TW202034659A - 通信監視裝置、通信監視方法及通信監視程式產品 - Google Patents

通信監視裝置、通信監視方法及通信監視程式產品 Download PDF

Info

Publication number
TW202034659A
TW202034659A TW108123759A TW108123759A TW202034659A TW 202034659 A TW202034659 A TW 202034659A TW 108123759 A TW108123759 A TW 108123759A TW 108123759 A TW108123759 A TW 108123759A TW 202034659 A TW202034659 A TW 202034659A
Authority
TW
Taiwan
Prior art keywords
communication
error
safety
determination
monitoring device
Prior art date
Application number
TW108123759A
Other languages
English (en)
Inventor
伊藤直輝
Original Assignee
日商三菱電機股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日商三菱電機股份有限公司 filed Critical 日商三菱電機股份有限公司
Publication of TW202034659A publication Critical patent/TW202034659A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通信監視裝置(20)取得根據對應至複數個錯誤種類的複數個錯誤判定條件之各者判定通信裝置(10)所接收之訊息的通信錯誤的判定結果,該複數個錯誤判定條件係對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件。通信監視裝置(20)基於判定結果判定複數個錯誤種類之各者的安全性並通知判定結果。

Description

通信監視裝置、通信監視方法及通信監視程式產品
本發明係關於監視通信裝置中之通信安全性的技術,其中該通信裝置執行用以實現功能安全標準中之安全通信的通信協定。
工廠自動化的領域當中,用以擔保工廠內之作業員安全的功能安全系統的構成要件其中之一是功能安全標準之國際標準IEC61784-3(非專利文獻1)所訂定的安全通信。在此,功能安全是指導入確保安全之功能而實現的可接受程度之安全。
安全通信中,稱為安全通信層(SCL:Safety Communication Layer)之上位通信層獨有地進行針對通信錯誤的對策。藉此,提供不依賴稱為黑通道(black channel)之下位通信層的高信賴度之通信手段。表示安全通信之信賴度的指標稱為SIL(Safety Integrity Level)。例如,為了達成SIL3,要求安全通信層具備之通信錯誤對策所無法檢出錯誤的比率(rate)小於10-9 /h(hour)。無法檢出錯誤之概率稱為殘餘錯誤率,將殘餘錯誤率設為每小時之比率者稱為殘餘錯誤比率。滿足功能安全標準之安全系統經設計以使得安全系統全部元件中發生危險故障之比率合計為目標值以下。安全通信中,發生危險故障之比率即為殘餘錯誤比率。
專利文獻1記載了提供對策表,該對策表規定通信中可能發生之失效現象、失效現象起因於故障或起因於安全性攻擊的原因確認方法、及對應的對策方法。專利文獻1記載,當檢出失效現象發生時,基於對策表中提供之確認方法判斷所檢出之失效現象的原因,並依據對應的對策方法作出對策。 〔先前技術文獻〕 〔專利文獻〕
〔專利文獻1〕日本特開2017-15276號公報 〔非專利文獻〕
〔非專利文獻1〕IEC61784-3 Edition 3.1 2017-08
〔發明所欲解決之課題〕
安全通訊中之殘餘錯誤比率之計算中所使用的設計值係在國際標準IEC61784-3中訂定。一些設計值採用固定值。然而,在特定錯誤經常發生的狀況下,會有系統在一些值超過設計值之狀態下進行運作的情況。此情況下,會有儘管實際上是殘餘錯誤比率超過目標值之狀態但系統作為殘餘錯誤比率未超過目標值者來運作的可能性。
專利文獻1並未記載對策表的具體建立方法,亦未記載確認安全通訊中之殘餘錯誤比率合計是否落在目標值以下。因此,即使使用專利文獻1所記載之技術,仍無法識別系統在殘餘錯誤比率超過目標值之狀態下進行運作。
本發明之目的是可在執行用以實現功能安全標準中之安全通信之通信協定的通信裝置中適當地監視通信安全性。 〔解決課題之手段〕
根據本發明之通信監視裝置包括:安全性判定部,其取得根據對應至複數個錯誤種類的複數個錯誤判定條件之各者判定通信裝置所接收之訊息的通信錯誤的判定結果,並基於該判定結果判定該複數個錯誤種類之各者的安全性,該複數個錯誤判定條件係對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件;以及通知部,其通知該安全性判定部所判定的結果。 〔發明之效果〕
本發明基於根據對應至用以實現安全通信之通信協定中所實施之錯誤對策的複數個判定條件之各者的判定結果,判定複數個錯誤種類之各者的安全性,並通知判定結果。藉此,可在執行用以實現功能安全標準中之安全通信之通信協定的通信裝置中適當地監視通信安全性。
實施型態1 ***準備*** 根據實施型態1的通信系統100中,用以實現功能安全標準中之安全通信的通信協定係安裝於至少一些通信裝置10中。在實施型態1中,使符合國際標準IEC61784-3之通信協定安裝於至少一些通信裝置10中。因此,作為說明通信系統100之前提,將說明國際標準IEC61784-3中訂定之安全通信中的殘餘錯誤比率的計算方法的基本概念。
