DE102021127310B4 - System und Verfahren zur Datenübertragung - Google Patents

System und Verfahren zur Datenübertragung Download PDF

Info

Publication number
DE102021127310B4
DE102021127310B4 DE102021127310.2A DE102021127310A DE102021127310B4 DE 102021127310 B4 DE102021127310 B4 DE 102021127310B4 DE 102021127310 A DE102021127310 A DE 102021127310A DE 102021127310 B4 DE102021127310 B4 DE 102021127310B4
Authority
DE
Germany
Prior art keywords
module
data
computing unit
user data
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102021127310.2A
Other languages
English (en)
Other versions
DE102021127310A1 (de
Inventor
Thomas Grom
Cornelius Fink
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Liebherr Aerospace Lindenberg GmbH
Original Assignee
Liebherr Aerospace Lindenberg GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Liebherr Aerospace Lindenberg GmbH filed Critical Liebherr Aerospace Lindenberg GmbH
Priority to DE102021127310.2A priority Critical patent/DE102021127310B4/de
Publication of DE102021127310A1 publication Critical patent/DE102021127310A1/de
Application granted granted Critical
Publication of DE102021127310B4 publication Critical patent/DE102021127310B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Abstract

System zur Datenübertragung, insbesondere in einem Luftfahrzeug, umfassend1. eine erste Recheneinheit (100) mit1.1 einem ersten Modul (110) und einem zweiten Modul (120), welche kommunikativ miteinander verbunden sind,1.2 einem Datenübertragungsmodul (140), und1.3 einem Steuerungsmodul (130), welches zwischen das erste Modul (110) und das Datenübertragungsmodul (140) geschaltet und mit diesen kommunikativ verbunden ist;2. eine zweite Recheneinheit (200) mit2.1 einem ersten Modul (210) und einem zweiten Modul (220), welche kommunikativ miteinander verbunden sind,2.2 einem Datenübertragungsmodul (240),2.3 einem Steuerungsmodul (230), welches zwischen das erste Modul (210) und das Datenübertragungsmodul (240) geschaltet und kommunikativ mit diesen verbunden ist, und2.4 einem Kontrollmodul (250), welches parallel zum Steuerungsmodul (230) kommunikativ mit dem Datenübertragungsmodul (240) und dem zweiten Modul (220) verbunden ist; und3. eine Datenübertragungsverbindung (300), insbesondere Datenbus, über welche die Datenübertragungsmodule (140, 240) der ersten und zweiten Recheneinheiten (100, 200) kommunikativ miteinander verbunden sind; wobeia. die Module (110, 120, 130, 140) der ersten Recheneinheit (100) derart miteinander verbunden und eingerichtet sind, dass das erste Modul (110) erste Nutzdaten über das Steuerungsmodul (130) an das Datenübertragungsmodul (140) überträgt und das zweite Modul (120) zweite Nutzdaten über das erste Modul (110) und weiter über das Steuerungsmodul (130) an das Datenübertragungsmodul (140) überträgt, wobei die ersten und zweiten Nutzdaten weiter über die Datenübertragungsverbindung (300) an das Datenübertragungsmodul (240) der zweiten Recheneinheit (200) übertragen werden;b. die Module (210, 220, 230, 240) der zweiten Recheneinheit (200) derart miteinander verbunden und eingerichtet sind, dass das erste Modul (210) die ersten Nutzdaten über das Steuerungsmodul (230) vom Datenübertragungsmodul (240) empfängt und das zweite Modul (220) die zweiten Nutzdaten über das Steuerungsmodul (230) und weiter über das erste Modul (210) vom Datenübertragungsmodul (240) empfängt;c. das Kontrollmodul (250) eingerichtet ist, vom Datenübertragungsmodul (240) an das Steuerungsmodul (230) übermittelte zweite Nutzdaten auszulesen und diese dem zweiten Modul (220) zur Verfügung zu stellen; undd. das zweite Modul (220) der zweiten Recheneinheit (200) eingerichtet ist, zur Erkennung eines Fehlers in den übertragenen Nutzdaten im Rahmen einer ersten Nutzdatenüberprüfung die über das Steuerungsmodul (230) empfangenen ersten und zweiten Nutzdaten miteinander zu vergleichen und/oder in der ersten Recheneinheit (100) aus den ersten und/oder zweiten Nutzdaten erzeugte und zusammen mit diesen an die zweite Recheneinheit (200) übertragene Prüfdaten zu überprüfen und im Rahmen einer zweiten Nutzdatenüberprüfung die über das Steuerungsmodul (230) empfangenen ersten Nutzdaten mit den über das Kontrollmodul (250) bereitgestellten zweiten Nutzdaten zu vergleichen.

