用于表征和验证轨道车辆的控制软件的方法与流程

用于表征和验证轨道车辆的控制软件的方法
1.本发明涉及一种用于表征和验证轨道车辆的控制软件的方法。
2.为跨国家使用而设计的轨道车辆具有控制软件，该控制软件的功能元素不可分地相互连接并且部分地结构化成块。
3.控制软件符合国家特定的规范并且针对国家的路线网络被批准和验证。
4.通过控制软件形成校验和。基于校验和进行国家特定的批准并且确保控制软件针对该国家的验证。
5.对于不同的国家特定的规范产生所考虑的控制软件针对相应国家的不同版本。
6.控制软件的制造商希望针对多个国家使用统一的、被批准的控制软件。
7.以此为出发点，下面示例性地说明欧洲批准程序的缺点：
8.存在这样的风险，即，已经在欧洲第一批国家被批准的控制软件由于另外的国家的反对而必须被修改。
9.如果计划跨国家使用，那么修改后的控制软件失去在欧洲第一批国家已经获得的批准并且必须在这些国家重新获得批准。
10.此外存在这样的危险，即，对于控制软件的选择的功能要求进行国家特定的区分，因此必须解决欧洲范围的用于控制软件的彼此矛盾的方法。
11.为了最小化或消除这些缺点，已知在轨道车辆上提前提供国家特定的控制软件。在越过边界时，选择相关的国家特定的控制软件并且将其加载到轨道车辆的控制单元中。
12.但这种方法有以下缺点：
[0013]-必须在车辆中提供用于不同控制软件或不同控制程序和参数的冗余存储系统；
[0014]-程序和参数必须在国界处重新加载，其中，由于程序的大小，重新加载非常耗时；
[0015]-必须针对在越过边界期间应当在轨道车辆静止时还是在运行时进行重新加载采取预防措施；
[0016]-必须澄清重新加载的责任问题(例如，重新加载是否允许/应当由轨道车辆驾驶员完成)；
[0017]-如果当局拒绝批准，则必要时必须提前提供较旧的、批准了的程序和参数，以便能够被加载；
[0018]-在维护期间必须确保分别将正确的控制软件组录入到冗余存储系统上；
[0019]-通常，在轨道车辆中安装多个控制器，从而程序的数量成倍增加并且因此单位成本增加；
[0020]-最后必须在程序的开发、管理和维护上投入更多的耗费。
[0021]
综上，这种方法的实际适用性极其有限。
[0022]
因此，本发明所要解决的技术问题在于，提供一种用于轨道车辆的控制软件，使得能够更容易地获得批准并且同时至少减少或完全避免上述缺点。
[0023]
该技术问题通过权利要求1的特征解决。有利的扩展设计在相应的从属权利要求中给出。
[0024]
在根据本发明的用于表征和验证轨道车辆的控制软件的方法中，控制软件通过在
其总体上看在结构上彼此连接的功能来描述。
[0025]
功能完成分配给它的任务，而这些功能的彼此连接的总体称为控制软件的结构。
[0026]
为每个功能创建取决于功能的校验和，其中，功能的改变通过相应的校验和的改变来表明。
[0027]
为结构创建取决于结构的校验和，其中，结构的改变通过结构的校验和的改变来表明。
[0028]
由所使用的功能的取决于功能的校验和以及由结构的取决于结构的校验和形成总校验和，该总校验和构成确定的控制软件的明确的指纹并且用于验证。
[0029]
在国家的批准基于总校验和进行。
[0030]
国家特定的改变在挑选出的功能和/或结构上进行。由此改变了取决于功能的校验和和/或取决于结构的校验和并且最终改变了总校验和。
[0031]
因此，国家特定的改变引起总校验和的改变，因此，总校验和的改变表明国家特定的改变。
[0032]
必要的后续批准基于总校验和进行。
[0033]
未改变的总校验和表明未改变的控制软件，未改变的控制软件无需重新进行国家特定的检查和批准。
[0034]
相应地，改变的总校验和表明改变的控制软件，改变的控制软件必须重新进行国家特定的检查和批准。
[0035]
在能够在控制软件上进行的细节鉴定的框架内，未改变的功能校验和表明未改变的功能，未改变的功能对控制软件的影响必要时无需重新检查。
[0036]
相应地，改变的功能校验和表明改变的功能，改变的功能对控制软件的影响必须重新检查。
[0037]
在一种有利的扩展设计中，在控制软件的功能和结构未改变的情况下形成表明未改变的控制软件的总校验和。
[0038]
在控制软件发生国家特定地引起的改变的情况下，由挑选出的未改变的功能通过改变该功能构成国家特定的功能。通过构成国家特定的功能形成国家特定的总校验和，该国家特定的总校验和不同于未改变的控制软件的总校验和。