國際標準IEC61784-3中,依據通信協定所實施的對應至錯誤種類之錯誤對策來計算殘餘錯誤比率。作為國際標準IEC61784-3中定義之通信錯誤之錯誤種類,係如以下所示。○毀損:訊息毀損。○非所欲之重複:訊息重複。○順序不正確:預定之序列不正確。○喪失:沒有接收到訊息。○不可接受之延遲:延遲超出所允許的到達時間範圍。○插入:接收來自非期望之傳送源或不明之傳送源的訊息。○欺騙:將並非安全通信之訊息接收作為安全通信之訊息。○定址:將訊息發送至不正確的接收者並視為正確。
作為國際標準IEC61784-3中定義之錯誤對策,係如以下所示。○序列號碼:隨每條訊息變化的號碼。○時間戳記:在訊息中包含基於時刻同步的時間戳記。○預期時間:確認連續訊息間之延遲是否超過預先定義之值。○連接認證:安全通信之傳送者及接收者其中至少一者具有獨特的識別符。○回饋訊息:發送用以確認訊息之接收的回饋訊息。○數據完整性保證:進行諸如基於散列函數(hash function)之檢查及冗餘檢查(CRC:Cyclic Redundancy Check)的檢查。○基於交叉檢查之冗餘化:傳送2次包含於訊息中之安全數據,並在2個訊息間檢查有效性。○不同數據完整性保證系統:在安全通信及非安全通信混合存在的情況下,進行各自不同的數據完整性保證。
用以實現安全通信之通信協定中,例如如圖1所示,訂定對應至各錯誤種類之通信錯誤的錯誤對策。圖1中,如以下所示訂定錯誤對策。○針對毀損,藉由數據完整性保證作出對策。○針對非所欲之重複,藉由時間戳記作出對策。○針對順序不正確,藉由時間戳記作出對策。○針對喪失,藉由時間戳記作出對策。○針對不可接受之延遲:藉由時間戳記及預期時間作出對策。○針對插入,藉由時間戳記作出對策。○針對欺騙,藉由連接認證及不同數據完整性保證系統作出對策。○針對定址,藉由連接認證作出對策。
國際標準IEC61784-3中,安全通訊中之殘餘錯誤比率係根據以下式1計算。 (式1)λSCL = λSC × m 在此,λSCL 係安全通信層的每小時之殘餘錯誤比率。λSC 係安全連接的每小時之殘餘錯誤比率。m係安全連接數。
λSC 係根據式2計算。 (式2)λSC = RRI + RRA + RRT + RRM 在此,RRI 係與數據完整性相關的每小時之殘餘錯誤比率。RRA 係與認證相關的每小時之殘餘錯誤比率。RRT 係與時效性相關的每小時之殘餘錯誤比率。RRM 係與欺騙相關的每小時之殘餘錯誤比率。
關於RRI 、RRA 、RRT 、及RRM 的計算方法根據通信協定而不同。在此,假設RRI 、RRA 、RRT 、及RRM 係根據以下之式計算。另外,通信協定可進一步採取特有對策。意即,從以下之式的值,可進一步計算考慮到特有對策之值。然而,在此按原樣使用以下之式的值。
(式3)RRI = RPI × v 在此,RRI 係與數據完整性相關的每小時之殘餘錯誤比率。RPI 係與數據完整性相關的殘餘錯誤率。v係每小時的安全通訊之訊息數。
(式4)RRA = RPI × 2-LA × RA 在此,RRA 係與認證相關的每小時之殘餘錯誤比率。RPI 係與數據完整性相關的殘餘錯誤率。LA係連接認證中使用之認證碼(A-Code)的位元長。RA 係不正確地配送安全通信之訊息的比率。在此,RA 為每個具有通信系統100之安全通信層的節點係10-3 /h。
(式5)RRT = 2-LT × w × RT 在此,RRT 係與時效性相關的每小時之殘餘錯誤比率。LT係時間戳記或序列號碼(T-Code)的位元長。w係接受之時間戳記或序列號碼的寬度。例如,若時間戳記僅1個值有效,則w為1。RT 係不正確地配送安全通信之訊息的比率。在此,RT 為每個具有通信系統100中包含之儲存及轉送功能的中繼節點係10-3 /h。
(式6)RRM = 2-r × 2-LA × 2-LT × w × RPU × RM 在此,RRM 係與欺騙相關的每小時之殘餘錯誤比率。r係CRC的位元長。LA係連接認證中使用之認證碼(A-Code)的位元長。LT係時間戳記或序列號碼(T-Code)的位元長。w係接受之時間戳記或序列號碼的寬度。RPU 係與依據具有獨特性之欄位進行適切之訊息區別相關的殘餘錯誤率。RM 係不正確地配送安全通信之訊息的比率。在此,RM 為每個不具有通信系統100之安全通信層的節點係10-3 /h。
如以上所示,在殘餘錯誤比率之計算當中,部分採用固定的設計值。因此,在特定錯誤種類之錯誤經常發生的狀況下,會有通信系統100在一些值超過設計值之狀態下進行運作的情況。例如,特定錯誤種類之錯誤經常發生的可能狀況包括低品質中繼機器所導致之配送延遲經常發生的狀況以及存在有廣範圍地傳送不安全隨機訊息之節點的狀況等。廣範圍地傳送訊息係例如廣播傳送。因此,在特定錯誤種類之錯誤經常發生的狀況下,會有通信系統100實際上在殘餘錯誤比率超過目標值之狀態下進行運作的可能性。
***構成之說明*** 參照圖2說明根據實施型態1之通信系統100的構成。通信系統100包括複數個通信裝置10、通信監視裝置20、及1個以上的中繼裝置30。複數個通信裝置10藉由諸如Ethernet(註冊商標)之通信路徑40透過中繼裝置30連接。複數個通信裝置10當中,至少一些通信裝置10實施作為安全通信層之SCL並安裝用以實現安全通信的通信協定。其餘的通信裝置10並未實施作為安全通信層之SCL。通信監視裝置20連接至實施SCL之至少一些通信裝置10。
圖2中,通信系統100包括通信裝置10A至通信裝置10F的6台通信裝置10。通信裝置10A至通信裝置10C的3台通信裝置10實施SCL並安裝用以實現安全通信的通信協定。其餘的通信裝置10D至通信裝置10F的3台通信裝置10並未實施SCL。此外,在通信裝置10A與通信裝置10B之間,用於安全通信之連接即安全連接係在SCL之間建立。實施SCL的通信裝置10A至通信裝置10C的3台通信裝置10當中,通信監視裝置20連接至建立有安全連接的通信裝置10A及通信裝置10B。具體而言,通信監視裝置20A連接至通信裝置10A,而通信監視裝置20B連接至通信裝置10B。