Description

  • Die vorliegende Erfindung betrifft ein System zur Datenübertragung, insbesondere in einem Luftfahrzeug, mit zwei Recheneinheiten, welche über eine Datenübertragungsverbindung Daten austauschen, sowie ein Verfahren zur Datenübertragung mittels eines solchen Systems.
  • In Luftfahrzeugen werden für die im Flugbetrieb notwendigen elektronischen Systeme typischerweise unterschiedliche Rechner und lokale Datenbusse verwendet. Solche Systeme umfassen beispielsweise das Flugsteuersystem, das Fahrwerksystem, das Betätigungssystem oder das Klimatisierungssystem eines Luftfahrzeugs.
  • Die systemrelevanten Regelungs- und Überwachungsfunktionen werden häufig in zentralen Recheneinheiten ausgeführt, welche beispielsweise im Rumpf eines Flugzeugs untergebracht sein können. Diese Zentralrechner übertragen typischerweise die zum Ansteuern notwendigen Signale mit Hilfe von Datenbussen an Fernelektronikeinheiten (sog. Remote Electronic Units, REUs), welche lokal (z.B. in den Tragflächen) die Steuerfunktionen der Aktuatoren ausführen.
  • Eine Übertragung von fehlerhaften Daten, die zur Ansteuerung der Aktuatoren relevant sind, kann zu einer kritischen Flugsituation und im schlimmsten Fall zum Absturz des Luftfahrzeugs führen. Aus diesem Grund müssen eine sichere Erzeugung der zur Regelung, Steuerung und Überwachung notwendigen Informationen, eine sichere Datenübertragung zwischen den Zentralrechnern und Fernelektronikeinheiten sowie eine sichere Weiterverarbeitung der verfügbaren Daten bis zur Ansteuerung der Aktuatoren gewährleistet sein.
  • Zur Erhöhung der Sicherheit sind die elektronischen Komponenten bzw. Systemgruppen und/oder die darauf laufenden Softwarebausteine redundant oder diversitär redundant ausgeführt. Hierbei ist es bekannt, Signale bzw. Daten mit gleichem Bedeutungsgehalt für jede redundant ausgeführte Systemgruppe physisch getrennt zu übertragen, beispielsweise über getrennte Datenbusse, um die notwendige Integrität sicher zu stellen. Dies wird auch deshalb derart realisiert, damit es zu keinen gleichförmigen Verfälschungen und somit zu keinen unerkannten Fehlinterpretationen beim Empfänger der jeweiligen redundanten Systemgruppe kommt.
  • Die Recheneinheiten können in einer sogenannten Control-Monitor-Architektur (d.h. mit selbstüberwachenden Funktionsblöcken) ausgeführt sein. Diese steht für eine Selbstüberwachung der Funktion einer Recheneinheit bzw. eines Steuerrechners, bei der die von einer Recheneinheit gesendeten Daten unabhängig überprüft werden können. Dies erfordert eine separate Schnittstelle zur Datenübertragung, z.B. einen separaten Busknoten, für die Control- und die Monitoreinheiten.
  • Nachteilig an solchen getrennten physischen Datenübertragungsverbindungen zwischen den verschiedenen Recheneinheiten ist jedoch der damit einhergehende Aufwand sowohl bei der Hardware und Software der Recheneinheiten als auch bei der Flugzeugverkabelung (erhöhtes Kabelgewicht durch doppelte Signalführung, aufwändige Verlegung der Kabel im Luftfahrzeug, mehr Steckverbinder etc.). Darüber hinaus besitzen die zur Datenübertragung typischerweise verwendeten Bussysteme obere Grenzen für die Anzahl der verfügbaren Busknoten. Durch die Nutzung zweier Knoten pro Recheneinheit halbiert sich die Anzahl möglicher Recheneinheiten, die durch das Bussystem miteinander verbunden sein können. Aus wirtschaftlicher Sicht sind die zweiten Busknoten daher unerwünscht, da sie nicht zur Funktion, sondern nur zur Überwachung verwendet werden.
  • Zur Fehlerüberwachung der übermittelten Daten ist es ferner bekannt, die jeweiligen Datenpakete mit einem CRC-Code (Cyclic Redundancy Check) bzw. CRC-Prüfwert zu versehen. Tritt während der Speicherung oder Übertragung der Datenpakete ein Fehler auf, so schlägt sich dies normalerweise im jeweiligen CRC-Prüfwert nieder. Jedoch können bekanntermaßen auch solche Fehler auftreten, die den CRC-Prüfwert unverändert lassen und daher von der zyklischen Redundanzprüfung nicht erkannt werden. Diesem Problem kann beispielsweise dadurch entgegengewirkt werden, indem die Berechnung der CRC-Prüfsumme ein Zählwert bzw. Zeitstempel einbezogen wird, welcher sich für jedes übertragene Datenpaket, zumindest innerhalb einer zusammengehörigen Datensequenz, ändert. Dadurch können bestimmte statische Fehler über die Zeit erkennt werden.
  • Eine Herausforderung in dieser Hinsicht stellen insbesondere komplizierte elektronische Komponenten des Systems dar. Ein Beispiel hierfür sind Komponenten, die die Kommunikation der verschiedenen Einheiten des Systems untereinander ermöglichen, beispielsweise die Kommunikation mit anderen Busteilnehmern. Derartige Komponenten sind üblicherweise durch komplexe integrierte Schaltungen realisiert, die bestimmte Protokolle implementieren. Der physische Aufbau derartiger Schaltungen kann i.d.R. nicht so erschöpfend analysiert werden, dass sich daraus die Arten möglicher Fehlfunktionen ableiten bzw. einschränken lassen. Dies gilt insbesondere für neuere Technologien wie z.B. das sogenannte Time-Triggered-Protocol (TTP), welches erst seit einigen Jahren in Datenübertragungssystemen zum Einsatz kommt und daher nicht als vollständig „sicher“ eingestuft werden kann. Bei einem Einsatz derartiger Komponenten kann daher nicht ausgeschlossen werden, dass ein einzelner Fehler mehrere Bestandteile eines Datenpakets derart verändert, dass eine Logik, die auf Prüfsummen oder vergleichbaren Methoden der Fehlererkennung aus informationstheoretischer Redundanz basiert, die Korrumpierung nicht erkennt.
  • Aus der DE 10 2019 106 410 A1 ist ein Verfahren und System zur Datenübertragung zwischen zwei Rechnereinheiten einer redundant ausgeführten Systemgruppe bekannt, deren Bestandteile nicht mit separaten physischen Verbindungsleitungen, sondern mit einer gemeinsamen physischen Verbindung verbunden sind. Die Übertragungssicherheit in Bezug auf die Integrität der Daten wird dort durch eine CRC-Codierung erreicht, bei der zeitlich hintereinander angeordnete Datenpakete mit einem inkrementierenden Zählerwert versehen werden.
  • Weitere einkanalige Datenübertragungsverfahren mit Prüfungen der Datenintegrität sind aus der DE 103 43 172 A1 und der EP 1 596 517 A1 bekannt.
  • Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zugrunde, die zuvor genannten Nachteile zu überwinden und ein Datenübertragungssystem mit vereinfachtem Aufbau, insbesondere verringerter Verkabelung, bereitzustellen, welches für sicherheitsrelevante Funktionen die notwendige Integrität gewährleistet. Insbesondere soll ein Einsatz komplizierterer Schaltungen zur Bereitstellung von Datenübertragungs- und Datenübertragungsverwaltungsfunktionen möglich sein, ohne eine erhöhte Gefahr unerkannter Fehler in Kauf nehmen zu müssen.
  • Erfindungsgemäß wird diese Aufgabe durch ein System mit den Merkmalen des Anspruchs 1 und durch ein entsprechendes Verfahren nach Anspruch 14 gelöst. Vorteilhafte Ausführungsformen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung.
  • Demnach wird ein System zur Datenübertragung, insbesondere in einem Luftfahrzeug, vorgeschlagen, welches zwei über eine Datenübertragungsverbindung miteinander kommunikativ verbundene Recheneinheiten umfasst. Über die Datenübertragungsverbindung, bei der es sich um einen Datenbus oder Feldbus handeln kann, können Daten unidirektional oder bidirektional übertragen werden.
  • Die erste Recheneinheit umfasst ein erstes Modul und ein zweites Modul, welche kommunikativ (d.h. in einer einen Datenaustausch ermöglichenden Weise) miteinander verbunden sind. Des Weiteren umfasst die erste Recheneinheit ein Datenübertragungsmodul und ein Steuerungsmodul, wobei das Steuerungsmodul seriell zwischen das erste Modul und das Datenübertragungsmodul geschaltet und mit diesen kommunikativ verbunden ist. Über das Datenübertragungsmodul und die daran angebundene Datenübertragungsverbindung kann die erste Recheneinheit Daten an die zweite Recheneinheit senden.
  • Die zweite Recheneinheit umfasst ebenfalls ein erstes Modul und ein zweites Modul, welche kommunikativ miteinander verbunden sind. Auch die zweite Recheneinheit umfasst ein Datenübertragungsmodul und ein Steuerungsmodul, wobei das Steuerungsmodul seriell zwischen das erste Modul und das Datenübertragungsmodul geschaltet und mit diesen kommunikativ verbunden ist. Über das Datenübertragungsmodul und die daran angebundene Datenübertragungsverbindung kann die zweite Recheneinheit Daten von der ersten Recheneinheit empfangen.
  • Die Datenübertragungsmodule der beiden Recheneinheiten sind über die Datenübertragungsverbindung miteinander verbunden und weisen vorzugsweise entsprechende Schnittstellen auf. Bei den Datenübertragungsmodulen kann es sich um vergleichsweise einfache elektronische Schaltungen handeln, welche die physische Schnittstelle zur Datenübertragungsverbindung, beispielsweise zum Busmedium, herstellen.
  • Erfindungsgemäß umfasst die zweite Recheneinheit ferner ein Kontrollmodul, welches parallel zum Steuerungsmodul kommunikativ mit dem Datenübertragungsmodul verbunden ist. Darüber hinaus ist das Kontrollmodul auch mit dem zweiten Modul kommunikativ verbunden. Das Kontrollmodul ist eingerichtet, vom Datenübertragungsmodul an das Steuerungsmodul übermittelte Daten auszulesen, und kann beispielsweise mit einer das Steuerungsmodul und das Datenübertragungsmodul kommunikativ miteinander verbindenden Datenübertragungsleitung verbunden sein, um die zwischen besagten Modulen ausgetauschten Daten abgreifen zu können.
  • Die verschiedenen Module der ersten Recheneinheit sind derart miteinander verbunden und eingerichtet, dass das erste Modul erste Nutzdaten über das Steuerungsmodul an das Datenübertragungsmodul überträgt und das zweite Modul zweite Nutzdaten über das erste Modul und weiter über das Steuerungsmodul an das Datenübertragungsmodul überträgt, wobei die ersten und zweiten Nutzdaten weiter über die Datenübertragungsverbindung an das Datenübertragungsmodul der zweiten Recheneinheit übertragen werden.
