Способ и устройство для управляющей коммуникации между сцепленными частями железнодорожного состава

Иллюстрации

Показать все

Изобретение относится к области автоматики и телемеханики и может использоваться для управления коммуникациями между сцепленными частями железнодорожного состава. Техническое решение включает в себя сцепленные части железнодорожного состава, имеющие механические и электрические (ЕК) сопряжения, а также средства для обмена данными. Причем при сцепке первой части железнодорожного состава с по меньшей мере одной дополнительной частью железнодорожного состава первая часть идентифицирует эту по меньшей мере одну дополнительную часть железнодорожного состава. В зависимости от идентификации выполняют фильтрацию для допустимого обмена данными, при этом допускается только выбранный трафик данных. Поездные шины сцепленного из частей железнодорожного состава соединены через электрические связи (ЕК), а обмен данными частей выполняется через по меньшей мере одно сетевое устройство сопряжения (GW) с по меньшей мере одним Ethernet-интерфейсом, а также через по меньшей мере один интерфейс для подключения каждой частичной сети (7), так что обмен данными разрешается или блокируется в соответствии с правилом фильтрации. Достигается повышение безопасности движения поездов и надежности управления сцепленными частями состава. 2 н. и 15 з.п. ф-лы, 5 ил.

Реферат

Изобретение относится к сцепке частей железнодорожного состава, причем, наряду с электрической и механической сцепкой, также сцепляются шины частей железнодорожного состава, так что может осуществляться обмен данными. Сцепка нескольких частей железнодорожного состава приводит к группированию железнодорожного состава.

Части железнодорожного состава или вагоны, в специальных рельсовых транспортных средствах при технической эксплуатации железной дороги регулярно сцепляются и вновь расцепляются. Так эксплуатирующее предприятие-перевозчик может гибким образом группировать состав или соединение составов, причем последнее может согласовываться с интенсивностью использования участков путей, по которым осуществляется движение. При этом существует возможность того, что соединение составов составляется из вагонов или частей состава различных эксплуатирующих предприятий-перевозчиков и различных изготовителей.

Наряду с механической сцепкой также осуществляется связывание пневматических линий для соответствующих тормозов или электрическое связывание линий энергоснабжения частей железнодорожного состава. При сцепке могут также непосредственно соединяться между собой шины управления железнодорожного состава, так что может производиться обмен данными, например, управляющими сообщениями для освещения, торможения, привода или индикации сигналов движения. При этом могут частично связываться между собой шины управления рельсового транспортного средства на основе Ethernet или IP. Также может, например, соединяться транспортная сеть управления или сеть эксплуатирующего предприятия (оператора) для видеонаблюдения или для информации пассажиров между связанными частями железнодорожного состава.

Так называемая шина состава (поездная шина) является уже обычной в настоящее время, чтобы передавать данные между частями железнодорожного состава.

Электрическое соединение между двумя частями железнодорожного состава может в принципе также устанавливаться через состыкованный кабель. Это соединение соединяет, в том числе, поездную шину сцепленных частей железнодорожного состава. Для этого может применяться, например, штекер согласно определенному стандарту (UIC 568).

Кроме того, известно, что в железнодорожных составах используется IP-коммуникация. Проблематика адресации возникает в особенности при сцепке составов. Связывание поездной шины с шиной единицы подвижного состава (вагонной шиной) реализуется через сетевое устройство сопряжения/шлюз или интерфейс. При так называемом «крещении» (завершении формирования) железнодорожного состава, все единицы подвижного состава знают затем топологию состава. Она содержит тип и версию других единиц подвижного состава и их соответствующие номера. Номера сцепленных единиц подвижного состава в процессе сцепки присваиваются таким образом, что единицы подвижного состава получают сквозную нумерацию.

Кроме того, известно использование брандмауэра (средства сетевой защиты) при связи одного или нескольких внутренних Ethernet-участков Ethernet-ориентированной сети внутри рельсового транспортного средства. За счет этого может отклоняться сетевой доступ к поездной шине.