[0039]
在控制软件的结构发生国家特定地引起的改变的情况下，构成国家特定的结构。通过构成国家特定的结构形成国家特定的总校验和，该国家特定的总校验和不同于未改变的控制软件的总校验和。
[0040]
在一种有利的扩展设计中，在控制软件中，借助于国家标识激活和运行国家特定的功能或未改变的功能。
[0041]
在国家特定的功能被激活并且控制软件的结构未改变的情况下，显示控制软件的国家特定的总校验和以便进行验证。
[0042]
在未改变的功能被激活并且控制软件的结构未改变的情况下，显示未改变的控制软件的总校验和以便进行验证。
[0043]
在一种有利的扩展设计中，所述国家标识根据轨道车辆所在的或轨道车辆所行驶或驶入的路线网络来选择。
[0044]
在一种有利的扩展设计中，向轨道车辆驾驶员显示国家标识和/或控制软件的相
应的版本号以便进行监控，所述版本号基于控制软件的总校验和。
[0045]
在一种有利的扩展设计中，在控制软件中，第一功能给作为下游功能的未改变的功能和国家特定的功能提供结果。这两个下游功能确定各自的结果。使用作用于选择块的国家标识仅将这些结果中的一个传输给另外的功能。
[0046]
在一种有利的扩展设计中，在确定结构时，在控制软件的信号流中检测分支点。通过分支点识别到的连接被替换，以便计算结构的校验和。
[0047]
通过本发明明确地表征轨道车辆的控制软件的批准状态并且因此验证批准。
[0048]
总之，为每个与路线网络相关或与国家相关的控制软件通过所属的源代码创建总校验和，并且给该总校验和配设版本号。由此针对每个国家形成用于控制软件的有说服力的指纹。
[0049]
分别根据轨道车辆在其中运行的国家路线网络，将相应的控制软件激活并且将控制软件的相应版本号显示给轨道车辆驾驶员以便进行监控。
[0050]
如果这时针对国家的路线网络例如由于批准机构的要求而改变控制软件，则补充或修改控制软件的针对该路线网络特定的部分。
[0051]
改变涉及的、重叠的代码或源代码被复制和修改。
[0052]
通过用于创建指纹的合适方法可以针对控制软件的所有未改变的、网络特定的部分借助相应的校验和显示这些部分未改变，从而不再需要已经批准了这些软件部分的当局重新批准这些软件部分。
[0053]
通过本发明能够实现
[0054]-降低批准成本和风险，
[0055]-缩短所谓的“time to market”，以及
[0056]-从批准角度看可以容易地实施网络特定的客户意愿。
[0057]
如果在控制软件发生国家特定改变的情况下可以保留功能的结构，则本发明尤其具有优势。
[0058]
在这种情况下可以根据路线网络或国家在国家特定的功能之间简单地切换。控制软件本身包含相应的功能。因此在越过边界时避免国家特定的控制软件的上传，在越过边界时仅进行由国家引起的功能切换。
[0059]
通过将选择的功能切换到国家特定的功能，在目的地国家的批准被实现并且通过所属的总校验和显示。
[0060]
同时保留已在其它国家获得的批准，因为针对这些国家选择的功能保持不变，从而所参与的功能的校验和、结构的校验和以及总校验和都不会改变。
[0061]
以下示例性地借助附图详细阐述本发明。在附图中：
[0062]
图1示出根据本发明的方法的初始情况的原理图；
[0063]
图2参照图1示出关于本发明的后续考虑的情况；
[0064]
图3参照前述附图示出关于根据本发明的方法的细节；
[0065]
图4参照图3示出根据本发明的方法的有利的设计方案；和
[0066]
图5参照图4示出根据本发明的方法的有利的扩展设计。
[0067]
图1示出了关于根据本发明的方法的起始位置的原理图，该方法用于轨道车辆的控制软件的预期批准。
[0068]
根据本发明的方法基于以下事实，即，控制软件作为程序由多个在结构上彼此连接的功能fkt_1、fkt_2、fkt_3构成。
[0069]
每个功能fkt_1、fkt_2、fkt_3分配有待完成的任务。
[0070]
通过每个功能fkt_1、fkt_2、fkt_3分别形成作为所谓的“哈希值”的校验和，从而
[0071]-第一功能fkt_1具有第一校验和hfkt_1，
[0072]-第二功能fkt_2具有第二校验和hfkt_2，并且
[0073]-第三功能fkt_3具有第三校验和hfkt_3。
[0074]
在此非常简单地示出的控制软件的功能fkt_1、fkt_2、fkt_3在结构上彼此连接。