  • Die verschiedenen Module der zweiten Recheneinheit sind derart miteinander verbunden und eingerichtet, dass das erste Modul die vom ersten Modul der ersten Recheneinheit gesendeten ersten Nutzdaten empfängt, wobei die ersten Nutzdaten vom Datenübertragungsmodul über das Steuerungsmodul an das erste Modul der zweiten Recheneinheit übertragen werden. Das zweite Modul empfängt die vom zweiten Modul der ersten Recheneinheit gesendeten zweiten Nutzdaten ebenfalls vom Datenübertragungsmodul, wobei die zweiten Nutzdaten über das Steuerungsmodul und das erste Modul an das zweite Modul der zweiten Recheneinheit übertragen werden.
  • Parallel dazu können die vom Kontrollmodul abgegriffenen Daten ebenfalls an das zweite Modul übermittelt werden, wobei diese Daten nicht über das Steuerungsmodul geleitet werden. Die vom Kontrollmodul abgegriffenen Daten umgehen daher das Steuerungsmodul und das erste Modul und werden dem zweiten Modul direkt zur Verfügung gestellt.
  • Das zweite Modul schickt dessen Nutzdaten folglich nicht direkt an das Datenübertragungsmodul und somit zur anderen Recheneinheit, sondern über das erste Modul. In der zweiten Recheneinheit nehmen die an das zweite Modul gerichteten Daten ebenfalls den Weg über das entsprechende erste Modul. Dadurch ist es möglich, eine einzige physische Datenübertragungsverbindung zwischen den beiden Recheneinheiten zu verwenden und über diese einzelne Verbindung Nutzdaten zwischen den ersten Modulen einerseits und den zweiten Modulen andererseits auszutauschen. Dadurch kann der Hardwareaufwand reduziert und insbesondere Kabelgewicht eingespart werden. Die verschiedenen Komponenten der beiden Recheneinheiten, also insbesondere die jeweiligen ersten und zweiten Module, sind über die gemeinsame Datenübertragungsverbindung miteinander verbunden.
  • Um die Integrität der Datenübertragung zu gewährleisten, ist das zweite Modul der zweiten Recheneinheit eingerichtet, eine erste Nutzdatenüberprüfung durchzuführen und dadurch ggf. vorhandene Fehler in den übertragenen Nutzdaten zu erkennen. Dies kann anhand eines Vergleichs der empfangenen ersten und zweiten Nutzdaten und/oder anhand einer Überprüfung von Prüfdaten, welche in der ersten Recheneinheit aus den ersten und/oder zweiten Nutzdaten erzeugt und an die zweite Recheneinheit übertragen werden, erfolgen. Bei dem Prüfdaten kann es sich beispielsweise um CRC-Codes handeln.
  • Die vorgenannte erste Nutzdatenüberprüfung erhöht zwar die Sicherheit der Datenübertragung und kann gewisse bei der Erzeugung, Übertragung oder beim Empfang der jeweiligen Nutzdaten auftretende Fehler erkennen. Allerdings lässt sich alleine basierend auf dieser ersten Nutzdatenüberprüfung evtl. nicht mit Sicherheit ausschließen, dass durch kompliziertere elektronische Schaltungen, wie sie beispielsweise im Steuerungsmodul zur Ermöglichung der Datenübertragung implementiert sein können, Fehler auftreten, welche gleichzeitig mehrere Bestandteile der Nutzdaten derart verändern, dass sie durch eine auf Prüfwerten basierende Fehlererkennung nicht erkannt werden. Auch ein Vergleich der ersten und zweiten Nutzdaten kann ggf. nicht alle Fehler erkennen, die durch derartige komplexe Schaltungen auftreten und mehrere Bestandteile der ersten und zweiten Nutzdaten korrumpieren können.
  • Um die Sicherheit der Datenübertragung weiter zu erhöhen und auch von der vorgenannten ersten Nutzdatenüberprüfung ggf. nicht erkennbare Fehler erfassen zu können, ist das erfindungsgemäße Kontrollmodul vorgesehen. Dieses ist eingerichtet, neben der ersten Nutzdatenüberprüfung die zweiten Nutzdaten, die vom Datenübertragungsmodul an das Steuerungsmodul der zweiten Recheneinheit übermittelt werden, abzugreifen bzw. herauszufiltern und dem zweiten Modul zur Verfügung zu stellen. Das zweite Modul führt eine zweiten Nutzdatenüberprüfung durch, bei der die „normal“ über das Steuerungsmodul und das erste Modul übermittelten ersten Nutzdaten mit den abgegriffenen und über das Kontrollmodul bereitgestellten zweiten Nutzdaten verglichen werden.
  • Dadurch, dass das Kontrollmodul die zweiten Nutzdaten zwischen Steuerungsmodul und Datenübertragungsmodul abgreift und an das zweite Modul weiterleitet, ist es unabhängig vom schaltungstechnischen Aufbau der entsprechenden Recheneinheit „hinter“ dem Steuerungsmodul. Insbesondere ist das Kontrollmodul unabhängig vom Aufbau des Steuerungsmoduls. Letzteres kann daher einen zur Ermöglichung der Datenübertragung über die Datenübertragungsverbindung komplexen Aufbau aufweisen, welcher den Nutzdatenvergleich der zweiten Nutzdatenüberprüfung nicht beeinträchtigt, da die abgegriffenen zweiten Nutzdaten, welche dem Vergleich zugeführt werden, nicht über das Steuerungsmodul sondern über das Kontrollmodul an das zweite Modul übermittelt werden.
  • Die Fehlererkennung im Rahmen der zweiten Nutzdatenüberprüfung folgt somit nicht aus einer etwaigen Datenredundanz, sondern aus dessen Unabhängigkeit von der Empfänger- und/oder Sendeelektronik, insbesondere vom Aufbau des Steuerungsmoduls. Insbesondere kann das Kontrollmodul dabei einfacher aufgebaut sein als das Steuerungsmodul, da sich dessen Funktion rein auf das Auslesen bzw. Herausfiltern, insbesondere das Kopieren, der zweiten Nutzdaten beschränken kann und insbesondere keine für die Datenübertragung bzw. eine etwaige Busverwaltung benötigten Funktionen implementiert sein müssen. Stattdessen kann insbesondere der Rohdatenstrom ganzheitlich abgehört und die aus dem Rohdatenstrom herausgefilterten zweiten Nutzdaten dem genannten Vergleich zugeführt werden. Diese Funktionen, insbesondere das Kopieren der Nutzdaten, sind bekanntermaßen wenig fehleranfällig und im informationstechnischen Sinne „sicher“.
  • In Kombination ergibt sich dadurch eine sehr sichere und wenig fehleranfällige Datenübertragung, da mögliche Fehler (sowohl zufällige Fehler als auch Entwurfsfehler) nicht gleichartige Auswirkungen auf die unabhängigen Komponenten haben können. Somit ist es möglich, eine simple und kabelarme Kommunikationsarchitektur zu verwenden, welche gleichzeitig die nötige Integrität gewährleistet. Insbesondere lassen sich dadurch auch komplexere Schaltungen und Protokolle für die Datenübertragung verwenden, ohne die Sicherheit zu gefährden. Somit eignet sich das erfindungsgemäße System insbesondere für flugsteuerungsrelevante Anwendungen wie beispielsweise Teile der primären und/oder sekundären Flugsteuerung und/oder des Fahrwerkssystems.
  • Die doppelte und insbesondere unabhängige Prüfung der Nutzdaten durch die erste und zweite Nutzdatenüberprüfung basiert auf unterschiedlichen Übertragungswegen und/oder Überprüfungsarten der Nutzdaten und minimiert dadurch das Risiko eines unerkannten Fehlers in den Nutzdaten beträchtlich.
  • Die Nutzdaten können Befehle zur Ansteuerung von Aktuatoren enthalten bzw. repräsentieren. Ferner können die Recheneinheiten einen identischen Aufbau aufweisen und imstande sein, in beide Richtungen zu kommunizieren. In diesem Fall kann das erste Modul der ersten Recheneinheit wie das erste Modul der zweiten Recheneinheit und das zweite Modul der ersten Recheneinheit wie das zweite Modul der zweiten Recheneinheit aufgebaut sein. Alternativ ist es jedoch denkbar, dass die erste Recheneinheit nur Daten sendet und die zweite Recheneinheit nur Daten empfängt. In diesem Fall können sich die ersten Module der beiden Recheneinheiten und/oder die zweiten Module der beiden Recheneinheiten jeweils voneinander unterscheiden.
  • Beispielsweise kann es sich bei der ersten Recheneinheit um einen Zentral- bzw. Steuerungsrechner und bei der zweiten Recheneinheit um eine Fernelektronikeinheit (REU) handeln. Selbstverständlich kann der erfindungsgemäße Aufbau in unterschiedlichsten Rechnern und Elektronikeinheiten eines Kommunikationssystems, beispielsweise in einem Luftfahrzeug, zum Einsatz kommen.
  • In einer möglichen Ausführungsform ist vorgesehen, dass die ersten Nutzdaten im ersten Modul der ersten Recheneinheit und/oder die zweiten Nutzdaten im zweiten Modul der ersten Recheneinheit erzeugt werden. Alternativ könnten jedoch auch entsprechende Nutzdatenerzeugungsmodule vorgesehen sein, die jeweils mit den ersten und zweiten Modulen verbunden sind und die Nutzdaten generieren.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass die ersten und zweiten Nutzdaten im fehlerfreien Regelbetrieb des Systems denselben Informationsgehalt aufweisen. Durch einen Abgleich der ersten und zweiten Nutzdaten kann bei Erkennung einer Abweichung somit auf einen vorhandenen Fehler geschlossen werden. Vorzugsweise stellen das erste Modul und das zweite Modul jeder Recheneinheit jeweils zueinander redundante oder diversitär redundante Systeme dar, die im fehlerfreien Regelbetrieb dieselben Informationen übertragen und/oder verarbeiten. Dabei können die ersten Module der beiden Recheneinheiten einerseits und die zweiten Module der beiden Recheneinheiten andererseits jeweils zueinander redundante oder diversitär redundante Systemgruppen bilden. Die angesprochene Redundanz bzw. Diversität kann sich auf die Hardware oder Software der genannten Komponenten beziehen. Diese redundanten Systeme kommunizieren ausschließlich über die gemeinsame Datenübertragungsverbindung.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass die erste Recheneinheit, insbesondere das erste Modul der ersten Recheneinheit, eingerichtet ist, die ersten und zweiten Nutzdaten zusammenzufügen bzw. aneinanderzuhängen und gemeinsam über die Datenübertragungsverbindung zu übertragen. Es wird also eine zeitliche Abfolge von Datenpaketen übertragen.
  • Die jeweiligen Datenpakete können mit Zählwerten bzw. Zeitstempeln versehen sein, die den Datenpaketen vorangestellt oder angehängt werden, um die korrekte Reihenfolge der Datenpakete nachvollziehen zu können. Dies kann auf Applikationsebene oder auch auf Protokollebene geschehen. Damit kann ein deterministisches Verhalten auch bei Anordnungen mit mehreren Empfängern unterstützt werden.