Для передачи данных также может использоваться беспроводная связь посредством оптической передачи или посредством радиопередачи.

Часть железнодорожного состава может содержать, например, несколько сетей или шин, например пассажирскую сеть, сеть управления единицы подвижного состава, сеть оператора, сеть автоматической локомотивной сигнализации с автостопом и т.п. Они могут соединяться между сцепленными частями железнодорожного состава непосредственно или через поездную шину.

Кроме того, известны автоматические сцепки, такие как Scharfenberg-сцепки, при которых также автоматически устанавливаются электрические соединения. В такую механическую сцепку встроена соединительная муфта электроконтактирования. Тем самым могут устанавливаться электрические соединения между сцепленными частями железнодорожного состава.

В отношении сетевой безопасности или безопасной передачи данных использование средств сетевой защиты является общепринятым. Это ограничивает на границе сети доступ к сети, основываясь на выборе разрешенной передачи данных.

Известны различные решения, чтобы блокировать доступ к сети. В общем случае требуется аутентифицировать пользователя, прежде чем будет разрешен сетевой доступ. Аутентификация осуществляется, например, посредством применения пароля или криптографического ключа.

Кроме того, известно использование управления доступом к сети (NAC), при этом проверяется конфигурация подключаемого прибора. При этом, например, устанавливается, инсталлирован ли сканер вирусов или инсталлированы так называемые патчи («заплаты», программные коды для исправления или обновления). Только если задания в отношении конфигурации выполнены, с помощью переключателя доступа обеспечивается возможность доступа. Если доступ не предоставлен, то пользователю отказывается в доступе или он получает ограниченный доступ к некритичной сети.

Из US 2006/0180709 известны, например, способ и система для IP-ввода состава. Ввод (в эксплуатацию) состава или также завершение формирования состава выполняется в IP-ориентированной сети ввода состава. При этом определяется топология состава, особенно таковая тяговой единицы подвижного состава. В зависимости от этого конфигурируется преобразование IP-адреса.

Кроме того, распознается вагон в железнодорожном составе за счет того, что применяется протокол распознавания. Сетевая и конфигурационная информация передаются на другие единицы железнодорожного состава.

В основе изобретения лежит задача предотвратить создание угрозы функции управления части железнодорожного состава при сцепке с другой частью железнодорожного состава.

Решение этой задачи осуществляется посредством соответствующей комбинации признаков независимых пунктов формулы изобретения.

В основе изобретения лежит знание того, что, например, при сцепке частей железнодорожного состава или отдельных вагонов в железнодорожный состав или при сцепке целых составов в один железнодорожный состав или соединение составов, как, например, в случае ICE/Iner-City-Express, может оптимизироваться безопасность функций управления. Это касается не только собственно безопасности эксплуатации, но и эксплуатационной безопасности для обеспечиваемого процесса эксплуатации.

В соответствии с изобретением, при сцепке первой части железнодорожного состава с другой частью железнодорожного состава эта дополнительная часть железнодорожного состава идентифицируется. Тем самым, например, идентифицируется изготовитель, модель, версия, серийный номер или оператор. В зависимости от этой идентификации выполняется фильтрация допустимого обмена данными, который может происходить через сеть управления первой части железнодорожного состава с сетью управления сцепленной дополнительной части железнодорожного состава. Сеть управления части железнодорожного состава представляет собой, например, поездную систему управления, систему управления единицей подвижного состава, функцию оператора, такую как пассажирская информационная система и т.п.

Тем самым фильтрация определяет частичные сети, которые соответственно связываются, и соответственно допустимый осуществляемый между этими частичными сетями обмен данными. Так, например, может обеспечиваться обмен данными между связанными частями сети железнодорожного состава, например, поездной шины Ethernet (ETB), в то время как с другой стороны сети оператора или сети управления единиц подвижного состава не могут связываться или могут связываться лишь в ограниченной степени, то есть отфильтровываются.

