DE10361194A1 - Sicherheitsnetzwerk mit Phantomadressinformation - Google Patents

Sicherheitsnetzwerk mit Phantomadressinformation Download PDF

Info

Publication number
DE10361194A1
DE10361194A1 DE10361194A DE10361194A DE10361194A1 DE 10361194 A1 DE10361194 A1 DE 10361194A1 DE 10361194 A DE10361194 A DE 10361194A DE 10361194 A DE10361194 A DE 10361194A DE 10361194 A1 DE10361194 A1 DE 10361194A1
Authority
DE
Germany
Prior art keywords
message
security
network
address
error detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10361194A
Other languages
English (en)
Other versions
DE10361194B4 (de
Inventor
Anthony Gerard New Berlin Gibart
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rockwell Automation Technologies Inc
Original Assignee
Rockwell Automation Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rockwell Automation Technologies Inc filed Critical Rockwell Automation Technologies Inc
Publication of DE10361194A1 publication Critical patent/DE10361194A1/de
Application granted granted Critical
Publication of DE10361194B4 publication Critical patent/DE10361194B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Nachrichten in einem Industriesteuerungssystem hoher Zuverlässigkeit sind mit Sicherheitsadressen assoziiert, wodurch durch fehlgeleitete Nachrichten verursachte Fehler verhindert werden. Die Sicherheitsadresse wird allerdings nicht mit der Nachricht übertragen, stattdessen werden lediglich die Daten der Nachricht und ein Fehlerdetektionscode ausgesendet, der auf einer Kombination aus den Daten und der Sicherheitsadresse basiert. Bei einem empfangenden Knoten ist eine erwartete Sicherheitsadresse mit den Daten der Nachricht verknüpft, und der übertragene Fehlerkorrekturcode wird mit dieser Kombination verglichen, um die richtige Adressierung der Nachricht zu bestätigen. Auf diese Weise wird die Netzwerkkapazität verbessert.

Description

  • Hintergrund der Erfindung
  • Die Erfindung betrifft Industriesteuerungen, die zur Echtzeitsteuerung industrieller Prozesse verwendet werden, und sie betrifft insbesondere hoch zuverlässige Industriesteuerungen, die zur Verwendung in Gerätschaften geeignet sind, welche dazu dienen sollen, die Gesundheit und das Leben von Menschen zu schützen.
  • Industriesteuerungen sind Spezialzweckrechner, die zur Steuerung industrieller Prozesse eingesetzt werden. Unter der Leitung einer gespeicherten Steuerprogramms überprüft eine Industriesteuerung eine Reihe von Eingaben, die den Zustand des gesteuerten Prozesses reflektieren, und ändert eine Reihe von Ausgaben, die den industriellen Prozess steuern. Die Eingaben und Ausgaben können binär sein, das heißt ein oder aus, oder sie können analog sein, also einen Wert innerhalb eines kontinuierlichen Bereiches vorsehen. Die Eingaben können von Sensoren gewonnen werden, die an dem gesteuerten Prozess angebracht sind, und die Ausgaben können Signale für Aktoren am gesteuerten Prozess sein.
  • "Sicherheitssysteme" sind Systeme, die die Sicherheit von Menschen gewährleisten sollen, die in der Umgebung eines industriellen Prozesses arbeiten. Solche Systeme können, ohne darauf beschränkt zu sein, Elektronik enthalten, die Not-aus-Tastern, Verriegelungsschaltern und Maschinenaussperrungen zugeordnet ist.
  • Sicherheitssystemen wurden ursprünglich durch fest verdrahtete Sicherheitsrelais implementiert, können aber jetzt unter Verwendung einer speziellen Klasse hoch zuverlässiger Industriesteuerungen konstruiert werden. "Hoch zuverlässig" bezieht sich im allgemeinen auf Systeme, die gegen die Ausbreitung von fehlerhaften Daten oder Signalen bis zu einem vorbestimmten hohen Grad an Wahrscheinlichkeit, der durch sicherheitstechnische Zertifizierungsstandards definiert ist, einen Schutz vorsehen. Eine solche hohe Zuverlässigkeit wird dadurch erreicht, daß Fehler- oder Störungszustände detektiert werden und in einen vorbestimmten Störungszustand eingetreten wird. Hoch zuverlässige Systeme können von hoch verfügbaren Systemen unterschieden werden, jedoch kann die Erfindung in beiden derartigen Systemen nützlich sein, und deswegen sollte die hier vorgenommene Bezugnahme auf hoch zuverlässige Systeme nicht so aufgefaßt werden, daß dadurch hoch verfügbare Systeme ausgeschlossen wären.
  • Eine hoch zuverlässige Industriesteuerung kann separate Komponenten der Steuerung mit einem seriellen Hochgeschwindigkeitsnetzwerk verbinden. In diesem Fall müssen auch die Netzwerke eine hohe Zuverlässigkeit vorsehen, und sie müssen insbesondere Vorkehrungen dafür haben, daß sowohl Fehler in Netzwerknachrichten (beispielsweise verursacht durch elektrische Störung) als auch Fehler im Ziel der Nachrichten (beispielsweise Übermittlung richtiger Nachrichten an ein falsches Gerät) detektiert werden.
  • Das zuletzt angesprochene Problem fehlgeleiteter Nachrichten kann man dadurch angehen, daß für jedes kommunizierende Paar von Geräten eine eindeutige Sicherheitsadresse vorgesehen wird. In der US-Patent-Anmeldung 09/667,145, angemeldet am 21. September 2000, übertragen auf den Rechtsnachfolger der vorliegenden Erfindung und hiermit durch Inbezugnahme eingeschlossen, ist ein System beschrieben, bei dem jede Nachricht eine eindeutige "Sicherheitsadresse" enthält. Während einer Initialisierung des Netzwerkes wird jedes Gerät mit einer Liste von "legalen" Sicherheitsadressen von demjenigen Nachrichten versehen, die das Gerät empfangen soll. Wenn dann später eine besondere Nachricht von dem Gerät empfangen wird, wird die Sicherheitsadresse dieser Nachricht mit den gespeicherten legalen Sicherheitsadressen verglichen. Wenn keine Übereinstimmung vorliegt, wird unterstellt, daß die vorgegebene Nachricht fehlgeleitet worden ist.
  • Das Hinzufügen einer Sicherheitsadresse zu jeder Nachricht erhöht die Nachrichtenlänge und vermindert dadurch die Kapazität des Netzwerks. Diese verminderte Kapazität kann die Ansprechzeit der Industriesteuerung nachteilig beeinträchtigen und/oder zusätzliche die Zuverlässigkeit fördernde Maßnahmen begrenzen, die man der Nachricht hinzufügen könnte, um auf andere Weise die Zuverlässigkeit zu verbessern.
  • Eine Alternative bestände darin, spezielle Hardware und Firmware zwischen dem Sender und dem Empfänger zu verwenden, die ohne die Notwendigkeit für eine Sicherheitsadresse eine inhärente hohe Zuverlässigkeit hat. Eine solche spezielle Hardware und Firmware kann teuer sein und kann die Vorteile der existierenden Netzwerkinfrastruktur nicht ausnutzen.
  • Kurze Darlegung der Erfindung
  • Die Erfindung bietet den Vorteil einer Sicherheitsadresse, ohne daß es erforderlich wäre, die Nachrichtenlänge zu vergrößern und spezielle Hardware und Firmware zwischen dem Sender und dem Empfänger zu verwenden. Dies wird erreicht durch das Benutzen einer "Phantom"-Sicherheitsadresse, die von der Nachricht abgeleitet werden kann, jedoch nicht in der Nachricht enthalten ist.
  • Insbesondere ist jedes Gerät am Netzwerk so vorkonfiguriert, daß es legale Sicherheitsadressen für Nachrichten kennt, die das Gerät senden und empfangen will. Vor dem Aussenden einer Nachricht auf das Netzwerk werden die Sicherheitsadresse und die Daten für die Nachricht kombiniert, und es wird ein Fehlerdetektionscode berechnet, der beide abdeckt. Die Sicherheitsadresse wird dann aus der Nachricht entfernt, und es werden lediglich die Daten und der Fehlerdetektionscode ausgesandt. Beim Empfang der Nachricht fügt der Empfangsknoten eine erwartete Sicherheitsadresse den empfangenen Daten hinzu und vergleicht den empfangenen Fehlerdetektionscode mit dieser Kombination aus erwarteter Sicherheitsadresse und Daten. Eine Nichtübereinstimmung zeigt eine fehlgeleitete Nachricht an, ohne daß die tatsächliche Sicherheitsadresse übertragen worden ist.
  • Die vorliegende Erfindung sieht speziell ein Verfahren zum Bereitstellen eines hoch zuverlässigen Netzwerks vor, das kommunizierende Knoten miteinander verbindet. Jeder Knoten ist mit einer erwarteten Sicherheitsadresse für Nachrichten versehen, die er empfangen sollte. Bei aussendenden Knoten wird ein Fehlerdetektionscode berechnet, der eine Kombination aus auszusendenden Daten und einer Sicherheitsadresse abdeckt, und es wird eine Nachricht ausgesendet, die die Daten und den Fehlerdetektionscode ohne die Sicherheitsadresse enthält. Bei einem empfangenden Knoten wird der Fehlerdetektionscode der Nachricht mit einem Testfehlerdetek tionscode verglichen, der aus der Kombination der Daten der Nachricht berechnet wird. Falls der Testfehlerdetektionscode mit dem Fehlerdetektionscode der Nachricht nicht übereinstimmt, wird unterstellt, daß die Nachricht fehlgeleitet worden ist.
  • Es ist somit ein Ziel der Erfindung, ein Verfahren zum Erfassen von fehlgeleiteten Nachrichten vorzusehen, bei dem das Aussenden von längerer Adressinformation nicht erforderlich ist.
  • Das Verfahren kann man bei einem Standardseriennetzwerk anwenden, das auch eine Adresse an die Nachrichten hängt.
  • Es ist somit ein weiteres Ziel der Erfindung, eine Technik vorzusehen, die im Tandembetrieb mit Standardnetzwerkprotokollen arbeiten kann und keine Modifikation dieser Netzwerkprotokolle benötigt. Auf diese Weise kann man bereits bestehende Netzwerkhardware benutzen. Die Schritte der vorliegenden Erfindung kann man im allgemeinen durch Software ausführen, die Daten modifiziert, bevor sie von Standardnetzwerkschnittstellenschaltungen auf das Netzwerk ausgesendet werden.
  • Jeder Knoten kann mit mehreren erwarteten Sicherheitsadressen versehen werden, beispielsweise für unterschiedliche Netzwerkverbindungen, und er kann auf der Grundlage der Adresse, die durch das Standardnetzwerkprotokoll hinzugefügt worden ist, oder durch eine Indexzahl, die in den Daten der Nachricht enthalten ist, eine Auswahl unter den erwarteten Sicherheitsadressen treffen.
  • Es ist somit eine weiteres Ziel der Erfindung, daß es dem vorliegenden Gerät gestattet ist, fehlgeleitete Nachrichten nicht nur zwischen unterschiedlichen Knoten zu identifizieren, sondern auch zwischen unterschiedlichen Verbindungen zwischen den selben Knoten.
  • Die Sicherheitsadresse kann eine Adresse des empfangenden Knotens, des sendenden Knotens oder einer Verbindung dazwischen sein.
  • Es ist somit ein weiteres Ziel der Erfindung, Flexibilität in der Auswahl des Typs der Sicherheitsadresse vorzusehen.
  • Bei der Detektion einer fehlgeleiteten Nachricht kann das Netzwerk in einen Sicherheitszustand eintreten.
  • Es ist somit ein weiteres Ziel der Erfindung, die Detektion von fehlgeleiteten Nachrichten zum Erfüllen von Sicherheitsanforderungen zu verwenden.
  • Diese besonderen Ziele und Vorteile mögen nur auf einige Ausführungsformen zutreffen, die unter die Ansprüche fallen, und definieren deshalb nicht den Schutzumfang der Erfindung.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist eine vereinfachte schematische Darstellung eines Netzwerks, das Knoten einer Industriesteuerung physikalisch verbindet, und zeigt Nachrichten, die von einem Knoten zu anderen übertragen werden;
  • 2 ist eine graphische Darstellung, die den Weg des Nachrichtenflusses zwischen einem Konfigurationswerkzeug und einem Netzwerk als Funktion der Zeit zeigt, wobei die Nachrichten dazu verwendet werden, um das Netzwerk gemäß der vorliegenden Erfindung zu konfigurieren; und
  • 3 ist ein Flußdiagramm, das die Übertragung einer Nachricht von einem aussendenden Knoten zu einem empfangenden Knoten zeigt, und zwar nach der Konfiguration von 2, unter Verwendung der vorliegenden Erfindung.
  • Detaillierte Beschreibung der bevorzugten Erfindung
  • Die Erfindung kann Teil eines "Sicherheitssystems" sein, das verwendet wird, um das Leben und Körperteile von Menschen in industrieller Umgebung zu schützen. Der Ausdruck "Sicherheit", wie er hier verwendet wird, soll nicht dafür stellvertretend stehen, daß die Erfindung einen industriellen Prozess sicher macht oder das andere Systeme einen unsicheren Betrieb hervorbringen. Die Sicherheit eines industriellen Prozesses hängt von einer Vielfalt von Umständen ab, die außerhalb der Reichweite der Erfindung liegen, einschließlich: Ausführung des Sicherheitssystems, Installation und Wartung der Komponenten des Sicherheitssystems sowie Kooperation und Trai ning der das Sicherheitssystem benutzenden einzelnen Personen. Obgleich die Erfindung hoch zuverlässig sein soll, sind alle physikalischen Systeme gegenüber Störungen anfällig, und gegenüber derartigen Störungen muß Vorsorge getroffen werden.
  • Es wird jetzt auf 1 Bezug genommen. Ein hoch zuverlässiges Industriesteuerungssystem 10 zum Implementieren eines Sicherheitssystems kann eine Anzahl von miteinander kommunizierenden Knoten 12a bis 12d enthalten, die über ein serielles Hochgeschwindigkeitsnetzwerk 14 Nachrichten 16 miteinander austauschen. Das Netzwerk 14 kann beispielsweise aus einem oder mehreren Standardnetzwerken gebildet sein, wie beispielsweise Ethernet, DeviceNet, ControlNet, FireWire oder FieldBus. Das Netzwerk 14 kann von einem Leitungsmittel aus Kupfer Gebrauch machen, das aus einem einzigen oder mehreren Leitern besteht, oder es kann von Faseroptik, drahtloser Kommunikationstechnologie oder anderen bekannten Alternativen Gebrauch machen. Derartige Netzwerke 14 gestatten es einem oder mehreren physikalischen Mitteln, jeden der Knoten 12 mit den Nachrichten zu verbinden, die durch in den Nachrichten enthaltenen Adressen geleitet werden. Das Netzwerk 14 kann ein externes Netzwerk, eine interne Rückebene oder dergleichen sein.
  • Unter Verwendung des Protokolls des Netzwerks 14 kann ein Hauptknoten 12a logische Verbindungen 18 mit anderen Knoten 12b bis 12d errichten, um Nachrichten 16 zu besonderen der anderen Knoten 12b bis 12d zu leiten. Die Knoten 12 können beispielsweise Komponenten des hoch zuverlässigen Industriesteuerungssystems 10 einschließlich von Eingabe- oder Ausgabeschaltungen und einer Zentralsteuerung sein. Im allgemeinen enthält jeder der Knoten 12 einen Prozessor zum Ausführen eines Sicherheitsprotokollprogramms der vorliegenden Erfindung und eine Standardnetzwerk-Schnittstelle (NIC), die zum Vorsehen einer Low-Level-Schnittstelle zwischen dem Knoten 12 und dem Netzwerk 14 benutzt wird.
  • In solchen Netzwerken 14 können Fehler auftreten, und zwar dahingehend, daß eine besondere Nachricht 16' fehlgeleitet wird, daß beispielsweise eine Nachricht 16' von einem Knoten 12d empfangen wird, für den die Nachricht nicht bestimmt war. Eine solche Fehlleitung kann durch eine Reihe von Gründen einschließlich Änderungen im Bitmuster auftreten, das die implizite Adresse der Nachricht 16' vorsieht, und zwar verursacht durch externe elektromagnetische Störung. Solche fehlgeleitete Nachrichten 16' können sonst nicht detektierbare Fehler hervorrufen und, wenn auf sie eingegangen wird, die Zuverlässigkeit des Systems unterminieren.
  • Bezugnehmend auf 1 und 2 macht sich die Erfindung vor dem Gebrauch des Netzwerks 14 einer Konfigurationsprozedur zu eigen, indem jeder Knoten (sendend oder empfangend) mit einer vorgespeicherten eindeutigen Sicherheitsadresse für jede Nachricht 16 versehen wird, so daß fehlgeleitete Nachrichten 16' detektiert werden können. Im Konfigurationsprozess sendet ein Konfigurationsterminal 20, das am Netzwerk 14 angebracht ist, eine Konfigurationsnachricht 22 an jeden der Knoten 12a bis 12d. Die Konfigurationsnachricht 22 enthält Konfigurationsdaten, wie es weiter unten noch beschrieben wird, und einen Sicherheitskonfigurationskonsistenzwert (SCCV), der die physikalischen Eigenschaften eines besonderen Knotens 12 in einer gleichsam oder höchst wahrscheinlich einzigartigen Art und Weise reflektiert. In dem bevorzugten Ausführungsbeispiel ist der SCCV-Wert eine Verbindung oder Verknüpfung aus einer Produktlieferidentifikationsnummer, einer Gerätetypennummer, einer Produktcodenummer und einer Seriennummer zusammen mit einem Fehlerdetektionscode. Der Fehlerdetektionscode kann beispielsweise ein im Stand der Technik bekannter zyklischer Redundanzcode (CRC) sein, der für die meisten Seriennetzwerkprotokolle verwendet wird.
  • Jede dieser Nummern ist für den besonderen Knoten 12 einzigartig und normalerweise von der Hardware des Knotens 12 lesbar. Die SCCV-Werte werden beim Zusammenfügen des Netzwerks 14 gesammelt und im Konfigurationsterminal 20 gespeichert.
  • Wenn die Konfigurationsnachricht 22 von den Knoten 12a bis 12d empfangen wird, berechnet der Knoten erneut seinen eigenen SCCV-Wert und vergleicht diesen mit dem SCCV-Wert der Konfigurationsnachricht 22. Liegt eine Übereinstimmung vor, wird der erneut berechnete SCCV zum Konfigurationsterminal 20 als Konfigurationsbestätigungsnachricht 24 zurückgegeben. Wenn die SCCV-Werte für die Konfigurationsnachricht 22 und Konfigurationsbestätigungsnachricht 24 übereinstimmen, ist die Konfiguration erfolgreich gewesen, und das Konfigurationsterminal 20 sendet eine Anwendungsnachricht 26 aus, die anzeigt, daß die Konfiguration angewendet wer den soll. Dies provoziert von den Knoten 12a bis 12d eine Anwendungsbestätigungsnachricht 28. Wird das Bestätigungssignal innerhalb eines vorbestimmten Zeitintervals nicht empfangen, wir die anhängige Konfiguration durch eine zusätzliche Nachricht vom Konfigurationsterminal 20 gelöscht. Die Konfiguration muß erfolgreich vollendet sein, bevor das Netzwerk 14 für das hoch zuverlässige Industriesteuerungssystem 10 verwendet werden kann. Dieser Prozess stellt sicher, daß zwischen den logischen und physikalischen Geräten eine eins-zu-eins Abbildung oder ein eins-zu-eins Mapping vorliegt.
  • Mit Vollendung des Konfigurationsprozesses kann eine Anzahl logischer Verbindungen zwischen den Knoten 12a bis 12d eröffnet werden. Alternativ kann die Konfiguration zur Zeit der Erstellung der Standardnetzwerkverbindungen zwischen den Knoten 12a bis 12d erfolgen. In diesem Fall enthält die Konfigurationsnachricht 22 auch Information, die zum Erstellen der Netzwerkverbindung erforderlich ist, und zwar einschließlich beispielsweise der Größe der beabsichtigten Nachricht auf der Verbindung und einer vorbestimmten periodischen Rate oder Folge, in welcher Nachrichten auf der Verbindung erwartet werden.
  • Mit der Konfiguration des Netzwerks 14 und dem Eröffnen von Verbindungen zwischen den Knoten 12 ist jeder der Verbindungen zwischen den Knoten 12 eine eindeutige Sicherheitsadresse zugeordnet. Die Sicherheitsadresse kann beispielsweise aus einer eindeutigen Nummer, die dem sendenden Knoten 12 zugeordnet ist, und einer Verbindungsnummer, die für den sendenden Knoten 12 eindeutig ist, gebildet sein. Wenn vereint, erzeugen diese Nummern eine eindeutige Sicherheitsadresse innerhalb des hoch zuverlässigen Industriesteuerungssystems 10. Alternativ kann die Sicherheitsadresse die Adresse des empfangenden Knotens 12 kombiniert mit einer Verbindungsseriennummer oder irgendeine andere eindeutige Kombination sein. Unter Bezugnahme auf 3 können mehrere Sicherheitsadressen 34' in jedem empfangenden Knoten 12 in einer legalen Sicherheitsadresstabelle 30 gespeichert sein.
  • Es wird jetzt auf 1 und 3 Bezug genommen. Während des Betriebs des hoch zuverlässigen Industriesteuerungssystems 10 werden Sicherheitsdaten 36 von einem sendenden Knoten 12a zu einem empfangenden Knoten 12b in einer Nachricht 16 übertragen. Jeder Nachricht 16 ist eine besondere logische Verbindung 18 (gezeigt in 1) zugeordnet, die zwischen den Knoten 12 und 12' in der oben beschriebenen Weise erstellt wird.
  • Beim sendenden Knoten 12a wir die Sicherheitsadresse 34 oder die besondere Verbindung 18 identifiziert. Die Sicherheitsadresse 34 wird mit den Sicherheitsdaten 36 verknüpft, und ein Sicherheitsfehlerdetektionscode 38 wird auf der Basis der Kombination berechnet. Der Sicherheitsfehlerdetektionscode 38 wird von einem Generator 40 erzeugt, der in Hardware oder Software implementiert sein kann.
  • Der Fehlerdetektionscode (EDC) 38 ist im allgemeinen eine Zahlenfolge, beispielsweise ein zyklischer Redundanzcode (CRC) oder eine andere komprimierte Darstellung des vom Generator 40 empfangenen Arguments. Der Sicherheitsfehlerdetektionscode 38 sieht eine komprimierte Darstellung der kombinierten Sicherheitsadresse 34 und Sicherheitsdaten 36 vor, und wird normalerweise verwendet, und kann in diesem Fall auch so verwendet werden, daß zu einer späteren Zeit der Sicherheitsfehlerdetektionscode 38 mit der Kombination aus Sicherheitsadresse 34 und Sicherheitsdaten 36 verglichen werden kann, um in der Kombination aus Sicherheitsadresse 34 und Sicherheitsdaten 36 Fehler zu erkennen und, in einigen Fällen zu korrigieren. Diese Fehler können durch elektrische Störung mit den Signalen auf dem Netzwerk 14 verursacht werden, so daß eine Binärdarstellung von einer "Eins" auf eine "Null" oder umgekehrt umschalten kann.
  • Wie man sehen wird, sieht der Sicherheitsfehlerdetektionscode 38 auch eine effektive Übertragung von Information bezüglich der Sicherheitsadresse 34 vor, die das Nichtaussenden der Sicherheitsadresse 34 auf das Netzwerk 34 gestattet. Folglich wird die Sicherheitsadresse 34 von den Sicherheitsdaten 36 und vom Sicherheitsfehlerdetektionscode 38 beim sendenden Knoten 12a abgestreift, und es werden lediglich die Sicherheitsdaten 36 und der Sicherheitsfehlerdetektionscode 38 bei der Netzwerkschnittstellenschaltung (NIC) 42 des aussendenden Knotens 12a bereit gestellt.
  • Die NIC 42 nimmt eine weitere Modifikation der Sicherheitsdaten 36 und des Sicherheitsfehlerdetektionscode 38 gemäß den besonderen Anforderungen des Protokolls des Netzwerks 14 vor. Obgleich solche Netzwerkprotokolle sich voneinander unterscheiden, fügt die NIC 42 im allgemeinen eine zusätzlichen Netzwerkfehlerdetektionscode, das heißt einen zyklischen Redundanzcode (CRC) 44, der als sein Argument die Sicherheitsdaten 36 und den Sicherheitsfehlerdetektionscode 38 hat, der Sicherheitsnachricht 16 hinzu. Die NIC 42 kann auch einen Verbindungsidentifizierer 46, der eine Low-Level-Adresse für die Sicherheitsnachricht 16 vorsieht, unter dem Protokoll des Netzwerks 14 hinzufügen.
  • Bei Empfang der Sicherheitsnachricht 16 durch die Netzwerkschnittstellenschaltung (NIC) 42' wird der CRC 44 mit dem Argument von der Sicherheitsnachricht 16 verglichen, und, falls Übereinstimmung vorliegt, werden die Sicherheitsdaten 36 und der Sicherheitsfehlerdetektionscode 38 an den Puffer 52 weitergegeben, der in Hardware oder durch das in Software arbeitende Sicherheitsprotokollprogramm vorgesehen ist. Der Verbindungsidentifizierer 46' kann für das Sicherheitsprotokollprogramm durch irgendeinen einer Anzahl von Mechanismen verfügbar gemacht werden, und er wird vom Sicherheitsprotokollprogramm als ein Index für die legale Sicherheitsadresstabelle 30 verwendet, um auf diese Weise eine erwartete Sicherheitsadresse 34' für die empfangene Sicherheitsnachricht 16 zu identifizieren.
  • Die erwartete Sicherheitsadresse 34' wird mit den Sicherheitsdaten 36 verknüpft und zum Generator 40' weitergeleitet, der einen erwarteten Sicherheitsfehlerdetektionscode 56 erzeugt, der mit dem tatsächlichen Sicherheitsfehlerdetektionscode 38 mittels eines Komparators 60 verglichen wird. Falls eine Übereinstimmung auftritt, werden die Sicherheitsdaten 36 zum Steuerprogramm weiter geleitet. Tritt keine Übereinstimmung auf, kann das hoch zuverlässige Industriesteuerungssystem 10 in einen Sicherheitszustand eintreten, der im allgemeinen ein Abschalten von Teilen oder des gesamten hoch zuverlässigen Industriesteuerungssystems 10 gemäß den vordefinierten Sicherheitszuständen für seine Eingänge und Ausgänge vorsieht.
  • Somit ist verständlich gemacht, daß die Vorteile, eine Sicherheitsadresse oder eine Adresse in jeder Nachricht zu haben ohne tatsächliche Übertragung der Sicherheitsnachricht selbst gewonnen werden können. Der Sicherheitsfehlerdetektionscode 38 sieht effektiv eine komprimierte Darstellung der Information in der Sicherheitsadresse 34 vor. Das Ausmaß an Kompression kann man so einstellen, daß der notwendige Grad an Zuverlässigkeit erreicht wird.
  • Es sei besonders darauf hingewiesen, daß die vorliegende Erfindung nicht auf die hierin erläuterten Ausführungsbeispiele und Illustrationen beschränkt ist, sondern modifizierte Formen dieser Ausführungsbeispiele einschließlich Teilen dieser Ausführungsbeispiele und Kombinationen von Elementen von unterschiedlichen Ausführungsbeispielen umfaßt, sofern sie innerhalb des Schutzumfangs der folgenden Ansprüche liegen. So könnte beispielsweise die Funktion des Sicherheitsfehlerkorrekturcode in mehrere Fehlerkorrekturcodes aufgebrochen sein, und es könnte eine Vielfalt von unterschiedlichen Fehlerkorrekturcodekompressionssystemen verwendet werden.
  • Zusammenfassend sind Nachrichten in einem hoch zuverlässigen Industriesteuerungssystem mit Sicherheitsadressen assoziiert, die Fehler verhindern, welche durch fehlgeleitete Nachrichten verursacht werden. Die Sicherheitsadresse wird allerdings nicht mit der Nachricht übertragen, sondern statt dessen werden lediglich die Daten der Nachricht und ein Fehlerdetektionscode ausgesendet, der auf einer Kombination aus den Daten und der Sicherheitsadresse beruht. Bei einem empfangenden Knoten wird eine erwartete Sicherheitsadresse mit den Daten der Nachricht verknüpft, und der ausgesendete Fehlerkorrekturcode wird mit dieser Kombination verglichen, um eine richtige Adressierung der Nachricht zu bestätigen. Auf diese Weise wird die Netzwerkkapazität verbessert.

Claims (19)

  1. Verfahren zum Erzeugen eines hoch zuverlässigen Netzwerks, das kommunizierende Knoten miteinander verbindet, welches Verfahren die Schritte umfaßt: a) Versehen jedes Knotens mit einer erwarteten Sicherheitsadresse für Nachrichten, die er empfangen sollte; b) Berechnen eines Fehlerdetektionscode bei einem Knoten, der eine Nachricht auf das Netzwerk aussendet, wobei der Fehlerdetektionscode eine Kombination aus vom Knoten auszusendenden Daten und aus einer Sicherheitsadresse abdeckt, und Aussenden der Daten und des Fehlerdetektionscode als die Nachricht auf das Netzwerk ohne die Sicherheitsadresse; und c) Auswerten einer Übereinstimmung zwischen dem Fehlerdetektionscode der Nachricht und einer Kombination aus den Daten der Nachricht und der erwarteten Sicherheitsadresse bei einem die Nachricht vom Netzwerk empfangenden Knoten, um eine fehlgeleitete Nachricht zu detektieren.
  2. Verfahren nach Anspruch 1, enthaltend die Schritte der Formatierung der Nachricht für das Aussenden und den Empfang auf einem Standardseriennetzwerk, wobei das Formatieren an die Nachricht eine zweite Adresse anfügt, die dem Standardseriennetzwerk zugeordnet ist.
  3. Verfahren nach Anspruch 2, bei dem der Schritt (a) jeden Knoten mit mehreren erwarteten Sicherheitsadressen versieht und bei dem der Knoten, der die Nachricht empfängt, eine erwartete Sicherheitsadresse aus einem Satz von erwarteten Sicherheitsadressen auf der Grundlage der zweiten Adresse auswählt.
  4. Verfahren nach Anspruch 2, bei dem das Standardseriennetzwerk Kommunikationen über eine Anzahl logischer Verbindungen vorsieht und bei dem die zweiter Adresse eine eindeutige Nummer einer Verbindung ist, über die die Nachricht empfangen wird.
  5. Verfahren nach Anspruch 1, bei dem die Sicherheitsadresse den Knoten identifiziert, der die Nachricht empfängt.
  6. Verfahren nach Anspruch 1, bei die Sicherheitsadresse den Knoten identifiziert, der die Nachricht aussendet.
  7. Verfahren nach Anspruch 1, bei dem das Netzwerk ein Standardseriennetzwerk ist, das Kommunikationen über eine Anzahl logischer Verbindungen vorsieht, und die Sicherheitsadresse eine Verbindung identifiziert.
  8. Verfahren nach Anspruch 1, bei dem das Netzwerk ausgewählt ist aus der Gruppe bestehend aus: Ethernet, DeviceNet, ControlNet, FireWire oder FieldBus.
  9. Verfahren nach Anspruch 1, bei dem bei Detektion einer fehlgeleiteten Nachricht beim Schritt (c) das Netzwerk in einen Sicherheitszustand eintritt.
  10. Gerät zum Empfangen von Nachrichten auf einem Netzwerk hoher Zuverlässigkeit, welches Gerät umfaßt: eine Netzwerkschnittstelle, die mit dem Netzwerk verbunden ist, um Nachrichten von ihm zu empfangen, wobei die Nachrichten einen Fehlerdetektionscode und eine Datenmenge hoher Zuverlässigkeit enthalten; eine Speichereinrichtung zum Halten einer erwarteten Sicherheitsadresse für eine Nachricht; und eine mit der Netzwerkschnittstelle und der Speichereinrichtung kommunizierende Einrichtung zum Vergleichen des Fehlerdetektionscode einer empfangenen Nachricht mit einem berechneten Fehlerkorrekturcode, der aus einer Kombination der Datenmenge hoher Zuverlässigkeit der Nachricht und der erwarteten Sicherheitsadresse abgeleitet ist, um fehlgeleitete Nachrichten zu detektieren, wobei die fehladressierten Nachrichten ohne Empfang der Nachrichtenadresse hoher Zuverlässigkeit mit der Nachricht detektiert werden können.
  11. Gerät nach Anspruch 10, bei dem die Netzwerkschnittstelle eine Kommunikation mit einem Standardseriennetzwerk vorsieht, das ausgewählt ist aus der Gruppe bestehend aus: Ethernet, DeviceNet, ControlNet, FireWire oder FieldBus.
  12. Gerät nach Anspruch 10, bei dem die Netzwerkschnittstelle eine Fehlerdetektionsschaltung enthält, die auf einen zweiten Fehlerdetektionscode arbeitet, der der auf dem Netzwerk empfangenen Nachrichten angefügt ist.
  13. Gerät nach Anspruch 10, bei dem Speichereinrichtung mehrere erwartete Sicherheitsadressen hält und ferner eine Auswahleinrichtung aufweist, die eine der mehreren erwarteten Sicherheitsadressen zum Vergleich mit dem Fehlerdektionscode auswählt.
  14. Gerät nach Anspruch 10, enthaltend eine Einrichtung zum Eintritt in einen Sicherheitszustand bei der Detektion einer fehlgeleiteten Nachricht.
  15. Gerät zum Aussenden von Nachrichten auf einem Netzwerk hoher Zuverlässigkeit, wobei die Nachrichten einen Fehlerdetektionscode und Daten hoher Zuverlässigkeit enthalten, welches Gerät umfaßt: eine Speichereinrichtung zum Halten einer Sicherheitsadresse für eine Nachricht; eine Einrichtung zum Erzeugen eines Fehlerdetektionscode aus einer Kombination aus den Daten hoher Zuverlässigkeit und der Sicherheitsadresse; eine Netzwerkschnittstelle, die auf das Netzwerk eine Nachricht einschließlich des Fehlerdetektionscode und von Daten hoher Zuverlässigkeit ohne die Sicherheitsadresse aussendet; wodurch fehladressierte Nachrichten ohne Aussenden der Adresse der Nachricht hoher Zuverlässigkeit zusammen mit der Nachricht detektiert werden können.
  16. Gerät nach Anspruch 15, bei dem die Netzwerkschnittstelle eine Kommunikation mit einem Standardseriennetzwerk vorsieht, das ausgewählt ist aus der Gruppe bestehend aus: Ethernet, DeviceNet, ControlNet, FireWire oder FieldBus.
  17. Gerät nach Anspruch 15, bei dem die Netzwerkschnittstelle eine Fehlerdetektionsschaltung enthält, die einen zweiten Fehlerdetektionscode der Nachricht anfügt, die auf das Netzwerk ausgesendet wird.
  18. Gerät nach Anspruch 15, bei dem die Speichereinrichtung mehrere Sicherheitsadressen hält und ferner eine Auswahleinrichtung aufweist, die eine der mehreren Sicherheitsadressen in Abhängigkeit von der Bestimmung der Nachricht auswählt.
  19. Gerät nach Anspruch 15, enthaltend einen zugeordneten Empfänger mit Mitteln zum Detektieren einer fehlgeleiteten Nachricht beim Empfänger, um die Verbindung zum Sender zu unterbrechen, der dann zum Eintritt in einen Sicherheitszustand veranlaßt wird.
DE10361194.0A 2003-01-31 2003-12-24 Sicherheitsnetzwerk mit Phantomadressinformation Expired - Fee Related DE10361194B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10-357,168 2003-01-31
US10/357,168 US7076715B2 (en) 2003-01-31 2003-01-31 Safety network using phantom address information