  • Entsprechend kann die zweite Recheneinheit, insbesondere das erste Modul der zweiten Recheneinheit, eingerichtet sein, die kombinierten bzw. aneinandergehängten Daten wieder aufzutrennen und die ersten und zweiten Nutzdaten jeweils dem ersten und dem zweiten Modul zuzuordnen bzw. zuzuleiten.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass die übertragenen Prüfdaten einen CRC-Wert umfassen, welcher aus den ersten und/oder zweiten Nutzdaten, insbesondere den zweiten Nutzdaten, und vorzugsweise zusätzlich aus einem Zählwert gebildet wird. Die Zählwerte der zeitlich hintereinander angeordneten Datenpakete der Nutzdaten, die der CRC-Berechnung zugrunde liegen, erhöhen sich insbesondere inkrementell. Der auf dieser Grundlage gebildete CRC-Code lässt statische Fehler über die Zeit zuverlässig erkennen, da sich die CRC-Codes von aufeinanderfolgenden Datenpaketen in einem vorbestimmten Maße voneinander unterscheiden. Ein statischer Fehler, der zufällig zu einem richtigen CRC-Ergebnis führt, würde beim nächsten Datenpaket mit neuer und aufgrund des veränderten Zählerwerts abweichender CRC-Berechnung mit höherer Wahrscheinlichkeit erkannt. Bei einem dritten geprüften Wert verstärkt sich der Effekt entsprechend. Eine mehrfache CRC-Prüfung beim Empfänger von zeitlich nacheinander eintreffenden Daten sorgt somit dafür, dass eine vielfach höhere Sicherheit der Erkennung erreicht wird.
  • Vorzugsweise wird in der zweiten Recheneinheit anhand der Prüfdaten im Rahmen der ersten Nutzdatenüberprüfung die Korrektheit der zweiten Nutzdaten überprüft und anschließend ein Vergleich der ersten und zweiten Nutzdaten vorgenommen. Dabei können die zweiten Nutzdaten als Referenz für die ersten Nutzdaten herangezogen werden. Der Vergleich wird vorzugsweise vom zweiten Modul oder alternativ von einem mit dem zweiten Modul verbundenen separaten Vergleichsmodul der zweiten Recheneinheit durchgeführt.
  • Prinzipiell ist es denkbar, dass diese Prüfdaten zusammen mit den zweiten Nutzdaten vom Kontrollmodul extrahiert und an das zweite Modul übermittelt werden. Alternativ kann vorgesehen sein, dass ausschließlich die zweiten Nutzdaten extrahiert werden.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass die Steuerungsmodule der ersten und zweiten Recheneinheiten eingerichtet sind, Funktionen der Datenübertragungsverwaltung, vorzugsweise Funktionen der Busverwaltung, auszuführen, insbesondere eine oder mehrere der folgenden Funktionen: Clock-Synchronisierung, Fehlermanagement wie z.B. Clique Detection, Teilnehmererkennung, Bereitstellung eines Adressierungsschemas, Message Scheduling bzw. Bereitstellen von Zeitfenstern für den Empfang und/oder die Übertragung von Daten, Multiplexing.
  • Bei den Steuerungsmodulen handelt es sich vorzugsweise um TTP-Controller, d.h. um elektronische Schaltkreise bzw. integrierte Schaltungen, die ein TTP-Protokoll für die Datenübertragung über einen gemeinsamen Datenbus implementieren. Diese Komponenten weisen einen komplexen Aufbau auf und können daher nicht einfach als „sicher“ deklariert werden. Der physische Aufbau der TTP-Schaltung kann insbesondere nicht so erschöpfend analysiert werden, dass sich daraus die Art möglicher Fehlfunktionen einschränken lässt. So kann nicht ausgeschlossen werden, dass ein einzelner Fehler mehrere Bestandteile eines Datenpakets derart verändert, dass eine Logik, die lediglich auf den oben genannten CRC-Prüfsummen oder auf vergleichbaren Methoden der Fehlererkennung durch informationstheoretische Redundanz basiert, getäuscht wird und die Korrumpierung nicht auffällt.
  • Diesem Problem wird durch Vorsehen des Kontrollmoduls begegnet, welches unabhängig von der TTP-Elektronik die zweiten Nutzdaten ausliest und für einen Abgleich mit den normal über die TTP-Elektronik übermittelten ersten Nutzdaten an das zweite Modul sendet. Dadurch lässt sich auch für sicherheitskritische Anwendungen, beispielsweise für Flugsteuerungssysteme, ein sicheres Kommunikations- bzw. Datenübertragungssystem auf TTP-Basis realisieren, ohne dass ein durch die TTP-Elektronik verursachter Fehler sowohl die ersten als auch die zweiten Nutzdaten unbemerkt korrumpieren kann.
  • In einer weiteren möglichen Ausführungsform ist das Kontrollmodul eingerichtet, die zweiten Nutzdaten automatisch aus den über die Datenübertragungsverbindung übertragenen Daten herauszufiltern. Diese Daten enthalten insbesondere nicht nur die zwischen den ersten und zweiten Modulen übertragenen Nutzdaten, sondern können zusätzliche Steuerdaten, Protokolldaten etc. umfassen.
  • Das Kontrollmodul kann optional eingerichtet sein, neben den zweiten Nutzdaten, die dem Vergleich mit den ersten Nutzdaten im Rahmen der zweiten Nutzdatenüberprüfung zugeführt werden, noch andere Daten aus dem Datenstrom herauszufiltern. Diese zusätzlichen Daten können beispielsweise durch das Kontrollmodul selbst verwendet bzw. verarbeitet werden oder aber an das zweite Modul weitergeleitet werden.
  • Prinzipiell könnte das Kontrollmodul eingerichtet sein, neben den zweiten Nutzdaten auch die ersten Nutzdaten und/oder Prüfwerte wie z.B. einen CRC-Wert herauszufiltern und ggf. an das zweite Modul zu übermitteln.
  • Vorzugsweise ist das Kontrollmodul eingerichtet, jeweils den Beginn und das Ende der zweiten Nutzdaten innerhalb der übertragenen Daten automatisch zu erkennen und zweiten Nutzdaten zu kopieren, um diese kopierten zweiten Nutzdaten dann für die zweite Nutzdatenüberprüfung an das zweite Modul weiterzuleiten. Die zweiten Nutzdaten werden also anhand des spezifischen statischen Nachrichtenaufbaus herausgefiltert. Beginn und Ende der Nutzdatenströme können über entsprechende steigende / fallende Signalflanken definiert sein, beispielsweise anhand der eindeutigen Merkmale „Start of Frame (SOF)“ und „End of Frame (EoF)“ des Protokollstandards AS6003-2. Selbstverständlich kann die Extraktion der Nutzdaten anhand beliebiger Merkmale der Datenströme bzw. Signale erfolgen, solange nur eine zuverlässige Erkennung der zweiten Nutzdaten erfolgt.
  • Die Extraktion der zweiten Nutzdaten erfolgt vorzugsweise ausschließlich durch ein Kopieren der Daten, was eine besonders sichere und nicht fehleranfällige Operation darstellt.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass das Kontrollmodul eine geringere Komplexität bzw. einen einfacheren Aufbau als die Steuerungsmodule aufweist. Insbesondere ist das Kontrollmodul nicht ausgelegt, die Funktionen der Datenübertragungsverwaltung, insbesondere die oben aufgezählten Funktionen der Busverwaltung, auszuführen. Dadurch ist eine effektive und effiziente Überprüfung der Nutzdaten möglich, ohne die Komplexität der Steuermodule nachbauen zu müssen.
  • In einer weiteren möglichen Ausführungsform ist vorgesehen, dass die Datenübertragungsverbindung eine physische drahtlose oder eine kabelgebundene Kommunikationsverbindung, insbesondere ein Datenbus, ist, wobei vorzugsweise lediglich eine einzige physische Kommunikationsverbindung für die Kommunikation zwischen erster und zweiter Recheneinheit vorgesehen ist. Damit wird ausgeschlossen, dass zwischen den beiden Recheneinheiten eine weitere Datenübertagungsverbindung besteht, über die ein Datenaustausch stattfinden könnte. Insgesamt ergibt sich so eine Reduzierung des Hardwareaufwands und der notwendigen Verkabelung, was Gewicht, Kosten und Platz spart.
  • In einer möglichen Ausführungsform ist vorgesehen, dass das Kontrollmodul nur in der zweiten Recheneinheit vorgesehen ist. Die zweiten Nutzdaten werden dabei aus dem Rohdatenstrom vom Kontrollmodul abgegriffen, bevor diese durch das Steuerungsmodul verarbeitet werden. Dieser unsymmetrische Aufbau kann insbesondere dann vorgesehen sein, wenn eine unidirektionale Kommunikation zwischen den beiden Recheneinheiten stattfindet.
  • In einer alternativ möglichen Ausführungsform ist vorgesehen, dass sowohl die erste Recheneinheit als auch die zweite Recheneinheit jeweils ein Kontrollmodul aufweisen, wobei vorzugsweise die ersten Module und die zweiten Module der ersten und zweiten Recheneinheiten jeweils in einander entsprechender Weise ausgebildet sind und das System eingerichtet ist, eine bidirektionale Kommunikation, insbesondere eine bidirektionale Übertragung von Nutzdaten, zwischen erster und zweiter Recheneinheit zu ermöglichen. Die ersten und zweiten Recheneinheiten können einen identischen Aufbau aufweisen oder unterschiedlich aufgebaut sein.
  • In einer möglichen Ausführungsform ist vorgesehen, dass die zweite Nutzdatenüberprüfung unabhängig von der ersten Nutzdatenüberprüfung erfolgt.
  • In einer möglichen Ausführungsform ist vorgesehen, dass die ersten und/oder zweiten Module der ersten und/oder zweiten Recheneinheit eigenständige Rechner darstellen und eine CPU sowie einen Arbeitsspeicher umfassen. Bei den ersten und/oder zweiten Modulen der ersten und/oder zweiten Recheneinheit kann es sich um Microcontroller oder FPGAs handeln.
  • Die vorliegende Erfindung betrifft weiterhin ein Luftfahrzeug, insbesondere ein Flugzeug, mit einem erfindungsgemäßen System. Letzteres kann Teil einer primären oder sekundären Flugsteuerung oder eines Fahrwerkssystems des Luftfahrzeugs sein. Bei den ersten und/oder zweiten Recheneinheiten kann es sich um Steuerungsrechner des Flugsystems oder Fahrwerkssystems handeln. Dabei ergeben sich offensichtlich dieselben Vorteile und Eigenschaften wie für das erfindungsgemäße System, weshalb an dieser Stelle auf eine wiederholende Beschreibung verzichtet wird.
  • Ferner betrifft die vorliegende Erfindung ein Verfahren zur Datenübertragung, insbesondere in einem Luftfahrzeug, mittels eines erfindungsgemäßen Systems, wobei das Verfahren folgende Schritte (nicht zwingend in der angegebenen Reihenfolge) umfasst:
    • - Generieren von ersten Nutzdaten in der ersten Recheneinheit, insbesondere mittels des ersten Moduls,
    • - Generieren von zweiten Nutzdaten in der ersten Recheneinheit, insbesondere mittels des zweiten Moduls,
    • - Übertragen der ersten und zweiten Nutzdaten über die Datenübertragungsverbindung und die Steuerungsmodule an die ersten und zweiten Module der zweiten Recheneinheit, wobei die ersten Nutzdaten an das erste Modul und die zweiten Nutzdaten an das zweite Modul der zweiten Recheneinheit übertragen werden,