[0075]
功能fkt_1、fkt_2、fkt_3的彼此连接构成结构str。通过结构str同样形成称为哈希值的校验和hstr。
[0076]
对于在此示出的结构str，第一功能fkt_1直接或通过第二功能fkt_2与第三功能fkt_3连接。
[0077]
由功能hfkt_1至hfkt_3的校验和以及结构hstr的校验和形成总校验和hges，该总校验和明确地描述控制软件并且因此可以被视为控制软件的指纹。
[0078]
基于总校验和hges进行控制软件的批准。
[0079]
图2参照图1示出关于本发明的后续考虑的情况。
[0080]
在此假设第二功能fkt_2在选择的国家没有被批准，该国家以下称为目的地国家zll。例如，在目的地国家批准的框架内要求第二功能fkt_2的适应目的地国家zll的功能性。该情况用第二功能fkt_2处的闪电符号表示。
[0081]
图3参考前面的附图示出关于根据本发明的方法的细节。
[0082]
假设用于控制软件的针对欧洲的首次批准已完成。
[0083]
该批准以下称为eu批准并且基于总校验和hges_eu。
[0084]
但该控制软件在目的地国家zll未被批准，参照图2，该目的地国家要求改变在那里所示的第二功能fkt_2。
[0085]
因此，总校验和hges_eu基于：
[0086]-第一功能fkt_1的第一校验和hfkt_1
[0087]-第二功能fkt_2eu的第二校验和hfkt_2eu，
[0088]-第三功能fkt_3的第三校验和hfkt_3，以及基于
[0089]-结构str的校验和hstr。
[0090]
考虑以上附图，在此示出的第二功能fkt_2eu与图1和图2中描述的第二功能fkt_2相符。
[0091]
因此，第二校验和hfkt_2eu与图1和图2中描述的第二校验和hfkt_2相符。
[0092]
考虑到以上附图，eu批准的总校验和hges_eu与图1和图2中描述的总校验和hges相符。
[0093]
针对目的地国家zll的批准以下简称zll批准并且基于总校验和hges_zll。
[0094]
总校验和hges_zll基于：
[0095]-第一功能fkt_1的第一校验和hfkt_1
[0096]-第二功能fkt_2zll的第二校验和hfkt_2zll，
[0097]-第三功能fkt_3的第三校验和hfkt_3，以及基于
[0098]-结构str的校验和hstr。
[0099]
针对目的地国家zll，参与的功能fkt_1、fkt_2zll、fkt_3的结构str相对于以上附图未改变。
[0100]
仅第二功能fkt_2zll根据目的地国家zll的国家特定规范或相关路线网络的规范被调整。
[0101]
相应地，第二功能fkt_2zll具有分配给它的第二校验和hfkt_2zll。
[0102]
如上所述，为各个单独的功能形成“哈希值”或校验和：
[0103]-为第一功能fkt_1形成第一校验和hfkt_1，
[0104]-为适应目的地国家zll的第二功能fkt_2zll形成第二校验和hfkt_2zll，并且
[0105]-为第三功能fkt_3形成第三校验和hfkt_3。
[0106]
需要注意的是，用于目的地国家批准和eu批准的结构str是相同的：
[0107]
对于eu批准，第一功能fkt_1直接或通过第二功能fkt_2eu与第三功能fkt_3连接。
[0108]
对于目的地国家批准，第一功能fkt_1直接或通过第二功能fkt_2zll与第三功能fkt_3连接。
[0109]
因此，通过结构str形成的校验和hstr针对欧洲国家和目的地国家是相同的。
[0110]
在例如适用于所有欧洲国家但不适用于目的地国家zll的eu批准的框架内，第三功能fkt_3在需要时使用第二功能fkt_2eu的结果，而在目的地国家批准的框架内，第三功能fkt_3使用第二功能fkt_2zll的结果。
[0111]
校验和hfkt_1、hfkt_2eu、hfkt_3和hstr用于eu批准。总校验和hges_eu由这些校验和构成。
[0112]
校验和hfkt_1、hfkt_2zll、hfkt_3和hstr用于目的地国家批准。总校验和hges_zll由这些校验和构成。
[0113]
在此令人印象深刻地表现出本发明的重要优点：
[0114]
如果结构str保持不变，则在设计控制软件时可以根据路线网络或国家在国家特定的功能之间进行切换，在此分别根据国家在第二功能fkt2zll和fkt2 eu之间进行切换。
