CN104145453B - 用于运行通信网络的方法和网络装置 - Google Patents

用于运行通信网络的方法和网络装置 Download PDF

Info

Publication number
CN104145453B
CN104145453B CN201280071242.9A CN201280071242A CN104145453B CN 104145453 B CN104145453 B CN 104145453B CN 201280071242 A CN201280071242 A CN 201280071242A CN 104145453 B CN104145453 B CN 104145453B
Authority
CN
China
Prior art keywords
data
network
equipment
control device
network equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280071242.9A
Other languages
English (en)
Other versions
CN104145453A (zh
Inventor
A.齐克勒
L.菲格
T.施密德
M.安布鲁斯特
J.里德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN104145453A publication Critical patent/CN104145453A/zh
Application granted granted Critical
Publication of CN104145453B publication Critical patent/CN104145453B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

建议一种用于运行通信网络(102)、尤其是以太网络的方法。耦合在该网络上的网络设备(400)具有交换设备(4)和控制设备(2),该控制设备(2)耦合到交换设备(4)上,以及交换设备(4)具有用于经由通信网络(6)发送和接收数据的至少一个接收端口(10)和发送端口(9)。向接收端口(10)分配用于监视相应的数据传输速率的保险设备(20)。当事先预先给定的最大数据传输速率被超过时,保险设备阻止在相应接收端口处的数据接收。通过在利用双向通信路径条件下的可能环结构以及对接收端口处的数据传输速率的限制,保证了在存在传输和硬件故障时、尤其是在存在胡说的白痴故障时有改善的失效保障和故障分析。此外建议一种具有多个对应网络设备(100,200,300)的网络装置(101),所述网络设备根据该方法工作。