參照圖3說明根據實施型態1之通信裝置10及通信監視裝置20的硬體構成。圖3中,如圖2之通信裝置10A及通信裝置10B所示,表示連接通信監視裝置20的通信裝置10。另外,如通信裝置10C至通信裝置10F所示,即使是未連接通信監視裝置20之通信裝置10,通信裝置10之硬體構成亦與連接通信監視裝置20之通信裝置10相同。
通信裝置10包括運算裝置11、記憶裝置12、通信介面13之硬體。運算裝置11透過匯流排與其他硬體連接,並控制其他硬體。
通信監視裝置20包括運算裝置21、記憶裝置22、通信介面23之硬體。運算裝置21透過匯流排與其他硬體連接,並控制其他硬體。
運算裝置11及21係進行處理的IC(Integrated Circuit)。作為具體例,運算裝置11及21係CPU(Central Processing Unit)。
記憶裝置12及22係記憶數據之裝置。作為具體例,記憶裝置12及22係諸如SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)之記憶體。
通信介面13及23係用以與其他通信裝置10及通信監視裝置20及中繼裝置30之類的外部裝置進行通信的介面。作為具體例,通信介面13及23係Ethernet(註冊商標)之埠。
通信裝置10與通信監視裝置20透過通信介面13及匯流排及通信介面23連接。此外,通信裝置10彼此透過中繼裝置30及通信介面13及通信路徑40連接。
參照圖4說明根據實施型態1之通信監視裝置20的功能構成。通信監視裝置20包括作為功能構成元件的量測部211、通信錯誤判定部212、安全性判定部213、及通知部214。通信監視裝置20之各功能構成元件的功能係藉由軟體實現。記憶裝置22中儲存有實現通信監視裝置20之各功能構成元件的功能的程式。此程式由運算裝置21讀取並由運算裝置21執行。藉此,實現通信監視裝置20之各功能構成元件的功能。電腦程式產品不限於具外觀形式之物,其係載有電腦可讀取之程式者。
此外,記憶裝置22中記憶管理參數221、複數個錯誤判定條件222、及複數個安全判定條件223。
另外,對於通信裝置10及通信監視裝置20,內部構成可經多路複用,亦可就各構成元件具有用以自我診斷之功能。此外,雖然圖3中是通信監視裝置20連接至通信裝置10之外部的構成,但通信監視裝置20亦可設置於通信裝置10之內部。此外,通信監視裝置20之功能構成元件可作為軟體而安裝於通信裝置10。
***操作之說明*** 參照圖5至圖11說明根據實施型態1之通信監視裝置20的操作。根據實施型態1之通信監視裝置20的操作相當於根據實施型態1之通信監視方法。此外,根據實施型態1之通信監視裝置20的操作相當於根據實施型態1之通信監視程式的處理。
以下說明假設為在圖2中於SCL之間建立安全連接的通信裝置10A與通信裝置10B之間週期性地通信安全通信中所使用之訊息(SPDU:Safety Protocol Data Unit)的情況。
參照圖5說明根據實施型態1之SPDU的構成。SPDU包含認證碼(A-Code)、時間戳記(T-Code)、固定值(U-Code)、安全數據(Data)、及CRC。T-Code可以是序列號碼而非時間戳記。此外,對於A-Code及T-Code之至少任一者,各通信裝置10可隱含地共有其一部分或全體而不包含在SPDU中。
參照圖6說明根據實施型態1之管理參數221。管理參數221係SPDU之監視中所必要的1個以上之參數及值的組合。在此,管理參數221包含作為參數的殘餘錯誤比率(λSC )、位元錯誤率(Pe )、認證錯誤比率(RA )、時效性錯誤比率(RT )、欺騙錯誤比率(RM )、通信週期(v)、認證錯誤發生元件數(xA )、時效性錯誤發生元件數(xT )、欺騙錯誤發生元件數(xM )、及各種錯誤警告(ErrorI 、ErrorA 、ErrorT 、ErrorM )之基準。
管理參數221之值係由通信系統100之系統設計者等設定。各值係設定為安全通信之設計值或比設計值保守之值。圖6中,各值係如以下所示設定。○假設是以SIL3為目標之情況,則殘餘錯誤比率設定為10-9 。○根據IEC61784-3之指示,位元錯誤率設定為10-2 。○根據IEC61784-3之指示,認證錯誤比率及時效性錯誤比率及欺騙錯誤比率設定為每個發生元件係10-3 。○通信週期因系統而異,但在此設定為1ms(毫秒)。○各錯誤之發生元件數因系統而異。認證錯誤發生元件數係目標通信裝置10以外的實施SCL之通信裝置10的數目。認證錯誤發生元件數在圖2之構成中係通信裝置10C之1台。時效性錯誤發生元件數係具有儲存及轉送功能之中繼機器的數目。時效性錯誤發生元件數在圖2之構成中係交換器A及交換器B之2台。欺騙錯誤發生元件數係未實施SCL之通信裝置10的數目。欺騙錯誤發生元件數在圖2之構成中係通信裝置10D至通信裝置10F之3台。○各種錯誤警告係通知錯誤警告之條件。在此,就ErrorI 而言係設定為位元錯誤率就ErrorA 而言係設定為認證錯誤比率。就ErrorT 而言係設定為時效性錯誤比率。就ErrorM 而言係設定為欺騙錯誤比率。然而,不限於此,可設定為任意值。任意值可以是,例如,更保守的監視用之值,或者,以不超過所設計之殘餘錯誤比率的方式針對監視用途所分別設計的值。
參照圖7說明根據實施型態1之錯誤判定條件222。錯誤判定條件222是由通信系統100之系統設計者等設定的條件,並是用以判定SPDU是否對應至通信錯誤的條件。錯誤判定條件222對應於用以實現功能安全標準之安全通信的通信協定中所實施的錯誤對策而對複數個錯誤種類之各者進行設定。