Под фильтрацией здесь понимается оценка данных управления, таких как заголовок, и/или полезных данных пакета данных управления. Проверяется, является ли он вообще допустимым, и/или являются ли данные достоверными, относительно локальных рабочих данных.

Фильтрация касается сообщений данных, таких как, например, управляющие команды, сообщения статуса, измеренные значения и т.д. В целом при этом могут обслуживаться многие функции, чаще всего соответственно частичной сети. Через управление поездом может, например, обслуживаться кондиционирование воздуха, освещение, функция управления дверями, управление торможением и приводом. Посредством системы обеспечения безопасности движения поезда обслуживается, например, автоматическая функция обеспечения безопасности движения поезда. Пассажирская информационная система обеспечивает необходимое и комфортное предоставление информации. Так называемые функции оператора могут управлять измерениями потребления энергии, подсчетами пассажиров или видеонаблюдениями.

Сеть единицы подвижного состава, предусмотренная для железнодорожного состава, состоящего из частей состава, состоит из нескольких частичных сетей, например, управления поездом, пассажирской сети, сети оператора. Эти частичные сети могут отдельно связываться между частями железнодорожного состава. Фильтрация может также касаться соединения этих частичных сетей между собой, то есть может допускаться или блокироваться соединение, охватывающее части железнодорожного состава. Обмен данными, таким образом, допускается или блокируется в зависимости от фильтрации или направляется на так называемый прокси-сервер. Этот действующий в качестве сетевых компонентов сервер берет на себя в сети функцию посредника, так что по возможности соединение между коммуникационными сторонами осуществляется и в том случае, когда их адреса или применяемые протоколы являются несовместимыми друг с другом.

Правило/политика для фильтрации при обмене данными на железнодорожном составе может задаваться либо постоянно или может конфигурироваться или может также подаваться от сервера. Тем самым сеть железнодорожного состава при подсоединении дополнительных частей состава является очень гибкой при фильтрации в случае вновь сцепленных частей железнодорожного состава или их собственных частичных сетей.

Так как большинство рельсовых транспортных средств, то есть больше или меньше единиц из каждой части железнодорожного состава, имеют собственную шину данных, сцепка с дополнительными частями железнодорожного состава, как правило, также означает стыковку шин данных отдельных частей железнодорожного состава. Для обмена данными, таким образом, целесообразно использовать по меньшей мере одно сетевое устройство сопряжения/шлюз GW между поездной шиной и отдельными частичными сетями части железнодорожного состава. Тем самым обмен данными выполняется соответственно постоянному или конфигурируемому правилу/политике фильтрации, и на сетевом устройстве сопряжения обмен данными классифицируется как допустимый или блокируется.

Является предпочтительным, сетевое устройство сопряжения/шлюз GW оснащать по меньшей мере одним Ethernet-интерфейсом, а также соответствующим интерфейсом для каждой частичной сети.

Если часть железнодорожного состава с обеих сторон сцепляется с другими частями железнодорожного состава, является предпочтительным сетевое устройство сопряжения оснащать по меньшей мере двумя Ethernet-интерфейсами. В качестве Ethernet-интерфейса понимается технология, которая специфицирует программное обеспечение, например протокол, и аппаратные средства, например распределитель или сетевые карты, для кабельных сетей передачи данных. Первоначально эти локальные сети передачи данных предназначались для обмена данными в форме пакетов данных между приборами, подключенными к локальной сети (LAN).

Как правило, может в значительной степени сохраняться функциональность между частями железнодорожного состава, причем, однако, соответственно правилу/политике фильтрации выполняется предварительная проверка того, являются ли одна или более частей железнодорожного состава доверительными.

Особенно предпочтительным может быть, наряду с непосредственно сцепленными с данной частью железнодорожного состава дополнительными частями железнодорожного состава, также идентифицировать удаленные части железнодорожного состава. Это требует особой адресации обмена данными. В остальном, способ действий для идентификации, аутентификации или коммуникации с или между частичными сетями различных частей железнодорожного состава регулируется аналогичным образом.

Предпочтительным образом, между отдельными частями железнодорожного состава передача данных выполняется посредством радиопередачи.