Description

用于运行通信网络的方法和网络装置
技术领域
本发明涉及一种用于运行通信网络的方法和一种网络装置,该网络装置用所建议的方法工作。该用于运行的方法尤其是可以在以太网环境中采用。
背景技术
通信网络越来越广泛地应用于测量、控制和调节复杂的技术系统。例如越来越多地在机动车中采用网络,以构造出车辆控制系统。在对应的复杂和安全性重要的技术系统中,对作为网络设备设置的控制元件的可用性提出了高的要求。在例如传感器或控制设备的各个部件失效的情况下,这不允许导致整个系统的失效。安全性特别重要的是电子线控系统,例如其中电动地经由传感器设备、控制设备和执行设备的网络耦合将转向轮位置转换为车轮位置的线控转向系统。
在过去采用对特别关键部件的冗余实施,从而在故障情况下相应的备份或冗余部件可以接管相应的任务。在多个冗余部件的情况下必须确保两个或更多个控制设备中仅有一个获得相应的控制权。此外不允许对相同的控制功能出现矛盾的控制指令。因此需要所有控制部件都拥有网络中的相同信息或数据。
因此必须识别不一致数据形式的故障,所述不一致数据例如可能在经由所使用的网络传输数据时败坏。广泛传播的标准网络环境基于以太网协议。以太网基础结构的使用具有以下优点:可以采用标准化的网络设备和方法。但是在过去也使用专用数据总线,以便将控制部件与内部冗余的、也就是双重设计的功能相互关联。
此外可能的是在网络中采用的节点是有错的。已知例如以下故障类型:一个网络设备以高频率将不包含对其它控制设备可用的数据发送到该网络中。人们也将此称为“混串音节点(Babbling Idiot)”。于是网络基础结构可能由于高的数据速率而加重负担,使得真正的控制或传感器数据不再能够在还能工作的网络设备之间交换。期望的是尤其是在安全性重要的网络中处置这样的故障行为并且适当地处理当前的数据,以保证网络中未被涉及的设备可靠地运行。
在过去建议其中在预先给定的通信伙伴之间的数据交换受带宽限制的方法。但是有缺陷的网络节点也可以产生具有不正确地址数据的数据分组,这在明确的带宽限制的范围中不能在每种网络拓扑结构中、尤其是不能在环形网络拓扑结构中得到令人满意的处置。
此外已知基于网络节点相互之间的同步通信的方法。在此定义用于在预先给定的通信伙伴之间进行数据交换的特定时隙。这样的时隙方法需要耗费的同步和特殊的硬件设备。
由文献EP 1 548992A1引出一种方法,该方法被设计为防止在飞机的CAN总线系统中的“混串音节点”故障。网络设备以高频率将数据发送到网络中的问题通过以下方式得以防止,即一旦发现该故障,总线监控器就将有错的网络设备与网络分离。
由文献WO 2005/053223A2同样引出在具有主站点和从站点的CAN总线系统中避免“混串音节点”故障。根据该公开物,该问题通过以下方式解决,即主站点将有错的从站点与网络隔离。
文献US 2009/122812 A1展示了一种用于可靠启动“时间触发的”环网络的方法。该网络的中央监控器确保展示出“混串音节点”行为的每个站点从网络那里不可看见。该监控器确定网络中每个站点的行为。当一个站点的数据传输速率超过为其预先给定的传输带宽时,键控器将该站点识别为有错的。
发明内容
因此本发明的任务是提供改进的方法和/或网络装置。
因此建议一种用于运行通信网络的方法,在该通信网络上耦合了网络设备。相应的网络设备包括至少一个交换设备和至少一个控制设备,该至少一个控制设备耦合到交换设备上。交换设备具有用于经由通信网络接收和发送数据的至少一个接收端口和至少一个发送端口,并且向接收端口分配用于限制数据传输速率的保险设备。该方法包括:
预先给定在发送数据时的最大数据传输速率,其中网络设备被设计为利用低于预先给定的最大数据传输速率的数据速率来发送数据;
在网络设备的接收端口处监视所接收的数据的数据传输速率;以及
如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接收端口处的数据接收。
发送和接收端口的组合也可以被理解为相应设备的通信端口。
在该方法的一个变型方案中,相应的网络设备包括至少一个交换设备和第一和第二控制设备,所述第一和第二控制设备耦合到交换设备。用于第一和第二控制设备的交换设备分别具有用于经由通信网络接收和发送数据的接收端口和发送端口。向接收端口分配用于限制数据传输速率的保险设备。
于是该方法还包括:
通过第一控制设备产生第一数据并且通过第二控制设备产生第二数据,其中第一数据和第二数据通过预先给定的编码相互关联;
由第一控制设备经由(多个)交换设备将第一数据发送到第二控制设备,并且由第二控制设备经由(多个)交换设备将第二数据发送到第一控制设备;
经由从用于第一控制设备的交换设备的发送端口至用于第二控制设备的交换设备的接收端口的第一通信路径发送第一数据和第二数据;
经由从用于第二控制设备的交换设备的发送端口至用于第一控制设备的交换设备的接收端口的第二通信路径发送第一数据和第二数据。在此第一和第二通信路径的数据在相反的方向上穿越相同的网络设备。
对数据传输速率的监视和对数据接收的潜在阻止尤其是使得可以处置所谓的“混串音节点”,也就是在网络中存在的以下网络设备,这些网络设备出于缺陷的原因发送无意义的或者不能由网络中其它设备解释的数据。通常这些“无意义的”数据以高的频率被有错的设备沉淀下来,从而可能使网络基础设施和通信路径加重负担。尽管如此,对所涉及的接收端口的停止或对过高数据速率的数据接收的阻止使得可以进行可靠的数据通信,即使存在混串音节点。
数据传输速率被理解为在一个时间单位内经由传输信道或通信路径传输的数字数据量。人们也将此称为数据传递速率、数据速率、传输速度、连接速度、带宽或容量。数据传输速率的通用说明是每秒多少比特。
最大数据传输速率优选是根据通信网络的带宽来加以确定的。如果从网络的拓扑结构中已知网络节点之间或网络设备之间或发送和接收端口之间所有有意义的数据传递速率,则可以对应地灵敏地设计保险设备。
在该方法的实施方式中还规定:如果到来的数据具有小于预先给定的最大数据传输速率的数据传递速率,则释放在接收端口处的数据接收。
重新释放导致在短暂中断之后又在网络中出现通信路径,经由该通信路径可以交换不是来自有缺陷的网络设备的数据。由此总是保证规则的数据传递。
还可以考虑:为发送端口与接收端口之间的每个通信路径预先给定最大链路传输速率。例如可以在设计通信网络时估计可以存在何种链路传输速率。于是保险设备被相应地变得敏感,从而在超过最大链路传输速率的情况下禁止数据接收。
替换或附加地,可以向数据分配至少两个优先等级,并且仅针对所选择的优先等级的数据监视数据传输速率和/或阻止数据接收。例如,第一优先等级可以涉及安全性特别重要的数据,而第二优先等级可以涉及不太关键的数据。于是在设计通信网络时设定最大数据传递速率并且对应地调整保险设备。在保险设备处检测不同的优先等级并且据此过滤或不过滤数据。
通信网络本身可以包括以太网基础结构。交换设备也可以称为桥设备或路由器设备。在网络设备的情况下,人们也称为网络节点、网络部件或网络元件。
作为设置在网络设备中的控制设备,例如考虑CPU、微处理器或其它可编程开关电路。作为控制设备还可以理解为传感器设备或执行器设备。
通信网络或网络协议优选规定从一个用户或一个网络设备至另一个用户或另一个网络设备的点对点连接。在此双向或双工通信是可以实现的。
通过预先给定的编码相互关联的第一和第二数据例如可以通过位倒置加以产生。预先给定的编码允许对两个数据进行相互的一致性检验。如果例如通过经由该网络的数据传递而干扰数据(分组)之一,则这可以通过在考虑相应编码的情况下分别与另一个数据(分组)相比较来加以识别。
尤其是在基于以太网的通信网络情况下,双向通信(所谓的双工通信)是可能的。因此第一通信路径从第一控制设备的交换设备的发送端口分布至第二控制设备的交换设备的接收端口,以及第二通信路径从第二控制设备的交换设备的发送端口分布至第一控制设备的交换设备的接收端口。第一通信路径例如环形地经由其它交换设备或其它网络设备分布在通信网络上。第二通信路径穿越在相反方向上的网络设备。因此冗余的发送是可能的并且对所有参与的网络设备的功能性进行检查是可能的。优选第一和第二数据从第一控制设备至第二控制设备或反过来仅经由网络设备中的交换设备引导。
用于运行尤其是基于以太网的通信网络的该方法导致环结构,其中使用以太网环的所得到的通信方向。在此,在网络设备的与控制单元连接的交换设备之一存在故障的情况下,仅涉及方向之一,从而与以前一样传送一致的一个或多个数据。通过比较尤其是通过编码相互关联的、在不同通信路径上发送的数据,可以执行灵活和可靠的故障分析。人们可以简单地调查已经导致故障的控制部件或设备。它们将优选被挂起或关闭。
此外,混串音节点这种故障情况通过检查数据传递速率和必要时阻止接收而被处置为,使得对于未受干扰的设备或者由有缺陷的设备发送的数据存在至少一个无故障传输的通信路径。
在本方法的实施方式中,该方法还包括:
将第一数据和第二数据经由用于第一控制设备的交换设备的发送端口通过具有第一和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第二控制设备的交换设备的接收端口;以及
将第一数据和第二数据经由用于第二控制设备的交换设备的发送端口通过具有第一和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第一控制设备的交换设备的接收端口。
在此在相应的其它交换设备中在用于该其它交换设备的第二控制设备的接收端口处接收的数据被转发给用于该其它交换设备的第一控制设备的发送端口。在用于该其它交换设备的第一控制设备的接收端口处接收的数据被转发至用于该其它交换设备的第二控制设备的发送端口。在输入端口处布置对应的保险设备。
由此未经编码或经编码的数据从来自第一控制设备的第一信道被发送至分配给第二控制设备的信道。这也可以反过来进行,由此进行发送的控制部件可以确定分配给第二(冗余)控制设备的每另一个信道是否具有相同的数据结果。因此可以确定所分配的以太网交换机或交换设备是否可靠地工作。如果识别出分配给控制设备的交换设备错误地操作,则进行发送的控制设备优选挂起。
该方法还可以包括:
将第一数据与第一和/或第二控制设备中的第二数据相比较以产生比较结果;以及
依据该比较结果将网络设备挂起。
如果识别出第一和第二数据并非相互一致,也就是说没有通过预先给定的编码相互关联,则可以识别出在数据传输或数据产生时存在故障。
该方法还可以包括:
经由第一和第二通信路径重新发送第一和第二数据。
如果例如数据在通信周期中未被进行发送的控制设备再次识别或接收,则可以通过多次发送和对数据是否被正确接收进行检查来推断出在通信路径中存在的有错的网络部件。
在该方法的情况下,还可以在其它网络设备中在用于不同控制设备的输入端口处接收第一数据和第二数据并且将接收的数据进行相互比较。