    • - Durchführen einer ersten Nutzdatenüberprüfung mittels des zweiten Moduls der zweiten Recheneinheit auf Grundlage eines Vergleichs der über das Steuerungsmodul zur Verfügung gestellten ersten und zweiten Nutzdaten und/oder einer Überprüfung von in der ersten Recheneinheit aus den ersten und/oder zweiten Nutzdaten erzeugten und an die zweite Recheneinheit übertragenen Prüfdaten, insbesondere CRC-Codes, um einen Fehler in den übertragenen Nutzdaten zu erkennen, und
    • - Durchführen einer zweiten Nutzdatenüberprüfung mittels des zweiten Moduls der zweiten Recheneinheit auf Grundlage eines Vergleichs der über das Steuerungsmodul zur Verfügung gestellten ersten Nutzdaten mit den über das Kontrollmodul ausgelesenen und dem zweiten Modul bereitgestellten zweiten Nutzdaten, um einen Fehler in den übertragenen Nutzdaten zu erkennen.
  • Bei der ersten Nutzdatenüberprüfung werden also sowohl die ersten als auch die zweiten Nutzdaten über das Steuerungsmodul an das zweite Modul übertragen, während bei der zweiten und insbesondere unabhängig davon erfolgenden Nutzdatenüberprüfung die zweiten Nutzdaten nicht wie die ersten Nutzdaten über das Steuerungsmodul an das zweite Modul übermittelt werden. Stattdessen filtert das Kontrollmodul die zweiten Nutzdaten aus dem Datenstrom noch vor Verarbeitung durch das Steuerungsmodul heraus und leitet eine Kopie der zweiten Nutzdaten direkt, d.h. unter Umgehung des Steuerungsmoduls, an das zweite Modul weiter. Bei einem durch das Steuerungsmodul verursachten Fehler sind daher nur die ersten Nutzdaten betroffen, während die zweiten Nutzdaten vollkommen unabhängig von der Verarbeitung durch das Steuerungsmodul sind.
  • Auch hierbei ergeben sich offensichtlich dieselben Vorteile und Eigenschaften wie für das erfindungsgemäße System, weshalb an dieser Stelle auf eine wiederholende Beschreibung verzichtet wird.
  • Das Verfahren kann selbstverständlich auch bei einer umgekehrten Datenübertragung (also die Übermittlung von ersten und zweiten Nutzdaten von der zweiten Recheneinheit an die erste Recheneinheit) in analoger Weise erfolgen.
  • In einer möglichen Ausführungsform des Verfahrens ist vorgesehen, dass ein CRC-Prüfwert durch das zweite Modul der ersten Recheneinheit aus den zweiten Nutzdaten und vorzugsweise aus einem mit jedem Datenpaket der zweiten Nutzdaten inkrementell erhöhten Zählwert berechnet wird, beispielsweise wie oben beschrieben. Der CRC-Prüfwert wird an die zweiten Nutzdaten angehängt (oder diesen vorangestellt), sodass diese zusammen mit den ersten Nutzdaten an die zweite Recheneinheit übertragen der CRC-Prüfwert durch das zweite Modul der zweiten Recheneinheit überprüft wird. Dadurch können bei der Erzeugung, Übertragung bzw. Verarbeitung oder beim Empfang der Nutzdaten aufgetretene Fehler erkannt werden.
  • Der CRC-Prüfwert wird dabei vorzugsweise nicht durch das Kontrollmodul mit ausgelesen. Letzteres filtert insbesondere spezifisch nur die zweiten Nutzdaten heraus, um diese dem Vergleich durch das zweite Modul zuzuführen. Allerdings wäre es prinzipiell denkbar, dass das Kontrollmodul auch den CRC-Prüfwert mit ausliest und an das zweite Modul übermittelt.
  • Weitere Merkmale, Einzelheiten und Vorteile der Erfindung ergeben sich aus den nachfolgend anhand der Figuren erläuterten Ausführungsbeispielen. Es zeigen:
    • 1: eine schematische Darstellung eines aus dem Stand der Technik bekannten Datenübertragungssystems;
    • 2: eine schematische Übersichtsdarstellung des erfindungsgemäßen Systems;
    • 3: die Module und deren Verbindungen einer Recheneinheit des erfindungsgemäßen Systems gemäß einem Ausführungsbeispiel;
    • 4: eine detailliertere schematische Darstellung des erfindungsgemäßen Systems gemäß einem ersten Ausführungsbeispiel; und
    • 5: eine detailliertere schematische Darstellung des erfindungsgemäßen Systems gemäß einem zweiten Ausführungsbeispiel.
  • Die 1 zeigt eine Vorrichtung zur Datenübertragung gemäß dem Stand der Technik, wie sie zum Beispiel in Luftfahrzeugen zum Einsatz kommt. Die Vorrichtung umfasst eine erste Recheneinheit 1 mit einem ersten Modul 1a und einem zweiten Modul 1b sowie eine zweite Recheneinheit 2 mit einem ersten Modul 2a und einem zweiten Modul 2b. Zwischen den beiden Recheneinheiten 1, 2 sollen Nutzdaten übertragen werden, beispielsweise für die Ansteuerung eines Aktuators. Um die Integrität der Datenübertragung sicherzustellen, ist das Übertragungssystem redundant aufgebaut. Die zu übertragenen Nutzdaten werden parallel sowohl im ersten Modul 1a als auch im zweiten Modul 1b der ersten Recheneinheit 1 generiert (bzw. es werden erste und zweite Nutzdaten mit zumindest demselben Bedeutungsgehalt erzeugt) und über getrennte physische Datenübertragungsverbindungen 3a und 3b an die ersten und zweiten Module 2a, 2b der zweiten Recheneinheit 2 übertragen.
  • Die logischen Verbindungen 3a, 3b teilen sich dabei an keinem Punkt eine gemeinsame physische Übertragungsplattform. Die beiden Recheneinheiten 1, 2 sind insbesondere in Control-Monitor-Architektur ausgeführt, wobei die ersten Module 1a, 2a die Steuerungsfunktion (Control-System) und die zweiten Module 1b, 2b die Kontrollfunktion (Monitor-System) übernehmen. Die Module 1a, 1b, 2a, 2b des Systems stellen somit selbstüberwachende Funktionsblöcke dar.
  • So wird sichergestellt, dass es zu keinen gleichförmigen Verfälschungen und daraus resultierenden Fehlinterpretationen kommen kann. So kann bei der empfangenden zweiten Recheneinheit 2 über eine Abweichung der Inhalte der redundant gesendeten Nutzdaten das Auftreten eines Fehlers erkannt werden. Für eine zeitliche Zuordnung der übertragenen Nutzdaten der getrennten redundanten Systeme, können diese jeweils mit Zählwerten bzw. Zeitstempeln versehen werden. Dies kann auf Applikationsebene oder auch auf Protokollebene geschehen. Damit kann ein deterministisches Verhalten auch bei Anordnungen mit mehreren Empfängern unterstützt werden.
  • Nachteilig an dieser Lösung der erhebliche Aufwand hinsichtlich Hardware und Software, insbesondere die doppelt vorhandene Verkabelung, die ein erhöhtes Kabelgewicht, eine zusätzliche aufwändige Verlegung und eine sehr hohe Anzahl an Steckverbindern erfordert. Darüber hinaus findet die Datenübertragung typischerweise über Bussysteme statt (d.h. die Verbindungen 3a und 3b sind als Datenbusse oder Feldbusse ausgebildet), die eine obere Grenzen für die Anzahl der verwendeten Busknoten aufweisen. Durch die Nutzung zweier Knoten pro Recheneinheit 1, 2 halbiert sich die Anzahl möglicher Recheneinheiten, die miteinander verbunden sein können. Aus wirtschaftlicher Sicht sind die zweiten Busknoten daher unerwünscht, da sie nicht zur Funktion, sondern nur zur Überwachung verwendet werden.
  • Um dieses Problem zu lösen, kommt bei dem erfindungsgemäßen System, welches schematisch in der 2 dargestellt ist, nur eine einzige physische Datenübertragungsverbindung 300 zwischen den kommunizierenden Recheneinheiten 100 und 200 zum Einsatz. Das erfindungsgemäße System ist ebenfalls in Control-Monitor-Architektur analog zum System der 1 ausgeführt. Dabei werden zwischen einem ersten Modul 110 der ersten Recheneinheit 100 und einem ersten Modul 210 der zweiten Recheneinheit 200 erste Nutzdaten übertragen und zwischen einem zweiten Modul 120 der ersten Recheneinheit 100 und einem zweiten Modul 220 der zweiten Recheneinheit 200 zweite Nutzdaten über dieselbe Datenübertragungsverbindung 300 übertragen.
  • Die ersten Nutzdaten werden direkt zwischen den ersten Modulen 110, 210 der beiden Recheneinheiten 100, 200 übertragen, während die zweiten Nutzdaten, welche denselben Bedeutungsgehalt wie die ersten Nutzdaten aufweisen, zwischen den zweiten Modulen 120, 220 über die jeweiligen ersten Module 110, 210 gesendet werden. Hierzu sind die ersten und zweiten Module 110, 120 und 210, 220 der jeweiligen Recheneinheiten 100, 200 im Gegensatz zum System der 1 über Datenübertragungsverbindungen kommunikativ miteinander verbunden (vertikale Linien zwischen den ersten und zweiten Modulen), d.h. die ersten und zweiten Module 110, 120 und 210, 220 können untereinander Daten austauschen (unidirektional oder bidirektional).
  • Das erfindungsgemäße System kann für eine unidirektionale Datenübertragung von der ersten Recheneinheit 100 zur zweiten Recheneinheit 200 ausgelegt sein, oder aber eine bidirektionale Datenübertragung ermöglichen, sodass auch die zweite Recheneinheit 200 Daten an die erste Recheneinheit 100 übertragen kann. In letzterem Fall sind die hierin beschriebenen Ausführungen zur Datenübertragung so zu verstehen, dass sie auch in umgekehrter Reihenfolge funktionieren (d.h. wenn z.B. davon die Rede ist, dass das zweite Modul 120 der ersten Recheneinheit 100 zweite Nutzdaten erzeugt und über das erste Modul 110 der ersten Recheneinheit 100 und das erste Modul 210 der zweiten Recheneinheit 200 an das zweite Modul 220 der zweiten Recheneinheit 200 sendet, dann ist bei einer bidirektionalen Ausführung des erfindungsgemäßen Systems selbstverständlich davon umfasst, dass umgekehrt das zweite Modul 220 der zweiten Recheneinheit 200 zweite Nutzdaten erzeugen und über das erste Modul 210 der zweiten Recheneinheit 200 und das erste Modul 110 der ersten Recheneinheit 100 an das zweite Modul 120 der ersten Recheneinheit 100 senden kann).
  • Um nun die Integrität der Datenübertragung trotz gemeinsamer physischer Übertragungsverbindung 300 zu gewährleisten, wird aus den durch das zweite Modul 120 der ersten Recheneinheit 100 erzeugten zweiten Nutzdaten und einem für jedes aufeinanderfolgende Datenpaket der zweiten Nutzdaten inkrementell erhöhten Zählwert ein CRC-Prüfwert gebildet und an die zweiten Nutzdaten angehängt (oder vorangestellt). Dies erfolgt insbesondere durch das zweite Modul 120 selbst. Diese Daten werden dann an das erste Modul 110 der ersten Recheneinheit 100 übertragen, welches dessen erzeugte erste Nutzdaten an die Daten des zweiten Moduls 120 anhängt (oder voranstellt). Die so erzeugte Datenfolge wird an das erste Modul 210 der zweiten Recheneinheit 200 geschickt, wo die ersten Nutzdaten wieder abgetrennt und durch das erste Modul 210 verarbeitet und die zweiten Nutzdaten mit dem CRC-Prüfwert an das zweite Modul 220 übertragen werden. Daraufhin kann das zweite Modul 220 den CRC-Prüfwert im Rahmen einer ersten Nutzdatenüberprüfung auf das Vorliegen eines Fehlers hin analysieren, um sicherzugehen, dass die zweiten Nutzdaten korrekt sind, und die ersten und zweiten Nutzdaten können miteinander verglichen werden, um dadurch einen ggf. vorhandenen Fehler in den übertragenen Daten erkennen.
  • Die zweiten Nutzdaten stellen insbesondere zu den ersten Nutzdaten bedeutungsgleiche Referenz- bzw. Kontrolldaten, beispielsweise eine Referenzposition für einen zu bewegenden Aktuator, dar, während die ersten Nutzdaten für die eigentliche Funktion (z.B. Steuerung eines Aktuators) verwendet werden.
  • Eine mehrfache CRC-Prüfung beim Empfänger von zeitlich nacheinander eintreffenden Daten sorgt dafür, dass eine vielfach höhere Erkennung von Fehlern erreicht wird. Ein statischer Fehler, der zufällig zu einem richtigen CRC-Prüfwert führt, würde beim nächsten Datenpaket mit neuer und aufgrund des veränderten Zählwerts abweichender CRC-Berechnung mit höherer Wahrscheinlichkeit erkannt. Bei einem dritten Wert verstärkt sich der Effekt entsprechend.
  • Im Folgenden wird nun ein Ausführungsbeispiel beschrieben, bei dem die Datenübertragung mittels TTP (Time-Triggered Protocol) durchgeführt wird. Die Datenübertragung zwischen den beiden Recheneinheiten 100, 200 ist dabei busbasiert, sodass die physische Datenübertragungsverbindung 300 durch einen Datenbus, insbesondere Feldbus, realisiert ist.
  • Die 2 stellt das erfindungsgemäße System nur grob und lediglich mit Augenmerk auf die redundanten Module 110, 120 und 210, 220 und deren Datenübertragungsverbindung 300 dar, ohne die weiteren Komponenten, die für die busbasierte Datenübertragung notwendig sind, zu zeigen. Diese Komponenten sind in den 3-5 in ebenfalls schematischer Weise dargestellt.
  • Die 3 zeigt dabei die Komponenten der zweiten Recheneinheit 200 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Ein auch als „TTP Physical Layer Electronics“ bezeichnetes Datenübertragungsmodul 240 stellt die physische Schnittstelle zum Busmedium 300 dar und weist einen vergleichsweise simplen Aufbau, d.h. eine vergleichsweise einfache elektronische Schaltung auf.
  • Die über das Datenübertragungsmodul 240 empfangenen Daten werden über eine Datenübertragungsverbindung an ein in der 3 als „TTP Link Layer Electronics“ bezeichnetes Steuerungsmodul 230 übertragen, von welchem aus die Daten weiter zu den in der 3 nicht gezeigten ersten und zweiten Modulen 210, 220 übertragen werden. Das Steuerungsmodul 230 ist eine komplexe integrierte Schaltung, welche die Kommunikation mit anderen Busteilnehmern ermöglicht und die zur Implementierung des TTP erforderlichen Funktionen der Busverwaltung ausführt, wie beispielsweise Clock-Synchronisierung, Message Scheduling, Fehlermanagement (z.B. Clique-Detection), Teilnehmererkennung etc. Das Steuerungsmodul 230 fungiert mit anderen Worten als TTP-Controller.
  • Der physische Aufbau der Schaltung des Steuerungsmoduls 230 kann nicht so erschöpfend analysiert werden, dass sich daraus die Art möglicher Fehlfunktionen einschränken lässt. So kann nicht ausgeschlossen werden, dass ein einzelner Fehler mehrere Bestandteile eines Datenpakets der übertragenen ersten oder zweiten Nutzdaten derart verändert, dass die zuvor beschriebene, auf CRC-Prüfsummen basierende Logik „getäuscht“ wird und die Korrumpierung nicht auffällt. Durch die Verwendung von komplexen Datenübertragungsprotokollen wie TTP ist eine reine Fehlererkennung auf Grundlage von informationstheoretischer Redundanz nicht ausreichend. Dies gilt insbesondere für sicherheitsrelevante Systeme wie z.B. Flugsteuerungssysteme.
  • Das erste Modul 110, 210, das zweite Modul 120, 220, das Steuerungsmodul 130, 230 und das Datenübertragungsmodul 140, 240 sind in jeder der beiden Recheneinheiten 100, 200 über Datenübertragungsleitungen seriell miteinander kommunikativ verbunden.
  • Um eine zusätzliche Überprüfung der übertragenen Nutzdaten zu implementieren, ist erfindungsgemäß zumindest in der zweiten Recheneinheit 200 ein zusätzliches Kontrollmodul 250 vorgesehen, welches die zweiten Nutzdaten (Referenzdaten) aus dem Datenstrom herausfiltert bzw. kopiert, welcher vom Datenübertragungsmodul 240 zum Steuerungsmodul 230 übertragen wird, und diese abgegriffenen zweiten Nutzdaten dem zweiten Modul 220 zur Verfügung stellt. Das Kontrollmodul 250 ist also parallel zum Steuerungsmodul 230 mit dem Datenübertragungsmodul 240 und dem zweiten Modul 220 kommunikativ verbunden und „umgeht“ damit das Steuerungsmodul 230 bzw. die TTP-Elektronik.
  • Diese abgegriffenen zweiten Nutzdaten werden dem zweiten Modul 220 für eine zweite Nutzdatenüberprüfung bereitgestellt, welche unabhängig von der CRCbasierten ersten Nutzdatenüberprüfung (bei der sowohl die ersten als auch die zweiten Nutzdaten über das Steuerungsmodul an das zweite Modul 220 übermittelt und dort miteinander verglichen werden) im zweiten Modul 220 abläuft. Bei dieser zweiten Nutzdatenüberprüfung werden die vom Kontrollmodul 250 kopierten zweiten Nutzdaten mit den regulär über das Steuerungsmodul 230 an das zweite Modul 220 übermittelten ersten Nutzdaten verglichen.
  • Wie in der 3 zu erkennen ist, greift das als „Transmit Monitoring“ bezeichnete Kontrollmodul 250 die zweiten Nutzdaten von der Datenübertragungsverbindung zwischen dem Datenübertragungsmodul 240 und dem Steuerungsmodul 230 ab und leitet diese an das zweite Modul 220 weiter.
  • Das Kontrollmodul 250 ist eine von der komplexen TTP-Elektronik unabhängige Elektronikkomponente, welche insbesondere lediglich auf Grundlage der einfachen und sicheren Operationen des Kopierens und der Übermittlung von Daten operiert. Die Nutzdaten können dabei insbesondere automatisch anhand der eindeutigen Merkmale „Start of Frame“ (SOF) und „End of Frame“ (EOF), welche im Protokollstandard AS6003-2 definiert sind, erkannt und aus den übermittelten Daten herauskopiert werden.
  • Dieser Kopiervorgang kann dabei als sicherer Vorgang postuliert werden, bei dem keine Fehler zu erwarten sind. Das Kontrollmodul 250 ist also nicht zwischen Datenübertragungsmodul 240 und TTP-Elektronik bzw. Steuerungsmodul 230 geschaltet und verändert dabei aktiv den Nutzdatenstrom, sondern greift die übermittelten zweiten Nutzdaten lediglich als Kopie ab.
  • Die Fehlererkennung im Rahmen der zweiten Nutzdatenüberprüfung erfolgt nicht aus der oben beschriebenen Datenredundanz heraus, sondern aus der Unabhängigkeit von der TTP-Elektronik, d.h. vom Steuermodul 230. Das Kontrollmodul 250 kann daher einfacher und somit weniger komplex aufgebaut sein, da keine Aspekte der Busverwaltung implementiert werden müssen, sondern der Rohdatenstrom ganzheitlich abgehört werden kann. Die zweiten Nutzdaten werden anhand des statischen Nachrichtenaufbaus herausgefiltert und dem Vergleich durch das zweite Modul 220 zugeführt.
  • Insgesamt ergibt sich dadurch eine Überwachung der Korrektheit der ausgesendeten Daten auf dem Kommunikationsbus, welche von der Sendeelektronik unabhängig ist. Die Unabhängigkeit bezieht sich dabei sowohl auf deren physische Ausprägung, als auch auf das Design. Mögliche Fehler (sowohl zufällige Fehler als auch Entwurfsfehler) können nicht gleichartige Auswirkungen auf die unabhängigen Elemente haben.
  • Das Kontrollmodul 150, 250 kann entweder nur in einer der Recheneinheiten 100, 200 (hierbei insbesondere in der empfangenden Recheneinheit 100, 200) oder in beiden Recheneinheiten 100, 200 (im Falle einer bidirektionalen Kommunikationsarchitektur) vorgesehen sein.
  • In der 4 ist ein Ausführungsbeispiel des erfindungsgemäßen Systems dargestellt, bei dem die Datenübertragung unidirektional von der ersten Recheneinheit 100 zur zweiten Recheneinheit 200 erfolgt, wie weiter oben beschrieben. Das Kontrollmodul 250 ist nur in der zweiten Recheneinheit 200 vorgesehen und parallel zum Steuermodul 230 der zweiten Recheneinheit 200 mit dem Datenübertragungsmodul 240 und dem zweiten Modul 220 verbunden.
  • Die 5 zeigt ein alternatives Ausführungsbeispiel, bei dem das System für eine bidirektionale Datenübertragung ausgelegt ist (vgl. Doppelpfeile). Die Nutzdaten können von der ersten zur zweiten Recheneinheit 100, 200 oder umgekehrt gesendet werden. In diesem Fall können, wie in der 5 gezeigt, zwei Kontrollmodule 150, 250 vorgesehen sein, je ein Kontrollmodul 150, 250 in jeder der Recheneinheiten 100, 200.
  • Die ersten und/oder zweiten Module 110, 120, 210, 220 stellen vorzugsweise eigenständige Rechner mit eigener CPU und Arbeitsspeicher dar und können durch Microcontroller und/oder FPGAs realisiert sein. Bei einer diversitär redundanten Ausführung können die ersten Module 110, 210 Microcontroller und die zweiten Module 120, 220 FPGAs (oder umgekehrt) sein.
  • Das erfindungsgemäße System kann mehr als zwei Recheneinheiten 100, 200 umfassen, die über die gemeinsame Datenübertragungsverbindung 300 miteinander verbunden sind und Daten austauschen, insbesondere basierend auf TTP. Die obigen Ausführungen gelten dann analog für mehr als zwei verbundene Recheneinheiten, die jeweils die oben genannten Module aufweisen.
  • Bezugszeichenliste:
    • 1
    Erste Recheneinheit
    1a
    Erstes Modul
    1b
    Zweites Modul
    2
    Zweite Recheneinheit
    2a
    Erstes Modul
    2b
    Zweites Modul
    3a
    Datenübertragungsverbindung
    3b
    Datenübertragungsverbindung
    100
    Erste Recheneinheit
    110
    Erstes Modul
    120
    Zweites Modul
    130
    Steuerungsmodul
    140
    Datenübertragungsmodul
    150
    Kontrollmodul
    200
    Zweite Recheneinheit
    210
    Erstes Modul
    220
    Zweites Modul
    230
    Steuerungsmodul
    240
    Datenübertragungsmodul
    250
    Kontrollmodul
    300
    Datenübertragungsverbindung (Datenbus)

Claims (15)

  1. System zur Datenübertragung, insbesondere in einem Luftfahrzeug, umfassend 1. eine erste Recheneinheit (100) mit 1.1 einem ersten Modul (110) und einem zweiten Modul (120), welche kommunikativ miteinander verbunden sind, 1.2 einem Datenübertragungsmodul (140), und 1.3 einem Steuerungsmodul (130), welches zwischen das erste Modul (110) und das Datenübertragungsmodul (140) geschaltet und mit diesen kommunikativ verbunden ist; 2. eine zweite Recheneinheit (200) mit 2.1 einem ersten Modul (210) und einem zweiten Modul (220), welche kommunikativ miteinander verbunden sind, 2.2 einem Datenübertragungsmodul (240), 2.3 einem Steuerungsmodul (230), welches zwischen das erste Modul (210) und das Datenübertragungsmodul (240) geschaltet und kommunikativ mit diesen verbunden ist, und 2.4 einem Kontrollmodul (250), welches parallel zum Steuerungsmodul (230) kommunikativ mit dem Datenübertragungsmodul (240) und dem zweiten Modul (220) verbunden ist; und 3. eine Datenübertragungsverbindung (300), insbesondere Datenbus, über welche die Datenübertragungsmodule (140, 240) der ersten und zweiten Recheneinheiten (100, 200) kommunikativ miteinander verbunden sind; wobei a. die Module (110, 120, 130, 140) der ersten Recheneinheit (100) derart miteinander verbunden und eingerichtet sind, dass das erste Modul (110) erste Nutzdaten über das Steuerungsmodul (130) an das Datenübertragungsmodul (140) überträgt und das zweite Modul (120) zweite Nutzdaten über das erste Modul (110) und weiter über das Steuerungsmodul (130) an das Datenübertragungsmodul (140) überträgt, wobei die ersten und zweiten Nutzdaten weiter über die Datenübertragungsverbindung (300) an das Datenübertragungsmodul (240) der zweiten Recheneinheit (200) übertragen werden; b. die Module (210, 220, 230, 240) der zweiten Recheneinheit (200) derart miteinander verbunden und eingerichtet sind, dass das erste Modul (210) die ersten Nutzdaten über das Steuerungsmodul (230) vom Datenübertragungsmodul (240) empfängt und das zweite Modul (220) die zweiten Nutzdaten über das Steuerungsmodul (230) und weiter über das erste Modul (210) vom Datenübertragungsmodul (240) empfängt; c. das Kontrollmodul (250) eingerichtet ist, vom Datenübertragungsmodul (240) an das Steuerungsmodul (230) übermittelte zweite Nutzdaten auszulesen und diese dem zweiten Modul (220) zur Verfügung zu stellen; und d. das zweite Modul (220) der zweiten Recheneinheit (200) eingerichtet ist, zur Erkennung eines Fehlers in den übertragenen Nutzdaten im Rahmen einer ersten Nutzdatenüberprüfung die über das Steuerungsmodul (230) empfangenen ersten und zweiten Nutzdaten miteinander zu vergleichen und/oder in der ersten Recheneinheit (100) aus den ersten und/oder zweiten Nutzdaten erzeugte und zusammen mit diesen an die zweite Recheneinheit (200) übertragene Prüfdaten zu überprüfen und im Rahmen einer zweiten Nutzdatenüberprüfung die über das Steuerungsmodul (230) empfangenen ersten Nutzdaten mit den über das Kontrollmodul (250) bereitgestellten zweiten Nutzdaten zu vergleichen.
  2. System nach Anspruch 1, wobei die ersten Nutzdaten im ersten Modul (110) der ersten Recheneinheit (100) und/oder die zweiten Nutzdaten im zweiten Modul (120) der ersten Recheneinheit (100) erzeugt werden.
  3. System nach Anspruch 1 oder 2, wobei die ersten und zweiten Nutzdaten im fehlerfreien Regelbetrieb denselben Informationsgehalt aufweisen und vorzugsweise das erste Modul (110, 210) und das zweite Modul (120, 220) jeder Recheneinheit (100, 200) jeweils zueinander redundante oder diversitär redundante Systeme darstellen, die im fehlerfreien Regelbetrieb dieselben Informationen übertragen und/oder verarbeiten.
  4. System nach einem der vorhergehenden Ansprüche, wobei die erste Recheneinheit (100), insbesondere das erste Modul (110) der ersten Recheneinheit (100), eingerichtet ist, die ersten und zweiten Nutzdaten zusammenzufügen und gemeinsam über die Datenübertragungsverbindung (300) zu übertragen.
  5. System nach einem der vorhergehenden Ansprüche, wobei die übertragenen Prüfdaten einen CRC-Wert umfassen, welcher aus den ersten und/oder zweiten Nutzdaten und vorzugsweise zusätzlich aus einem sich insbesondere mit jedem Datenpaket inkrementell erhöhenden Zählwert gebildet wird.
  6. System nach einem der vorhergehenden Ansprüche, wobei die Steuerungsmodule (130, 230) der ersten und zweiten Recheneinheiten (100, 200) eingerichtet sind, Funktionen der Datenübertragungsverwaltung, vorzugsweise Funktionen der Busverwaltung, besonders vorzugsweise ein Time-Triggered Protocol, auszuführen, insbesondere eine oder mehrere der folgenden Funktionen: - Clock-Synchronisierung, - Fehlermanagement, - Teilnehmererkennung, - Bereitstellung eines Adressierungsschemas, - Bereitstellen von Zeitfenstern für den Empfang und/oder die Übertragung von Daten, - Multiplexing.
  7. System nach einem der vorhergehenden Ansprüche, wobei das Kontrollmodul (250) eingerichtet ist, die zweiten Nutzdaten automatisch aus über die Datenübertragungsverbindung (300) übertragenen Daten herauszufiltern, insbesondere jeweils Beginn und Ende der zweiten Nutzdaten innerhalb der übertragenen Daten automatisch zu erkennen und die zweiten Nutzdaten zu kopieren, und die ausgelesenen zweiten Nutzdaten dem zweiten Modul (220) für die zweite Nutzdatenüberprüfung zur Verfügung zu stellen.
  8. System nach einem der vorhergehenden Ansprüche, wobei das Kontrollmodul (250) eine geringere Komplexität als das Steuerungsmodul (230) aufweist und insbesondere keine der in Anspruch 6 genannten Funktionen ausführen kann.
  9. System nach einem der vorhergehenden Ansprüche, wobei die Datenübertragungsverbindung (300) eine physische drahtlose oder eine kabelgebundene Kommunikationsverbindung, insbesondere ein Datenbus, ist, wobei vorzugsweise lediglich eine einzige physische Kommunikationsverbindung für die Kommunikation zwischen erster und zweiter Recheneinheit (100, 200) vorgesehen ist.
  10. System nach einem der vorhergehenden Ansprüche, wobei die zweite Nutzdatenüberprüfung unabhängig von der ersten Nutzdatenüberprüfung erfolgt.
  11. System nach einem der vorhergehenden Ansprüche, wobei sowohl die erste Recheneinheit (100) als auch die zweite Recheneinheit (200) jeweils ein Kontrollmodul (150, 250) aufweisen, wobei vorzugsweise die ersten Module (110, 210) und die zweiten Module (120, 220) der ersten und zweiten Recheneinheiten (100, 200) jeweils in einander entsprechender Weise ausgebildet sind und das System eingerichtet ist, eine bidirektionale Kommunikation, insbesondere eine bidirektionale Übertragung von Nutzdaten, zwischen erster und zweiter Recheneinheit (100, 200) zu ermöglichen.
  12. System nach einem der vorhergehenden Ansprüche, wobei die ersten und/oder zweiten Module (110, 120, 210, 220) der ersten und/oder zweiten Recheneinheiten (100, 200) eine eigene CPU und einen eigenen Arbeitsspeicher umfassen und vorzugsweise als Microcontroller ausgebildet sind.
  13. Luftfahrzeug mit einem System nach einem der vorhergehenden Ansprüche, wobei das System vorzugsweise Teil einer primären oder sekundären Flugsteuerung oder eines Fahrwerkssystems des Luftfahrzeugs ist.
  14. Verfahren zur Datenübertragung, insbesondere in einem Luftfahrzeug, mittels eines Systems nach einem der Ansprüche 1 bis 12, mit den Schritten: 1) Generieren von ersten Nutzdaten in der ersten Recheneinheit (100), insbesondere mittels des ersten Moduls (110), 2) Generieren von zweiten Nutzdaten in der ersten Recheneinheit (100), insbesondere mittels des zweiten Moduls (120), 3) Übertragen der ersten und zweiten Nutzdaten über die Datenübertragungsverbindung (300) und die Steuerungsmodule (130, 230) an die ersten und zweiten Module (210, 220) der zweiten Recheneinheit (200), wobei die ersten Nutzdaten an das erste Modul (210) und die zweiten Nutzdaten an das zweite Modul (220) der zweiten Recheneinheit (200) übertragen werden, 4) Durchführen einer ersten Nutzdatenüberprüfung mittels des zweiten Moduls (220) der zweiten Recheneinheit (200) auf Grundlage eines Vergleichs der über das Steuerungsmodul (230) zur Verfügung gestellten ersten und zweiten Nutzdaten und/oder einer Überprüfung von in der ersten Recheneinheit (100) aus den ersten und/oder zweiten Nutzdaten erzeugten und an die zweite Recheneinheit (200) übertragenen Prüfdaten, um einen Fehler in den übertragenen Nutzdaten zu erkennen, und 5) Durchführen einer zweiten Nutzdatenüberprüfung mittels des zweiten Moduls (220) der zweiten Recheneinheit (200) auf Grundlage eines Vergleichs der über das Steuerungsmodul (230) zur Verfügung gestellten ersten Nutzdaten mit den über das Kontrollmodul (250) ausgelesenen und bereitgestellten zweiten Nutzdaten, um einen Fehler in den übertragenen Nutzdaten zu erkennen.
  15. Verfahren nach dem vorhergehenden Anspruch, mit den zusätzlichen Schritten: - Berechnen eines CRC-Prüfwerts durch das zweite Modul (120) der ersten Recheneinheit (100) aus den zweiten Nutzdaten und vorzugsweise aus einem mit jedem Datenpaket der zweiten Nutzdaten inkrementell erhöhten Zählwert sowie Anhängen des CRC-Prüfwerts an die zweiten Nutzdaten, sodass diese zusammen mit den ersten Nutzdaten an die zweite Recheneinheit (200) übertragen werden, und - Überprüfen des CRC-Prüfwerts durch das zweite Modul (220) der zweiten Recheneinheit (200) im Rahmen der ersten Nutzdatenüberprüfung, wobei der CRC-Prüfwert vorzugsweise nicht durch das Kontrollmodul (250) mit ausgelesen wird.
DE102021127310.2A 2021-10-21 2021-10-21 System und Verfahren zur Datenübertragung Active DE102021127310B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021127310.2A DE102021127310B4 (de) 2021-10-21 2021-10-21 System und Verfahren zur Datenübertragung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021127310.2A DE102021127310B4 (de) 2021-10-21 2021-10-21 System und Verfahren zur Datenübertragung

Publications (2)

Publication Number Publication Date
DE102021127310A1 DE102021127310A1 (de) 2023-04-27
DE102021127310B4 true DE102021127310B4 (de) 2024-02-08

Family

ID=85796116

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021127310.2A Active DE102021127310B4 (de) 2021-10-21 2021-10-21 System und Verfahren zur Datenübertragung

Country Status (1)

Country Link
DE (1) DE102021127310B4 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10343172A1 (de) 2003-09-18 2005-04-14 Robert Bosch Gmbh Datenübertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
EP1596517A1 (de) 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102019106410A1 (de) 2019-03-13 2020-09-17 Liebherr-Aerospace Lindenberg Gmbh Vorrichtung und Verfahren zur Datenübertragung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10343172A1 (de) 2003-09-18 2005-04-14 Robert Bosch Gmbh Datenübertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
EP1596517A1 (de) 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102019106410A1 (de) 2019-03-13 2020-09-17 Liebherr-Aerospace Lindenberg Gmbh Vorrichtung und Verfahren zur Datenübertragung

Also Published As

Publication number Publication date
DE102021127310A1 (de) 2023-04-27

Similar Documents

Publication Publication Date Title
DE10353950C5 (de) Steuerungssystem
DE10243713B4 (de) Redundante Steuergeräteanordnung
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
EP2145430B1 (de) Verfahren sowie system zur sicheren übertragung von zyklischen zu übertragenden prozessdaten
EP1701270A1 (de) Kopplung von sicheren Feldbussystemen
EP3189629A1 (de) Verfahren zur seriellen übertragung eines rahmens über ein bussystem von einem sender zu mindestens einem empfänger und teilnehmerstation für ein bussystem
EP1631014A2 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP2814193A1 (de) Verfahren und System zur Erkennung von Fehlern bei der Übertragung von Daten von einem Sender zu zumindest einem Empfänger
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
EP3189630A1 (de) Verfahren zur seriellen übertragung eines rahmens über ein bussystem von einem sender zu mindestens einem empfänger und teilnehmerstation für ein bussystem
EP1686732A1 (de) Verfahren und System zur Übertragung von Telegrammen
DE102008029948B4 (de) Überwachungssystem
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
EP3550748B1 (de) Verfahren zur erkennung von datenverfälschungen bei einer datenübertragung über eine fehlersichere kommunikationsverbindung
DE102016203090A1 (de) Steuergerät, insbesondere für ein Kraftfahrzeug, mit über Ethernet verbundenen Mikrocontrollern
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102019106410A1 (de) Vorrichtung und Verfahren zur Datenübertragung
DE10343172B4 (de) Datenübertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
DE10252109B4 (de) Verfahren zur Parametrierung
DE10243319B4 (de) Sichere Datenübertragung
DE102010039782A1 (de) Verfahren zur Durchführung einer Kommunikation
DE102012100818B3 (de) Verfahren zur Datenübertragung in einem Feldbussystem
DE102013204891B4 (de) Verfahren zur Rekonstruktion von Messdaten

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division