Далее, на основе схематичных чертежей описываются неограничительные примеры выполнения изобретения.

При этом на чертежах детально показано следующее:

Фиг. 1 - сцепка двух частей железнодорожного состава, которые связаны рельсами с сетевым устройством сопряжения/шлюзом GW, который выполнен сдвоенным, так как соответствующая электрическая связь ЕК должна соединяться через соответствующее сетевое устройство сопряжения с частичными сетями 7,

Фиг. 2 - изображение, соответствующее фиг. 1, с тем изменением, что предусмотрено только одно устройство сопряжения/шлюз GW, которое одновременно соединяется с электрическими связями ЕК,

Фиг. 3 - другой вариант, при котором электрические связи ЕК на обеих сторонах первой части 1 железнодорожного состава непосредственно соединены, и осуществляется доступ к частичной сети 7 первой части 1 железнодорожного состава через единственное устройство сопряжения/шлюз GW,

Фиг. 4 - схематичное представление процесса идентификации и зависимой от этого фильтрации соответственно правилу фильтрации,

Фиг. 5 - вариант, при котором связанная дополнительная часть 2 железнодорожного состава идентифицируется посредством аутентификации по принципу запрос-ответ с применением цифрового сертификата.

Связь частичных сетей 72, 73, 74 может быть реализована через отдельные физические линии. Частичные сети могут, однако, также связываться через общую линию, при этом данные туннелируются. Это происходит, например, через VLAN, L2TP. Соответственно пакет данных, так называемый кадр, при передаче между обеими частями железнодорожного состава снабжается маркировкой, которая позволяет приемнику осуществлять ассоциирование с соответствующей частичной сетью.

Так, например, в одной конфигурации правил фильтрации сеть оператора первой части 1 железнодорожного состава может соединяться с сетью оператора сцепленной дополнительной части 2 железнодорожного состава, то есть пакеты данных маршрутизируются между связанными сетями операторов. Однако в этой примерной конфигурации невозможно пассажирскую сеть или сеть управления железнодорожного состава соответственно соединить, то есть между сцепленными частями железнодорожного состава пакеты данных или кадры не маршрутизируются между пассажирскими сетями сцепленных частей железнодорожного состава или между сетями управления состава сцепленных частей железнодорожного состава соответственно правилами фильтрации. Также, например, сеть оператора может соединяться, только если сцепленные части состава принадлежат одному и тому же оператору. Напротив, управление составом/сеть управления составом могут также осуществляться между частями железнодорожного состава, которые ассоциированы с различными операторами.

Фильтрация может осуществляться логически, за счет того что соответственно правилам фильтрации недопустимые пакеты данных отбрасываются, то есть они не маршрутизируются между сцепленными частями железнодорожного состава.

Фильтрация может также осуществляться через управляемый электрический контакт, например, реле, которое электрическое соединение между соединяемыми частичными сетями переключает только в том случае, если они в соответствии с правилами фильтрации допустимы в зависимости от сцепленной части железнодорожного состава.

Как правило, только основная функциональность частичных сетей или расширенная функциональность необходима и присутствует, которая доступна при сцепке железнодорожных составов. Тем самым не существует никакой грозящей опасности при сцепке с неизвестной или недоверительной частью железнодорожного состава. Несмотря на это могут использоваться имеющиеся функциональности, пока это возможно без опасения, например, между сцепленными частями железнодорожного состава одного и то же оператора. Это возможно, если это допускается согласно определенному правилу/политике фильтрации.

Фильтрация обмена данными управления между сцепленными рельсовыми транспортными средствами в различных вариантах иллюстрируется на фиг. 1-3 более подробно.

На фиг. 1 показаны два сетевых устройства сопряжения для фильтрации трафика данных со сцепленной дополнительной частью 2 железнодорожного состава. При связывании шины железнодорожного состава или шины единицы подвижного состава соединяются друг с другом посредством электрической связи ЕК. Обмен данными с дополнительной частью 2 железнодорожного состава осуществляется через устройство сопряжения состава/шлюз GW. Соответственно правилу/политике фильтрации обмен данными либо разрешается, либо блокируется.