优选的,用于运行网络装置的该方法还包括在所比较的第一数据和第二数据没有通过预先给定的编码相互关联的情况下显示故障通知。
在实施方式中,向至少两个网络设备的特定保险设备分配针对数据传输速率的不同阈值,其中这些不同阈值中的每一个都小于等于预先给定的最大数据传输速率。在此在以下情况下阻止在至少两个网络设备的接收端口处的数据接收,即在该分配的接收端口处到来的数据具有大于所分配的阈值的数据传输速率。
因此向不同网络设备的至少两个保险设备(保险,安全装置)分配针对数据传输速率的各种或不同阈值。这些阈值中的每一个都小于或等于通信网络中预先给定的最大数据传输速率。针对数据传输速率的阈值也可以称为带宽极限。
通过使用各种阈值,可能的是在通信网络中构造出不同的片段或网络片段。在此这些网络片段被构造为,使得其允许作为整个片段失效而不会将整个系统带入危险状态,例如具有共同电流供应装置的网络片段。由多个电流供应装置供电的整个系统无论如何都必须被构建为,使得该整个系统可以经受得起一个电流供应装置的失效。
在此,尤其是当网络设备在带宽极限以下不远处胡说的时候,通过利用具有较低带宽极限值的安全装置划界的片段将阻止的可能拖延有针对性地限于一个片段上。
相应的阈值例如可以通过涉及网络装置的预先给定的最大数据传输速率的百分比说明来加以说明。从而例如可以在预先给定的最大数据传输速率的80%、50%、35%、20%和10%处调整出各种阈值。这些阈值例如可以借助通过相应的链路设置的额定数据传输速率、可能附加地借助安全服务来确定。
为了采用保险设备的概念,尤其是不需要更改标准交换部件的硬件。可以使用高质量交换硬件的特征,或者可以通过相对简单的前置设备来对交换硬件进行补充。可用的带宽根据实施方式不受影响或者仅受到很小程度的影响。
在实施方式中,网络设备分布式地布置在多个网络片段中,其中向这些网络片段的每一个分配网络设备的子集。在此情况下,在每个网络片段具有至少两个所分配的网络设备的情况下向布置在该网络片段的边缘区域处的保险设备分配比保险设备布置在该网络片段的中部区域中的情况下更小的数据传输速率阈值。
相应的网络片段可以向外通过相对较小的数据传输速率阈值得到比在该网络片段的中部区域或内部空间中所需要的更好的封闭。因此边缘区域的保险设备具有比网络片段的中部区域中的保险设备更小的数据传输速率阈值。
利用较小的阈值从外部或向外部、也就是利用具有较小的容许带宽的较小安全装置保护网络片段。由此在混串音节点(有缺陷的网络设备)用稍微小于保险设备的触发带宽的带宽发送的情况下,不再近似随机地触发随便什么保险设备,而是有针对性地触发具有较小阈值(较小带宽)的保险设备,使得所涉及的网络片段与通信网络的其余部分分离。
在片段的中部区域中具有较大的容许带宽的安全装置(保险)也可以在实施方式中被去掉。这些安全装置仅负责使得用非常高的带宽胡说的混串音节点直接与其相邻节点隔离并且从而不影响相邻节点。如果去掉在中部区域中的安全装置,则总是整个片段失效,但是这在当前不会导致整个系统的临界状态。
尤其是将子集作为不相交的子集来构成。
在实施方式中,网络设备包括至少两个在其功能性方面冗余的网络设备,其中子集被构成为,使得向每个子集最多分配冗余的网络设备之一。
在其功能性方面冗余的网络设备布置在不同的网络片段中,从而在一个网络片段失效的情况下至少还有一个冗余的网络设备存在于另一个网络片段中并且由此不会危及整个系统的整个功能性。
在实施方式中,在通信网络中多个虚拟网络被设计为避免在一个网络片段的保险设备处由于从另一个网络片段接收数据而导致针对数据传输速率的阈值被超过。这些虚拟网络尤其是被构造为虚拟局域网(VLAN)。
在此,通过考虑各种虚拟网络、例如各种VLAN实现:片段不可能由于在该片段之外馈入的分组而被分离。这是通过将VLAN有针对性地配置为使得分组不被传导经过片段、尤其是外环来实现的。
通过在通信网络中使用虚拟网络还可以将各个保险设备的阈值尤其是在各个网络片段的边缘区域中最大化。由此将整个系统——通信网络的总体失效概率最小化。替换于VLAN,可以采用其它合适的虚拟化技术。
在实施方式中,依据相应保险设备布置于其中的虚拟网络来调整和监视针对该相应保险设备的数据传输速率的相应阈值。
在该实施方式中,专门针对该虚拟网络来调整阈值。如果例如分组必须被传导经过一个网络片段,因为否则不能到达或不能经由不相交的路径到达在该网络片段旁边的网络设备,则特定地、尤其是特定于VLAN地限制通过该对应网络片段传导的阈值(带宽极限)。由此同样可以避免由于由在网络片段外部的混串音节点产生的数据分组而使得该实际上无故障的网络片段被分离。
最后建议一种具有多个网络设备的网络装置。这些网络设备耦合到通信网络,尤其是以太网基础结构,并且相应网络设备包括至少一个交换设备和控制设备。在此,交换设备耦合到控制设备,并且交换设备包括用于经由通信网络接收和发送数据的至少一个接收端口和发送端口。网络装置包括为了限制数据传输速率而被分配给接收端口的保险设备。网络设备被设计为执行如前所述的方法。
网络装置尤其是车辆的一部分。
网络设备可以是传感器设备或执行器设备。作为传感器设备可以考虑转数传感器、制动设备或开关控制设备。还可以采用控制设备,所述控制设备例如实现电子线控。在此例如将转向或加速脉冲电子地经由网络传送给对应的执行器,从而启动车辆的期望反应。
保险设备被构造为网络安全装置或保险。在达到针对穿越相应保险设备的数据的预先给定数据传输速率阈值时,保险设备阻止进一步的数据流量。只要数据速率又低于设定的阈值,则数据又可以通过所述保险设备。
该阈值尤其是被设定为最大数据传递速率。
总之得到在通信信道有干扰的情况下也能可靠工作的特别可靠的网络装置。在冗余的环形通信路径设备的情况下,实现了一致的控制设备通信和不太耗费的故障分析和校正以及不太耗费的对通过混串音节点的故障的处置。
在网络装置的实施方式中,至少一个网络设备装备有第一和第二交换设备,其中第一交换设备被分配给第一控制设备并且第二交换设备被分配给第二控制设备。在此,交换设备分别包括至少两个端口并且交换设备以通信方式相互耦合。该耦合可以在网络设备内部进行或者借助交换设备的发送和接收端口进行。
可能的是,交换设备集成在单个交换设备中,该单个交换设备提供输入和输出端口。
在网络装置的其它实施方式中,还可以在网络装置中为其它单重网络设备分别设置控制设备和交换设备。单重网络设备在此不具有冗余的控制设备并且可以被设置用于安全性不太重要的功能。
网络设备和或保险设备优选分别实施为单个FPGA、ASIC、IC芯片或固定连线的微电路。例如,保险设备可以为了构造出所建议的网络装置而分别耦合在交换设备的接收端口或输入端口之前。
保险设备尤其是可以实施为交换设备的一部分。还可以考虑实现为用于运行交换设备之一的程序或程序代码。
此外建议一种计算机程序产品,其促使在一个或多个由程序控制的设备上执行如上所阐述的方法以用于运行网络装置。
诸如计算机程序装置的计算机程序产品例如可以作为诸如存储卡、USB棒、CD-ROM、DVD的存储介质或者以可从网络中的服务器下载的文件的形式提供或运送。这例如可以在无线通信网络中通过传输具有该计算机程序产品或计算机程序装置的对应文件来进行。作为由程序控制的设备尤其是考虑如前所述的网络设备。
本发明的其它可能实现还包括未明确提及的、前面或下面关于实施例所描述的方法、网络布置、网络设备或网络节点的方法步骤、特征或实施方式的组合。在此专业人员还补充或修改各个方面作为改进或对本发明的相应基本形式的补充。
附图说明
结合下面对实施例的描述,本发明的上述特性、特征和优点以及如何实现它们的方式和方法可以被更清楚和更明白地理解,所述实施例将被结合附图得到更详细的阐述。
图1示出网络装置的第一实施方式的示意图;
图2、3示出具有用于阐述故障处置的方法方面的通信流程的网络装置的实施方式的示意图;
图4示出网络装置的第二实施方式的示意图;
图5示出网络装置的第三实施方式的示意图;
图6示出网络装置的第四实施方式的示意图;
图7示出网络装置的第五实施方式的示意图;
图8示出网络装置的第六实施方式的示意图;
图9示出网络装置的第七实施方式的示意图。
只要没有另外说明,在图中相同或功能相同的元件被设置有相同的附图标记。
具体实施方式
在图1中示出网络装置的第一实施方式的示意图。此外这些图还用于阐述用于运行网络装置的方法。
图1示出网络装置1,该网络装置例如可以作为以太网网络在车辆中采用。在此示例性地示出三个网络设备100,200,300。它们例如可以是控制部件。下面也称为网络节点或控制部件的网络设备100,201,301分别具有冗余的控制设备2,3,202,203,302,303。网络设备100,201,301也可以称为网络用户。
控制设备2,3,202,203,302,303被适配,以完成确定的任务或功能。这例如可以是执行传感器检测或执行器。人们也将这些控制设备作为CPU或微处理器来实现。例如可以考虑将控制部件100设计用于检测车辆中的踏板位置或转向运动。例如可以考虑由控制部件或网络设备100将控制信号或控制数据发送给网络中的另一控制部件。在此尤其是在机动车的安全性重要的应用情况下,例如在电子线控的情况下要保证控制数据一致地存在于所有网络节点处。
控制部件或网络节点或网络设备100,200,300装备有冗余的以太网交换设备4,5,204,205,304,305。以太网交换设备4,5,204,205,304,305分别具有发送或输出端口9,13,209,213,309,313和接收或输入端口10,14,210,214,310,314,借助这些端口进行至通信网络6的耦合。向接收端口10,14,210,214,310,314分配分别检测到达的数据传递速率的保险设备20,21,220,221,320,321。如果预先给定的最大数据传递速率被超过,则保险设备触发并且阻止数据传递。
网络设备100在此包括CPU2和分配的以太网交换设备4。以太网交换设备4具有接收端口7和发送端口8,该接收端口与发送端口与CPU2以通信方式耦合。另一发送端口9和接收端口10耦合到网络6以发送和接收数据。在网络6与接收端口10之间布置保险设备20。类似地,CPU3具有以太网交换设备5,该以太网交换设备具有接收端口11和发送端口12以耦合到CPU3。以太网交换设备5还具有发送端口13和接收端口14以耦合到网络6。在网络6与接收端口14之间布置保险设备21。此外在以太网交换机4,5处设置发送端口和接收端口15,16,17,18,以便将两个交换设备4,5相互耦合。两个交换设备4,5在此分开,例如被制造为FPGA或ASIC或微芯片。
