 Begriffsbestimmungen CBC: Cipher Block Chaining; Betriebsart eines Blockverschlüsselungsverfahrens. Vorgeschrieben für die MAC- Er- zeugung. DES-Verfahren: Data Encryption Standard; symmetrisches Blockverschlüsselungsverfahren, d.h. identische Schlüs- sel zum Ver- und Entschlüsseln. MAC: Message Authentication Code; kryptografisch berechnete Prüfsumme über einen Datenblock. Geschlossenes System: Bei einem geschlossenen System wird ein bahninterner Übertragungsweg, der auch Spei- chermedien enthalten kann, verwendet, der keinerlei Verbindung zu anderen Netzen hat. Der Zugriff (Sabotage aus- geschlossen) auf diesem Übertragungsweg ist so gesichert, dass dieser nur von unterwiesenem Instandhaltungsper- sonal möglich ist. Offenes System: Bei einem offenen System werden Übertragungswege benutzt, die allgemein zugänglich sind. 226 EBA

×