На фиг. 1 предусмотрены три частичные сети 7; 72, 73, 74 внутри первой части 1 железнодорожного состава, через которые реализуются различные частичные функции. Так, управление 72 железнодорожным составом, а также информация 73 для пассажиров или видеонаблюдение 74 могут эксплуатироваться по отдельности. Для примера представлены соответствующие компоненты, которые соединены с соответствующей частичной сетью. Однако в общем имеются многие компоненты, управляющие приборы для подсистем управления железнодорожным составом, которые управляются и контролируются сервером управления железнодорожным составом для обслуживания нескольких дисплеев пассажирской информационной системы, которые управляются PIS-сервером, CCTV-сервер, который принимает и сохраняет изображения от нескольких CCTV-камер.

Фиг. 2 показывает вариант представления согласно фиг. 1, при котором предусмотрено только одно устройство сопряжения/шлюз GW. Это сетевое устройство сопряжения одновременно соединено с электрическими связями ЕК на обеих сторонах железнодорожного состава. При этом на фиг. 2 нет прямого соединения поездных шин 5, которые исходят от обеих связей ЕК железнодорожного состава.

На фиг. 3 показан другой вариант, при котором электрические связи ЕК на обеих сторонах части железнодорожного состава непосредственно соединены через поездную шину 5 друг с другом. Устройство сопряжения GW включено между поездной шиной 5 и одной или несколькими частичными сетями 7. При этом устройство сопряжения/шлюз не может различать, осуществляется ли обмен данными через левую или правую электрическую связь ЕК. Здесь может осуществляться идентификация как левой, так и правой сцепленной части железнодорожного состава. В зависимости от этого шлюзом определяется правило/политика фильтрации.

В одном варианте идентифицируется непосредственно связанная часть железнодорожного состава. В другом варианте, однако, идентифицируются и дальше удаленные части железнодорожного состава. Это означает, что те части железнодорожного состава, которые связаны косвенным образом через непосредственно сцепленную часть железнодорожного состава, также могут идентифицироваться. Применяемые при этом правило/политика фильтрации могут тогда определяться в зависимости от этих дополнительно идентифицируемых частей железнодорожного состава или согласовываться.

Идентификация сцепленной дополнительной части 2 железнодорожного состава может, в частности, защищаться криптографическим способом через аутентификацию. Тем самым сцепленная дополнительная часть 2 железнодорожного состава может надежно идентифицироваться. Это может осуществляться, например, посредством цифрового сертификата, например, согласно Х.509, причем цифровой сертификат ассоциирован со сцепленной дополнительной частью 2 железнодорожного состава. Цифровой сертификат сцепленной части 2 железнодорожного состава проверяется первой частью 1 состава при аутентификации дополнительной части 2 железнодорожного состава. Сертификат содержит открытый ключ сцепленной дополнительной части 2 железнодорожного состава, а также другие ассоциированные с дополнительной частью 2 железнодорожного состава атрибуты, такие, как, например, изготовитель, модель, серийный номер, оператор, номер состава и т.д. Также может содержаться временная информация действительности. В одном варианте сцепленная дополнительная часть 2 железнодорожного состава располагает статической идентификацией части железнодорожного состава и отдельной идентификацией железнодорожного состава оператора, причем первая ассоциирована с изготовителем, а вторая - с оператором и последняя ассоциирует часть железнодорожного состава с определенным применением у оператора. Тогда можно, например, определять, действительно ли две сцепленные части железнодорожного состава фактически соотнесены с тем же самым номером состава.

В другом варианте в первой части 1 железнодорожного состава сохранена информация, которая связана со второй частью 2 железнодорожного состава или подлежит связыванию с ней. В другом варианте эта информация при связывании запрашивается от внешнего сервера через обмен данными, например, по радиосвязи, посредством UMTS, WLAN, WIMAX. Тем самым можно проверять и при фильтрации принимать во внимание, предусмотрена ли сцепка с дополнительной частью 2 железнодорожного состава в действительности в соответствии с производственным планированием.