类似地,控制部件200和300具有相互分离的、带有用于耦合到网络6的发送和接收端口204,210,213,214,215,219,304,310,313,314,315,319的交换设备204,205,304,305。此外在接收端口210,214,310,314与通信网络6之间布置保险设备220,221,320,321。
在网络部件内部进行冗余产生的控制数据D1和D2的平衡。CPU2提供数据D1,而CPU3提供数据D2。在此这些数据通过编码相互关联。也就是说,数据D1从数据D2中通过数学运算得出,反之亦然。可以考虑例如简单的位倒置,从而数据D1是数据D2的倒置,反之亦然。
控制部件100中的内部一致性检查通过产生数据D1、在端口7处传送给以太网交换机4以及经由端口组合16,17转发给以太网交换机5来进行,该以太网交换机5将数据D1提供给CPU3。类似的,数据D2经由端口11,18,15和8被传送给CPU2。因此可以通过数据D1和D2相互的一致编码来进行内部的一致性检查。只要这些数据相互是一致的,也就是说,预先给定的编码的模——例如位倒置——一致,则可以假定经由端口7和11的数据接收、经由端口8和12的数据发送、用于在上面这些端口之间交换数据的交换设备4,5以及还有CPU2、3都正确工作。如果相反比较结果提供了数据D1和D2相互之间的不一致,则表示CPU2,3或交换设备4、5有故障,接着用于数据一致性保证的可能反应是控制部件100的挂起——即停用。
类似的一致性检查在网络设备200,300中进行。在两个交换机204,205或304,305之间传输的数据在图1中没有设置附图标记。从上到下分别从端口218至端口207传输数据D2B和D1B。从端口216至端口211传输数据D1R和D2R。完全一样地,端口307从端口318接收与D2B和D1B对应的数据。端口311从端口316接收与D1R和D2R对应的数据。
网络装置1被设计为环形通信路径。通过尤其是在以太网基础结构情况下存在的、用户或网络设备相互间点对点连接的可能性,可能形成两个相互分离的通信环,这些通信环仅分享相应的交换设备,但是在那里在接收和发送侧不使用共同的端口。在图1的实施例中得出由片段CB1,CB2,CB3组成的第一通信路径。数据D1和D2通过这些片段CB1,CB2,CB3,这借助箭头D1B和D2B表示。在此附加物B代表通信路径B。
此外,在相反的通信方向上分布着由片段CR1,CR2和CR3组成的通信路径。同样经由该路径来发送数据D1和D2,这通过箭头D2R和D1R表示。在此附加物R代表通信路径R。
数据D1和D2由此经由不相交的通信路径被传送至网络中存在的所有控制部件201,301。每个CPU202,203,302,303经由不同的通信路径、也就是具有相反的通信方向的两个逻辑环来获得经编码和未经编码的数据D1和D2。在此,电缆铺设包括唯一的环。每个CPU202,203,302,303将经由通信路线或通信路径接收的针对数据D1,D2的值相比较。
例如,CPU303经由通信路径CB1获得数据D1B和D2B。这些数据经由保险设备321到达交换设备304的输入端口314。在发送端口312处,交换设备304将在输入端口314处接收的数据D1B和D2B转发给CPU303。在那里可以进行数据D1B和D2B的比较。如果这些数据相互一致,则表示通信路径CB1无故障。
CPU303还经由由片段CR1和CR2得出的第二通信路径获得数据D1R和D2R。数据D1R和D2R由交换设备304经由保险设备320在接收端口310处接收并且输出至分配给CPU303的发送端口312。可以重新进行一致性检查。此外CPU303现在可以将经由环路径CB1获得的数据以及经由环路径CR1和CR2获得的数据进行比较或表决。在无干扰的情况下,数据D1R和D2R相互一致,以及数据D1B和D2B相互一致,并且经由CB1和经由CR1-CR2接收以及各个已经被确定为一致的数据相互一致。由此得出:由CPU2或3产生的基本数据D1和D2是正确的。如果在控制部件3或CPU302,303中对经由CB1和经由CR1-CR2接收并且各个已经被确定为一致的数据进行比较或表决时出现不一致,则可以推断出通信故障。
类似的一致性检查在控制部件201或CPU或控制设备202,203中进行。如果参与的交换设备4,5,204,205,304,305之一应当有错误的工作或者失效了,则在重复发送数据D1,D2时可以识别出对应的网络故障。一般在网络6上发送多个具有不同控制设备的不同数据的通信周期。由于在图1中未示出的其它数据,相应控制部件201,301可以确定它们自己的交换机204,205,304,305是否有缺陷。因此可以识别和处置各种故障情形。
通过不相交的数据路径CB1,CB2,CB3和CR1,CR2,CR3,在传输时的故障仅彼此无关地出现。通过构造为网络节点或部件100,201,301的以太网环,保证尤其是具有冗余的控制设备2,3的控制装置的最大程度一致的通信。
所采用的保险设备20,21,220,221,320,321在如图1中所示的网络装置1的运行情形中是导通的。也就是说,数据未被阻止。这在图1中通过两个平行的虚线表示。
可能的是,网络设备的部分受到损伤,使得仅还有不可解释的、也就是不可使用的数据被产生并且被发送到网络中。人们也将此称为混串音节点,也就是产生不可使用的数据并发送到网络中的网络设备,由此这种无意义的数据分组加重基础结构的负担。在此可能出现的是:数据分组被以错误的地址数据发送并且仅阻止数据流量。此外混串音节点的情况下,对应的数据分组被产生和发送的数据速率大多较高。
为了也能合适地处置混串音节点的故障情形,将网络装置1中的网络设备构造为,使得每个网络设备100,200,300都能用预先给定的最大数据传递速率发送。例如,最大数据传递速率可以是在通信网络中物理最大可能的数据传递速率的预先给定百分比。因此在网络设备能工作和无故障或没有发送端口9,13,209,213,309,313的元件能工作和无故障的情况下设置预先给定的最大数据速率更大的数据速率。这可以通过对网络设备100,200,300的对应编程来进行。
当到达的数据速率大于预先给定的最大数据传递速率时,被构造为网络安全装置20,21,220,221,320,321的保险设备触发。通过该措施也可以克服针对该情形的混串音节点。
在图2中例如假定:交换设备205是有错的,使得该交换设备205用不受限制的数据速率、也就是网络中最大可能的数据速率产生和发出无意义的数据分组。因此网络设备200应被解释为混串音节点。在图2以及还有图3中示出参照图1描述的网络装置1。由于由有缺陷的交换设备205的发送端口213和218发送无意义的数据分租,因此该网络被这些无意义的数据填充。
但是保险设备20,21,320,321识别到:数据传递速率高于预先给定的最大数据传递速率。也就是说,保险设备20,21,320,321触发并且为分配给它们的接收端口10,14,310,314阻止数据流量。网络设备200的保险设备220和221是不令人感兴趣的。被触发的保险设备20,21,320,321通过“叉”表示。不重要的保险设备220,221被设置有水平划线。
在如图2中所示的故障运行情形中,能工作的网络设备100,300不再接收数据。但是,这些网络设备被设计为继续发送自己产生的数据。例如,网络设备100与以前一样经由发送端口9和13将数据D1B,D2B,D1R和D2R发送到网络6中。
通过阻止数据接收或触发安全装置20,21,320,321,没有直接与混串音节点200耦合的保险设备20,321处的数据传递速率又下降到低于预先给定的最大数据传递速率。也就是说,结果安全装置或保险装置20,321又为分配给它们的接收端口10,314释放了数据接收。该情形在图3中示出。但是安全装置或网络保险装置21,320保持触发并进行阻止。
在图3中识别出:现在重新可以在网络设备100和300之间进行可靠的数据传递,因为通信路径CB1和CR3与混串音节点200所产生的无意义的数据分组隔离。因此即使出现故障——在该故障的情况下网络设备或其元件将无意义的数据以高的数据速率发送到网络中——也能得到处置。尽管如此,也保证在所有未完全缺陷的网络设备之间继续进行可靠的通信。
图4示出网络装置101的另一实施方式。与图1-3的图相比,中间的网络设备被替换为三个串行地相互耦合的单重交换设备404,504,604。交换设备404,504,604也可以被解释为不保险的网络设备。例如,交换设备404是这种不保险的网络设备400的一部分。例如,对于安全性特别不重要的应用来说在车辆中采用对应单重的、非冗余构建的网络设备。
单重的交换设备404,504,604经由发送和接收端口407,416,504,511,507,516,611,618相互耦合。交换设备404具有耦合到通信网络、也就是以太网6的发送端口409和接收端口410。交换设备604具有同样耦合到通信网络6的发送端口609和接收端口610。得出已经在图1-3中示出的通信路径片段CB1,CB2,CB3和CR1,CR2,CR3。属于网络设备100,200的交换设备4,5,304,305的接收端口10,14,310,314经由保险设备20,21,320,321耦合到网络6。
现在只要单重交换设备404,504,604之一是混串音节点,则数据速率首先在整个网络中升高并且在接收端口处超过预先给定的最大数据传递速率。然后保险设备21和320阻止针对端口14和310的数据接收。因此来自交换设备404,504,604的线路与数据通信脱离。但是监督至接收端口310,314的数据传递的保险设备20,321是导通的。因此在不保险的网络设备4或还有是混串音节点的交换设备504不规则的情况下也得到保证。在能工作的安全性重要的网络设备100,300之间可以与以前一样经由发送和接收端口9,10,313,314进行通信。
图5示出网络装置的另一实施方式。网络装置102在此包括分别仅具有控制设备2和交换设备4的单重网络设备400。该交换设备分别具有耦合到通信网络6的接收端口10和接收端口9以用于数据D的耦合输出或耦合输入。此外控制设备或CPU2经由发送和接收端口8,7与交换设备以通信方式连接。向接收端口10分配保险设备20,所述保险设备在所设定的最大接收数据速率被超过的情况下完全阻止数据传递。在此该网络装置如前面已经描述的那样运行。
由此该方法以及还有所建议的网络装置在安全性重要的应用中提供最高一致的和可靠的控制装置通信,其中该网络装置具有其环结构并且在网络设备的接收端口处使数据传递速率得到监视。所有可能的单故障或者不会导致在一个或多个网络设备中可能产生不一致的数据,或者可以在一个通信周期之内得到定位。此外,作为混串音节点的网络设备(也就是以高速率将数据不受监督地发送到网络中)的干扰不可能导致通信失效。