例如,使採用之通信協定進行圖1所示的錯誤對策。在此情況下,如圖7所示,設定複數個錯誤判定條件222。錯誤判定條件222A係當進行SPDU之CRC檢查之結果為NG時判定是毀損或欺騙之通信錯誤的條件。錯誤判定條件222B係當進行認證碼檢查(A-Code檢查)之結果為NG時判定是欺騙或定址之通信錯誤的條件。錯誤判定條件222C係當進行時間戳記檢查(T-Code檢查)之結果為NG時判定是非所欲之重複、順序不正確、喪失、不可接受之延遲、及插入之任一者之通信錯誤的條件。錯誤判定條件222D係當進行固定值檢查(U-Code檢查)之結果為NG時判定是欺騙之通信錯誤的條件。錯誤判定條件222A至錯誤判定條件222C係從圖1所示的針對通信錯誤之對策的解釋導出。例如,由於數據完整性是藉由CRC檢查實現,若進行CRC檢查之結果為NG時,則有可能是對應至數據完整性保障的毀損之通信錯誤。此外,錯誤判定條件222D係從IEC61784-3之式的解釋導出。具體而言,如式6所示,在計算與欺騙相關的每小時之殘餘錯誤比率RRM 的時候,使用與依據具有獨特性之欄位進行適切之訊息區別相關的殘餘錯誤率RPU 。因此,若進行固定值檢查之結果為NG時,則有可能是欺騙之通信錯誤。
參照圖8說明根據實施型態1之安全判定條件223。安全判定條件223是由通信系統100之系統設計者等設定的條件,並是從基於錯誤判定條件222之判定結果來判定複數個錯誤種類之各者的安全性的條件。
例如,使設定圖7所示的錯誤判定條件222。在此情況下,如圖8所示,設定複數個安全判定條件223。安全判定條件223A係當相對於基準時間(在此為1小時)中所接收之SPDU件數的進行CRC檢查之結果為NG之件數比基準數A多時,判定是毀損或欺騙之錯誤種類的安全性低的狀態。在此,基準數A使用位元錯誤率Pe 。安全判定條件223B係當每基準時間當中進行認證碼檢查之結果為NG之件數比基準數B多時,判定是欺騙或定址之錯誤種類的安全性低的狀態。在此,基準數B使用認證碼錯誤比率RA 。安全判定條件223C係當每基準時間當中進行時間戳記檢查之結果為NG之件數比基準數C多時,判定是非所欲之重複、順序不正確、喪失、不可接受之延遲、及插入之任一者之錯誤種類的安全性低的狀態。在此,基準數C使用時效性錯誤比率RT 。安全判定條件223D係當每基準時間當中進行固定值檢查之結果為NG之件數比基準數D多時,判定是欺騙之錯誤種類的安全性低的狀態。在此,基準數D使用欺騙錯誤比率RM
參照圖9說明根據實施型態1之通信監視裝置20的操作。圖9所示之操作的前提為由通信系統100之系統設定者等將管理參數221及複數個錯誤判定條件222及複數個安全判定條件223設定於記憶裝置12中。在此,如圖6所示地設定管理參數221,如圖7所示地測定複數個錯誤判定條件222,並如圖8所示地設定複數個安全判定條件223。另外,作為設定錯誤條件222的前提,有必要決定在通信裝置10A與通信裝置10B之間使用的通信協定。
在此,說明連接至通信裝置10A之通信監視裝置20A監視通信監視裝置20A從通信裝置10B接收之SPDU的操作。
(步驟S11:量測處理) 量測部211取得通信裝置10A所接收之SPDU。在此,構成為通信裝置10A複製所接收之SPDU並轉送給通信監視裝置20A或者傳送給通信裝置10A之SPDU亦傳送給通信監視裝置20A。然後,量測部211量測所接收之SPDU的數目並同時量測運行安全通信的運行時間。量測部211將所量測之SPDU數及運行時間寫入至記憶裝置12。此外,在啟動通信監視裝置20而初次執行時,將關於各錯誤判定條件222的錯誤數(數據完整性錯誤數ErrorI 、認證錯誤數ErrorA 、時效性錯誤數ErrorT 、及欺騙錯誤數ErrorM )初始化為0。
(步驟S12:通信錯誤判定處理) 通信錯誤判定部212根據複數個錯誤判定條件222之各者進行通信裝置10A所接收之SPDU之通信錯誤的判定。
參照圖10進行具體說明。在步驟S121中,通信錯誤判定部212根據錯誤判定條件222A進行CRC檢查。若通信錯誤判定部212進行CRC檢查之結果為OK,則處理進入步驟S122。另一方面,若通信錯誤判定部212進行CRC檢查之結果為NG,則將數據完整性錯誤數ErrorI 加1並結束處理。在步驟S122中,通信錯誤判定部212根據錯誤判定條件222B進行認證碼檢查。若通信錯誤判定部212進行認證碼檢查之結果為OK,則處理進入步驟S123。另一方面,若通信錯誤判定部212進行認證碼檢查之結果為NG,則將認證錯誤數ErrorA 加1並結束處理。在步驟S123中,通信錯誤判定部212根據錯誤判定條件222C進行時間戳記檢查。若通信錯誤判定部212進行時間戳記檢查之結果為OK,則處理進入步驟S124。另一方面,若通信錯誤判定部212進行時間戳記檢查之結果為NG,則將時效性錯誤數ErrorT 加1並結束處理。在步驟S124中,通信錯誤判定部212根據錯誤判定條件222D進行固定值檢查。若通信錯誤判定部212進行固定值檢查之結果為OK,則結束處理。另一方面,若通信錯誤判定部212進行固定值檢查之結果為NG,則將欺騙錯誤數ErrorM 加1並結束處理。
(步驟S13:安全性判定處理) 安全性判定部213取得步驟S12中通信錯誤判定部212所判定之判定結果,並基於判定結果判定複數個錯誤種類之各者的安全性。
參照圖8進行具體說明。 (1)CRC檢查相關的安全狀態判定(安全判定條件223A) 根據安全判定條件223A,若安全性判定部213進行CRC檢查之結果為NG的件數比基準數A多,則判定是毀損或欺騙之錯誤種類的安全性低的狀態。在此,基準數A是位元錯誤率Pe 。例如,使所接收之SPDU為900個,而表示進行CRC檢查之結果為NG的ErrorI 為10件。在此情況下,由於10/900 = 0.01111大於位元錯誤率Pe = 10-2 (參照圖6),CRC檢查相關的安全狀態成為表示有毀損或欺騙之錯誤警告的對象。另外,嚴格來說,ErrorI 表示SPDU其中任一者之位元為錯誤,發生數據完整性錯誤。在本假設下,以SPDU為單位進行換算(即SPDU全部之位元皆算成是錯誤),相較於位元錯誤率Pe 是保守的。比較之值可由使用者針對監視用途分別設計。
(2)認證碼檢查相關的安全狀態判定(安全判定條件223B) 根據安全判定條件223B,若安全性判定部213進行每基準時間之認證碼檢查之結果為NG的件數比基準數B多,則判定是欺騙或定址之錯誤種類的安全性低的狀態。在此,基準數B是認證碼錯誤比率RA 。例如,使運行時間為100小時,運行時間中之ErrorA 為0。在此情況下,由於0/100 = 0小於認證碼錯誤比率RA = 10-3 × 1,認證碼檢查相關的安全狀態沒有成為表示有欺騙或定址之錯誤警告的對象。