Если для аутентификации дополнительной части 2 железнодорожного состава применяется Х.509-сертификат, то он в принципе строится следующим образом:

Цифровой сертификат с
сертифицированным ID: серийный номер
предоставленным на: имя
пользователь: имя
действителен с: время
действителен до: время
открытый ключ:
Признаки
признак А
признак В
подпись (цифровая сигнатура)

Признак, согласно уровню техники, может применяться для того, чтобы кодировать дополнительные информации о сертификате или субъекте, для которого оформлен сертификат. В случае признака может кодироваться определенное имя или IP-адрес. Последний указывает адрес электронной почты или серверный адрес SSL-TLS-сервера, для которого сертификат должен рассматриваться как действительный. Эта информация относится к данному субъекту, то есть к такому, который аутентифицирует себя посредством этого сертификата.

Предпочтительным образом может использоваться цифровой сертификат или также цифровой сертификат железнодорожного состава, чтобы закодировать в нем идентификацию состава. Тем самым такой сертификат может применяться, чтобы аутентифицировать часть железнодорожного состава относительно сцепленной части железнодорожного состава. Может кодироваться аутентификация, например, для изготовителя, серии, серийного номера и т.д. или информация эксплуатирующего предприятия (оператора), такая как номер состава оператора согласно плану движения на участке пути или станции приписки части железнодорожного состава. Также могут предусматриваться отдельные сертификаты для информации части железнодорожного состава и ассоциированной с ней информации оператора. Эта информация может, например, кодироваться в поле «выдан на имя» или в поле атрибута/поле признака.

В отношении аутентификации части железнодорожного состава следует отметить, что идентификация сцепленной части железнодорожного состава может осуществляться посредством различных стандартов и протоколов. Для этого могут применяться, например, SSL, TLS, IKE или EAP протокол.

Фиг. 4 показывает схематичную структуру при сцепленной части 2 железнодорожного состава, которая идентифицируется и в зависимости от этого согласно правилам фильтрации/политике фильтрации активируется для обмена данными, то есть получает доступ. Обмен данными может при фильтрации, в зависимости от правил фильтрации, также блокироваться. Правило фильтрации остается действительным до тех пор, пока железнодорожный состав остается сцепленным. При расцеплении или повторной сцепке определяется другое правило фильтрации и вновь активируется.

Отдельные этапы на фиг. 4 обозначают следующее:

1 - первая часть железнодорожного состава

2 - дополнительная часть железнодорожного состава

11 - определение сцепки железнодорожного состава

12 - определение управления движением поездов - правил/политики

13 - активирование управления движением поездов - правил/политики

16 - запрос ID железнодорожного состава

17 - ID железнодорожного состава

Фиг. 5 показывает вариант, при котором сцепленная часть 2 железнодорожного состава идентифицируется посредством так называемой аутентификации по принципу запроса-ответа с применением цифрового сертификата. Для примера представлено, что сначала идентифицируется только сцепленная дополнительная часть железнодорожного состава. В общем, сцепленная дополнительная часть железнодорожного состава также может выполнять соответствующие этапы, то есть данная часть железнодорожного состава также идентифицирует сцепленную с ней дополнительную часть 2 железнодорожного состава, и соответствующее правило фильтрации выбирается и активируется. При этом может, в частности, осуществляться взаимная аутентификация обеих дополнительных частей железнодорожного состава.

Если производится обмен данными со сцепленной частью железнодорожного состава, путем передачи или приема, то проверяется, соответствует ли этот обмен данными определенным правилам фильтрации. В случае результата проверки «да» («разрешено») обмен данными допускается и может осуществляться. В случае результата проверки «нет» («запрещено») обмен данными блокируется.