所建议的网络装置尤其是使得可以:在网络装置中也可以设置分别具有至少一个控制设备和至少一个交换设备的不保险的网络设备。未受保护的网络设备在接收端口处例如不拥有保险设备,这些网络设备是常规的以太网装置。尽管如此,未受保护的网络设备不可能干扰可靠的流量,因为在未受保护的网络设备之一是混串音节点时,这些未受保护的网络设备通过下一个受保护的、也就是设置有保险设备的网络设备的保险设备分离。
在另一实施方式中,当在具有任意网络拓扑结构的网络中的交通模式都已知时,上述实施方式也可以在所述网络中应用。
一种替换的实施方式在于,代替测量输入端口处的带宽而测量高优先级分组在网络设备中的停留时间,即等待时间。当停留时间超过所计算的最大值时,可以从中推断出,容许的带宽被超过并且保险(安全装置)可以触发。
当交换机ASIC支持速率限制和速率监视或流敏感速率监视时,所描述的保险(安全装置或网络安全装置)可以或者直接在交换机ASIC中实现。由此可能的是,实现网络安全装置而无需附加的硬件。
替换地,网络安全装置可以在附加部件、例如FPGA中实现,所述附加部件连接在网络设备的外部输入端之前。由此可以使用更简单的交换机,同时在单独的硬件中实现网络安全装置必要时简化了认证。
在图6中反映网络装置102的第四实施方式的示意图。网络装置102具有4个网络设备400。相应网络设备400可以基于图1-5的实施例之一。网络设备400可以具有不同功能。例如,图6上面的两个网络设备400可以被构造为控制计算机,下面的两个网络设备400被构造为执行器。左侧的网络设备400是第一网络片段701的一部分。与此相应的,右侧的网络设备400是第二网络片段702的一部分。
在相应网络片段701,702的中部区域(内部区域)中安装第一保险设备F1,所述第一保险设备比布置在相应网络片段701,702的边缘区域中的保险设备F2具有更大的数据传输速率阈值。因此,具有更高阈值F1的第一保险设备被设置用于相应网络片段701,702中的内部通信。与此相应的,具有较低数据传输速率阈值的保险设备F2被设置用于网络片段701,702之间的外部通信。
图7示出网络装置102的第五实施方式的示意图。
图7的网络装置102具有不同功能的12个网络设备811-814,821-822,831-832,841-842,851-852。网络设备811-814被构造为控制计算机。网络设备821-822构造出第一类型的节点,网络设备831,832构造出第二类型的节点,并且网络设备841,842构造出第三类型的节点。网络设备851,852被构造为耦合交换机。
此外,网络装置102具有4个实现的虚拟网络V1-V4。在此,在图7中通过附图标记V1-V4示出哪些虚拟线路属于哪个虚拟网络V1-V4。
此外,在网络装置102中使用具有不同阈值的5个不同保险设备F1-F5。第一保险设备F1例如具有网络装置102的预先给定的最大数据传输速率的80%的阈值,F2具有网络装置102的预先给定的最大数据传输速率的50%的阈值,F3具有网络装置102的预先给定的最大数据传输速率的35%的阈值,F4具有网络装置102的预先给定的最大数据传输速率的20%的阈值,F5具有网络装置102的预先给定的最大数据传输速率的10%的阈值。
网络装置102被构造为三重环形网络,人们也将此称为具有外环或外循环的内环。一个内环用控制计算机8111-814形成,两个外环用节点821-822,831-832和841-842形成。通过虚拟连接V1-V4,基于环形拓扑结构在所有控制计算机811-814相互之间以及在控制计算机和节点之间形成两个不相交的、无环的路径。
在图7的实施方式中所有网络设备冗余地存在,从而存在例如相对于节点822冗余的节点821。对应地,节点831相对于节点832冗余,节点841相对于节点842冗余。当这些节点之一失效时,网络装置102的整个系统保持能运转。网络设备811-814,821-822,831-832,841-842和851-852的三位数的附图标记中的单位数位(最右边数位)可以表示用于供应电流的不同电路。于是如果一个电源失效,则在相同类型的每一对冗余节点中对一个节点供应电流并且该一个节点连接到网络装置102。片段701-707被对应地选择为,使得在一个片段701-707分离的情况下在每一对冗余节点中至少一个节点保持连接到通信网络102。
也就是说,如果两个冗余节点、例如节点821和822安装在外环中,则在这些节点之间安装具有较小阈值的保险设备。当前是具有通信网络102的预先给定的最大数据传输速率的10%的保险设备F5。
通过使用4个虚拟网络V1-V4,可能的是经由耦合交换机851,852之一馈入外环或内环的数据分组绝不会又通过另一个耦合交换机852,851离开该环。尽管如此,为了能够在所有节点之间实现两个不相交的路径,则采用所描述的4个虚拟网络V1-V4。
图7的实施方式的保险设备F1-F5或保险的功能通过以下例子加以说明。在该例子中假定节点822是混串音节点。
在此情况下可以区分以下情况——情况1至情况4:
情况1:
节点822用直到9%-ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。节点841还向由节点822向上发送至节点841的数据分组添加其计划的带宽,例如1%。尽管如此没有阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的影响。
情况2:
节点822用9%+ε至20%-ε的带宽胡说:节点841添加其计划的部分1%,该计划的部分触发节点831的保险设备F5。于是节点被假定为有缺陷的。节点841没有缺陷,但是与通信分离并由此被丢失。经由路径V1的连接通过保险设备F5中断,经由路径V2的连接通过有缺陷的节点822中断。
情况3:
节点822用20%至80%-ε的带宽胡说:除了在节点831处的保险F5之外,在耦合交换机852处的保险F2也触发。由节点821和841组成的片段707于是与通信分离。通信网络102的其余部分未受影响。由此只有右外环中的冗余部分丢失。
情况4:
节点822用大于80%的带宽胡说:下耦合交换机852处的保险F2和节点841处的保险F1触发。由此节点822与通信分离,通信网络102的剩余部分未受影响,并且只有右外节点中的冗余部分丢失。节点841也没有丢失。如果忽略节点841处的保险F1,则出现与在情况3中相同的状态。在片段的中部区域中的保险仅改善各个节点的可用性,并且不是无条件必需的。
下面的第二例子基于以下假定,即控制计算机811是混串音节点:
在此也可以区分四种情况1至4:
情况1:
控制计算机811用直至例如22.5%-ε的带宽胡说。控制计算机813添加例如12.5%的为其设置的带宽。耦合交换机851,852处的保险F3,F2,F1不触发。可能的是可以触发节点831和841之间的保险F5之一,因为在此调节出较小的容许带宽。但是该效应不会导致节点的丢失。可能将外环与相对的耦合交换机分离的保险不触发,因为发送到外环的数据分组必须属于VLAN V1或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组都不由另一个耦合交换机852,851接收,因为该另一个耦合交换机总是属于另一个VLANV1或V2。因此没有节点也没有控制计算机811-814被排除出通信。
情况2:
控制计算机811用大约22.5%至35%-ε的带宽胡说:控制计算机813添加例如12.5%的为其设置的带宽。耦合交换机852处的保险F3触发。在相对的耦合交换机851处的相对的保险F3不触发。在最坏的情况下,控制计算机811在朝着VLANV4的方向上胡说。在该情况下,在控制计算机812和814添加了其数据之后,在控制计算机814与耦合交换机852之间的连接处的保险F3触发。由此还有控制计算机812和814可用,但是不再冗余地连接到外环。但是至所有节点的非冗余的连接仍然存在。对针对内环的VLANV3和V4的带宽的附加限制可以改善这种情况,使得控制计算机811-814的冗余耦合得以维持,因为可以阻止在耦合交换机852处的保险F3的触发。
情况3:
控制计算机811用大于35%的带宽胡说:耦合交换机851,852的左侧保险F3触发,控制计算机811和813被丢失,但是控制计算机812和814保持冗余地连接。
情况4:
控制计算机811用大于80%的带宽胡说。控制计算机811与控制计算机813之间的保险F1触发。由此控制计算机811被排除在外,但是其它控制计算机812至814保持完全连接。
下面的另外的例子基于以下假定:耦合交换机851是混串音节点。在此也可以区分4种情况1-4:
情况1:
耦合交换机851用小于8%的带宽胡说:节点821和831添加其计划的带宽,例如分别1%。节点841处的保险F5不触发。下耦合交换机852的保险F4和F5同样不触发,因为上耦合交换机851只能在VLAN V1上胡说,但是不接收来自下耦合交换机852的数据分组。在内环中没有保险触发,但是浪费了大约8%的带宽。
情况2:
耦合交换机851用8%至10%-ε的带宽胡说:节点821,831添加其相应计划的带宽。节点841处的保险F5触发。节点821和832与剩余通信网络102分离。下耦合交换机852的保险F4和F5不触发,因为上耦合交换机851只能在VLAN V1上胡说。尽管如此在下耦合交换机852处不接收来自上耦合交换机851的数据分组。在内环中没有保险触发,但是浪费了大约10%的带宽。
情况3:
上耦合交换机851用10%至50%-ε的带宽胡说:由此节点841的保险F5触发。节点821和832与剩余通信网络102分离。下耦合交换机852的保险F4和F5同样不触发,因为上耦合交换机851只能在VLAN V1上胡说,但是不接收来自下耦合交换机的数据分组。
控制计算机811-814分别添加其计划的带宽12.5%。当上耦合交换机851在VALN V3上的其左侧端口上胡说,在VLAN V4上的右侧端口上胡说。在这种非常不可能的情况下所有控制计算机811-814都被丢失。
在这种情况下,由上耦合交换机851产生的、穿过片段704引导的数据分组被引导用于触发耦合交换机852的右保险F3并由此用于分离实际上无故障的片段704。为了避免这种最差的情况,限制针对VLAN V3和V4的带宽。经由VLAN V1和V2,上耦合交换机851不可能导致下耦合交换机852的保险F3的触发,因为所述数据分组不穿过控制计算机811-814传递。
替换地,可以放弃VLAN V3和V4,由此不再在所有控制计算机811-814之间存在不相交的路径,这在控制功能合适地分布在控制计算机811-804上的情况下可以忍受。为此不需要穿过控制计算机片段703,704地传送数据分组。
情况4:
上耦合交换机851用超过50%的带宽胡说:节点841的保险F5由此触发。节点821和832与剩余通信网络102分离。下耦合交换机852的保险F4和F5不触发,因为上耦合交换机852只能在VLAN V1上胡说。但是不接收来自下耦合交换机852的数据分组。