[0115]
控制软件本身包含两个功能fkt_2zll和fkt_2eu。因此在越过边界时避免国家特定的控制软件的上传，在越过边界时仅进行功能切换。
[0116]
目的地国家批准通过国家特定的第二功能fkt_2zll实现并且通过总校验和hges_zll表明。
[0117]
同时保留eu批准，因为欧洲批准的第二功能fkt_2eu＝fkt_2保持不变，从而总校验和hges_eu＝hges也没有改变。
[0118]
图4参照图3示出根据本发明的方法的有利的设计方案。
[0119]
相对于第二功能fkt_2eu或fkt_2zll的相应输出端，国家特定地进行选择。
[0120]
该选择通过选择块merger实现。
[0121]
如果参照选择块merger并行地计算了所有上游功能，即在此为fkt_1，fkt_2eu和fkt_2zll，并且相应的功能结果可供选择块merger下游的功能，在此为fkt_3选择，则使用选择块merger。
[0122]
根据路线网络，选择块merger通过国家标识netz_id控制。
[0123]
如果轨道车辆位于目的地国家/地区，则国家标识netz_id＝zll适用于选择块
merger。
[0124]
相应地，当轨道车辆位于欧洲国家时，对于选择块merger适用国家标识netz_id＝eu。
[0125]
如果轨道车辆位于目的地国家zll中，则由选择块merger通过网络标识netz_id＝zll将第二功能fkt_2zll的计算结果接通到第三功能fkt_3。
[0126]
如果轨道车辆位于欧洲国家，则由选择块merger通过网络标识netz_id＝eu将第二功能fkt_2eu的计算结果接通到第三功能fkt_3。
[0127]
在确定结构str时，在选择块merger开始搜索分支点。
[0128]
通过分支点识别的连接被替换并且结构的校验和hstr被计算。
[0129]
这例如通过以下方式实现：确定位于选择块merger上游的子网络：
[0130]
子网络1：fkt_1-》fkt_2eu
[0131]
子网络2：fkt_1-》fkt_2zll
[0132]
这两个子网被相交以确定共同的原点或共同的交点。
[0133]
在此，其是第一功能fkt_1，所述第一功能因此必须在输出侧具有分支点，即分支点vzwp1。
[0134]
选择块merger本身对结构str没有影响，它是功能中立的，并且仅用于功能的国家特定的选择，在这种情况下是功能fkt_2eu和fkt_2zll。
[0135]
因此，选择块merger对校验和hstr没有影响，该校验和对于欧洲国家和目的地国家都是相同的。
[0136]
在此在前述附图中示出的控制软件的示例被非常简化地选择和示出。对于复杂的控制软件，在确定子网络时，分别根据信号流必须考虑到大量的交点或分支点，这些交点或分支点必须被确定和考虑。
[0137]
不相同的交点表示不同的结构，所述不同的结构将导致相应不同的结构校验和。
[0138]
图5参照图4示出了根据本发明的方法的有利的改进方案。
[0139]
参照第一功能fkt_1的输出端和第二功能fkt_2eu和fkt_2zll的输入端，在中间连接有分路块splitter。
[0140]
分路块splitter将第一功能fkt_1的结果提供给两个下游功能fkt_2eu或者说fkt_2zll，这两个功能都基于此计算相应的结果。
[0141]
分路块splitter对结构str没有影响，它是功能中立的，仅用于分路。
[0142]
因此，分路块splitter对校验和hstr没有影响，该校验和对于欧洲国家和目的地国家都是相同的。
[0143]
总之，在本发明中，关于控制软件确定其彼此连接的功能的结构。
[0144]
为该结构确定或计算取决于结构的校验和作为“哈希值”。
[0145]
取决于结构的校验和明确表明结构的相关性质。
[0146]
为控制软件的每个功能确定或计算取决于功能的校验和作为“哈希值”。取决于功能的校验和明确地表明功能的内容或性质。
[0147]
由取决于功能校验和以及取决于结构的校验和确定或计算总校验和，该总校验和表示控制软件的唯一指纹。
[0148]
因此，总校验和明确地表明控制软件的内容或性质。
[0149]
未改变的总校验和表明未改变的控制软件，未改变的控制软件不必重新检查并且不必重新批准。
[0150]
改变的总校验和表明改变的控制软件，改变的控制软件必须被检查和批准。