DE102021133657A1

DE102021133657A1 - Method and system for securing the exchange of data in a network system for industrial controls

Info

Publication number: DE102021133657A1
Application number: DE102021133657.0A
Authority: DE
Inventors: Viktor Oster; Klas Hellmann
Original assignee: Phoenix Contact GmbH and Co KG
Current assignee: Phoenix Contact GmbH and Co KG
Priority date: 2021-12-17
Filing date: 2021-12-17
Publication date: 2023-06-22

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Übertragen von Daten über ein physikalisches Netzwerk für industrielle Steuerungen, aufweisend eine Mehrzahl von Netzwerkteilnehmern. Für den Fall, dass sicherheitsrelevante Daten zwischen wenigstens einem ersten und zweiten Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern übertragen werden sollen, umfasst das Verfahren folgende Schritte:- Übertragen dieser sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer zumindest über eine erste Netzwerkverbindung eines ersten virtuellen Netzwerks in dem physikalischen Netzwerk,- Überprüfen, ob das Übertragen der sicherheitsrelevanten Daten über die erste Netzwerkverbindung störungsfrei erfolgt,- im Falle eines Feststellens eines nicht störungsfreien Übertragens über die erste Netzwerkverbindung Umschalten auf eine zweite, von der ersten verschiedenen Netzwerkverbindung eines zweiten virtuellen Netzwerks in dem physikalischen Netzwerk zum Übertragen dieser sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer. Ferner betrifft die vorliegende Erfindung ein System, welches zum Durchführen dieser Verfahrensschritte eingerichtet ist und eine Diagnoseeinheit zum Überprüfen eines störungsfreien Übertragens umfasst.The present invention relates to a method for transmitting data via a physical network for industrial controls, having a plurality of network participants. In the event that security-relevant data is to be transmitted between at least a first and second network participant from the plurality of network participants, the method comprises the following steps: - Transmission of this security-relevant data between the first and second network participant at least via a first network connection of a first virtual network in the physical network, - checking whether the transmission of the security-relevant data via the first network connection takes place without interference, - in the event that transmission via the first network connection is not without interference, switching to a second network connection, different from the first, of a second virtual network in the physical Network for transferring this security-related data between the first and second network participants. Furthermore, the present invention relates to a system which is set up to carry out these method steps and includes a diagnostic unit for checking interference-free transmission.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Übertragen von Daten über ein physikalisches Netzwerk für industrielle Steuerungen, welches eine Mehrzahl von Netzwerkteilnehmern umfasst, wobei sicherheitsrelevante Daten zwischen wenigstens einem ersten und zweiten Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern übertragen werden sollen, und ferner ein System zum Durchführen des Verfahrens.The present invention relates to a method for transmitting data via a physical network for industrial controls, which includes a plurality of network participants, with safety-related data between at least a first and second network participant from the plurality of network participants to be transmitted, and also a system for implementation of the procedure.

Bekanntermaßen kommen bei dem Austausch von Daten, insbesondere von sicherheitsrelevanten Daten, über Standard-Netzwerke spezielle Verfahren zum Einsatz, welche dem Erkennen von Fehlern, insbesondere dem Erkennen von einer Datenmanipulation, bei der Übertragung und/oder Speicherung dieser Daten dienen. Ein Beispiel für ein solches Verfahren ist die sog. zyklische Redundanzprüfung (cyclic redundancy check, CRC), bei welcher jedem Datenblock der Nutzdaten, d.h. der zu übertragendenden oder zu speichernden Daten, ein berechneter Prüfwert hinzugefügt wird, mit dessen Hilfe Fehler bei der Datenübertragung und Datenspeicherung erkannt werden können. Alle diese Verfahren sind grundsätzlich so konzipiert, dass sie den Anforderungen gemäß dem für die Prüfung von Bussystemen für die Übertragung sicherheitsbezogener Nachrichten an Maschinen geltenden Grundsatz GS ET 26 genügen und somit die darin bezeichneten Fehlermodelle abdecken. Da es immer häufiger zu unberechtigten Zugriffen wie Hacker-Angriffe und Manipulationen bei der Übertragung von sicherheitsrelevanten Daten kommt, werden die Standard-Netzwerke u.a. im Hinblick auf diese Gefahr weiterentwickelt zu sicheren Netzwerken im Sinne von Security, d.h. im Sinne des Schutzes von Daten.As is known, special methods are used when exchanging data, in particular safety-relevant data, via standard networks, which are used to detect errors, in particular to detect data manipulation, during the transmission and/or storage of this data. An example of such a method is the so-called cyclic redundancy check (CRC), in which a calculated check value is added to each data block of the user data, i.e. the data to be transmitted or stored, with the help of which errors in data transmission and data storage can be detected. All of these procedures are basically designed in such a way that they meet the requirements of the GS ET 26 principle applicable to the testing of bus systems for the transmission of safety-related messages to machines and thus cover the error models specified therein. Since unauthorized access such as hacker attacks and manipulations in the transmission of security-relevant data is becoming more and more frequent, the standard networks are being further developed with a view to this danger, among other things, to secure networks in terms of security, i.e. in terms of data protection.

Eine solche Weiterentwicklung der Standard-Netzwerke ist insbesondere vor dem Hintergrund des Zukunftsprojekts Industrie 4.0 zur umfassenden Digitalisierung von Prozessen, Verfahrensabläufen usw. in der Industrie und Wirtschaft und dem damit verbundenen Ausbau von Netzwerken und Netzwerkinfrastrukturen, beispielsweise unter Verwendung von Cloud Technologien, zwingend erforderlich. Die Verwendung von sog. „safety guards“, d.h. Schutz- bzw. Sicherheitsvorrichtungen zum automatischen Erkennen von Fehlern, insbesondere zum automatischen Erkennen einer Datenmanipulation, bei der Übertragung und/oder Speicherung von sicherheitsrelevanten Daten ist meist jedoch mit hohen Kosten und auch mit starken Einschränkungen verbunden. Eine Einschränkung kann beispielsweise sein, dass alle Hardware- und Software- bzw. Firmware-Einheiten in der Sicherheitskette entsprechend dem jeweiligen Sicherheitsstandard der safety guards entwickelt und qualifiziert sein müssen. Darunter leidet jedoch insbesondere die oftmals gewünschte Flexibilität, z.B. bei modularen Maschinen bzw. Anwendungen.Such a further development of the standard networks is absolutely necessary, especially against the background of the future project Industry 4.0 for the comprehensive digitization of processes, procedures, etc. in industry and business and the associated expansion of networks and network infrastructures, for example using cloud technologies. However, the use of so-called "safety guards", i.e. protective or safety devices for the automatic detection of errors, in particular for the automatic detection of data manipulation, during the transmission and/or storage of safety-relevant data is usually associated with high costs and also with severe restrictions tied together. A restriction can be, for example, that all hardware and software or firmware units in the safety chain must be developed and qualified according to the respective safety standard of the safety guards. However, the flexibility that is often desired suffers from this, e.g. in the case of modular machines or applications.

Auch kommen im Hinblick auf den Sicherheitsaspekt z.B. redundante Systeme bzw. redundante Bauteile u.a. innerhalb einer Baugruppe zum Einsatz. Redundante Systeme haben aber in der Regel den Nachteil, dass Veränderungen in diesen Systemen meist sehr aufwändig sind.Also with regard to the security aspect, e.g. redundant systems or redundant components are used, among other things, within an assembly. However, redundant systems usually have the disadvantage that changes in these systems are usually very complex.

Die Sicherstellung einer verfälschungsfreien Übertragung von sicherheitsrelevanten Daten erfolgt meist durch eine Reihe von Zusatzinformationen, beispielsweise einem den zu übertragenden Daten zugefügten berechneten Prüfwert (CRC-Wert). Über diese Zusatzinformationen lässt sich eine Manipulation der zu übertragenden oder übertragenen Daten sicher erkennen. Somit ist das zugrundeliegende Sicherheitssystem in der Lage, gültige Daten von fehlerhaften, insbesondere manipulierten Daten zu unterscheiden und entsprechend zu reagieren. Wird beispielsweise eine fehlerhafte Datenübertragung erkannt, so wird das Sicherheitssystem in der Regel als Sicherheitsreaktion in einen sicheren Zustand überführt. Dies hat jedoch in den meisten Fällen eine Reduzierung der Verfügbarkeit des Sicherheitssystems zur Folge. In Maschinen führt dieses Verhalten meist zu einem unerwünschten Maschinenstillstand, wobei in einem solchen Fall die Überführung in einen sicheren Zustand einem NOT-AUS als Sicherheitsreaktion entspricht. Eine schlechtere Verfügbarkeit von Maschinen und Anlagen kann teils dazu führen, dass deren Bediener die von den Maschinen oder Anlagen ausgehenden Sicherheitssignale überbrücken, damit Störungen kein Abschalten der Maschine oder Anlage bewirken. Die von einer manipulierten Maschine oder Anlage ausgehende Gefahr kann in einem solchen Fall jedoch größer als eine von einer Maschine oder Anlage ohne Sicherheitseinrichtungen ausgehende Gefahr sein. In der Regel verlässt sich der Bediener einer Maschine oder Anlage auf die darin installierten Sicherheitseinrichtungen und kann nicht immer erkennen, dass die Maschine oder Anlage manipuliert wurde bzw. Sicherheitssignale überbrückt wurden, da solche Manipulationen oft nur für eine kurze Zeit, z.B. für eine Schicht, vorgenommen wurden.A falsification-free transmission of safety-relevant data is usually ensured by a series of additional information, for example a calculated check value (CRC value) added to the data to be transmitted. Manipulation of the data to be transmitted or transmitted can be reliably detected via this additional information. The underlying security system is thus able to distinguish between valid data and erroneous, in particular manipulated, data and to react accordingly. If, for example, a faulty data transmission is detected, the safety system is generally transferred to a safe state as a safety reaction. In most cases, however, this results in a reduction in the availability of the safety system. In machines, this behavior usually leads to an undesired machine standstill, in which case the transfer to a safe state corresponds to an EMERGENCY STOP as a safety reaction. Poorer availability of machines and systems can sometimes lead to their operators bridging the safety signals emanating from the machines or systems so that faults do not cause the machine or system to be switched off. In such a case, however, the danger emanating from a manipulated machine or system can be greater than a danger emanating from a machine or system without safety devices. As a rule, the operator of a machine or system relies on the safety devices installed in it and cannot always recognize that the machine or system has been manipulated or safety signals have been bypassed, since such manipulations are often only for a short time, e.g. for one shift. were made.