Фильтрация трафика данных может, в частности, учитывать следующие критерии:

- протокол (например, ARP, IP, ICMP, DHCP, UDP, TCP)

- отправитель/адрес (например, МАС-адрес, IP-адрес)

- адрес отправки (например, МАС-адрес, IP-адрес)

- номера портов (например, UDP-номер порта, TCP-номер порта, ICMP-служба)

- URL/URI, например, Web-сервиса

- содержание данных (например, содержание управляющего указания, измеренное значение):

может, в частности, осуществляться проверка подлинности данных в зависимости от идентификации транспортного средства и/или локальных собственных данных, как, например, скорость или температура;

- транспортное средство периодически посылает, например, при WRB свойства транспортного средства, такие как длина и вес. Эти данные могут проверяться на подлинность в зависимости от идентификации. Опорные данные могут, например, содержаться в цифровом сертификате транспортного средства или они могут определяться посредством содержащегося в нем идентификатора транспортного средства из базы данных. Соответствующие WTB-сообщения только маршрутизируются, если эти данные согласуются с расширенными данными;

- динамические, релевантные для эксплуатационной безопасности данные, например, «двери закрыты», маршрутизируются только в том случае, если собственные двери также закрыты, то есть фильтрация осуществляется в зависимости от собственного состояния части железнодорожного состава. Маршрутизируются только сообщения, которые по содержанию согласуются с локальными и поэтому достоверными данными управления.

На фиг. 4 и 5 для примера представлен процесс идентификации железнодорожного состава или аутентификации железнодорожного состава.

Согласно фиг. 4, только однократно запрашивается идентификационный номер железнодорожного состава, и на следующем этапе он передается назад.

Согласно фиг. 5, запрашивается цифровой сертификат, который в форме сертификата 19CERT передается назад в информации ответа. Этот сертификат CERT проверяется на его действительность или истинность, то есть проверяется, идет ли речь о действительном сертификате, выданном доверительной инстанцией сертификации (органом сертификации).

Затем, например, выполняется аутентификация по принципу запрос-ответ, чтобы аутентифицировать сцепленную дополнительную часть 2 железнодорожного состава. В зависимости от того, какая дополнительная часть 2 железнодорожного состава сцеплена, выбираются и активируются правила фильтрации, которые определяют управляющие данные, которые допускаются для передачи со сцепленной дополнительной частью железнодорожного состава. Управляющие данные передаются, например, от сцепленной дополнительной части железнодорожного состава, если они разрешены в соответствии с выбранными и активированными правилами фильтрации.

Отдельные этапы на фиг. 5 обозначают следующее:

1 - первая часть железнодорожного состава

2 - дополнительная часть железнодорожного состава

11 - определение сцепки железнодорожного состава

12 - определение правил/политики управления движением поездов

13 - активирование правил/политики управления движением поездов

14 - верификация сертификата

15 - верификация ответа

18 - запрашивание сертификата

19 - сертификат: CERT

20 - запрашивание доказательства действительности

21 - ответ действительности: R

22 - ОК

30 - вычисление ответа.

1. Способ управляющей коммуникации между сцепленными частями (1, 2) железнодорожного состава, причем имеются механические (6) и электрические (ЕК) сопряжения, а также средства для обмена данными, отличающийся тем, что- при сцепке первой части (1) железнодорожного состава с по меньшей мере одной дополнительной частью (2) железнодорожного состава идентифицируют эту по меньшей мере одну дополнительную часть (2) железнодорожного состава,- в зависимости от этой идентификации выполняют фильтрацию для допустимого обмена данными, при этом допускается только выбранный трафик данных.

2. Способ по п. 1, отличающийся тем, что дополнительно осуществляют фильтрацию для допустимого обмена данными, при этом связывают только выбранные частичные сети (7) с перекрытием части железнодорожного состава.

3. Способ по п. 1 или 2, отличающийся тем, что обмен данными в зависимости от фильтрации разрешается, или блокируется, или направляется на так называемый прокси-сервер.