控制计算机811,812的保险F2触发。没有胡说的流量渗入由片段703,704组成的内环中。
在图8中示出网络装置102的第六实施方式的示意图。图8的实施例与图7的实施例的不同之处尤其在于网络拓扑结构。尤其是在图8的实施方式中仅实现两个VLAN V1,V2。通过两个VLAN V1,V2,经由耦合交换机851,852之一馈入外环中的分组绝不能通过另一个耦合交换机852,851又离开该环。由此也就是该数据分组不穿过外环引导。尽管如此为了在通信网络102的所有节点之间实现两个不相交的路径,采用两个描述的VLAN V1,V2。
保险F1-F5的功能可以通过下面的三个例子加以说明:
第一例子基于以下假定:节点822是混串音节点。在该第一例子中可以区分四种情况:
情况1:
节点822用直到9%-ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。节点841还向由节点822向上发送的数据分组添加其计划的带宽,例如1%。尽管如此没有保险F1-F5之一的阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的影响。
情况2:
节点822用9%+ε至20%-ε的带宽胡说:节点841添加其计划的部分1%,节点831处的保险设备F5触发。节点822被假定为有缺陷的。节点841没有缺陷,但是与通信分离并由此被丢失。经由路径V1的连接通过保险设备F5中断,经由路径V2的连接通过有缺陷的节点822中断。
情况3:
节点822用20%至80%-ε的带宽胡说:除了保险F5之外,在下耦合交换机852处的保险F4也触发。由节点822和841组成的片段708与通信分离。通信网络102的其余部分未受影响。只有右外环中的冗余部分丢失。
情况4:
节点822用大于80%的带宽胡说:下耦合交换机852处的保险F4和节点841处的保险F1触发。由此节点822仅与通信分离,通信网络102的剩余部分未受影响。只有右外节点中的冗余部分丢失。但是节点841没有丢失。
在下面的第二例子中假定:控制计算机811是混串音节点。在此可以区分两种情况:
情况1:
控制计算机811用直至35%-ε的带宽胡说。耦合交换机851,852处的保险F3不触发。可能的是触发节点831和841之间的保险F5中的一个或两个,因为在此调节出较小的容许带宽(10%)。该效应是不期望的,但是不会导致节点的丢失。
可以将外环与相对的耦合交换机851分离的保险不触发,因为发送到外环的数据分组必须属于VLAN V1或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组都不由另一个耦合交换机852,851接收,因为该另一个耦合交换机总是属于另一个VLANV1或V2。因此没有节点也没有控制计算机811-814被排除出通信。
情况2:
控制计算机811用大于35%的带宽胡说:耦合到控制计算机811的耦合交换机851,852的保险F3触发。由此控制计算机811与通信网络102分离。但是所有其它节点保持冗余地连接。
下面的第三例子基于以下假定:上耦合交换机851是混串音节点:在该例子中可以区分三种情况:
情况1:
上耦合交换机851用小于8%的带宽胡说。节点821和833添加其计划的带宽,例如分别1%。由此节点841处的保险F5不触发。下耦合交换机852的保险F2和F1同样不触发,因为上耦合交换机只能在VLAN V1上胡说,但是不接收来自下耦合交换机852的数据分组。下耦合交换机852的保险F3同样不耦合,因为VALN V1的数据分组不从控制计算机811-813转发给下耦合交换机852。由此所有节点经由VLAN V2保持相互连接。
情况2:
上耦合交换机851用8%至50%-ε的带宽胡说:节点821和831添加其计划的带宽。节点841的保险F5触发。由此节点821和831与剩余通信网络102分离。下耦合交换机852的保险F2和F1不触发,因为上耦合交换机851只能在VLAN V1上胡说,但是不接收来自下耦合交换机852的数据分组。下耦合交换机852的保险F3同样不触发,因为VLAN V1的数据分组不从控制计算机811-813转发给下耦合交换机852。
情况3:
上耦合交换机851用大于50%的带宽胡说:节点821和832处的保险F2触发。此外控制计算机811-813的保险F2也触发。由此上耦合交换机851与通信网络102分离。但是所有节点经由VLAN V2不冗余地相互连接。在此情况下耦合交换机851,852不属于节点。
图9示出网络装置102的第七实施方式的示意图。
保险F1-F5阻止混串音节点具有用无意义的数据淹没网络装置102的一个或多个环的可能性。为此保险F1-F5监视尤其是到达平台计算机811-814的外连接处、也就是到达控制计算机811-814的外环链路处的高优先级的数据流量。从而在由片段701,704,705组成的外环中的混串音节点不可能干扰在由片段702,703组成的内环中的通信。如果冗余的以及至少在通信方面高度可用的网络设备、例如成套机器安装在外环中,在这些网络设备之间必须同样在两个方向上安装保险F1-F5。对此的例子是网络设备831和822的保险F5。
同样监视将控制计算机811至814与各种电源连接的片段702,703的内环的链路。由此例如像控制计算机811和812供应第一电源,相反向控制计算机813和814供应第二电源。总之,第一电源供应网络设备811,812,821,831,822,而第二电源供应网络设备823,824,813,814,832。由此胡说的控制计算机在最坏的情况下可能影响具有相同电源的控制计算机,也就是说建立相当于电源失效的状态。第二电源以及由此连接到第二电源的网络设备保持不被其打扰。
通过这些链路的关键流量手动地或者通过自动配置机制加以确定。在此,设置具有定义预留的保险F1-F5中的最大容许带宽,所述最大容许带宽例如保守地可以用100%来加以估计。由内环(通过片段702和703形成)中的计划流量以及通过外环端口进入内环中的最大流量之和不允许超过在控制计算机811-814之间为保险F2(F2=50%)调整出的值,否则来自外部的流量可能中断内环中的通信。例如在图9中由控制计算机811向控制计算机812计划25%的带宽。控制计算机812的保险F4可以最大进入来自外环的20%,也就是说控制计算机814的保险F2必须允许至少25%+20%的负载。在图9的例子中,在考虑安全性预留的情况下为控制计算机814的保险F2设置50%。
此外保险F3-F5(F3=35%,F4=20%,F5=10%)将带宽限制为明显比保险F1和F2(F1=80%,F2=50%)更高的值。如果混串音节点以非常高的带宽胡说,则该混串音节点被本地隔离并且不会影响其它网络设备的功能。下面借助两个例子阐述在图9的实施方式中的保险F1-F5的功能:
在第一例子中假定网络设备832是混串音节点:
在此情况下可以区分四种情况:
情况1:
网络设备832用直至9%的带宽胡说:该具有较小带宽的胡说未被保险F1-F5中任何一个识别。所使用的8%的带宽不会导致网络装置102的整个系统受到影响。
情况2:
网络设备832用9%+ε至20%-ε的带宽胡说。同一个片段705的网络设备822添加其计划的部分1%。由此网络设备831的保险F5触发。控制计算机814的外环端口处的保险F4还没有触发。由此网络设备832被假定为有缺陷的。与此相应地,网络设备822没有缺陷,但是与使用控制计算机811至814的通信分离并由此丢失。经由路径V1的连接通过保险F5中断,而经由路径V2的连接通过有缺陷的网络设备832中断。由此网络设备832以非关键流量为代价使用直至20%的带宽。
情况3:
网络设备832用20%至80%-ε的带宽胡说:除了网络设备831的保险F5之外,控制计算机814的外环端口处的控制计算机814的保险F4也触发。网络设备832和网络设备822与通信分离。通信网络102的其余部分未受影响。由此仅丢失通过网络片段705的冗余。
情况4:
网络设备832用大于80%的带宽胡说。控制计算机814的保险F4和网络设备822的保险F5触发。由此网络设备832与通信分离,但是通信网络102的其余部分不受影响。仅丢失在右外环中的冗余。网络设备822在情况4中也不丢失。
第二例子基于以下假定:控制计算机811是混串音节点。在此可以区分三种情况:
情况1:
控制计算机811用较小的带宽胡说。可能的是网络设备831和822之间的保险F5之一触发,因为在此设置了较小的容许带宽(F5=10%)。该效应是不期望的,但是不会导致网络设备的丢失,而是仅导致由片段704和705组成的右外环中的冗余丢失。可以将外环与相对的控制计算机的外环端口F5分离的保险不触发,因为发送到外环的分组必须属于VLAN V1或VLAN V2。任何情况下由一个控制计算机811发送的数据分组都不会由另一个控制计算机813接收,因为该另一个控制计算机813总是属于另一个VLAN V2,V1。因此它不是网络设备并且没有控制计算机被排除出通信,所使用的带宽以非关键流量为代价。
情况2:
控制计算机811以直至80%的较高带宽胡说:根据控制计算机811在其上胡说的VLAN V1-V4以及其它流量,控制计算机812,813,814的保险F2可以触发。在此情况下要区分以下两种子情况i)和ii):
子情况i):仅控制计算机813的保险F2触发:控制计算机812,813,814非冗余地连接,由片段704和705组成的右外环冗余地连接。由片段701组成的左外环非冗余地连接。在VLAN V1或VLAN V3上可以使用带宽的直至50%。VLAN V2是可运转的并且将控制计算机812,813,814与外环的网络设备连接。
子情况ii):控制计算机813的保险F2以及附加地控制计算机812的保险F2和/或控制计算机814的保险F2触发:实际的可运转的控制计算机812与内环分离。控制计算机813和814不冗余地与外环的所有网络设备相互连接。在最不利的情况下,使用带宽的50%。
情况3:
控制计算机811用大于80%的带宽胡说:控制计算机813的保险F2和控制计算机812的保险F1触发。有缺陷的控制计算机811被排除出通信。所有其它控制计算机812-814以及外环的网络设备至少非冗余地连接,由片段704,705组成的右外环甚至是冗余的。在此全部带宽可供使用,因为混串音节点(在此是控制计算机811)被隔离。
虽然通过优选实施例详细地图解和描述了本发明,但是本发明不通过所公开的例子限制,并且专业人员可以从中推导出其它变型,而不脱离本发明的保护范围。尤其是网络装置的实施方式可以具有其它能联网的元件,这些元件也可以是混串音节点。