Vor diesem Hintergrund ist es zumindest eine Aufgabe der vorliegenden Erfindung, ein Verfahren zu entwickeln sowie ein System zum Durchführen dieses Verfahrens bereitzustellen, welches die zuvor genannten Nachteile überwindet und mit welchem im Falle des Erkennens von Fehlern, insbesondere Manipulationen, bei der Übertragung von sicherheitsrelevanten Daten weiterhin eine sichere Datenübertragung ermöglicht wird und gleichzeitig die Verfügbarkeit des zugrundeliegenden Systems zumindest für eine begrenzte Zeit aufrecht erhalten wird.Against this background, it is at least one object of the present invention to develop a method and to provide a system for carrying out this method, which overcomes the disadvantages mentioned above and with which, in the event of the detection of errors, in particular manipulations, in the transmission of safety-relevant data continue to enable secure data transmission and at the same time the availability of the underlying system maintained at least for a limited time.

Die Lösung der vorliegenden Erfindung ist durch ein Verfahren mit den Merkmalen nach dem unabhängigen Anspruch 1 und durch ein System zum Durchführen dieses Verfahrens mit den Merkmalen nach dem unabhängigen Anspruch 10 gegeben. Vorteilhafte Ausgestaltungen und Weiterentwicklungen sind Gegenstand der weiteren Merkmale der Unteransprüche.The solution of the present invention is given by a method having the features of independent claim 1 and by a system for performing this method having the features of independent claim 10. Advantageous refinements and further developments are the subject matter of the further features of the dependent claims.

Dementsprechend geht die Lösung gemäß der Erfindung von einem Verfahren zum Übertragen von Daten über ein physikalisches Netzwerk für industrielle Steuerungen aus, welches eine Mehrzahl von Netzwerkteilnehmern umfasst. Für den Fall, dass sicherheitsrelevante Daten zwischen wenigstens einem ersten und zweiten Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern übertragen werden sollen, weist das Verfahren folgende Schritte auf:

- Übertragen dieser sicherheitsrelevanten Daten zwischen dem ersten und dem zweiten Netzwerkteilnehmer zumindest über eine erste Netzwerkverbindung eines ersten virtuellen Netzwerks in dem physikalischen Netzwerk,
- Überprüfen, ob das Übertragen der sicherheitsrelevanten Daten über die erste Netzwerkverbindung störungsfrei erfolgt,
- im Falle eines Feststellens eines nicht störungsfreien Übertragens über die erste Netzwerkverbindung Umschalten auf eine zweite, von der ersten verschiedenen Netzwerkverbindung eines zweiten virtuellen Netzwerks in dem physikalischen Netzwerk zum Übertragen dieser sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer.

Accordingly, the solution according to the invention is based on a method for transmitting data via a physical network for industrial controls, which includes a plurality of network participants. If security-relevant data is to be transmitted between at least one first and second network participant from the plurality of network participants, the method has the following steps:

- Transmission of this security-relevant data between the first and the second network participant at least via a first network connection of a first virtual network in the physical network,
- Check whether the transmission of the security-relevant data via the first network connection is error-free,
- in the event of a detection of a non-interference-free transmission via the first network connection, switching to a second network connection, different from the first, of a second virtual network in the physical network for transmitting this security-relevant data between the first and second network participants.

Das zuvor beschriebene Verfahren ermöglicht durch den Schritt des Umschaltens auf eine zweite, von der ersten verschiedenen Netzwerkverbindung eines zweiten virtuellen Netzwerks in dem physikalischen Netzwerk, dass das Übertragen der sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer auch weiterhin erfolgen kann, obwohl bei der Übertragung der sicherheitsrelevanten Daten zumindest über die erste Netzwerkverbindung eine nicht störungsfreie Übertragung, beispielsweise bei der Übertragung aufgetretene Fehler, erkannt wurde. Dies wird dadurch erreicht, dass nach dem Erkennen, insbesondere unmittelbar nach dem Erkennen, einer nicht störungsfreien Übertragung über die erste virtuelle Netzwerkverbindung auf eine zweite virtuelle Netzwerkverbindung, die von der ersten virtuellen Netzwerkverbindung verschieden ist, umgeschaltet wird, um die sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer nicht mehr über die erste virtuelle Netzwerkverbindung, sondern über diese zweite virtuelle Netzwerkverbindung zu übertragen. Dabei erfolgt das Übertragen der sicherheitsrelevanten Daten über die zumindest erste Netzwerkverbindung des ersten virtuellen Netzwerks und im Störungsfall über die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks stets innerhalb desselben physikalischen Netzwerks, welches ein privates Netz, aber auch ein öffentliches Netz wie beispielsweise das Internet sein kann.The method described above enables the step of switching to a second, different from the first network connection of a second virtual network in the physical network that the transmission of security-related data between the first and second network participants can continue to take place, although during the transmission of the safety-relevant data, at least over the first network connection, a non-interference-free transmission, for example errors that occurred during transmission, was detected. This is achieved in that after recognizing, in particular immediately after recognizing, a non-interference-free transmission via the first virtual network connection, switching to a second virtual network connection, which is different from the first virtual network connection, in order to transfer the security-relevant data between the first and to transmit to the second network participant no longer via the first virtual network connection but via this second virtual network connection. The security-relevant data is always transmitted via the at least first network connection of the first virtual network and, in the event of a fault, via the second network connection of the second virtual network, within the same physical network, which can be a private network or a public network such as the Internet.

Unter einem Umschalten auf die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks ist im Rahmen der vorliegenden Erfindung zu verstehen, dass entweder zumindest von der ersten Netzwerkverbindung auf die zweite Netzwerkverbindung umgeschaltet wird oder dass zumindest von der ersten und zweiten Netzwerkverbindung auf die zweite Netzwerkverbindung umgeschaltet wird. D.h. es ist nicht grundsätzlich ausgeschlossen, dass ein Übertragen der sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer beispielsweise zusätzlich noch über eine dritte Netzwerkverbindung erfolgen kann. Demzufolge gibt es zumindest drei Schaltzustände hinsichtlich der zur Datenübertragung aufzubauenden bzw. aufgebauten virtuellen Netzwerkverbindungen, wobei ein erster Schaltzustand einer Übertragung der sicherheitsrelevanten Daten ausschließlich über die erste Netzwerkverbindung des ersten virtuellen Netzwerks entspricht, ein zweiter Schaltzustand einer redundanten Übertragung der sicherheitsrelevanten Daten über die erste und zweite Netzwerkverbindung des ersten bzw. zweiten virtuellen Netzwerks entspricht und ein dritter Schaltzustand einer Übertragung der sicherheitsrelevanten Daten ausschließlich über die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks entspricht. Der erste oder zweite Schaltzustand kann vor dem Schritt des Umschaltens auf die zweite Netzwerkverbindung eingenommen werden, während der dritte Schaltzustand stets nach dem Schritt des Umschaltens auf die zweite Netzwerkverbindung eingenommen wird. Weitere Schaltzustände können sich beispielsweise dadurch ergeben, dass zusätzlich zu den vorbeschriebenen Schaltzuständen noch ein Übertragen der sicherheitsrelevanten Daten über zumindest eine dritte Netzwerkverbindung eines dritten virtuellen Netzwerks stattfinden kann.Switching to the second network connection of the second virtual network is to be understood in the context of the present invention that either at least the first network connection is switched to the second network connection or that at least the first and second network connection are switched to the second network connection. This means that it cannot be ruled out in principle that the security-relevant data can also be transmitted between the first and second network participants, for example via a third network connection. Accordingly, there are at least three switching states with regard to the virtual network connections to be set up or established for data transmission, with a first switching state corresponding to a transmission of the safety-relevant data exclusively via the first network connection of the first virtual network, a second switching state to a redundant transmission of the safety-relevant data via the first and corresponds to the second network connection of the first or second virtual network and a third switching state corresponds to a transmission of the safety-related data exclusively via the second network connection of the second virtual network. The first or second switching state can be assumed before the step of switching over to the second network connection, while the third switching state is always assumed after the step of switching over to the second network connection. Further switching states can result, for example, from the fact that, in addition to the switching states described above, the safety-relevant data can also be transmitted via at least one third network connection of a third virtual network.

Das im Falle einer nicht störungsfreien Übertragung von sicherheitsrelevanten Daten über die erste Netzwerkverbindung erfolgende erfindungsgemäße Umschalten auf die zweite Netzwerkverbindung zum Übertragen der sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer hat den großen Vorteil, dass ein System, welches zumindest eine Mehrzahl von Netzwerkteilnehmern einschließlich des ersten und zweiten Netzwerkteilnehmers umfasst, weiterhin zumindest für begrenzte Zeit Kommunikationsverbindungen zwischen dem ersten und zweiten Netzwerkteilnehmer aufrecht erhalten kann. Dies führt zu einer deutlichen Verbesserung bzw. Erhöhung der Verfügbarkeit des Systems. Ein Überführen des Systems in einen sicheren Zustand, wie ein NOT-AUS kann somit zumindest zeitlich verzögert, wenn nicht sogar vollständig vermieden werden, was u.a. die laufenden Betriebskosten des Systems reduziert und den dem System zugrundeliegenden Prozess zumindest nicht unmittelbar unterbricht. Während der Übertragung der sicherheitsrelevanten Daten über die zweite Netzwerkverbindung kann zudem versucht werden, die beim Übertragen der sicherheitsrelevanten Daten vorliegende Störung zu beseitigen und die erste Netzwerkverbindung zwischen dem ersten und zweiten Netzwerkteilnehmer wieder störungsfrei herzustellen, ohne dass das System dafür abgeschaltet werden muss. Switching to the second network connection to transmit the safety-relevant data between the first and second network participants, which takes place according to the invention in the event of non-interference-free transmission of safety-relevant data via the first network connection, has the great advantage that a system which has at least a plurality of network participants including the first and second network participant includes, continue at least for can maintain communication links between the first and second network participants for a limited time. This leads to a significant improvement or increase in the availability of the system. A transfer of the system to a safe state, such as an EMERGENCY STOP, can thus be avoided at least with a time delay, if not completely, which among other things reduces the ongoing operating costs of the system and at least does not immediately interrupt the process on which the system is based. During the transmission of the safety-relevant data via the second network connection, an attempt can also be made to eliminate the error present during the transmission of the safety-relevant data and to re-establish the first network connection between the first and second network participants without the problem, without the system having to be switched off for this.

Zweckmäßigerweise wird gemäß dem erfindungsgemäßen Verfahren für das Übertragen dieser sicherheitsrelevanten Daten zwischen dem wenigstens ersten und zweiten Netzwerkteilnehmer ausschließlich den für dieses Übertragen vorgesehenen Netzwerkteilnehmern eine Zugriffsberechtigung für das jeweilige virtuelle Netzwerk erteilt. Eine Erteilung der Zugriffsberechtigung kann dabei insbesondere durch eine Kontrollinstanz, insbesondere eine Kontrollinstanz des zugrundeliegenden Systems, oder durch einen dieser wenigstens ersten und zweiten Netzwerkteilnehmer erfolgen. Dadurch wird gewährleistet, dass ausschließlich die Netzwerkteilnehmer, die für den Austausch der sicherheitsrelevanten Daten autorisiert bzw. berechtigt sind, an dem Übertragen dieser sicherheitsrelevanten Daten teilnehmen können.Expediently, according to the method according to the invention for the transmission of this security-relevant data between the at least first and second network subscribers, access authorization for the respective virtual network is granted exclusively to the network subscribers provided for this transmission. In this case, the access authorization can be granted in particular by a control authority, in particular a control authority of the underlying system, or by one of these at least first and second network participants. This ensures that only those network participants who are authorized or entitled to exchange the safety-relevant data can participate in the transmission of this safety-relevant data.

Zudem wird gemäß einer Weiterentwicklung des erfindungsgemäßen Verfahrens zumindest das erste virtuelle Netzwerk lediglich für den Fall eingerichtet, dass sicherheitsrelevante Daten zwischen dem wenigstens ersten und zweiten Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern übertragen werden sollen. Somit sind Störungen und Fehler innerhalb des ersten virtuellen Netzwerks und/oder Angriffe, insbesondere manipulativer Natur, auf das erste virtuelle Netzwerk auf die Zeitdauer der tatsächlichen Übertagung von sicherheitsrelevanten Daten beschränkt.In addition, according to a further development of the method according to the invention, at least the first virtual network is set up only in the event that security-related data is to be transmitted between the at least first and second network participants from the plurality of network participants. Thus, disruptions and errors within the first virtual network and/or attacks, in particular of a manipulative nature, on the first virtual network are limited to the duration of the actual transmission of security-relevant data.

Das erfindungsgemäße Verfahren kann vorzugsweise zusätzlich zu dem Schritt des Übertragens der sicherheitsrelevanten Daten zwischen dem ersten und dem zweiten Netzwerkteilnehmer über die erste Netzwerkverbindung des ersten virtuellen Netzwerks auch den Schritt eines Übertragens dieser sicherheitsrelevanten Daten zwischen dem ersten und dem zweiten Netzwerkteilnehmer über die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks in dem physikalischen Netzwerk umfassen. Dies ist insbesondere dann von Vorteil, wenn ein schnelles Umschalten auf die zweite Netzwerkverbindung erfolgen soll, beispielsweise um die Kommunikationsverbindung zwischen dem ersten und zweiten Netzwerkteilnehmer nahezu unterbrechungsfrei, d.h. nahezu ohne zeitliche Verzögerungen beim Umschalten auf die zweite Netzwerkverbindung zum Übertragen der sicherheitsrelevanten Daten, aufrecht zu erhalten. In Anwendungsfällen, in welchen ein unterbrechungsfreies Aufrechterhalten der Kommunikationsverbindung zwischen erstem und zweitem Netzwerkteilnehmer und somit eine hohe Verfügbarkeit des zugrundeliegenden Systems höchste Priorität hat, sind die erste Netzwerkverbindung des ersten virtuellen Netzwerks und die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks daher zweckmäßig redundant ausgeführt. In dem vorbeschriebenen Fall ist es vorteilhaft, wenn das zweite virtuelle Netzwerk lediglich für den Fall eingerichtet wird, dass sicherheitsrelevante Daten zwischen dem wenigstens ersten und zweiten Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern übertragen werden sollen, wie bereits im Hinblick auf das erste virtuelle Netzwerk beschrieben.In addition to the step of transmitting the security-relevant data between the first and the second network participant via the first network connection of the first virtual network, the method according to the invention can preferably also include the step of transmitting this security-relevant data between the first and the second network participant via the second network connection of the second include virtual network in the physical network. This is particularly advantageous if a quick switchover to the second network connection is to take place, for example in order to maintain the communication link between the first and second network participants almost without interruption, i.e. almost without any time delays when switching over to the second network connection for transmitting the safety-relevant data receive. In applications in which an uninterrupted maintenance of the communication connection between the first and second network participants and thus a high availability of the underlying system has the highest priority, the first network connection of the first virtual network and the second network connection of the second virtual network are therefore expediently designed redundantly. In the case described above, it is advantageous if the second virtual network is set up only in the event that security-related data is to be transmitted between the at least first and second network participants from the plurality of network participants, as already described with regard to the first virtual network.

Alternativ zu dem vorbeschriebenen Fall kann gemäß dem erfindungsgemäßen Verfahren jedoch auch vorgesehen sein, dass die zweite Netzwerkverbindung erst im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten über die erste Netzwerkverbindung aufgebaut wird. In diesem Fall sind die erste Netzwerkverbindung des ersten virtuellen Netzwerks und die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks somit nicht redundant ausgeführt. Vielmehr erfolgt der Aufbau der zweiten Netzwerkverbindung zwischen dem ersten und zweiten Netzwerkteilnehmer erst möglichst unmittelbar nach dem Feststellen einer Störung bei dem Übertragen der sicherheitsrelevanten Daten über die erste Netzwerkverbindung. Dies ist insbesondere dann von Vorteil, wenn eine möglichst geringe Kapazitätsauslastung der jeweiligen virtuellen Netzwerkverbindungen in dem physikalischen Netzwerk erwünscht ist und dieser Aspekt höher priorisiert ist als ein schnelles Umschalten auf die zweite Netzwerkverbindung bzw. als ein nahezu unterbrechungsfreies Übertragen der sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer. Sollen beispielsweise sehr große Datenmengen von sicherheitsrelevanten Daten zwischen dem ersten und dem zweiten Netzwerkteilnehmer übertragen werden, kann es sich als vorteilhaft erweisen, wenn ein Übertragen dieser sehr großen Datenmengen an sicherheitsrelevanten Daten nicht gleichzeitig über sowohl die erste Netzwerkverbindung als auch in redundanter Weise über die zweite Netzwerkverbindung erfolgt. Auch wenn die zweite Netzwerkverbindung zwischen erstem und zweitem Netzwerkteilnehmer noch nicht aufgebaut ist, kann das zweite virtuelle Netzwerk dennoch bereits eingerichtet worden sein, damit für den Fall einer festgestellten Störung der Datenübertragung über die erste Netzwerkverbindung möglichst unterbrechungsfrei die zweite Netzwerkverbindung aufgebaut werden kann. As an alternative to the case described above, however, the method according to the invention can also provide for the second network connection to be set up only if it is determined that the safety-relevant data is not being transmitted without errors via the first network connection. In this case, the first network connection of the first virtual network and the second network connection of the second virtual network are therefore not redundant. Rather, the second network connection between the first and second network participants is set up as soon as possible after a fault has been detected in the transmission of the security-relevant data via the first network connection. This is particularly advantageous if the lowest possible capacity utilization of the respective virtual network connections in the physical network is desired and this aspect has a higher priority than fast switching to the second network connection or almost uninterrupted transmission of security-relevant data between the first and second network participant. If, for example, very large amounts of safety-relevant data are to be transmitted between the first and second network participants, it can prove advantageous if these very large amounts of safety-relevant data are not transmitted simultaneously via both the first network connection and redundantly via the second Network connection established. Even if the second network connection If the connection between the first and second network participants has not yet been established, the second virtual network can nevertheless already have been set up so that the second network connection can be established with as little interruption as possible in the event of a detected disruption in the data transmission via the first network connection.

Unabhängig davon, wann die zweite Netzwerkverbindung des zweiten virtuellen Netzwerks zwischen dem ersten und dem zweiten Netzwerkteilnehmer letztendlich aufgebaut wird, wird nach dem Umschalten auf die zweite Netzwerkverbindung das Übertragen der sicherheitsrelevanten Daten über die zweite Netzwerkverbindung fortgesetzt, vorzugsweise indem mit neuen sicherheitsrelevanten Daten gestartet wird oder zunächst eine bestimmte, insbesondere vorgebbare Anzahl von über die erste Netzwerkverbindung bereits übertragenen Daten erneut über die zweite Netzwerkverbindung übertragen wird.Irrespective of when the second network connection of the second virtual network between the first and the second network participant is finally set up, after switching to the second network connection, the transmission of the security-related data is continued via the second network connection, preferably by starting with new security-related data or first a specific, in particular predeterminable number of data already transmitted via the first network connection is transmitted again via the second network connection.

Ferner kann gemäß dem erfindungsgemäßen Verfahren vorgesehen sein, dass im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten ein Reaktionssignal an eine mit dem physikalischen Netzwerk verbundene zentrale Einheit ausgesandt wird. Die zentrale Einheit kann beispielsweise basierend auf dem Reaktionssignal eine Ferndiagnose der jeweils vorliegenden Störung und/oder eine Fernwartung durchführen. Ferner kann die zentrale Einheit beispielsweise Aktualisierungen innerhalb des ersten und/oder zweiten Netzwerkteilnehmers durchführen oder auch einen erneuten Aufbau der ersten Netzwerkverbindung zwischen dem ersten und dem zweiten Netzwerkteilnehmer veranlassen. Von der zentralen Einheit empfangene oder erfasste Diagnosedaten bzgl. der vorliegenden Störung bei dem Übertragen der sicherheitsrelevanten Daten können z.B. in einer Cloud gesammelt werden, wobei u.a. bei Verletzung einer vorab festgelegten Ausfallstatistik z.B. ein außer-Betrieb-Setzen des ersten und/oder zweiten Netzwerkteilnehmers erfolgen kann.Furthermore, according to the method according to the invention, it can be provided that if it is determined that the safety-relevant data has not been transmitted without interference, a reaction signal is sent to a central unit connected to the physical network. The central unit can, for example, based on the reaction signal, carry out a remote diagnosis of the fault present and/or a remote maintenance. Furthermore, the central unit can, for example, carry out updates within the first and/or second network participant or also cause the first network connection to be set up again between the first and the second network participant. Diagnostic data received or recorded by the central unit with regard to the fault present in the transmission of the safety-relevant data can be collected, for example, in a cloud, with the first and/or second network participant being shut down, for example, if a predetermined failure statistic is violated can.

Gemäß einer Weiterentwicklung des Verfahrens kann vorgesehen sein, dass das Überprüfen in Bezug auf das störungsfreie Übertragen der sicherheitsrelevanten Daten von wenigstens einem der bei diesem Übertragen beteiligten Netzwerkteilnehmer durchgeführt wird, wobei im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten das Umschalten auf die zweite Netzwerkverbindung von dem feststellenden, insbesondere von dem zuerst feststellenden, Netzwerkteilnehmer initiiert wird. Zweckmäßig erfolgt ein solches Überprüfen von dem jeweils die sicherheitsrelevanten Daten empfangenden bzw. für den Empfang der sicherheitsrelevanten Daten vorgesehenen Netzwerkteilnehmer, sodass dieser das Umschalten auf die zweite Netzwerkverbindung einleitet.According to a further development of the method, it can be provided that the check is carried out with regard to the error-free transmission of the safety-relevant data by at least one of the network participants involved in this transmission, in the event that it is determined that the safety-relevant data is not being transmitted without errors, switching to the second Network connection is initiated by the determining, in particular by the first determining, network participants. Such a check is expediently carried out by the network subscriber receiving the safety-relevant data or provided for receiving the safety-relevant data, so that this initiates the switchover to the second network connection.

Für das erste virtuelle Netzwerk und für das zweite virtuelle Netzwerk kann dasselbe virtuelle Netzwerk verwendet werden oder es können zwei unterschiedliche virtuelle Netzwerke verwendet werden.The same virtual network can be used for the first virtual network and for the second virtual network, or two different virtual networks can be used.

Zudem kann das erfindungsgemäße Verfahren den Schritt umfassen, dass parallel zum Übertragen der sicherheitsrelevanten Daten über die erste und/oder zweite Netzwerkverbindung diese oder auch weitere sicherheitsrelevante Daten zwischen einem der ersten und zweiten Netzwerkteilnehmer und einem dritten Netzwerkteilnehmer über eine weitere Netzwerkverbindung eines virtuellen Netzwerks in dem physikalischen Netzwerk übertragen werden. Grundsätzlich kann ein Netzwerkteilnehmer somit mehrere Verbindungen in gleichen oder auch unterschiedlichen virtuellen Netzwerken nutzen.In addition, the method according to the invention can include the step that, parallel to the transmission of the security-relevant data via the first and/or second network connection, this or other security-relevant data between one of the first and second network participants and a third network participant via a further network connection of a virtual network in the physical network are transmitted. Basically, a network participant can use several connections in the same or different virtual networks.

Für die weitere Netzwerkverbindung des virtuellen Netzwerks in dem physikalischen Netzwerk kann insbesondere das erste virtuelle Netzwerk oder das zweite virtuelle Netzwerk oder ein weiteres virtuelles Netzwerk verwendet werden.In particular, the first virtual network or the second virtual network or a further virtual network can be used for the further network connection of the virtual network in the physical network.

Neben dem zuvor beschriebenen Verfahren umfasst die vorliegende Erfindung ferner ein System zum Durchführen dieses Verfahrens. Das System weist ein physikalisches Netzwerk für industrielle Steuerungen mit einer Mehrzahl von Netzwerkteilnehmern auf, wobei wenigstens ein erster und zweiter Netzwerkteilnehmer aus der Mehrzahl von Netzwerkteilnehmern eingerichtet sind, sicherheitsrelevante Daten zu übertragen. Das System ist zum Übertragen dieser sicherheitsrelevanten Daten zwischen dem ersten und zweiten Netzwerkteilnehmer zumindest über eine erste Netzwerkverbindung eines ersten virtuellen Netzwerks in dem physikalischen Netzwerk eingerichtet. Ferner besitzt das System eine Diagnoseeinheit, und zwar zum Überprüfen, ob das Übertragen dieser sicherheitsrelevanten Daten über die erste Netzwerkverbindung störungsfrei erfolgt. Weiterhin ist das System eingerichtet, im Falle eines Feststellens eines nicht störungsfreien Übertragens über die erste Netzwerkverbindung auf eine zweite, von der ersten verschiedenen Netzwerkverbindung eines zweiten virtuellen Netzwerks in dem physikalischen Netzwerk umzuschalten.In addition to the method described above, the present invention also includes a system for carrying out this method. The system has a physical network for industrial controls with a plurality of network participants, with at least one first and second network participant from the plurality of network participants being set up to transmit safety-related data. The system is set up to transmit this security-related data between the first and second network participants at least via a first network connection of a first virtual network in the physical network. Furthermore, the system has a diagnostic unit, specifically for checking whether the transmission of these safety-related data via the first network connection is trouble-free. Furthermore, the system is set up to switch to a second network connection, different from the first, of a second virtual network in the physical network in the event that transmission via the first network connection is not free of interference.

Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung werden anhand der folgenden Beschreibung von Ausführungsformen davon sowie der dazugehörigen Figuren deutlich. Es zeigen:

1: eine schematische Ablaufskizze des erfindungsgemäßen Verfahrens gemäß einer ersten Ausführungsform,
2: eine erste Ausführungsform eines erfindungsgemäßen Systems zum Durchführen des erfindungsgemäßen Verfahrens,
3: eine zweite Ausfuhrungsform eines erfindungsgemäßen Systems zum Durchführen des erfindungsgemäßen Verfahrens.

Further advantages, features and application possibilities of the present invention become clear from the following description of embodiments thereof and the associated figures. Show it:

1 : a schematic flow chart of the method according to the invention according to a first embodiment,
2 : a first embodiment of a system according to the invention for carrying out the method according to the invention,
3 : a second embodiment of a system according to the invention for carrying out the method according to the invention.

1 veranschaulicht den Ablauf des erfindungsgemäßen Verfahrens zum Übertragen von Daten über ein physikalisches Netzwerk 2 für industrielle Steuerungen anhand eines ersten Ausführungsbeispiels. Das in 1 beispielhaft dargestellte physikalische Netzwerk 2, welches ein privates oder ein öffentliches Netz wie z.B. das Internet sein kann, umfasst eine Mehrzahl von Netzwerkteilnehmern, wobei der Übersichtlichkeit halber lediglich die Netzwerkteilnehmer 10, 14, 18 gezeigt sind, zwischen welchen sicherheitsrelevante Daten 3 übertragen werden sollen. Weitere vom physikalischen Netzwerk 2 umfasste Netzwerkteilnehmer sind beispielsweise mit Bezugszeichen 12 und 16 in den Ausführungsformen eines erfindungsgemäßen Systems gemäß 2 und 3 zu sehen, wobei zwischen den Netzwerkteilnehmern 12 und 16 zwar auch Daten, aber keine sicherheitsrelevanten Daten ausgetauscht werden. Im Rahmen des erfindungsgemäßen Verfahrens ist vorgesehen, dass zumindest zwischen einem ersten Netzwerkteilnehmer 10 und einem zweiten Netzwerkteilnehmer 14 aus der vom physikalischen Netzwerk 2 umfassten Mehrzahl von Netzwerkteilnehmern 10, 12, 14, 16, 18 sicherheitsrelevante Daten 3 übertragen werden sollen, wie in 1-3 gezeigt. 1 illustrates the sequence of the method according to the invention for transmitting data via a physical network 2 for industrial controls using a first exemplary embodiment. This in 1 The physical network 2 shown as an example, which can be a private or a public network such as the Internet, includes a plurality of network participants, for the sake of clarity only the network participants 10, 14, 18 are shown, between which safety-relevant data 3 are to be transmitted. Other network users included in the physical network 2 are identified, for example, with reference numbers 12 and 16 in the embodiments of a system according to the invention 2 and 3 can be seen, with data being exchanged between the network participants 12 and 16, but no security-related data. As part of the method according to the invention, it is provided that security-relevant data 3 is to be transmitted at least between a first network participant 10 and a second network participant 14 from the plurality of network participants 10, 12, 14, 16, 18 comprised by the physical network 2, as in 1-3 shown.

Gemäß dem Blockdiagramm in 1 umfasst das Verfahren den Schritt des Übertragens dieser sicherheitsrelevanten Daten 3 zwischen dem ersten Netzwerkteilnehmer 10 und dem zweiten Netzwerkteilnehmer 14 zumindest über eine erste Netzwerkverbindung 5 eines ersten virtuellen Netzwerks 4 in dem physikalischen Netzwerk 2. Im dargestellten Fall erfolgt beispielhaft zusätzlich zu diesem Übertragen der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 des ersten virtuellen Netzwerks 4 auch ein Übertragen dieser sicherheitsrelevanten Daten 3 zwischen dem ersten und dem zweiten Netzwerkteilnehmer 10, 14 über eine zweite Netzwerkverbindung 7 eines zweiten virtuellen Netzwerks 6 in dem physikalischen Netzwerk 2. Diese zweite Netzwerkverbindung 7 ist eine von der ersten Netzwerkverbindung 5 verschiedene Netzwerkverbindung. Die erste und zweite Netzwerkverbindung 5, 7 sind folglich im dargestellten Beispiel redundant ausgeführt. Ebenso werden für das erste virtuelle Netzwerk 4 und für das zweite virtuelle Netzwerk 6 beispielhaft zwei unterschiedliche virtuelle Netzwerke verwendet. In einer weiteren Ausfuhrungsform der vorliegenden Erfindung könnte für das erste virtuelle Netzwerk 4 und für das zweite virtuelle Netzwerk 6 jedoch auch dasselbe virtuelle Netzwerk verwendet werden.According to the block diagram in 1 the method includes the step of transmitting this safety-relevant data 3 between the first network participant 10 and the second network participant 14 at least via a first network connection 5 of a first virtual network 4 in the physical network 2. In the case shown, for example, the safety-relevant data is transferred in addition to this 3 via the first network connection 5 of the first virtual network 4, this security-relevant data 3 is also transmitted between the first and the second network participant 10, 14 via a second network connection 7 of a second virtual network 6 in the physical network 2. This second network connection 7 is a 5 different network connections from the first network connection. The first and second network connections 5, 7 are therefore redundant in the example shown. Likewise, two different virtual networks are used as an example for the first virtual network 4 and for the second virtual network 6 . In a further embodiment of the present invention, however, the same virtual network could also be used for the first virtual network 4 and for the second virtual network 6 .

Ferner können diese oder auch weitere sicherheitsrelevanten Daten 3 parallel zum Übertragen der sicherheitsrelevanten Daten 3 über die erste und zweite Netzwerkverbindung 5, 7 auch beispielsweise zwischen dem ersten Netzwerkteilnehmer 10 und einem dritten Netzwerkteilnehmer 18 übertragen werden, und zwar über eine weitere, dritte Netzwerkverbindung 9 eines dritten virtuellen Netzwerks 8 in dem physikalischen Netzwerk, wie in 1 zu sehen. Dies kann insbesondere dadurch erfolgen, dass jede einzelne Netzwerkverbindung 5, 7, 9 über jeweils eine IP-Adresse aufgebaut wird. So können beispielsweise dem ersten Netzwerkteilnehmer 10 drei verschiedene IP-Adressen zugeordnet werden, um über die erste, zweite und dritte Netzwerkverbindung 5, 7, 9 jeweils Daten austauschen zu können. Alternativ ist jedoch auch möglich, jedem einzelnen Netzwerkteilnehmer jeweils eine IP-Adresse zuzuordnen.Furthermore, this or other safety-relevant data 3 can also be transmitted parallel to the transmission of the safety-relevant data 3 via the first and second network connection 5, 7, for example between the first network participant 10 and a third network participant 18, specifically via a further, third network connection 9 of a third virtual network 8 in the physical network, as in 1 to see. This can be done in particular by each individual network connection 5, 7, 9 being set up via an IP address in each case. For example, three different IP addresses can be assigned to the first network participant 10 in order to be able to exchange data via the first, second and third network connection 5, 7, 9 in each case. Alternatively, however, it is also possible to assign an IP address to each individual network participant.

Auch wenn in 1 nicht gezeigt, ist im Rahmen des erfindungsgemäßen Verfahrens vorgesehen, dass für das Übertragen der sicherheitsrelevanten Daten 3 zwischen dem wenigstens ersten und zweiten Netzwerkteilnehmer 10, 14, insbesondere auch dem ersten und dritten Netzwerkteilnehmer 10, 18, ausschließlich den für dieses Übertragen vorgesehenen Netzwerkteilnehmern 10, 14, 18 eine Zugriffsberechtigung für das jeweilige virtuelle Netzwerk 4, 6, 8 erteilt wird. Eine solche Zugriffsberechtigung kann beispielsweise durch eine Kontrollinstanz (nicht in 1 gezeigt) oder durch insbesondere einen der ersten und zweiten Netzwerkteilnehmer 10, 14, aber auch durch den dritten Netzwerkteilnehmer 18 erteilt werden. Dies hat den Vorteil, dass ausschließlich die Netzwerkteilnehmer, die für den Austausch der sicherheitsrelevanten Daten 3 autorisiert bzw. berechtigt sind, an dem Übertragen dieser sicherheitsrelevanten Daten 3 teilnehmen können.Even if in 1 not shown, it is provided within the scope of the method according to the invention that for the transmission of the safety-relevant data 3 between the at least first and second network subscriber 10, 14, in particular also the first and third network subscriber 10, 18, exclusively the network subscribers 10 provided for this transmission, 14, 18 access authorization for the respective virtual network 4, 6, 8 is granted. Such access authorization can be granted, for example, by a control authority (not in 1 shown) or by in particular one of the first and second network participants 10, 14, but also by the third network participant 18. This has the advantage that only the network users who are authorized or entitled to exchange the safety-related data 3 can participate in the transmission of this safety-related data 3 .

Auch wenn aus 1 nicht ersichtlich, so wird zumindest das erste virtuelle Netzwerk 4, und vorzugsweise auch das zweite virtuelle Netzwerk 6 und/oder das dritte virtuelle Netzwerk 8, lediglich für den Fall eingerichtet, dass sicherheitsrelevante Daten 3 zwischen dem wenigstens ersten und zweiten Netzwerkteilnehmer 10, 14, im gezeigten Beispiel der 1 insbesondere auch zwischen dem ersten und dritten Netzwerkteilnehmer 10, 18, übertragen werden sollen. Dadurch können Störungen bzw. Fehler innerhalb des ersten, zweiten und dritten virtuellen Netzwerks 4, 6, 8 und/oder Angriffe, insbesondere manipulativer Natur, auf das erste, zweite und dritte virtuelle Netzwerk 4, 6, 8 auf die Zeitdauer des tatsächlichen Übertragens von sicherheitsrelevanten Daten 3 beschränkt werden.Even if off 1 not apparent, at least the first virtual network 4, and preferably also the second virtual network 6 and/or the third virtual network 8, is set up only in the event that security-related data 3 is exchanged between the at least first and second network participants 10, 14, in the example shown 1 in particular between the first and third network participants 10, 18 are to be transmitted. As a result, disruptions or errors within the first, second and third virtual network 4, 6, 8 and/or attacks, in particular of a manipulative nature, on the first, second and third virtual network 4, 6, 8 can be limited to the duration the actual transmission of security-related data 3 are limited.

Weiterhin umfasst das Verfahren gemäß 1 den Schritt des Überprüfens, ob das Übertragen der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 störungsfrei erfolgt. Hierzu können verschiedene Maßnahmen gemäß dem Stand der Technik zur Erkennung von Störungen bzw. Fehlern, insbesondere von Manipulationen, bei der Übertragung von Daten, insbesondere von sicherheitsrelevanten Daten, durchgeführt werden. Beispiele für solche Maßnahmen sind u.a. zyklische Redundanzprüfungen (CRCs) oder auch eine versteckte CRCs für Teilbereiche der zu übertragenden Daten, eine Datenkennzeichnung mit Sende- und Empfangsadresse, eine Kennzeichnung der Datenabfolge mittels Zähler, eine Übertragung von Taktsignalen einer Systemuhr (Clock (CLK)-Signale) und eine Übertragung von Befehlen, die die Verwendung der Daten bestimmen, z.B. spezielle Systemnachrichten. Gemäß 1 kann u.a. vorgesehen sein, die von einem der Netzwerkteilnehmer 10, 14 sowohl über die erste Netzwerkverbindung 5 als auch über die zweite Netzwerkverbindung 7 empfangenen sicherheitsrelevanten Daten 3 auf deren Übereinstimmung miteinander zu überprüfen, wobei infolge einer nicht störungsfreien Übertragung der sicherheitsrelevanten Daten 3 eine fehlende Überstimmung der jeweils über die erste und zweite Netzwerkverbindung 5, 7 empfangenen sicherheitsrelevanten Daten 3 vorliegt. Bei einer redundanten Übertragung von sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 sowohl über die erste als auch über die zweite Netzwerkverbindung 5,7 können dabei auftretende Störungen bzw. Fehler vorteilhafterweise schnell und sehr gut erkannt werden.Furthermore, the method according to 1 the step of checking whether the transmission of the security-related data 3 via the first network connection 5 takes place without interference. To this end, various measures according to the state of the art can be carried out to detect faults or errors, in particular manipulations, during the transmission of data, in particular safety-relevant data. Examples of such measures include cyclic redundancy checks (CRCs) or hidden CRCs for parts of the data to be transmitted, data identification with a send and receive address, identification of the data sequence using a counter, transmission of clock signals from a system clock (clock (CLK) signals) and a transmission of commands that determine the use of the data, e.g. special system messages. According to 1 it can be provided, among other things, that the safety-relevant data 3 received from one of the network participants 10, 14 both via the first network connection 5 and via the second network connection 7 is checked for agreement with one another, with a lack of agreement as a result of non-interference-free transmission of the safety-relevant data 3 the safety-relevant data 3 received via the first and second network connection 5, 7 is present. In the case of redundant transmission of safety-relevant data 3 between the first and second network participants 10, 14 both via the first and the second network connection 5, 7, faults or errors which occur can advantageously be recognized quickly and very well.

Wird bei dem Überprüfen festgestellt, dass das Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 über die erste Netzwerkverbindung 5 störungsfrei erfolgt, so wird keinerlei Maßnahme ergriffen, sodass dieses Übertragen ununterbrochen fortgeführt wird. Wird hingegen während des Überprüfens festgestellt, dass das Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 über die erste Netzwerkverbindung 5 nicht störungsfrei erfolgt, so wird im Rahmen des erfindungsgemäßen Verfahrens der Schritt des Umschaltens auf die zweite Netzwerkverbindung 7 des zweiten virtuellen Netzwerks 6 in dem physikalischen Netzwerk 2 zum Übertragen dieser sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 durchgeführt. Dies hat den großen Vorteil, dass eine Kommunikations- bzw. Datenverbindung insbesondere zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 zumindest für begrenzte Zeit trotz der festgestellten gestörten Datenübertragung über die erste Netzwerkverbindung 5 weiter aufrechterhalten werden kann. Eine Kommunikation bzw. Übertragung von sicherheitsrelevanten Daten 3 insbesondere zwischen dem ersten und zweiten Netzwerteilnehmer 10, 14 muss folglich nicht unterbrochen werden, was zu einer deutlichen Verbesserung bzw. Erhöhung der Verfügbarkeit des entsprechenden zugrundeliegenden Systems führt.If the check establishes that the security-relevant data 3 is being transmitted between the first and second network participants 10, 14 via the first network connection 5 without any problems, then no action is taken, so that this transmission continues uninterrupted. If, on the other hand, it is determined during the check that the security-relevant data 3 is not being transmitted between the first and second network participants 10, 14 via the first network connection 5 without interference, the step of switching to the second network connection 7 of the second virtual network 6 in the physical network 2 for transmitting this security-related data 3 between the first and second network participants 10, 14 performed. This has the great advantage that a communication or data connection, in particular between the first and second network subscribers 10, 14, can be maintained at least for a limited time despite the faulty data transmission established via the first network connection 5. A communication or transmission of safety-relevant data 3, in particular between the first and second network participants 10, 14, consequently does not have to be interrupted, which leads to a significant improvement or increase in the availability of the corresponding underlying system.

Der Begriff des Umschaltens bedeutet im vorliegenden Beispiel der 1, dass von einem Schaltzustand, in welchem eine redundante Übertragung der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 sowohl über die erste als auch über die zweite Netzwerkverbindung 5, 7 erfolgt, in einen Schaltzustand umgeschaltet wird, in welchem eine Übertragung der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 über die zweite Netzwerkverbindung 7, und somit nicht mehr über die erste Netzwerkverbindung 5, erfolgt. Dabei ist jedoch nicht ausgeschlossen, dass diese oder auch weitere sicherheitsrelevanten Daten 3 beispielsweise zwischen dem ersten und dem dritten Netzwerkteilnehmer 10, 18 über eine dritte Netzwerkverbindung 9 eines weiteren, dritten virtuellen Netzwerks 8, wie in 1 gezeigt, oder sogar über eine vierte Netzwerkverbindung (nicht dargestellt) zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 übertragen werden. Auch wäre es im Rahmen der Erfindung denkbar, dass ein Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 zusätzlich noch über eine weitere Netzwerkverbindung eines weiteren virtuellen Netzwerks erfolgt, und zwar vor und/oder nach dem Umschalten auf die zweite Netzwerkverbindung.The term switching means in the present example 1 that from a switching state in which a redundant transmission of the safety-relevant data 3 takes place between the first and second network participants 10, 14 both via the first and the second network connection 5, 7, to a switching state in which a transmission of the security-related data 3 between the first and second network participants 10, 14 via the second network connection 7, and thus no longer via the first network connection 5 takes place. However, it is not excluded that this or other security-relevant data 3, for example, between the first and the third network participant 10, 18 via a third network connection 9 of a further, third virtual network 8, as in 1 shown, or even via a fourth network connection (not shown) between the first and second network participants 10, 14 are transmitted. It would also be conceivable within the scope of the invention for the security-relevant data 3 to be transmitted between the first and second network participants 10, 14 additionally via a further network connection of a further virtual network, specifically before and/or after switching to the second network connection .

Eine gemäß 1 gezeigte redundante Ausführung der ersten und zweiten Netzwerkverbindung 5, 7 ist insbesondere dann von Vorteil, wenn ein schnelles Umschalten auf die zweite Netzwerkverbindung 7 erfolgen soll, beispielsweise um die Kommunikations- bzw. Datenverbindung zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 nahezu unterbrechungsfrei, d.h. nahezu ohne zeitliche Verzögerungen beim Umschalten, aufrecht zu erhalten. In solchen Anwendungsfällen wird in der Regel oberste Priorität auf eine hohe Verfügbarkeit des zugrundeliegenden Systems gelegt.one according to 1 shown redundant design of the first and second network connection 5, 7 is particularly advantageous when a quick switchover to the second network connection 7 is to take place, for example, to the communication or data connection between the first and second network participants 10, 14 almost without interruption, ie with almost no time delays when switching. In such use cases, top priority is usually placed on high availability of the underlying system.

Während des Übertragens der sicherheitsrelevanten Daten 3 über die zweite Netzwerkverbindung 7 kann zudem zweckmäßigerweise versucht werden, die beim Übertragen der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 vorliegende Störung zu beseitigen und die erste Netzwerkverbindung 5 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 wieder störungsfrei herzustellen, ohne dass dafür sämtliche Kommunikationsverbindungen zwischen den Netzwerkteilnehmern 10 14, 18, insbesondere dem ersten und zweiten Netzwerkteilnehmer 10, 14, unterbrochen werden müssen bzw. das entsprechende zugrundeliegende System dafür abgeschaltet werden muss.During the transmission of the safety-relevant data 3 via the second network connection 7, an attempt can also be expediently made to eliminate the fault present during the transmission of the safety-relevant data 3 via the first network connection 5 and to restore the fault in the first network connection 5 between the first and second network participants 10, 14 to establish freely, without having to interrupt all communication connections between the network participants 10, 14, 18, in particular the first and second network participants 10, 14, or the corresponding underlying system has to be switched off for this.

Ferner kann im Rahmen des erfindungsgemäßen Verfahrens vorgesehen sein, dass das Überprüfen in Bezug auf das störungsfreie Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 von wenigstens einem der bei diesem Übertragen beteiligten Netzwerkteilnehmer 10, 14 durchgeführt wird. Im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten 3 kann das Umschalten auf die zweite Netzwerkverbindung 7 von dem feststellenden, insbesondere von dem zuerst feststehenden, Netzwerkteilnehmer der ersten und zweiten Netzwerkteilnehmer 10, 14 initiiert werden. Zweckmäßigerweise wird diese Überprüfung von dem jeweils für den Empfang der sicherheitsrelevanten Daten 3 vorgesehenen Netzwerkteilnehmer durchgeführt. In 2 und 3 ist dies beispielweise der zweite Netzwerkteilnehmer 14, welcher dafür eine Diagnoseeinheit 20 umfasst. Stellt die Diagnoseeinheit 20 ein nicht störungsfreies Übertragen der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 fest, so kann sie selbst das Umschalten auf die zweite Netzwerkverbindung 7 veranlassen. Die Diagnoseeinheit 20 kann alternativ auch ein Ergebnis der Überprüfung an eine weitere Einheit, beispielsweise eine Steuereinheit, des zweiten Netzwerkteilnehmers 14 übermitteln, woraufhin diese dann ein entsprechendes Umschalten initiiert.Furthermore, as part of the method according to the invention, it can be provided that the check with regard to the error-free transmission of the security-relevant data 3 between the first and second network subscribers 10, 14 is carried out by at least one of the network subscribers 10, 14 involved in this transmission. If it is determined that the safety-relevant data 3 has not been transmitted without interference, the switchover to the second network connection 7 can be initiated by the network subscriber of the first and second network subscribers 10, 14 who determined it, in particular by the network subscriber who was first established. This check is expediently carried out by the network subscriber responsible for receiving the security-relevant data 3 . In 2 and 3 this is, for example, the second network participant 14, which includes a diagnostic unit 20 for this purpose. If the diagnosis unit 20 determines that the safety-relevant data 3 is not being transmitted without errors via the first network connection 5, it can initiate the switchover to the second network connection 7 itself. Alternatively, the diagnosis unit 20 can also transmit a result of the check to a further unit, for example a control unit, of the second network subscriber 14, whereupon the latter then initiates a corresponding switchover.

Das erfindungsgemäße Verfahren kann zudem insbesondere den Schritt umfassen, dass im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 ein Reaktionssignal an eine mit dem physikalischen Netzwerk 2 verbundene zentrale Einheit ausgesandt wird. Dies ist beispielhaft in 3 skizziert, welche eine zweite Ausführungsform eines erfindungsgemäßen Systems zum Durchführen des erfindungsgemäßen Verfahrens darstellt. So zeigt 3 eine zentrale Einheit 22, welche beispielhaft mit dem zweiten Netzwerkteilnehmer 14, insbesondere der von dem zweiten Netzwerkteilnehmer 14 umfassten Diagnoseeinheit 20, verbunden ist.The method according to the invention can also include the step that if it is determined that the security-relevant data 3 has not been transmitted without interference, a reaction signal is sent via the first network connection 5 to a central unit connected to the physical network 2 . This is an example in 3 outlined, which represents a second embodiment of a system according to the invention for performing the method according to the invention. So shows 3 a central unit 22 which, for example, is connected to the second network participant 14, in particular to the diagnosis unit 20 comprised by the second network participant 14.

Ferner zeigen die 2 und 3 eine erste bzw. zweite Ausführungsform eines erfindungsgemäßen Systems 1 zum Durchführen des erfindungsgemäßen Verfahrens. Furthermore, the 2 and 3 a first or second embodiment of a system 1 according to the invention for carrying out the method according to the invention.

Wie in den 2 und 3 gezeigt, weist das System 1 ein physikalisches Netzwerk 2 für industrielle Steuerungen mit einer Mehrzahl von Netzwerkteilnehmern 10, 12, 14, 16, 18 auf. Wenigstens ein erster und zweiter Netzwerkteilnehmer 10, 14 aus der Mehrzahl von Netzwerkteilnehmern 10, 12, 14, 16, 18 des Systems 1, in den gezeigten Ausführungsformen beispielhaft ein erster, zweiter und dritter Netzwerkteilnehmer 10, 14, 18, sind dazu eingerichtet, sicherheitsrelevante Daten 3 zu übertragen. Zwischen den in 2 und 3 mit Bezugszeichen 12 und 16 gekennzeichneten Netzwerkteilnehmern werden auch Daten übertragen, welche aber keine sicherheitsrelevanten Daten sind.As in the 2 and 3 shown, the system 1 has a physical network 2 for industrial controls with a plurality of network participants 10, 12, 14, 16, 18. At least a first and second network participant 10, 14 from the plurality of network participants 10, 12, 14, 16, 18 of the system 1, in the embodiments shown by way of example a first, second and third network participant 10, 14, 18, are set up to security-related Data 3 to transfer. between the in 2 and 3 Network participants marked with reference numerals 12 and 16 also transmit data which, however, is not security-relevant data.

Das System 1 ist gemäß 2 und 3 zum Übertragen dieser sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 zumindest über eine erste Netzwerkverbindung 5 eines ersten virtuellen Netzwerks 4 in dem physikalischen Netzwerk 2 eingerichtet. Ferner ist das gezeigte System 1 beispielhaft dazu eingerichtet, diese und/oder weitere sicherheitsrelevante Daten 3 ferner zwischen dem ersten Netzwerkteilnehmer 10 und einem dritten Netzwerkteilnehmer 18 zu übertragen, und zwar über eine dritte Netzwerkverbindung 9 eines weiteren, dritten virtuellen Netzwerks 8.The system 1 is according to 2 and 3 set up to transmit this security-relevant data 3 between the first and second network participants 10, 14 at least via a first network connection 5 of a first virtual network 4 in the physical network 2. Furthermore, the system 1 shown is set up, for example, to transmit this and/or further security-relevant data 3 between the first network participant 10 and a third network participant 18, specifically via a third network connection 9 of a further, third virtual network 8.

Darüber hinaus besitzt das System 1 gemäß 2 und 3 eine Diagnoseeinheit 20, und zwar zum Überprüfen, ob das Übertragen dieser sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 über die erste Netzwerkverbindung 5 störungsfrei erfolgt. Wie bereits bezüglich des in 1 skizzierten Verfahrensablaufs beschrieben, kann diese Diagnoseeinheit 20 beispielsweise von einem der ersten und zweiten Netzwerkteilnehmer 10, 14, insbesondere dem für den Empfang der sicherheitsrelevanten Daten 3 vorgesehenen Netzwerkteilnehmer, umfasst sein. In den gezeigten Ausführungsformen der 2 und 3 umfasst der zweite Netzwerkteilnehmer 14 eine solche Diagnoseeinheit 20, welche zweckmäßig mit allen Eingängen des zweiten Netzwerkteilnehmers 14 verbunden ist.In addition, the system 1 according to 2 and 3 a diagnostic unit 20, specifically for checking whether the transmission of this safety-related data 3 between the first and second network participants 10, 14 via the first network connection 5 takes place without interference. As already with regard to the in 1 outlined process flow, this diagnostic unit 20 can be included, for example, by one of the first and second network participants 10, 14, in particular the network participant provided for receiving the security-relevant data 3. In the embodiments shown 2 and 3 includes the second network participant 14 such a diagnostic unit 20, which is expediently connected to all inputs of the second network participant 14.

Weiterhin ist das System 1 eingerichtet, im Falle eines Feststellens eines nicht störungsfreien Übertragens über die erste Netzwerkverbindung 5 von zumindest dieser ersten Netzwerkverbindung 5 auf eine zweite, von der ersten verschiedenen Netzwerkverbindung 7 eines zweiten virtuellen Netzwerks 6 in dem physikalischen Netzwerk 2 umzuschalten. Im Gegensatz zu 1 sind die erste und die zweite Netzwerkverbindung 5, 7 in 2 und 3 nicht redundant ausgeführt. Vielmehr erfolgt ein Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 in 2 und 3 zunächst nur über die erste Netzwerkverbindung 5 des ersten virtuellen Netzwerks 4. Somit sieht das von dem System 1 durchzuführende Verfahren im Gegensatz zu 1 zweckmäßigerweise vor, dass die zweite Netzwerkverbindung 7 erst im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 aufgebaut wird. Dies ist in 2 und 3 dadurch verdeutlicht, dass die zweite Netzwerkverbindung 7 gestrichelt dargestellt ist.Furthermore, the system 1 is set up to switch from at least this first network connection 5 to a second network connection 7, different from the first, of a second virtual network 6 in the physical network 2 in the event that transmission via the first network connection 5 is not free of interference. In contrast to 1 the first and second network connections are 5, 7 in 2 and 3 not implemented redundantly. Rather, the security-relevant data 3 is transmitted between the first and second network participants 10, 14 in 2 and 3 initially only via the first network connection 5 of the first virtual network 4. Thus, the method to be performed by the system 1 is in contrast to 1 expediently provides that the second network connection 7 is only set up in the event that it is determined that the safety-relevant data 3 is not being transmitted without interference via the first network connection 5 . this is in 2 and 3 illustrated by the fact that the second network connection 7 is shown in dashed lines.

Der Begriff des Umschaltens auf die zweite Netzwerkverbindung 7 beschreibt im vorliegenden Beispiel der 2 und 3 demzufolge, dass von einem Schaltzustand, in welchem ein Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 ausschließlich über die erste Netzwerkverbindung 5 erfolgt, in einen Schaltzustand umgeschaltet wird, in welchem ein Übertragen der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 ausschließlich über die zweite Netzwerkverbindung 7 erfolgt. Dabei ist jedoch nicht ausgeschlossen, dass diese oder auch weitere sicherheitsrelevanten Daten 3 beispielsweise zwischen dem ersten und dem dritten Netzwerkteilnehmer 10, 18 über eine dritte Netzwerkverbindung 9 eines weiteren, dritten virtuellen Netzwerks 8, wie in 2 und 3 gezeigt, übertragen werden.The concept of switching to the second network connection 7 describes the present example 2 and 3 This means that there is a switchover from a switching state in which the safety-relevant data 3 is transmitted between the first and second network participants 10, 14 exclusively via the first network connection 5 to a switching state in which the safety-relevant data 3 is transmitted between the first and second network participants 10, 14 takes place exclusively via the second network connection 7. However, it is not excluded that this or other security-relevant data 3, for example, between the first and the third network participant 10, 18 via a third network connection 9 of a further, third virtual network 8, as in 2 and 3 shown.

In weiteren, nicht gezeigten Ausführungsformen der Erfindung ist auch möglich, dass die sicherheitsrelevanten Daten 3 insbesondere nach dem Umschalten auf die zweite Netzwerkverbindung 7 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 in Abwandlung zu 2 und 3 zusätzlich über eine weitere, vierte Netzwerkverbindung übertragen werden. Ebenso können die sicherheitsrelevanten Daten 3 ergänzend oder alternativ dazu auch bereits vor dem Umschalten auf die zweite Netzwerkverbindung 7 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 zusätzlich zur ersten Netzwerkverbindung 5 über beispielsweise die weitere, vierte Netzwerkverbindung übertragen werden.In further, non-illustrated embodiments of the invention, it is also possible that the security-related data 3, in particular after switching to the second network connection 7 between the first and second network participants 10, 14 as a modification 2 and 3 can also be transmitted via a further, fourth network connection. Likewise, the safety-relevant data 3 can additionally or alternatively be transmitted before switching to the second network connection 7 between the first and second network participants 10, 14 in addition to the first network connection 5 via, for example, the further, fourth network connection.

Ein solches Umschalten von der ersten Netzwerkverbindung 5 auf die zweite Netzwerkverbindung 7, wie hinsichtlich 2 und 3 beschrieben, ist insbesondere dann von Vorteil, wenn eine möglichst geringe Kapazitätsauslastung der jeweiligen Netzwerkverbindung(en) in dem physikalischen Netzwerk 2 erwünscht oder erforderlich ist und diese Anforderung wichtiger bzw. höher priorisiert ist als ein schnelles Umschalten auf die zweite Netzwerkverbindung 7 bzw. als ein nahezu unterbrechungsfreies Übertragen der sicherheitsrelevanten Daten 3. Dies ist beispielsweise der Fall, wenn sehr große Datenmengen von sicherheitsrelevanten Daten 3 zwischen dem ersten und dem zweiten Netzwerkteilnehmer 10, 14 übertragen werden sollen. In einem derartigen Fall kann es sich als vorteilhaft erweisen, wenn ein Übertragen dieser sehr großen Datenmengen von sicherheitsrelevanten Daten 3 nicht gleichzeitig über sowohl die erste Netzwerkverbindung 5 als auch in redundanter Weise über die zweite Netzwerkverbindung 7 erfolgt.Such switching from the first network connection 5 to the second network connection 7, as regards 2 and 3 described is particularly advantageous if the lowest possible capacity utilization of the respective network connection(s) in the physical network 2 is desired or required and this requirement is more important or has higher priority than a quick switchover to the second network connection 7 or as a almost uninterrupted transmission of safety-related data 3. This is the case, for example, when very large amounts of safety-related data 3 are to be transmitted between the first and second network participants 10, 14. In such a case, it can prove to be advantageous if these very large amounts of safety-relevant data 3 are not transmitted simultaneously via both the first network connection 5 and redundantly via the second network connection 7 .

Während in 2 für das erste virtuelle Netzwerk 4 und für das zweite virtuelle Netzwerk 6 zwei unterschiedliche virtuelle Netzwerke verwendet werden, wird hingegen in 3 beispielhaft für das erste virtuelle Netzwerk 4 und für das zweite virtuelle Netzwerk 6 dasselbe virtuelle Netzwerk verwendet.while in 2 two different virtual networks are used for the first virtual network 4 and for the second virtual network 6, however, in 3 used as an example for the first virtual network 4 and for the second virtual network 6 the same virtual network.

Wie bereits hinsichtlich 1 beschrieben, kann die Diagnoseeinheit 20 zusätzlich zum Schritt des Überprüfens ferner zweckmäßigerweise eingerichtet sein, im Falle eines festgestellten nicht störungsfreien Übertragens der sicherheitsrelevanten Daten 3 über die erste Netzwerkverbindung 5 das Umschalten auf die zweite Netzwerkverbindung 7 zu initiieren. Die Diagnoseeinheit 20 kann alternativ auch ein Ergebnis ihrer Überprüfung an eine weitere Einheit, beispielsweise eine Steuereinheit (nicht dargestellt), des zweiten Netzwerkteilnehmers 14 übermitteln, woraufhin diese dann ein entsprechendes Umschalten initiiert.As already regarding 1 described above, in addition to the step of checking, the diagnostic unit 20 can also be expediently set up to initiate switching to the second network connection 7 in the event that it is determined that the safety-related data 3 is not being transmitted without errors via the first network connection 5 . Alternatively, the diagnosis unit 20 can also transmit a result of its check to a further unit, for example a control unit (not shown), of the second network subscriber 14, whereupon this then initiates a corresponding switchover.

Im Falle des Feststellens eines nicht störungsfreien Übertragens der sicherheitsrelevanten Daten 3 zwischen dem ersten und zweiten Netzwerkteilnehmer 10, 14 über die erste Netzwerkverbindung 5 kann das System 1 zum Durchführen des erfindungsgemäßen Verfahrens dazu eingerichtet sein, ein Reaktionssignal an eine mit dem physikalischen Netzwerk 2 verbundene zentrale Einheit 22 auszusenden, wie in 3 beispielhaft gezeigt. Die zentrale Einheit 22 kann von dem System 1 umfasst sein, kann aber auch zum Austausch von Informationen mit diesem verbunden sein. Insbesondere ist die zentrale Einheit 22 gemäß 3 mit der Diagnoseeinheit 20 des zweiten Netzwerkteilnehmers 14 verbunden, sodass die Diagnoseeinheit 20 beispielsweise ein Ergebnis ihrer Überprüfung an die zentrale Einheit 22 übermitteln kann. Die zentrale Einheit 22 kann beispielsweise basierend auf dem empfangenen Reaktionssignal eine Ferndiagnose der jeweils vorliegenden Störung und/oder eine Fernwartung durchführen. Ferner kann die zentrale Einheit 22 beispielsweise Aktualisierungen innerhalb des ersten und/oder zweiten Netzwerkteilnehmers 10, 14 durchführen oder auch einen erneuten Aufbau der ersten Netzwerkverbindung 5 zwischen dem ersten und dem zweiten Netzwerkteilnehmer 10, 14 veranlassen. An die zentrale Einheit 22 übermittelte Diagnosedaten bzgl. der vorliegenden Störung bei dem Übertragen der sicherheitsrelevanten Daten 3 können z.B. in einer Cloud gesammelt werden, wobei u.a. bei Verletzung einer vorab festgelegten Ausfallstatistik z.B. ein außer-Betrieb-Setzen des ersten und/oder zweiten Netzwerkteilnehmers 10, 14 erfolgen kann.If it is determined that the security-relevant data 3 is not being transmitted without interference between the first and second network participants 10, 14 via the first network connection 5, the system 1 for carrying out the method according to the invention can be set up to send a reaction signal to a central station connected to the physical network 2 to send out unit 22 as in 3 shown as an example. The central unit 22 can be included in the system 1, but can also be connected to it for the exchange of information. In particular, the central unit 22 according to 3 connected to the diagnostic unit 20 of the second network participant 14, so that the diagnostic unit 20 can, for example, transmit a result of its check to the central unit 22. The central unit 22 can, for example, based on the received reaction signal, carry out a remote diagnosis of the fault present and/or a remote maintenance. Furthermore, the central unit 22 can, for example, carry out updates within the first and/or second network subscriber 10, 14 or also cause the first network connection 5 to be set up again between the first and the second network subscriber 10, 14. The diagnostic data transmitted to the central unit 22 with regard to the present fault in the transmission of the safety-relevant data 3 can be collected, for example, in a cloud, with, among other things, a violation of a predetermined failure statistic, for example, a shutdown of the first and/or second network participant 10, 14 can take place.

Zusammenfassend schlägt die vorliegende Erfindung ein Verfahren sowie ein System zu dessen Durchführung vor, mit welchem nach einem Feststellen eines nicht störungsfreien Übertragens von sicherheitsrelevanten Daten zwischen einem ersten und zweiten Netzwerkteilnehmer über eine erste Netzwerkverbindung eines ersten virtuellen Netzwerks in einem physikalischen Netzwerk auf eine von der ersten verschiedene zweite Netzwerkverbindung eines zweiten virtuellen Netzwerks in dem physikalischen Netzwerk zum Übertragen dieser sicherheitsrelevanten Daten umgeschaltet werden kann. Damit verbundene Vorteile sind insbesondere eine deutlich verbesserte bzw. erhöhte Verfügbarkeit des Systems, da die Datenverbindung zwischen erstem und zweitem Netzwerkteilnehmer weiterhin zumindest für begrenzte Zeit aufrechterhalten werden kann. Die im Rahmen der Erfindung gefundene Lösung ist ohne großen Kostenaufwand umsetzbar und kann auch bei großen Datenmengen von sicherheitsrelevanten Daten eingesetzt werden.In summary, the present invention proposes a method and a system for its implementation, with which, after it has been determined that security-relevant data has not been transmitted without interference between a first and second network participant via a first network connection of a first virtual network in a physical network to one of the first different second network connection of a second virtual network in the physical network can be switched to transmit this security-related data. Advantages associated with this are, in particular, a significantly improved or increased availability of the system, since the data connection between the first and second network participants can continue to be maintained, at least for a limited time. The solution found within the scope of the invention can be implemented without great expense and can also be used with large data volumes of safety-relevant data.

BezugszeichenlisteReference List

22: physikalisches Netzwerkphysical network
33: sicherheitsrelevante Datensafety-related data
44: erstes virtuelles Netzwerkfirst virtual network
55: erste Netzwerkverbindungfirst network connection
66: zweites virtuelles Netzwerksecond virtual network
77: zweite Netzwerkverbindungsecond network connection
88th: virtuelles Netzwerkvirtual network
99: weitere Netzwerkverbindungfurther network connection
1010: erster Netzwerkteilnehmerfirst network participant
1212: Netzwerkteilnehmernetwork participant
1414: zweiter Netzwerkteilnehmersecond network participant
1616: Netzwerkteilnehmernetwork participant
1818: dritter Netzwerkteilnehmerthird network participant
2020: Diagnoseeinheitdiagnostic unit
2222: zentrale Einheitcentral unit

Claims

Method for transmitting data over a physical network (2) for industrial controls, which comprises a plurality of network participants (10, 12, 14, 16, 18), wherein in the event that safety-related data (3) between at least a first and second network participants (10, 14, 18) from the plurality of network participants (10, 12, 14, 16, 18) are to be transmitted, the method has the following steps: - Transmission of this security-relevant data (3) between the first and the second network participant (10, 14) at least via a first network connection (5) of a first virtual network (4) in the physical network (2), - Check whether the transmission of the security-related data (3) via the first network connection (5) takes place without interference; - if it is determined that transmission via the first network connection (5) is not error-free, switching to a second network connection (7), different from the first, of a second virtual network (6) in the physical network (2) for transmitting this security-relevant data (3 ) between the first and second network participants (10, 14).

procedure after claim 1 , characterized in that - for the transmission of this security-relevant data (3) between the at least first and second network subscribers (10, 14, 18) exclusively the network subscribers (10, 14, 18) provided for this transmission an access authorization for the respective virtual network (4, 6, 8) is issued, in particular by a control authority or by one of these at least first and second network participants (10, 14, 18), and/or - that at least the first virtual network (4) is only for the If security-related data (3) is to be transmitted between the at least first and second network participants (10, 14, 18) from the plurality of network participants (10, 12, 14, 16, 18), it is set up.

procedure after claim 1 , or 2, characterized in that in addition to the step of transmitting the security-relevant data (3) between the first and the second network participant (10, 14) via the first network connection (5) of the first virtual network (4), a transmission of this security-relevant data (3) between the first and the second network participant (10, 14) via the second network connection (7) of the second virtual network (6) in the physical network (2), the second virtual network (6) preferably only in the event that safety-relevant data (3) are to be transmitted between the at least first and second network participants (10, 14, 18) from the plurality of network participants (10, 12, 14, 16, 18).

procedure after claim 1 or 2 , characterized in that the second network connection (7) only in the case of determining a non-interference transmission of the safety-relevant Ten data (3) is established via the first network connection (5).

Method according to one of the preceding claims, characterized in that if it is determined that the safety-relevant data (3) has not been transmitted without interference, a reaction signal is sent to a central unit (22) connected to the physical network (2).

Method according to one of the preceding claims, characterized in that the checking with regard to the interference-free transmission of the security-relevant data (3) is carried out by at least one of the network participants (10, 14) involved in this transmission, in which case a non-interference-free Transmission of the safety-relevant data (3) the switchover to the second network connection (7) is initiated by the network subscriber (10, 14) that ascertained, in particular by the first to ascertain.

Method according to one of the preceding claims, characterized in that the same virtual network is used for the first virtual network (4) and for the second virtual network (6) or two different virtual networks are used.

Method according to one of the preceding claims, characterized in that parallel to the transmission of the safety-relevant data (3) via the first and/or second network connection (5, 7), this or also further safety-relevant data (3) is transmitted between one of the first and second network participants ( 10, 14) and a third network participant (18) via a further network connection (9) of a virtual network (4, 6, 8) in the physical network (2).

Method according to the preceding claim, characterized in that for the further network connection (9) of the virtual network (4, 6, 8) in the physical network (2) the first virtual network (4) or the second virtual network (6) or another virtual network (8) is used.

System (1) for performing the method according to any one of Claims 1 until 9 , wherein the system (1) comprises a physical network (2) for industrial controls with a plurality of network participants (10, 12, 14, 16, 18), wherein at least a first and second network participant (10, 14, 18) from the A plurality of network participants (10, 12, 14, 16, 18) are set up to transmit security-related data (3), and wherein the system (1) - is set up for transmitting this security-related data (3) between the first and second network participants (10, 14) at least via a first network connection (5) of a first virtual network (4) in the physical network (2), - has a diagnostic unit (20) for checking whether the transmission of this security-relevant data (3) via the first network connection (5) takes place without interference, and is also set up, in the event that it is determined that transmission via the first network connection (5) is not without interference to a second network connection (7), different from the first, of a second virtual network (6) in the physical network (2) switch.