4. Способ по п. 1, отличающийся тем, что фильтрация касается соответственно оценки данных частей (1, 2) железнодорожного состава с проверкой, являются ли данные дополнительной части (2) железнодорожного состава допустимыми, и/или достоверными, и/или совместимыми с данными первой части (1) железнодорожного состава.

5. Способ по п. 1, отличающийся тем, что обмен даннымивыполняют как обмен пакетными данными.

6. Способ по п. 1, отличающийся тем, что правило/политика фильтрации для фильтрации при сцепке с первой частью (1) железнодорожного состава является постоянно заданной, конфигурируемой или может приниматься от сервера.

7. Способ по п. 1, отличающийся тем, что фильтрация касается сообщений данных для по меньшей мере одной из следующих функций или частичных сетей:- управление железнодорожным составом, такое как управление кондиционированием воздуха, освещение,- управление дверями, управление тормозами и приводами,- автоматическая локомотивная сигнализация с автостопом,- информация для пассажиров,- функции оператора, такие как измерение потребления энергии, счетчики пассажиров, видеонаблюдение пассажирского пространства.

8. Способ по п. 1, отличающийся тем, что обмен данными осуществляют через по меньшей мере одно сетевое устройство сопряжения/шлюз (GW), который разрешает или блокирует обмен данными соответственно правилу/политике фильтрации.

9. Способ по п. 1, отличающийся тем, что части (2) железнодорожного состава, сцепленные непосредственно с первой частью (1) железнодорожного состава, а также удаленные дополнительные части (2) железнодорожного состава идентифицируют для установки правила фильтрации/политики для управления (72) железнодорожным составом.

10. Способ по п. 1, отличающийся тем, что дополнительнуючасть (2) железнодорожного состава криптографически аутентифицируют.

11. Способ по п. 10, отличающийся тем, что аутентификацию дополнительной части (2) железнодорожного состава выполняют посредством цифрового сертификата, который проверяют посредством первой части (1) железнодорожного состава при аутентификации.

12. Способ по п. 10, отличающийся тем, чтодля аутентификации сцепленной дополнительной части (2) железнодорожного состава применяют аутентификацию на основе запроса-ответа с- симметричной аутентификацией дополнительной части (2) железнодорожного состава с применением секретного ключа или пароля и- асимметричной аутентификацией с применением открытого ключа и секретного ключа дополнительной части (2) железнодорожного состава, а также- асимметричной аутентификацией, причем открытый ключ дополнительной части (2) железнодорожного состава подтверждают посредством цифрового сертификата.

13. Способ по п. 10, отличающийся тем, что обмен данными при сцепке запрашивают извне через по меньшей мере одну радиосеть.

14. Способ по п. 10, отличающийся тем, что определенное правило фильтрации/политика, которая активирована, остается действительной до тех пор, пока железнодорожный состав сцеплен, а при расцеплении или повторной сцепке определяется заново.

15. Способ по п. 10, отличающийся тем, что первая часть (1) железнодорожного состава связывается с обеих сторон черезэлектрические связи (ЕК), и доступ к частичной сети (7) первой части (1) железнодорожного состава осуществляется через сетевое устройство сопряжения (GW), и правило фильтрации/политика определяется посредством сетевого устройства сопряжения (GW).

16. Устройство для управляющей коммуникации между сцепленными частями (1, 2) железнодорожного состава, причем их поездные шины (5) соединены через электрические связи (ЕК), и обмен данными первой части (1) железнодорожного состава с соответственно дополнительной частью (2) железнодорожного состава выполняется через по меньшей мере одно сетевое устройство сопряжения (GW) с по меньшей мере одним Ethernet-интерфейсом, а также через по меньшей мере один интерфейс для подключения каждой частичной сети (7), так что обмен данными разрешается или блокируется в соответствии с правилом фильтрации/политикой.

17. Устройство по п. 16, отличающееся тем, что в первой части (1) железнодорожного состава исходящая от электрической связи (ЕК) поездная шина (5) непосредственно соединена с соответствующей другой поездной шиной (5), и для доступа к частичной сети (7) имеется единственное сетевое устройство сопряжения/шлюз (GW).