(3)時效性碼檢查相關的安全狀態判定(安全判定條件223C) 根據安全判定條件223C,若安全性判定部213進行每基準時間之時間戳記檢查之結果為NG的件數比基準數C多,則判定是非所欲之重複、順序不正確、喪失、不可接受之延遲、及插入之任一者之錯誤種類的安全性低的狀態。在此,基準數C是時效性錯誤比率RT 。例如,使運行時間為100小時,運行時間中之ErrorT 為4。在此情況下,由於4/100 = 0.04大於時效性錯誤比率RT = 10-3 × 2,認證碼檢查相關的安全狀態成為表示有非所欲之重複、順序不正確、喪失、不可接受之延遲、及插入之任一者之錯誤警告的對象。
(4)固定值檢查相關的安全狀態判定(安全判定條件223D) 根據安全判定條件223D,若安全性判定部213進行每基準時間之固定值檢查之結果為NG的件數比基準數D多,則判定是欺騙之錯誤種類的安全性低的狀態。在此,基準數D是欺騙錯誤比率RM 。例如,使運行時間為100小時,而運行時間中之ErrorM 為1。在此情況下,由於1/100 = 0.01大於欺騙錯誤比率RM = 10-3 × 3,固定值檢查相關的安全狀態成為表示有欺騙之錯誤警告的對象。
(步驟S14:通知處理) 通知部214通知步驟S13中安全性判定部213所判定之結果。作為具體例,如圖11所示,通知部214將關於各安全判定條件223之資訊作為表格形式輸出至顯示裝置。圖11中,對安全判定條件223之各者,輸出對策、NG頻率、基準、警告、及NG時之主因候選。對策表示用以實現功能安全標準之安全通信的通信協定中所實施的錯誤對策。NG頻率表示錯誤判定條件222中判定為通信錯誤之頻率的計算方法。基準係是否成為錯誤警告對象的基準,表示與NG頻率對比的基準。警告表示是錯誤警告的對象(圖11中為×)或不是錯誤警告的對象(圖11中為○)。NG時之主因候選表示警示是關於何種錯誤種類的警告。通知部214可將資訊輸出至設置於通信監視裝置20中的顯示裝置,亦可將資訊輸出至透過通信路徑40所連接的外部顯示裝置。此外,不限於顯示,通知部214亦可藉由聲音等其他手段進行通知。
***實施型態1之效果***如以上所示,根據實施型態1之通信監視裝置20,依據對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件,判定通信裝置10所接收之訊息即SPDU的通信錯誤。然後,通信監視裝置20基於判定結果判定複數個錯誤種類之各者的安全性並通知。藉此,在特定錯誤經常發生的通信系統100之運作狀況下,可藉由參照警告而容易地實施識別並消除發生主因。因此,可在將殘餘錯誤比率抑制於目標值以內的狀態下運作通信系統100。
***其他構成*** <變形例1> 在實施型態1中,各功能構成元件係以軟體實現。然而,作為變形例1,各功能構成元件可用硬體實現。對於此變形例1,說明其與實施型態1不同的點。
在以硬體實現各功能構成元件的情況下,通信裝置10包括電子電路以取代運算裝置11及記憶裝置12。電子電路係實現各功能構成元件及記憶裝置12之功能的專用電路。
在以硬體實現各功能構成元件的情況下,通信監視裝置20包括電子電路以取代運算裝置21及記憶裝置22。電子電路係實現各功能構成元件及記憶裝置22之功能的專用電路。
作為電子電路,假設為單一電路、複合電路、程式化之處理器、平行程式化之處理器、邏輯IC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)。可用1個電子電路實現各功能構成元件,亦可將各功能構成元件分散至複數個電子電路來實現。
<變形例2> 作為變形例2,可以是一部分的各功能構成元件用硬體實現,其他的各功能構成元件用軟體實現。
運算裝置11及21以及電子電路稱為處理電路。意即,各功能構成元件的功能係藉由處理電路實現。
實施型態2 實施型態2與實施型態1不同的點在於通信監視裝置20計算殘餘錯誤比率及通知。在實施型態2中,說明其不同的點,並省略說明相同的點。
***操作之說明*** 參照圖12說明根據實施型態2之管理參數221。管理參數221與圖6所示之管理參數221不同的點在於追加殘餘錯誤比率之計算中必要的參數。具體而言,管理參數221追加殘餘錯誤比率tmpλSC 、數據完整性殘餘錯誤比率tmpRRI 、認證殘餘錯誤比率tmpRRA 、時效性殘餘錯誤比率tmpRRT 、欺騙殘餘錯誤比率tmpRRM 、認證碼長LA、時間戳記碼長LT、接受時間戳記寬度w、CRC碼長r、與固定值相關的殘餘錯誤率RPU 、數據完整性錯誤概率tmpRPI
殘餘錯誤比率tmpλSC 係運作時暫時性的殘餘錯誤比率。數據完整性殘餘錯誤比率tmpRRI 係運作時暫時性的與數據完整性相關之殘餘錯誤比率。認證殘餘錯誤比率tmpRRA 係運作時暫時性的與認證相關之殘餘錯誤比率。時效性殘餘錯誤比率tmpRRT 係運作時暫時性的與時效性相關之殘餘錯誤比率。欺騙殘餘錯誤比率tmpRRM 係運作時暫時性的與欺騙相關之殘餘錯誤比率。認證碼長LA係認證碼的長度,例如,在16bit之認證碼的情況下,認證碼長LA為16。時間戳記碼長LT係時間戳記碼的長度,例如,在16bit之時間戳記的情況下,時間戳記碼長LT為16。接受時間戳記寬度w係接受之時間戳記的寬度,例如,在時間戳記僅1個值有效的情況下,接受時間戳記寬度w為1。CRC碼長r係CRC碼的長度,例如,在CRC是32bit的情況下,CRC碼長r為32。固定值殘餘錯誤率RPU 係與固定值相關的殘餘錯誤率,例如,在沒有具有固定值之欄位的情況下,固定值殘餘錯誤率RPU 為1。另外,在欄位僅採用2位元之值當中1個的值(例如0b00)的情況下,固定值殘餘錯誤率RPU 為1/22 = 1/4。數據完整性殘餘錯誤概率tmpRPI 係運作時暫時性的數據完整性之殘餘錯誤概率。在此假設選擇適當的CRC多項式,數據完整性殘餘錯誤概率tmpRPI 為上限值之2-r 。另外,數據完整性殘餘錯誤概率tmpRPI ,由於值隨著諸如位元錯誤率及訊息長之資訊而不同,可考慮這些而採用嚴格的值。
參照圖9說明根據實施型態2之通信監視裝置20的操作。步驟S11及步驟S12的處理與實施型態1相同。
(步驟S13:安全性判定處理) 安全性判定部213,與實施型態1同樣地,根據各安全判定條件223判定各錯誤種類的安全性。然後,安全性判定部213使用根據各安全判定條件223判定各錯誤種類之安全性時所計算的值來計算殘餘錯誤比率tmpλSC
參照圖8進行具體說明。圖8中,作為示例,與CRC檢查相關的安全狀態tmpPe 為0.0111,與認證碼檢查相關的安全狀態tmpRA 為0,與時間戳記檢查相關的安全狀態tmpRT 為0.04,而與欺騙檢查相關的安全狀態tmpRM 為0.01。其中,與CRC檢查相關的安全狀態tmpPe 、與時間戳記檢查相關的安全狀態tmpRT 、及與欺騙檢查相關的安全狀態tmpRM 為比基準數多的狀態。安全性判定部213使用這些值及管裡參數221中所記憶的值來計算殘餘錯誤比率tmpλSC 。然後,安全性判定部213判定殘餘錯誤比率tmpλSC 是否抑制在目標值(圖12中為10-9 )內。
(步驟S14:通知處理) 通知部214,與實施型態1同樣地,通知步驟S13中安全性判定部213所判定之結果。此外,若在步驟S13中殘餘錯誤比率tmpλSC 未抑制在目標值內,則殘餘錯誤比率通知部214藉由進行對通信裝置10之安全通信層或安全應用的中斷通知而使通信系統100遷移至安全狀態。
***實施型態2之效果*** 如以上所示,根據實施型態2之通信監視裝置20計算殘餘錯誤比率mpλSC 並判定殘餘錯誤比率tmpλSC 是否抑制在目標值內。然後,若殘餘錯誤比率tmpλSC 未抑制在目標值內,則通信監視裝置20進行對通信裝置10的中斷通知。藉此,可防止仍是高殘餘錯誤比率之通信系統100繼續運作。
實施型態3實施型態3與實施型態1及實施型態2不同的點在於在通信裝置10之被誤構築通信監視裝置20。在實施型態3中,說明其不同的點,並省略說明相同的點。
***構成之說明*** 參照圖13說明根據實施型態3之通信裝置10的功能構成。通信裝置10包括作為通信監視裝置20之功能構成元件的量測部211、通信錯誤判定部212、安全性判定部213、及通知部214。此外,記憶裝置12中記憶管理參數221A及管理參數221B、錯誤判定條件222、及安全判定條件223。
安全通信層之SCL,為了計算殘餘錯誤比率,進行各錯誤種類之通信錯誤之判別中必要之參數的量測及計算。然後,取決於通信裝置10的構成,有SCL所得之參數係記憶於記憶裝置12中的情況。在此,實施型態3中,藉由SCL之功能實現通信監視裝置20所包括之功能構成元件當中的量測部211及通信錯誤判定部212。管理參數221當中為通信錯誤判定部212所必要的一些參數作為管理參數221A與錯誤判定條件222一起記憶於記憶裝置12中可參照SCL的區域中。然後,將剩餘之功能構成元件的安全性判定部213及通知部214追加至通信裝置10中。管理參數221當中為安全性判定部213所必要的一些參數作為管理參數221B與安全判定條件223一起記憶於記憶裝置12中。
***操作之說明*** 參照圖9說明根據實施型態3之通信裝置10的操作。步驟S11至步驟S14的處理由通信裝置10執行。此時,作為將步驟S12之判定結果從SCL傳送至安全性判定部213的方法,可使用單純用安全I/O(Input/Output)的通知。然而,亦可設置分別、專用的通信手段等。
***實施型態3之效果*** 如以上所示,在實施型態3中,通信裝置10包括通信錯誤的判定功能。藉此,可低成本地構築通信監視裝置20的功能。
此外,根據SCL,有可基於通信協定進行通信錯誤判定的情況。例如,有進行將時間戳記檢查NG時之主因限縮至非所欲之重複、順序不正確、喪失、不可接受之延遲、及插入之任一者的判定的情況。在此種情況中,可進行更具體的警告。
10:通信裝置 10A:通信裝置 10B:通信裝置 10C:通信裝置 10D:通信裝置 10E:通信裝置 10F:通信裝置 11:運算裝置 12:記憶裝置 13:通信介面 20:通信監視裝置 20A:通信監視裝置 20B:通信監視裝置 21:運算裝置 22:記憶裝置 23:通信介面 30:中繼裝置 40:通信路徑 100:通信系統 211:量測部 212:通信錯誤判定部 213:安全性判定部 214:通知部 221:管理參數 221A:管理參數 221A:管理參數 222:錯誤判定條件 223:安全判定條件 S11:步驟 S12:步驟 S13:步驟 S14:步驟 S121:步驟 S122:步驟 S123:步驟 S124:步驟
〔圖1〕係表示根據實施型態1的用以實現安全通信之通信協定中所實施之錯誤對策的例子的圖; 〔圖2〕係根據實施型態1的通信系統100的構成圖; 〔圖3〕係根據實施型態1的通信裝置10及通信監視裝置20的硬體構成圖; 〔圖4〕係根據實施型態1的通信監視裝置20的功能構成圖; 〔圖5〕係根據實施型態1的SPDU的構成圖; 〔圖6〕係根據實施型態1的管理參數221的說明圖; 〔圖7〕係根據實施型態1的錯誤判定條件222的說明圖; 〔圖8〕係根據實施型態1的安全判定條件223的說明圖; 〔圖9〕係根據實施型態1的通信監視裝置20的操作的流程圖; 〔圖10〕係根據實施型態1的通信錯誤判定處理的流程圖; 〔圖11〕係根據實施型態1的通知資訊的說明圖; 〔圖12〕係根據實施型態2的管理參數221的說明圖;及 〔圖13〕係根據實施型態3的通信裝置10及通信監視裝置20的功能構成圖。
10A:通信裝置
10B:通信裝置
10C:通信裝置
10D:通信裝置
10E:通信裝置
10F:通信裝置
20A:通信監視裝置
20B:通信監視裝置
30A:中繼裝置
30B:中繼裝置
40:通信路徑

Claims (6)

  1. 一種通信監視裝置,其包括:通信錯誤判定部,其根據關於複數個錯誤種類的複數個錯誤判定條件之各者,判定通信裝置所接收之訊息的通信錯誤,該複數個錯誤判定條件係對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件;安全性判定部,其基於由該通信錯誤判定部判定通信錯誤之判定結果,判定該複數個錯誤種類之各者的安全性;以及通知部,其通知由該安全性判定部判定安全性之結果。
  2. 如申請專利範圍第1項之通信監視裝置,其中該安全性判定部將該複數個錯誤種類之各者作為對象,對於對象錯誤種類,將判定該通信裝置在基準期間所接收之訊息的通信錯誤的該判定結果與該安全通信中之殘餘錯誤比率之計算中使用的參數當中對應至該對象錯誤種類的參數進行比較,以判定該對象錯誤種類的安全性。
  3. 如申請專利範圍第1或2項之通信監視裝置,其中,該安全性判定部基於該判定結果來計算該安全通信中之殘餘錯誤比率,且該通知部在該安全性判定部所計算之殘餘錯誤比率劣於基準比率的情況下進行通知。
  4. 如申請專利範圍第3項之通信監視裝置,其中該通知部在該殘餘錯誤比率劣於該基準比率的情況下對該通信裝置中實現該安全通信之安全通信層進行通知。
  5. 一種通信監視方法,其包括:通信錯誤判定部根據關於複數個錯誤種類的複數個錯誤判定條件之各者,判定通信裝置所接收之訊息的通信錯誤,該複數個錯誤判定條件係對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件;安全性判定部基於判定通信錯誤之判定結果,判定該複數個錯誤種類之各者的安全性;以及通知部通知判定安全性之結果。
  6. 一種通信監視程式產品,其使電腦運作為執行下列處理的通信監視裝置:通信錯誤判定處理,其根據關於複數個錯誤種類的複數個錯誤判定條件之各者,判定通信裝置所接收之訊息的通信錯誤,該複數個錯誤判定條件係對應至用以實現功能安全標準中之安全通信之通信協定中所實施之錯誤對策的複數個錯誤判定條件;安全性判定處理,其基於由該通信錯誤判定處理判定通信錯誤之判定結果,判定該複數個錯誤種類之各者的安全性;以及通知處理,其通知由該安全性判定處理判定安全性之結果。
TW108123759A 2019-03-07 2019-07-05 通信監視裝置、通信監視方法及通信監視程式產品 TW202034659A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/JP2019/009020 WO2020179050A1 (ja) 2019-03-07 2019-03-07 通信監視装置、通信監視方法及び通信監視プログラム
WOPCT/JP2019/009020 2019-03-07

Publications (1)

Publication Number Publication Date
TW202034659A true TW202034659A (zh) 2020-09-16

Family

ID=72338501

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108123759A TW202034659A (zh) 2019-03-07 2019-07-05 通信監視裝置、通信監視方法及通信監視程式產品

Country Status (2)

Country Link
TW (1) TW202034659A (zh)
WO (1) WO2020179050A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015109535A (ja) * 2013-12-04 2015-06-11 アズビル株式会社 通信機器およびエラー応答レベル切替方法
EP3023846A1 (en) * 2014-11-18 2016-05-25 Moog Unna GmbH Electromechanical drive system
JP6578224B2 (ja) * 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ

Also Published As

Publication number Publication date
WO2020179050A1 (ja) 2020-09-10

Similar Documents

Publication Publication Date Title
US9411677B2 (en) Method and system for detecting errors in the transfer of data from a transmitter to at least one receiver
US9063837B2 (en) Method and device for fault-tolerant, time-controlled real-time communication
US20190123908A1 (en) Arithmetic Device, Authentication System, and Authentication Method
US10728037B2 (en) Method for authenticating a field device of automation technology
US8949606B2 (en) Prevention of masquerade by using identification sequences
AU2014274577B2 (en) Transmission system error detection and correction system and method
AU2014274576B2 (en) Serial link fault detection system and method
EP3979527A1 (en) System and method of network synchronized time in safety applications
US20170139388A1 (en) Method for operating safety control and automation network having such safety control
Paulitsch et al. Coverage and the use of cyclic redundancy codes in ultra-dependable systems
CN108337069B (zh) 一种改进的降低误码率的末端并行分组crc校验系统
US20040059917A1 (en) System and method for authentication and fail-safe transmission of safety messages
US10862675B2 (en) Method for exchanging messages between security-relevant devices
TW202034659A (zh) 通信監視裝置、通信監視方法及通信監視程式產品
KR20200095401A (ko) 하나 이상의 투표자 엘리먼트들을 사용하여 데이터 사본들을 크로스 체크하는 장치 및 방법
US20150220755A1 (en) Solution for security, safe and time integrity communications in automotive environments
Zhou et al. Design and implementation of functional safety fieldbus communication protocol
CN114128180B (zh) 具有crc生成器的电子设备和用于将数据从电子设备传输至控制单元的方法
Morris et al. Critical Message Integrity Over A Shared Network
CN110532127B (zh) 一种差错校验位协议转换器
KR101389646B1 (ko) 통신 장치 및 통신 방법
CN111742300B (zh) 用于控制复杂电子组件的运行的方法和系统
CN115098367A (zh) 一种安全算法的测试方法、装置和设备
Black et al. Critical Message Integrity Over A Shared Network
Wołoszyk et al. Safe communication for railway transport using the example of axle counter