Claims (19)

1.用于针对安全性重要的应用为耦合到通信网络(6)上的网络设备运行网络装置的方法,其中相应的网络设备包括第一和第二交换设备(4,5)和第一和第二控制设备(2,3),其中第一控制设备(2)耦合到第一交换设备(4)上并且第二控制设备(3)耦合到第二交换设备(5)上,以及其中第一和第二交换设备(4,5)分别具有用于经由通信网络(6)接收和发送数据的接收端口(10,14)和发送端口(9,13),并且向接收端口(10,14)分配用于限制数据传输速率的保险设备(20,21),其中该方法包括:
预先给定在发送数据时的最大数据传输速率,其中网络设备被设计为利用低于预先给定的最大数据传输速率的数据速率来发送数据;
在网络设备的接收端口(10,14)处监视所接收的数据的数据传输速率;
如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接收端口(10,14)处的数据接收;以及
通过第一控制设备(2)产生第一数据(D1)并且通过第二控制设备(3)产生第二数据(D2),其中第一数据(D1)和第二数据(D2)通过预先给定的编码相互关联;
由第一控制设备(2)经由第一交换设备(4)将第一数据(D1)发送到第二控制设备(3),并且由第二控制设备(3)经由第二交换设备(5)将第二数据(D2)发送到第一控制设备(2);
经由从用于第一控制设备(2)的第一交换设备(4)的发送端口(9)至用于第二控制设备(3)的第二交换设备(5)的接收端口(14)的第一通信路径(CB1,CB2,CB3)发送第一数据(D1)和第二数据(D2);
经由从用于第二控制设备(3)的第二交换设备(5)的发送端口(13)至用于第一控制设备(2)的第一交换设备(4)的接收端口(10)的第二通信路径(CR1,CR2,CR3)发送第一数据(D1)和第二数据(D2);
其中第一和第二通信路径(CB1,CB2,CB3,CR1,CR2,CR3)的数据在相反的方向上穿越相同的另外的网络设备。
2.根据权利要求1所述的方法,此外包括:
如果到来的数据具有小于预先给定的最大数据传输速率的数据传递速率,则释放在接收端口(10,14)处的数据接收。
3.根据权利要求1或2所述的方法,其中为发送端口(9,13)与接收端口(10,14)之间的每个通信路径预先给定最大链路传输速率。
4.根据权利要求1或2所述的方法,其中向数据分配至少两个优先等级,并且仅针对所选择的优先等级的数据监视数据传输速率和/或阻止数据接收。
5.根据权利要求1或2所述的方法,其中向数据分配至少两个优先等级,并且为了估计所选择的优先等级的数据的数据传输速率,在交换设备(4,5)中检测所选择的优先等级的数据的等待时间。
6.根据权利要求1所述的方法,还包括:
将第一数据(D1)和第二数据(D2)经由用于第一控制设备(2)的第一交换设备(4)的发送端口(9)通过具有第一控制设备和第二控制设备的另一网络设备(200)的至少一个其它交换设备(204)发送至用于第二控制设备(3)的第二交换设备(5)的接收端口(14);以及
将第一数据(D1)和第二数据(D2)经由用于第二控制设备(3)的第二交换设备(5)的发送端口(13)通过具有第一控制设备和第二控制设备的另一网络设备(200)的至少一个其它交换设备(204)发送至用于第一控制设备(2)的第一交换设备(4)的接收端口(10);
其中在相应的其它交换设备(204)中在用于该其它交换设备(204)的第二控制设备的接收端口(214)处接收的数据被转发给用于该其它交换设备(204)的第一控制设备的发送端口(209),并且在用于该其它交换设备(204)的第一控制设备的接收端口(210)处接收的数据被转发至用于该其它交换设备(204)的第二控制设备的发送端口(213)。
7.根据权利要求1所述的方法,还包括:将第一数据(D1)与第一和/或第二控制设备(2,3)中的第二数据(D2)相比较以产生比较结果;以及依据该比较结果将网络设备挂起。
8.根据权利要求1所述的方法,还包括:在其它网络设备(200)中在用于第一控制设备和第二控制设备的输入端口(210,214)处接收第一数据(D1)和第二数据(D2)并且将接收的数据进行比较。
9.根据权利要求1或2所述的方法,其特征在于,通信网络(6)是以太网络。
10.根据权利要求1或2所述的方法,其特征在于,
向至少两个网络设备的保险设备(F1-F5)分配针对数据传输速率的不同阈值,其中这些不同阈值中的每一个都小于或等于预先给定的最大数据传输速率,其中在以下情况下阻止在至少两个网络设备的接收端口(7,10,11,14,15,17)处的数据接收,即在该接收端口(7,10,11,14,15,17)处到来的数据具有大于所分配的阈值的数据传输速率。
11.根据权利要求10所述的方法,其特征在于,
网络设备(811-814,821-822,831-832,841-842,851-852)分布式地布置在多个网络片段(701-707)中,其中向这些网络片段(701-707)的每一个分配网络设备(811-814,821-822,831-832,841-842,851-852)的子集,其中在每个网络片段(701-707)具有至少两个所分配的网络设备(811-814,821-822,831-832,841-842,851-852)的情况下向布置在该网络片段(701-707)的边缘区域处的保险设备(F1-F5)分配比保险设备(F1-F5)布置在该网络片段(701-707)的中部区域中的情况下更小的数据传输速率阈值。
12.根据权利要求11所述的方法,其特征在于,
将子集作为不相交的子集来构成。
13.根据权利要求10所述的方法,其特征在于,
网络设备(811-814,821-822,831-832,841-842,851-852)包括至少两个在其功能性方面冗余的网络设备(811-814,821-822,831-832,841-842,851-852),其中子集被构成为,使得向每个子集最多分配冗余的网络设备(811-814,821-822,831-832,841-842,851-852)之一。
14.根据权利要求11至13之一所述的方法,其特征在于,
在通信网络(102)中实现多个虚拟网络(V1-V5),以便避免在一个网络片段(701-707)的保险设备(F1-F5)处由于从另一个网络片段(701-707)接收数据而导致针对数据传输速率的阈值被超过。
15.根据权利要求14所述的方法,其特征在于,
依据相应保险设备(F1-F5)布置于其中的虚拟网络(V1-V4)来调整针对该相应保险设备(F1-F5)的数据传输速率的相应阈值。
16.计算机可读介质,在其中存储计算机程序,所述计算机程序可被一个或多个由程序控制的设备执行,以实现根据权利要求1至15之一所述的方法。
17.具有多个网络设备的网络装置(101),这些网络设备针对安全性重要的应用耦合到通信网络(6),其中相应的网络设备(100)具有第一和第二交换设备(4,5)和第一和第二控制设备(2,3),其中向第一控制设备(2)分配第一交换设备(4)并且向第二控制设备(3)分配第二交换设备(5),并且其中交换设备(4,5)分别具有用于经由通信网络(6)接收和发送数据的接收端口(10,14)和发送端口(9,13),以及所述网络装置具有至少一个被分配给接收端口(10,14)的保险设备(20,21)以用于限制数据传输速率,其中所述网络设备(100)被设计为执行根据权利要求1至15之一所述的方法。
18.根据权利要求17所述的网络装置(101),其特征在于,
第一交换设备(4)和第二交换设备(5)以通信方式相互耦合。
19.根据权利要求17或18所述的网络装置(101),其特征在于,
网络设备和/或保险设备分别实施为单个FPGA、ASIC、IC芯片或固定连线的微电路。
CN201280071242.9A 2012-01-09 2012-09-28 用于运行通信网络的方法和网络装置 Active CN104145453B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102012000185.1 2012-01-09
DE102012000185.1A DE102012000185B4 (de) 2012-01-09 2012-01-09 Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
PCT/EP2012/069273 WO2013104436A1 (de) 2012-01-09 2012-09-28 Verfahren zum betreiben eines kommunikationsnetzwerkes und netzwerkanordnung

Publications (2)

Publication Number Publication Date
CN104145453A CN104145453A (zh) 2014-11-12
CN104145453B true CN104145453B (zh) 2018-03-13

Family

ID=47115767

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280071242.9A Active CN104145453B (zh) 2012-01-09 2012-09-28 用于运行通信网络的方法和网络装置

Country Status (6)

Country Link
US (1) US9998385B2 (zh)
EP (1) EP2783487B1 (zh)
JP (1) JP5984963B2 (zh)
CN (1) CN104145453B (zh)
DE (1) DE102012000185B4 (zh)
WO (1) WO2013104436A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012219176A1 (de) * 2012-10-22 2014-04-24 Siemens Aktiengesellschaft Kommunikationsnetzwerk und Verfahren zum Betreiben eines Kommunikationsnetzwerkes
DE102014206053A1 (de) * 2014-03-31 2015-10-01 Siemens Aktiengesellschaft Erhöhen einer Dienstgüte in einem Netzwerk
DE102014218823A1 (de) 2014-09-18 2016-03-24 Siemens Aktiengesellschaft Netzknoten, Steuermodul für eine Komponente und Ethernet Ring
DE102016004095B4 (de) 2016-04-05 2024-02-08 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Automatisches Eingrenzen eines physikalischen Netzwerkfehlers zur Laufzeit
US10577120B1 (en) * 2017-07-26 2020-03-03 Rockwell Collins, Inc. Flight display network for an aircraft
DE102017010473A1 (de) * 2017-11-10 2019-05-16 Oerlikon Textile Gmbh & Co. Kg Maschinenanlage zur Herstellung oder Behandlung synthetischer Fäden
DE102019108504A1 (de) * 2019-04-02 2020-10-08 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zur Datenübertragung für ein Nutzfahrzeug sowie Verfahren hierzu
DE102021212896A1 (de) * 2021-11-17 2023-05-17 Zf Friedrichshafen Ag Elektronischer Schaltkreis, Steuervorrichtung mit einem solchen Schaltkreis und Verfahren zum Kommunizieren von Daten
CN116980497B (zh) * 2023-09-20 2023-12-26 浙江中控研究院有限公司 基于BLVDS总线的可配CANopen主站系统及实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101023633A (zh) * 2004-04-28 2007-08-22 汤姆逊许可公司 提高网络服务质量的系统和方法
JP2007214796A (ja) * 2006-02-08 2007-08-23 Nec Corp Atmネットワークシステム、及び障害排除方法
JP2007525107A (ja) * 2003-11-19 2007-08-30 ハネウェル・インターナショナル・インコーポレーテッド リングインタフェースユニット

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10360873B4 (de) * 2003-12-23 2006-08-10 Airbus Deutschland Gmbh Verfahren zum Betreiben eines Terminals, Terminal und Datenbussystem
JP2005354514A (ja) * 2004-06-11 2005-12-22 Fujitsu Access Ltd リング型伝送装置におけるパケット中継装置
EP1672505A3 (en) * 2004-12-20 2012-07-04 BWI Company Limited S.A. Fail-silent node architecture
EP1705839A1 (en) * 2005-03-23 2006-09-27 Siemens Aktiengesellschaft Guaranteed bandwidth end-to-end services in bridged networks
ATE545224T1 (de) * 2005-06-28 2012-02-15 Tttech Computertechnik Ag Sicheres herauffahren eines netzwerks
US8879388B2 (en) * 2006-05-30 2014-11-04 Broadcom Corporation Method and system for intrusion detection and prevention based on packet type recognition in a network
US7609633B2 (en) * 2006-06-12 2009-10-27 Cisco Technology, Inc. Bandwidth policer with compact data structure
JP2008131137A (ja) * 2006-11-17 2008-06-05 Oki Electric Ind Co Ltd 音声信号中継装置
WO2009063346A1 (en) * 2007-11-14 2009-05-22 Nxp B.V. Star network and method for preventing a repeatedly transmission of a control symbol in such a star network
EP2148473A1 (en) * 2008-07-22 2010-01-27 ABB Research Ltd Switching nodes for high availability networks
DE102009001420A1 (de) * 2009-03-10 2010-09-16 Robert Bosch Gmbh Verfahren zur Fehlerbehandlung eines Rechnersystems
DE102012000188B4 (de) * 2012-01-09 2015-05-28 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007525107A (ja) * 2003-11-19 2007-08-30 ハネウェル・インターナショナル・インコーポレーテッド リングインタフェースユニット
CN101023633A (zh) * 2004-04-28 2007-08-22 汤姆逊许可公司 提高网络服务质量的系统和方法
JP2007214796A (ja) * 2006-02-08 2007-08-23 Nec Corp Atmネットワークシステム、及び障害排除方法

Also Published As

Publication number Publication date
DE102012000185B4 (de) 2014-11-06
US9998385B2 (en) 2018-06-12
JP2015509321A (ja) 2015-03-26
EP2783487A1 (de) 2014-10-01
WO2013104436A1 (de) 2013-07-18
CN104145453A (zh) 2014-11-12
US20140328171A1 (en) 2014-11-06
JP5984963B2 (ja) 2016-09-06
EP2783487B1 (de) 2017-08-02
DE102012000185A1 (de) 2013-07-11

Similar Documents

Publication Publication Date Title
CN104145453B (zh) 用于运行通信网络的方法和网络装置
CN205068381U (zh) 一种用于轨道交通的安全计算机平台
CN103454992B (zh) 网络设备、网络装置和用于运行网络装置的方法
CN105159863A (zh) 一种用于轨道交通的安全计算机平台
CN110337799B (zh) 具有车辆内部的数据网络的机动车以及运行机动车的方法
WO2017101238A1 (zh) 一种保证智能变电站保护跳闸可靠性的装置和方法
CN107851109A (zh) 软件定义网络的配置
CN106716275B (zh) 控制和数据传输系统、网关模块、输入/输出模块和过程控制方法
CN105607523A (zh) 高可用性装置级环底板
CN104378291A (zh) 用于在工业通信网络中进行冗余的信息传输的方法和通信设备
TWI790215B (zh) 用於鐵路環境下重要通信的安全管理的設備和方法
CN103828306A (zh) 用于运行网络装置的方法和网络装置
CN104718727A (zh) 通信网络和用于运行通信网络的方法
CN104871492B (zh) 通信系统、通信装置以及通信方法
US11909748B2 (en) Anti-fraud control system, monitoring device, and anti-fraud control method
CN107968775B (zh) 数据处理方法、装置、计算机设备及计算机可读存储介质
TWI593254B (zh) Relay device and communication network
BR102013016687B1 (pt) Método para determinação da composição de um trem e trem que inclui uma pluralidade de veículos agrupados em unidades sucessivas
CN107612800A (zh) 一种连接profibus冗余网络与单总线网络的y型转换设备的实现方法及控制装置
US8755957B2 (en) Method for securing a piloting system of a reconfigurable multi-unit vehicle and a secure piloting system
CN102918809B (zh) 网络和扩展单元以及运行网络的方法
CN103516456A (zh) 用于使网络设备运行的方法、网络装置和网络设备
JP2007533227A (ja) データを伝送するシステムおよびシステムの加入者装置
JP2007533226A (ja) データを伝送し、かつ評価するシステムと方法およびシステムの加入者
JP2004302708A (ja) 多重系情報処理装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant