DE4315710A1 - Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer - Google Patents

Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer

Info

Publication number
DE4315710A1
DE4315710A1 DE19934315710 DE4315710A DE4315710A1 DE 4315710 A1 DE4315710 A1 DE 4315710A1 DE 19934315710 DE19934315710 DE 19934315710 DE 4315710 A DE4315710 A DE 4315710A DE 4315710 A1 DE4315710 A1 DE 4315710A1
Authority
DE
Germany
Prior art keywords
automation system
target
source
information
systems
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19934315710
Other languages
German (de)
Inventor
Herbert Dipl Ing Barthel
Horst Dr Ing Daar
Hartmut Dipl Ing Schuetz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19934315710 priority Critical patent/DE4315710A1/en
Publication of DE4315710A1 publication Critical patent/DE4315710A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Each transmission system (1, 4) comprises two redundant partial systems (2, 2', 5, 5'), one of which provides the transmitted information and the other a test sum or signature. Both partial systems of the target automating system verify the transmitted information which is only accepted when it complies with both target verifications and the source identification verification. Pref. the automating systems incorporate counters for the information transmitted, the contents of the counter in the source automating system being transferred to the target automating system for checking reception of all information. USE - For high safety factor, preventing all transmission errors.

Description

Die vorliegende Erfindung betrifft ein Nachrichtenüber­ tragungsverfahren zum Übertragen von Nachrichten von einem fehlersicheren, aus mindestens zwei Teilsystemen bestehen­ den Quellautomatisierungssystem zu einem fehlersicheren, aus mindestens zwei Teilsystemen bestehenden Zielautomati­ sierungssystem, wobei die Automatisierungssysteme über ein Kommunikationssystem miteinander verbunden sind.The present invention relates to news about Transmission method for transmitting messages from one fail-safe, consist of at least two subsystems the source automation system to a fail-safe, Target automatics consisting of at least two subsystems sation system, with the automation systems over a Communication system are interconnected.

Bei derartigen Verfahren stellt sich das Problem, daß das Kommunikationssystem im Gegensatz zu den Automatisierungs­ systemen, oftmals aus Kostengründen nur einfach vorhanden ist. Andererseits müssen für manche Steuerungsaufgaben Nachrichten von einem fehlersicheren Quellautomatisierungs­ system zu einem fehlersicheren Zielautomatisierungssystem übertragen werden. Es stellt sich folglich das Problem, daß eine sichere Nachrichtenübertragung gewährleistet werden muß, obwohl die Kommunikationsleitung nur einfach vorhanden ist, auch mit dem Ziel, die mehrere Systeme übergreifende Kommunikation fehlersicher und zugleich hochverfügbar durch zweifache Anordnung zu gestalten.The problem with such methods is that the Communication system in contrast to the automation systems, often only available for cost reasons is. On the other hand, for some control tasks Messages from a fail-safe source automation system to a fail-safe target automation system be transmitted. The problem therefore arises that secure message transmission can be guaranteed must, although the communication line is only available is, also with the aim of spanning multiple systems Communication failsafe and at the same time highly available through two-fold arrangement.

Die Aufgabe wird durch ein Nachrichtenübertragungsverfahren mit folgenden Schritten gelöst:The task is accomplished through a messaging process solved with the following steps:

  • - Eine Nachricht wird von einem Teilsystem des Quellauto­ matisierungssystems an das Zielautomatisierungssystem übermittelt,- A message is from a subsystem of the source car automation system to the target automation system transmitted,
  • - vom anderen Teilsystem des Quellautomatisierungssystems wird anhand der zu übertragenden Nachricht eine Quell­ prüfkennung, z. B. eine Prüfsumme oder Signatur, er­ mittelt, - from the other subsystem of the source automation system becomes a source based on the message to be transmitted test identifier, e.g. B. a checksum or signature, he averages,  
  • - die Prüfkennung wird an das Zielautomatisierungssystem übermittelt,- The test identifier is sent to the target automation system transmitted,
  • - beide Teilsysteme des Zielautomatisierungssystems er­ mitteln anhand der übertragenen Nachricht eine Zielprüf­ kennung, wobei eine übertragene Nachricht nur dann als fehlerfrei empfangen gilt, wenn die von den Teilsystemen des Zielautomatisierungssystems ermittelten Zielprüf­ kennungen sowohl untereinander als auch mit der Quell­ prüfkennung übereinstimmen.- Both subsystems of the target automation system average a target test based on the transmitted message identifier, where a transmitted message only as Received error-free applies if that of the subsystems of the target automation system determined target test identifications both with each other and with the source check identifier match.

Dadurch wird zwar nicht gewährleistet, daß keine Übertra­ gungsfehler auftreten. Es wird aber gewährleistet, daß Übertragungsfehler bemerkt werden.This does not guarantee that no transfers errors occur. However, it is guaranteed that Transmission errors are noticed.

Wenn die Automatisierungssysteme einen Zähler für die Zahl der vom Quell- an das Zielautomatisierungssystem übertra­ genen Nachrichten mitführen und der Inhalt des Zählers des Quellautomatisierungssystems bei einer Nachrichtenübertra­ gung mit an das Zielautomatisierungssystem übertragen wird, kann erkannt werden, ob einzelne Nachrichten bei der Über­ tragung verlorengehen bzw. doppelt abgesetzt werden.If the automation systems have a counter for the number which transfers from the source to the target automation system carry the messages and the content of the counter of the Source automation system for a message transfer transfer to the target automation system, can be recognized whether individual messages in the over lost or double deducted.

Eine dauerhafte Störung des Kommunikationssystems kann er­ kannt werden, wenn in den Automatisierungssystemen die Zeit seit der letzten Nachrichtenübertragung überwacht wird und das Quellautomatisierungssystem spätestens nach Ablauf einer Wartezeit eine Nachricht an das Zielautomatisierungs­ system übermittelt.It can cause a permanent disruption to the communication system become known when time is in the automation systems has been monitored since the last message transmission and the source automation system at the latest after expiration a waiting time a message to the target automation system transmitted.

Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels. Da­ bei zeigt:Further advantages and details emerge from the following description of an embodiment. There at shows:

Fig. 1 ein Blockschaltbild. Fig. 1 is a block diagram.

Gemäß Fig. 1 besteht das Quellautomatisierungssystem 1 aus zwei identischen Teilsystemen 2, 2′, die über eine Kommuni­ kationsleitung 3 miteinander Informationen austauschen kön­ nen. Das Quellautomatisierungssystem 1 ist ein fehlersiche­ res Automatisierungssystem, das einen Teilprozeß eines Ge­ samtprozesses steuert.Referring to FIG. 1, the source automation system 1 of two identical subsystems 2, which s 2 'via a line 3 to each other communi cations exchange information Kgs. The source automation system 1 is a fail-safe automation system that controls a sub-process of an overall process.

Ebenso besteht das Zielautomatisierungssystem 4 aus zwei identischen Teilsystemen 5, 5′, die über eine Kommunika­ tionsleitung 6 miteinander Daten austauschen können. Auch das Zielautomatisierungssystem 4 ist ein fehlersicheres System, durch das ein anderer Teilprozeß des technischen Gesamtprozesses gesteuert wird. Die vier Teilsysteme 2, 2′, 5, 5′ sind an einen gemeinsamen Bus 7 angeschlossen. Der Bus 7 kann beispielsweise ein local area network (LAN) sein. Im Gegensatz zu den Teilsystemen 2, 2′, 5, 5′ ist der Bus 7 nur einfach vorhanden.Likewise, the target automation system 4 consists of two identical subsystems 5 , 5 ', which can exchange data with one another via a communication line 6 . The target automation system 4 is also a fail-safe system by which another sub-process of the overall technical process is controlled. The four subsystems 2 , 2 ', 5 , 5 ' are connected to a common bus 7 . The bus 7 can be a local area network (LAN), for example. In contrast to the subsystems 2 , 2 ', 5 , 5 ', the bus 7 is only available.

Um gefährliche Situationen zu vermeiden, muß bei einer Nachrichtenübertragung vom Quellautomatisierungssystem 1 zum Zielautomatisierungssystem 4 gewährleistet sein, daß keine Übertragungsfehler auftreten bzw. Übertragungsfehler mit Sicherheit bemerkt werden. Daher wird, wenn Nachrichten vom Quellautomatisierungssystem 1 zum Zielautomatisierungs­ system 4 oder umgekehrt übertragen werden sollen, folgendes Verfahren angewendet:In order to avoid dangerous situations, it must be ensured during a message transmission from the source automation system 1 to the destination automation system 4 that no transmission errors occur or transmission errors are noticed with certainty. Therefore, if messages are to be transmitted from the source automation system 1 to the destination automation system 4 or vice versa, the following procedure is used:

Die zu übertragende Nachricht wird vom Teilsystem 2 über die Kommunikationsleitung 3 an das Teilsystem 2′ über­ mittelt. Das Teilsystem 2′ ermittelt anhand der zu über­ tragenden Nachricht eine Quellprüfkennung. Die Quell­ prüfkennung kann z. B. eine Prüfsumme oder eine Signatur sein.The message to be transmitted is transmitted from the subsystem 2 via the communication line 3 to the subsystem 2 '. The subsystem 2 'uses the message to be transmitted to determine a source check identifier. The source check identifier can e.g. B. be a checksum or a signature.

Als nächstes sendet das Teilsystem 2 die zu übertragende Nachricht über den Bus 7 an das Zielautomatisierungssystem 4, wo die Nachricht von beiden Teilsystemen 5, 5′ empfangen wird. Ferner sendet das Teilsystem 2′ die Quellprüfkennung an das Zielautomatisierungssystem 4, wo die Prüfkennung ebenfalls von beiden Teilsystemen 5, 5′ empfangen wird.Next, the subsystem 2 sends the message to be transmitted via the bus 7 to the target automation system 4 , where the message is received by both subsystems 5 , 5 '. Furthermore, the subsystem 2 'sends the source test identifier to the target automation system 4 , where the test identifier is also received by both subsystems 5 , 5 '.

Die Teilsysteme 5, 5′ ermitteln anhand der übertragenen Nachricht eine Zielprüfkennung und vergleichen die Ziel­ prüfkennung mit der empfangenen Quellprüfkennung. Ferner tauschen die Teilsysteme 5, 5′ über die Kommunikations­ leitung 6 ihre Zielprüfkennungen aus und vergleichen sie miteinander. Nur wenn beide Zielprüfkennungen sowohl untereinander als auch mit der Quellprüfkennung überein­ stimmen, wird die übertragene Nachricht als fehlerfrei registriert. Ansonsten erfolgt eine Rückmeldung an das Quellautomatisierungssystem 1, daß die Nachricht fehlerhaft empfangen wurde.The subsystems 5 , 5 'determine a target check identifier on the basis of the transmitted message and compare the target check identifier with the received source check identifier. Furthermore, the subsystems 5 , 5 'exchange their target test identifiers via the communication line 6 and compare them with one another. The transmitted message is registered as error-free only if the two target check identifiers match both with one another and with the source check identifier. Otherwise there is a feedback to the source automation system 1 that the message was received incorrectly.

Anstelle des Teilsystems 2′ könnte selbstverständlich auch das Teilsystem 2 die Prüfkennung übertragen. Auch in diesem Fall muß die Prüfkennung aber vom Teilsystem 2′ ermittelt worden sein. Das Teilsystem 2 darf seine Prüfkennung nur dann senden, wenn sie mit der vom Teilsystem 2′ ermittelten übereinstimmt.'Could, of course, the subsystem 2 instead of the subsystem 2 transmit the test identifier. In this case, too, the test identifier must have been determined by subsystem 2 '. Subsystem 2 may only send its test identifier if it corresponds to that determined by subsystem 2 '.

Die Teilsysteme 2, 2′, 5, 5′ weisen Zähler 8, 8′, 9, 9′ auf. Die Inhalte der Zähler 8, 8′ werden jeweils vor dem Senden einer Nachricht von den Teilsystemen 2, 2′ um Eins erhöht. Der Inhalt der Zähler 8, 8′ ist Bestandteil der übertragenen Nachricht. Das Zielautomatisierungssystem 4 kann daher aus der empfangenen Nachricht erkennen, wieviele Nachrichten es vom Quellautomatisierungssystem 1 erhalten haben sollte. Dieser Zählerstand wird mit dem Inhalt der Zähler 9, 9′ verglichen, in denen abgespeichert ist, wie­ viele Nachrichten das Zielautomatisierungssystem 4 vom Quellautomatisierungssystem 1 tatsächlich erhalten hat. So kann auf einfache Weise festgestellt werden, wenn Nach­ richten auf dem Bus 7 verlorengehen bzw. verdoppelt werden. The subsystems 2 , 2 ', 5 , 5 ' have counters 8 , 8 ', 9 , 9 '. The contents of the counters 8 , 8 'are each increased by one before the subsystems 2 , 2 ' send a message. The content of the counter 8 , 8 'is part of the transmitted message. The target automation system 4 can therefore recognize from the received message how many messages it should have received from the source automation system 1 . This counter reading is compared with the content of the counter 9 , 9 ', in which is stored how many messages the target automation system 4 has actually received from the source automation system 1 . It can thus be determined in a simple manner if messages are lost or doubled on the bus 7 .

Ein weiterer Fehler, der auftreten kann, ist die Unterbre­ chung des Busses 7. Um eine solche Busunterbrechung recht­ zeitig bemerken zu können, überwachen die Automatisierungs­ systeme 1, 4 die Zeit seit der letzten Nachrichtenübertra­ gung. Spätestens nach Ablauf einer vorgegebenen Wartezeit wird erneut eine Nachricht vom Quell- an das Zielautomati­ sierungssystem oder zurück übermittelt. Wenn nach mehreren Versuchen keine Antwort erfolgt, wird angenommen, daß das Bussystem 7 unterbrochen ist. Die Automatisierungssysteme 1, 4 überführen daraufhin den gesteuerten Prozeß in einen sicheren Zustand.Another error that can occur is the interruption of the bus 7 . In order to be able to notice such a bus interruption in good time, the automation systems 1 , 4 monitor the time since the last message transmission. At the latest after a specified waiting time has elapsed, a message is again transmitted from the source to the target automation system or back. If there is no response after several attempts, it is assumed that the bus system 7 is interrupted. The automation systems 1 , 4 then convert the controlled process into a safe state.

Claims (3)

1. Nachrichtenübertragungsverfahren zum Übertragen von Nachrichten von einem fehlersicheren, aus mindestens zwei Teilsystemen bestehenden Quellautomatisierungssystem zu einem fehlersicheren, aus mindestens zwei Teilsystemen be­ stehenden Zielautomatisierungssystem, wobei die Automati­ sierungssysteme über ein Kommunikationssystem miteinander verbunden sind, mit folgenden Schritten:
  • - Eine Nachricht wird von einem Teilsystem des Quellauto­ matisierungssystems an das Zielautomatisierungssystem übermittelt,
  • - vom anderen Teilsystem des Quellautomatisierungssystems wird anhand der zu übertragenden Nachricht eine Quell­ prüfkennung, z. B. eine Prüfsumme oder Signatur, er­ mittelt,
  • - die Prüfkennung wird an das Zielautomatisierungssystem übermittelt,
  • - beide Teilsysteme des Zielautomatisierungssystems er­ mitteln anhand der übertragenen Nachricht eine Zielprüf­ kennung, wobei eine übertragene Nachricht nur dann als fehlerfrei empfangen gilt, wenn die von den Teilsystemen des Zielautomatisierungssystems ermittelten Zielprüf­ kennungen sowohl untereinander als auch mit der Quell­ prüfkennung übereinstimmen.
1. Message transmission method for transmitting messages from a fail-safe source automation system consisting of at least two subsystems to a fail-safe target automation system consisting of at least two subsystems, the automation systems being connected to one another via a communication system, with the following steps:
  • - A message is transmitted from a subsystem of the source automation system to the target automation system,
  • - From the other subsystem of the source automation system, a source check identifier, e.g. B. a checksum or signature, it averages,
  • the test identifier is transmitted to the target automation system,
  • - Both subsystems of the target automation system he determine a target test identifier based on the transmitted message, a transmitted message only being considered to be error-free if the target test identifiers determined by the subsystems of the target automation system match both with one another and with the source test identifier.
2. Nachrichtenübertragungsverfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Automatisierungssysteme einen Zähler für die Zahl der vom Quell- an das Zielautomatisierungssystem übertragenen Nachrichten mitführen und daß der Inhalt des Zählers des Quellautomatisierungssystems bei einer Nachrichtenübertra­ gung mit an das Zielautomatisierungssystem übertragen wird.2. Message transmission method according to claim 1, characterized in that the Automation systems a counter for the number of from Source transferred to the target automation system Carry messages and that the content of the counter of the Source automation system for a message transfer transfer to the target automation system. 3. Nachrichtenübertragungsverfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß in den Automatisierungssystemen die Zeit seit der letzten Nachrichtenübertragung überwacht wird und daß das Quell­ automatisierungssystem spätestens nach Ablauf einer War­ tezeit eine Nachricht an das Zielautomatisierungssystem übermittelt.3. Message transmission method according to claim 1 or 2, characterized in that in the Automation systems the time since the last  Communication is monitored and that the source automation system at the latest after the expiry of a war message to the target automation system transmitted.
DE19934315710 1993-05-11 1993-05-11 Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer Withdrawn DE4315710A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19934315710 DE4315710A1 (en) 1993-05-11 1993-05-11 Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19934315710 DE4315710A1 (en) 1993-05-11 1993-05-11 Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer

Publications (1)

Publication Number Publication Date
DE4315710A1 true DE4315710A1 (en) 1993-10-07

Family

ID=6487815

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19934315710 Withdrawn DE4315710A1 (en) 1993-05-11 1993-05-11 Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer

Country Status (1)

Country Link
DE (1) DE4315710A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19540069A1 (en) * 1995-10-27 1997-04-30 Elan Schaltelemente Gmbh Arrangement for the detection and / or processing of signals of electrical components that fulfill safety-related purposes or requirements for devices or systems
EP0977395A1 (en) * 1998-07-28 2000-02-02 Alcatel Method of secure monochannel transfer of data between nodes of a network, computer network and computer nodes

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19540069A1 (en) * 1995-10-27 1997-04-30 Elan Schaltelemente Gmbh Arrangement for the detection and / or processing of signals of electrical components that fulfill safety-related purposes or requirements for devices or systems
EP0977395A1 (en) * 1998-07-28 2000-02-02 Alcatel Method of secure monochannel transfer of data between nodes of a network, computer network and computer nodes

Similar Documents

Publication Publication Date Title
DE69829526T2 (en) System for the detection of trains
DE3201768C2 (en)
EP0214474B1 (en) Method and circuit arrangement for the transmission of data signals between control devices interconnected by a loop system
DE19831720A1 (en) Method for determining a uniform global view of the system status of a distributed computer network
WO2024002687A1 (en) Method for protecting a data connection
EP1024639A1 (en) Method and device for determining of a data transfer reliability
DE4428132C2 (en) Method for automatically checking a data transmission network
DE2701925A1 (en) VEHICLE CONTROL SYSTEM WITH HIGH RELIABILITY
DE2108496C3 (en) Circuit arrangement for the continuous functional control of the information processing and the output of data telegrams, in particular for process computer-controlled railway signal systems
DE4315710A1 (en) Information transmission procedure used between two automating systems - providing redundant partial systems verifying information at each end of transmission path for secure information transfer
EP1283468B1 (en) Central unit for a redundant automation system
EP0831007B1 (en) Train locating system
EP1469625A1 (en) Method and apparattus for packet oriented transmission of safety-relevant data.
EP1064590B1 (en) Shortened data message of an automation system
DE2912928C2 (en) Device for the transmission of binary coded information for the remote control of railway signal systems
DE602004007130T2 (en) ERROR IDENTIFICATION AND SUPPRESSION IN A TDMA-BASED NETWORK NODE
DE4210094A1 (en) Vehicle multiplex transmission system - with alteration of transmission repetition test bit at each node to indicate new transmission
EP0905623B1 (en) Method for exchanging data packets in a safe multicomputer system and multicomputer system for carrying out the same
DE10216920A1 (en) Checking monitoring function of bus system involves providing second time section after communications cycle in which no messages can be transmitted and in which monitoring function is checked
DE4021361A1 (en) Redundant data transmission system - performs fault detection by checking received data for switching to different transmission line
DE10252109B4 (en) Method for parameterization
DE2017853A1 (en) Tax procedures for securing information processing and transmission
EP0106985A2 (en) Operation monitoring of digital transmission links
EP1114533B1 (en) Method and device for monitoring signals in networking systems
EP1615374B1 (en) Method for transmitting and receiving event notifications

Legal Events

Date Code Title Description
OAV Applicant agreed to the publication of the unexamined application as to paragraph 31 lit. 2 z1
8139 Disposal/non-payment of the annual fee