Publications (2)

Publication Number Publication Date
DE10361194A1 true DE10361194A1 (de) 2004-08-05
DE10361194B4 DE10361194B4 (de) 2015-06-03

Family

ID=32681655

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10361194.0A Expired - Fee Related DE10361194B4 (de) 2003-01-31 2003-12-24 Sicherheitsnetzwerk mit Phantomadressinformation

Country Status (2)

Country Link
US (1) US7076715B2 (de)
DE (1) DE10361194B4 (de)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8042023B2 (en) * 2008-01-14 2011-10-18 Qimonda Ag Memory system with cyclic redundancy check
US8407478B2 (en) * 2009-07-07 2013-03-26 Mellanox Technologies Ltd. Control message signature for device control
US8365057B2 (en) * 2009-07-30 2013-01-29 Mellanox Technologies Ltd Processing of data integrity field
US8225182B2 (en) 2009-10-04 2012-07-17 Mellanox Technologies Ltd. Processing of block and transaction signatures
US11483127B2 (en) 2018-11-18 2022-10-25 Mellanox Technologies, Ltd. Clock synchronization
US11283454B2 (en) 2018-11-26 2022-03-22 Mellanox Technologies, Ltd. Synthesized clock synchronization between network devices
US10778406B2 (en) 2018-11-26 2020-09-15 Mellanox Technologies, Ltd. Synthesized clock synchronization between networks devices
US11543852B2 (en) 2019-11-07 2023-01-03 Mellanox Technologies, Ltd. Multihost clock synchronization
US11070304B1 (en) 2020-02-25 2021-07-20 Mellanox Technologies, Ltd. Physical hardware clock chaining
US12081427B2 (en) 2020-04-20 2024-09-03 Mellanox Technologies, Ltd. Time-synchronization testing in a network element
US11552871B2 (en) 2020-06-14 2023-01-10 Mellanox Technologies, Ltd. Receive-side timestamp accuracy
US11606427B2 (en) 2020-12-14 2023-03-14 Mellanox Technologies, Ltd. Software-controlled clock synchronization of network devices
US11588609B2 (en) 2021-01-14 2023-02-21 Mellanox Technologies, Ltd. Hardware clock with built-in accuracy check
US12111681B2 (en) 2021-05-06 2024-10-08 Mellanox Technologies, Ltd. Network adapter providing isolated self-contained time services
US12028155B2 (en) 2021-11-24 2024-07-02 Mellanox Technologies, Ltd. Controller which adjusts clock frequency based on received symbol rate
US11907754B2 (en) 2021-12-14 2024-02-20 Mellanox Technologies, Ltd. System to trigger time-dependent action
US11835999B2 (en) 2022-01-18 2023-12-05 Mellanox Technologies, Ltd. Controller which adjusts clock frequency based on received symbol rate
US11706014B1 (en) 2022-01-20 2023-07-18 Mellanox Technologies, Ltd. Clock synchronization loop
US11917045B2 (en) 2022-07-24 2024-02-27 Mellanox Technologies, Ltd. Scalable synchronization of network devices

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4932023A (en) * 1989-06-20 1990-06-05 International Business Machines Corporation Frame stripping protocol for early token release in a ring communication network
US6598454B2 (en) * 2001-07-30 2003-07-29 Bs&B Safety Systems, Inc. System and method for monitoring a pressurized system
US20030134591A1 (en) * 2002-01-17 2003-07-17 Roberts Mark Gary Digital remote signaling system
US6937415B2 (en) * 2002-02-04 2005-08-30 Hitachi Global Storage Technologies Netherlands B.V. Method and apparatus for enhanced data channel performance using read sample buffering

Also Published As

Publication number Publication date
DE10361194B4 (de) 2015-06-03
US7076715B2 (en) 2006-07-11
US20040153907A1 (en) 2004-08-05

Similar Documents

Publication Publication Date Title
DE10361194B4 (de) Sicherheitsnetzwerk mit Phantomadressinformation
EP3662601B1 (de) Konzept zum unidirektionalen übertragen von daten
DE69620615T2 (de) Rechnerverbindungssystem
DE69935604T2 (de) Gerät, Verfahren und System zur Steuerung und Überwachung von einem Tastatur-, Video- und Mausschaltsystem
EP2274655B1 (de) Verfahren, system und buskoppler zum austauschen von daten zwischen einem überlagerten und einem unterlagerten netzwerk
EP1789857B1 (de) Datenübertragungsverfahren und automatisierungssystem zum einsatz eines solchen datenübertragungsverfahrens
DE102006013578B4 (de) Verfahren und Steuer- und Datenübertragungsanlage zum Überprüfen des Einbauortes eines sicheren Kommunikationsteilnehmers
DE102005053103B4 (de) Verfahren sowie System zur Übertragung von zyklischen und azyklischen Daten
DE102019208058A1 (de) Fehlererkennung-Testeinrichtung für eine Teilnehmerstation eines seriellen Bussystems und Verfahren zum Testen von Mechanismen zur Fehlererkennung bei einer Kommunikation in einem seriellen Bussystem
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
EP2096799A1 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes
DE112015000240T5 (de) Schnittstellenschaltung mit Datenbusschnittstelle
EP1686732B1 (de) Verfahren und System zur Übertragung von Telegrammen
EP1469625B1 (de) Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten
DE102018221961A1 (de) Teilnehmerstation für ein serielles Bussystem und Verfahren zur Kommunikation in einem seriellen Bussystem
DE102004044764B4 (de) Datenübertragungsverfahren und Automatisierungssystem zum Einsatz eines solchen Datenübertragungsverfahrens
DE102019131823A1 (de) Automatisierungsnetzwerk und Verfahren zur Datenübertragung in einem Automatisierungsnetzwerk
EP1476987B1 (de) Lokales netzwerk, insbesondere ethernet-netzwerk mit redundanzeigenschaften sowie koppelgerät für ein derartiges netzwerk
EP1334589B1 (de) Datenübertragung
EP3987697B1 (de) Verfahren zum betreiben eines kommunikationsnetzwerks, kommunikationsnetzwerk und teilnehmer für ein kommunikationsnetzwerk
DE10252109B4 (de) Verfahren zur Parametrierung
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102009016972B4 (de) Kommunikationssystem zum dezentralen und autarken Überwachen und Steuern eines unterlagerten Bussystems
EP0500987B1 (de) Verfahren zum Erfassen von Kommunikationsendgeräteadressen in einer lokale Netze verbindenden Netzübergangseinrichtung
DE4007352C2 (de)

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8128 New person/name/address of the agent

Representative=s name: JUNG HML, 80799 MUENCHEN

R009 Remittal by federal patent court to dpma for new decision or registration
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee