用于借助于以太网标准在机动车辆中传输安全相关数据的方法和控制设备与流程

本发明涉及用于借助于以太网标准、尤其以太网标准ieee802.3在机动车辆中传输安全相关数据的方法，所述以太网标准ieee802.3必要时结合标准ieee802.1q也被称作ieee802.3mac标记。在机动车辆中，经由至少一个也称作“交换机（switch）”或“桥接器（bridge）”的中间节点将安全相关数据从发送器传输到接收器。一般而言，发送器、接收器和中间节点是控制设备，所述控制设备承担数据传输的功能以及必要时附加的功能。

背景技术：

在用于传输的方法中规定，由发送器以以太网数据包发送安全相关数据，其中以太网数据包包括具有数据内容的以太网帧。数据内容包含通信信息和数据。

主要的通信信息是目标地址、发送器地址以及以太网类型，所述以太网类型描述以太网帧的有效载荷（也即其子协议）。其他数据包含安全相关数据的要传输的内容以及必要时控制字段、例如校验和。

在传输的范围内，所述中间节点或者每个中间节点接收以太网数据包，并且分析来自数据内容的至少一部分通信信息。目标地址、发送器地址和以太网类型尤其被读取，并且在进一步处理数据包时被考虑。进一步处理尤其根据所分析的通信信息来转发以太网数据包。

当接收器接收到以太网数据包并且分析来自数据内容的通信信息时，安全相关数据的传输结束。如果该接收器基于这些所分析的通信信息实际上是安全相关数据的接收器，那么来自数据内容的数据也被分析，因为安全相关数据的传输以此终止。在中间节点中、也即在安全相关数据的传输期间不发生这种内容上的分析。仅仅有错误的帧（crc错误）在这里将会已被丢弃。

上述的方法对应于如在http://standards.ieee.org下定义的并且通常可用的以太网标准ieee802.3。

本发明的背景是，以太网也越来越多地作为新的联网技术在汽车中被使用。代替以太网，目前在汽车中使用专有实时总线用于数据通信，所述总线由于期望的安全性引起通信网络的比较复杂的架构。为此，用作实时通信总线的flexray总线提供冗余的信道，用于提高故障安全性。

为了以太网能够替代目前在汽车中所使用的实时通信总线并且通过规模效应（skaleneffekte）导致总体上不太复杂的架构，以太网也必须支持用于实现冗余的功能。这尤其在未来的辅助功能方面有更重要的意义，因为所规划的辅助功能有时应当完全承担对车的控制。这需要通信信道上的相应的冗余和高的安全性。在此，不仅硬件（例如双重传感器、双重电缆敷设）而且软件（分布式虚拟系统）能够冗余地被设计。

如今以太网已经提供功能、例如stp（生成树协议（spanningtreeprotocol））和rstp（快速生成树协议（rapidspanningtreeprotocol）），以便如果通信路径例如由于不再起作用的线缆或链路而受到干扰，那么在网络中发现新的通信路径。这当然仅当在网络中另一通信路径在物理上可供使用时才是可能的。在这样的情况下，stp或者rstp协议允许在连续的运行中的快速切换。此外，在以太网应用的范围中，中继（trunking）功能被描述，以便捆绑线路。

但是由于以太网最初是针对另外的目的被开发的，所以以太网本来不提供通过当前汽车中的专有通信总线实现的故障安全性。

如果规划：在汽车中使用以太网作为主干（backbone）网络，那么解决方案是需要的，以便以太网也能够给当前系统提供用于冗余的可比的功能。否则此外必须动用专有现场总线，所述专有现场总线具有减少的功能范围，并且导致提高的复杂性和更多的成本。

当今在汽车中对于安全关键的系统所使用的所述专有现场总线的数据速率在可预见的未来将不再足够，因为所述数据速率对于当今在机动车辆中已经存在的系统已经达到了其容量极限。

传输中的错误在以太网中可能特别是通过以下方式出现，即由于缺乏的电磁兼容性（emv）、过载或其他影响，单独的数据包（以太网数据包）在任何时候丢失或者被伪造（verfälscht）。这在图1中示意性地示出，图1示出以太网数据包51在传输系统50中按照以太网标准的传输。传输在用作发送器的第一控制设备52和用作接收器的第二控制设备53之间发生。在传输路径54上，以太网数据包由于干扰55被损坏。由于所述损坏，已损坏的以太网数据包56在接收器53中不再能够被读取或者使用，并且必须被丢弃。

虽然以太网标准提供以非常高的概率识别这样的损坏的可能性，然而未提供原始数据的重建。虽然原则上可能的是，在接收到已损坏的以太网数据包56的情况下，接收器53在发送器52处重新请求丢失的或有缺陷的以太网数据包56。这例如可以通过tcp协议实现，然而其执行只有在接收器的后续处理层中进行，并且不可能直接地与数据传输相关联。此外在数据包重新被发出之前，需要从接收器53到发送器52的反向通信。即使协议、例如tcp或ip可以根据序列号识别缺乏的数据包并且重新请求，但是在安全关键的应用、例如制动过程情况下，用于构建冗余的这样的通信过程也可能需要太长时间。

此外，仅仅接收器能够识别数据包的缺乏并且在发送器处重新请求。用于转发以太网数据包的可能的中间节点可以不执行这一点，因为所述中间节点不在该层上工作。

技术实现要素：

以此为背景，本发明的任务在于，按照以太网标准以更加故障安全的方式设计通信，并且提供冗余通信。

通过具有权利要求1的特征的方法和具有权利要求8的特征的控制设备解决所述任务。此外，通过具有程序代码装置的计算机程序产品来解决按照本发明所提出的任务，所述程序代码装置适用于，当在控制设备的计算单元上执行时，设立所述计算单元用以在与另外的控制设备通信流程中执行相应的方法步骤。视控制设备操作而定，可以通过计算机程序产品在控制设备的计算单元中设置随后描述的功能的全部或其选择性选项。

按照本发明建议，在以太网帧的通信信息中传输安全相关数据的数据类型，与安全相关数据一起传输。这样的数据类型原则上可以在以太网标准中重新被定义。然而按照本发明特别优选地可能的是，使用在该标准中未定义的标志（kennung）作为这样的数据类型。每个中间节点在所接收的以太网数据包中鉴于安全相关数据的所述数据类型的存在对来自以太网帧的数据内容的通信信息进行检验，其中所述中间节点被设置用于将以太网数据包转发给接收器。只要在以太网帧的通信信息中包括安全相关数据的所述数据类型，那么每个中间节点至少一次、优选相同地复制所述以太网帧，并且在新的以太网数据包中发出经复制的以太网帧，或者分别在新的以太网数据包中发出经复制的以太网帧中的每一个。换句话说，这意味着，除了具有最初的以太网帧的所接收的和转发的以太网数据包外，至少一个具有优选相同地复制的以太网帧的新以太网数据包被传输。如果具有在内容上相同的以太网帧的两个以太网数据包中的一个以太网数据包在传输路径上丢失或被损坏的话，那么接收器可以从另一（或者在多于一个复制的情况下从另外的以太网数据包中的一个）以太网数据包中获得信息。数据类型的共同传输可以如此被理解，使得在为此所使用的数据字段中在以太网帧的通信信息的范围中传输数据类型的标志。由此实现例如对于自动驾驶或其他的安全关键的应用所需要的冗余。

按照所建议的方法的一种优选的改进方案，每个中间节点可以多次（也即多于一次）优选相同地复制以太网帧，并且分别在新的、单独的以太网数据包中发出以太网帧，其中所述以太网帧在通信信息中包含安全相关数据的所述数据类型。经复制的以太网帧的数量可以优选地是可参数化的。经复制的以太网帧的数量例如可以通过安全相关数据的不同的数据类型和/或通过利用具有在通信信息中包含的参数连同安全相关数据的数据类型被预先给定。数据的发送器尤其可以在对以太网帧进行组装（zusammenstellung）时进行这一点。但是也可设想的是，一个或多个控制设备以已知的方式监控传输的服务质量（qos）、尤其当前的数据包丢失率，并且传送给以太网节点、也即控制设备、例如发送器、接收器和/或中间节点。因此，发送器、但是必要时在传输路径中的中间节点之一或每个中间节点也基于所传送的qos、尤其所传送的当前数据包丢失率来给定经复制的以太网帧的数量。

本发明的按照本发明特殊的优点在于，对以太网标准扩展以太网类型或者数据包类型，所述以太网类型或者数据包类型对于安全相关数据设置特别处理。本发明的特殊方面是，在ieee标准中定义的帧、也即各个数据字段的长度和布置优选地不被改变。代替地，在一个或多个数据字段中定义用于表明安全相关数据的数据类型的新标志。定义可以被选择，使得所述定义不与根据ieee标准的标志相冲突。因为所述通信信息在传输路径上由每个以太网节点分析，所以一方面可以发生按照本发明所建议的数据包复制。另一方面，所述数据被其他以太网节点忽视，因为所述数据具有按照ieee标准不允许的标志，并且作为损坏的以太网数据包被丢弃。因此，系统是兼容的并且也可以在以下网络中被运行，所述网络除了安全相关数据和给所述安全相关数据所分配的控制设备之外，也处理按照ieee标准的其他数据和控制设备。

因此根据所建议的方法的一种特别优选的实施方式规定，使用通信信息的在以太网标准中存在的数据字段用于传输安全相关数据的数据类型，其方式是用安全相关数据的数据类型的、不在以太网标准中分派的值占据所述数据字段。因此，所建议的方法与ieee802.1以太网标准兼容，其方式是要参与传输的网络节点（控制设备）被设立用于，除了理解通信信息的数据字段（标志）的、通过以太网标准定义的值之外，也理解和相应地处理安全相关数据的数据类型，数据类型另外对以太网标准定义。未为此设置的网络节点在通信信息中丢弃具有以下值的数据包，所述值不对应于所基于的以太网标准。因此，在具有常规的控制设备的传统以太网网络中也不出现干扰。

因此，为了实施所建议的方法，不必改变通用的硬件。相反地，现有的硬件可以被继续使用。安全相关数据的新数据类型也可以被集成到现有的网络中，而不损害存在的设备，因为存在的设备没有注意到所述数据类型，并且因此没有注意到所述数据类型的数据包。网络节点或者控制设备的需要的改变可以单独地通过软件被编程。于是，每个相应地设立的控制设备可以对所述数据类型的数据包进行过滤，并且根据所建议的方法作出响应。通过在以太网帧的通信信息中使用在标准中本来定义的数据字段，实施所述方法不违反以太网标准。

就此而论，作为特别优选的实施方式建议，使用具有目标地址、发送器地址和/或以太网类型的数据字段，作为用于传输安全相关数据的数据类型的通信信息的数据字段。

目标地址标识应当作为接收器接收数据的以太网节点。发送器地址标识对数据进行了组装并且传输数据的网络节点。所述地址也被指定为mac地址，并且除了用于分类的标志之外包含世界范围唯一的mac地址。此外，在空间上受限的局部网络、例如汽车中的以太网网络中，允许本地管理按照本发明所建议的安全相关数据的数据类型。

以太网类型在用户数据内根据osi层模型给出关于下一较高处理层的所使用的协议的信息（auskunft），并且用于在控制设备中进一步处理来自所接收的以太网数据包的数据。以太网类型可以是所谓的vlan类型，所述vlan类型用于将逻辑网络与其物理结构分离，并且给出以下可能性：在共同的物理网络中定义不同的逻辑子网。根据ieee802.3mac标记标准，vlan类型可以作为以太网类型旁边的单独的数据字段存在。在图3中示意性地示出典型的以太网数据包51的所述构造，其中不是全部的、而是仅在本发明方面必要的数据字段较具体地被阐述。以太网数据包51具有前同步码57和以太网帧58，所述以太网帧58在前同步码57之后嵌入到以太网数据包51中。以太网帧58包含实际上的数据内容，所述数据内容具有通信信息59和数据60。在通信信息59中包含目标地址61、发送地址62、以太网类型63以及可选地（在标准ieee802.3mac标记中）包含vlan-标签64。数据60包含实际上的信息65以及控制字段66、诸如用于检验内容的校验和。

在控制设备中在堆栈处理的范围中处理以太网数据包，所述以太网数据包根据osi层模型，由具有不同任务的七个不同的层组成，所述任务在各个控制设备中根据通信协议相继地被处理。

最下面的两个层osi1和osi2在此基本上用于在网络中连接的网络节点的物理通信。最下面的层osi1被称作物理层或比特传输层，并且用于对用于传输的物理线路进行激活和停用。因此在这里实现对于传输路径的硬件控制。第二层osi2被称作数据链路层或安全层，用于组织对各个数据包的尽可能无错误的传送。因此在这里发生通信序列的组织。所述两个层必须在控制设备的通信的范围内被处理，以便尤其建立数据连接。相应地，应当在本发明的范围内优选地使用以太网标准ieee802.3，仅详细说明osi模型的前两个层osi1和osi2。

以太网标准当今随着交换技术的引入被实现为点到点连接，不像例如can总线或flexray总线，不表示总线系统。如果多个以太网节点应当作为发送或接收器单元彼此通信，那么交换组件因此是必要的，所述交换组件在本公开内容的范围内尤其被称作中间节点，并且在技术上可以作为所谓的交换机来实现。

在通信的范围中，每个以太网数据包51在其通信信息59中获得目标地址61和发送地址62，所述目标地址61和发送地址62在以太网帧的开始被存储。如果在图2中沿着传输路径54，布置在用作发送器的控制设备52和用作接收器的控制设备53之间的中间节点67获得在未示出的以太网数据包51中包含的以太网帧58，那么中间节点67在第二层osi2中检验目标地址61、发送器地址62、以太网类型63以及（只要设置的话）vlan-标签64，并且然后根据目标地址61转发具有以太网帧58的以太网数据包51。如在图3中示出的，这些数据字段位于以太网帧58的开头处，并且在以太网标准的范围中在层模型的第二层osi2中被读取。这些数据字段构成通信信息59。

而数据60根据osi模型仅仅在跟随第二层osi2的层中被处理，并且相应地按照以太网标准在传输的范围中不被中间节点67考虑。构造为交换机的中间节点（控制设备67）因此根据以太网标准不能访问所述数据60。

基于经由一个或必要时多个中间节点67的转发，具有以太网帧58的以太网数据包51到达接收器53，所述接收器53根据以太网帧58中的通信信息59来识别：所述接收器53是消息的接收器，并且所述消息紧接着在其他的osi层中被进一步处理。

以太网帧58和以太网数据包51相应地也在发送器52中在osi模型的第一和第二层osi2中被组装。

以此为背景，作为按照本发明特别优选的实施方式建议，使用首先布置在以太网帧中的数据字段作为用于针对安全相关数据进行（按照本发明与以太网标准不同的数据类型的）传输的通信信息的数据字段。这是以下数据字段，所述数据字段在通信协议的osi层模型的范围中在总计七个层的第一和第二层中在整个通信组织的范围内被读取和分析。前两个层osi1和osi2由每个参与以太网数据包传输的以太网节点（也即不仅作为像发送器和接收器之类的控制设备，而且作为像中间节点之类的控制设备）被读取和分析。

按照所建议的方法的一种优选的实施方式，中间节点以直接的顺序在具有由发送器产生的、也即换句话说最初的第一以太网帧的首先接收的以太网数据包之后，发出具有经复制的以太网帧的以太网数据包或分别具有经复制的以太网帧的多个以太网数据包。由此实现，在具有最初的以太网帧或经复制的以太网帧之一的这些以太网数据包之一损坏的情况下，（在经复制的以太网帧中）具有相同数据内容的以太网数据包尽可能快地到达接收器。此外，在该情况下接收器可以特别简单地操纵在相继的以太网数据包中的多个经复制的以太网帧的到达。

因此，按照一种优选的实施方式可以规定，以太网数据包的接收器利用以太网帧检验以太网数据包的正确的接收，并且如果以太网帧在通信信息中具有安全相关数据的数据类型，那么丢弃具有相同以太网帧的随后接收的可能的以太网数据包。基于具有最初以太网帧和经复制的以太网帧的以太网数据包在时间上非常靠近的序列，这样的控制可以经由不同以太网帧的时间上的接收被控制，因为可以特别地考虑分别相继的以太网数据包。例如经由校验和（必要时也在较高的osi层中）在内容上的检验也是可能的，使得如果第一数据包已经无错误地到达接收器，那么可以丢弃在较高的osi层中的其他数据包。

相应地，本发明也涉及控制设备，所述控制设备具有用于在机动车辆中传输安全相关数据的通信单元并且具有计算单元，其中所述计算单元被设立用于操纵通信单元，用于借助于以太网数据包根据以太网标准在osi层模型的第一和第二层、也即比特传输层和安全层中接收和/或发送安全相关数据。根据以太网标准，以太网数据包包括具有数据内容的以太网帧，所述数据内容包含通信信息和数据。在实施之前描述的按照本发明的方法的范围中，在任何情况下需要的是，应当根据按照本发明所建议的方法参与通信的每个控制设备的计算单元进一步被设立用于，在接收到以太网数据包之后，鉴于所建议的安全相关数据的数据类型的存在，对来自以太网帧的数据内容的通信信息进行检验。这不仅适用于数据的实际上的接收器而且适用于作为中间节点工作的交换机。

因为控制设备通常设置双向通信，所以这也对于作为发送器工作的控制设备是有意义的，以便能够实现双向通信。尤其在作为中间节点起作用的控制设备的情况下，计算单元可以进一步被设立用于，至少一次优选相同地复制以太网帧，并且在新的以太网数据包中、也即除了所接收的和转发的以太网数据包之外，发出经复制的以太网帧（或经复制的以太网帧中的每一个），其中所述以太网帧在通信信息中包含安全相关数据的数据类型。由此实现已经描述的冗余。

作为来自复制的优点，一方面以太网帧的数据包丢失是可接受的。此外，以太网帧的失真（verfälschung）和丢弃可以通过随后而来的以太网帧补偿，而不必要明确的重新请求这样的以太网帧。这节约非常多的时间，否则对于重新请求和发送将会需要所述时间。

因为在机动车辆中，每个控制设备应当尽可能地被构造为使得所述控制设备也可以作为具体传输路径中的中间节点工作，所以有意义的是，在控制设备中的每一个中实施之前描述的功能性。

此外，在控制设备中，尤其当所述控制设备可以作为安全相关数据的接收器起作用时，计算单元可以进一步被设立用于，利用以太网帧检验以太网数据包的正确接收，并且如果以太网帧在通信信息中具有安全相关数据的数据类型，那么（在不继续检验的情况下）丢弃具有相同以太网帧的随后接收的可能的以太网帧。由此，避免由接收器在分析以太网帧时的额外工作。

在作为发送器起作用的控制设备情况下，计算单元此外可以进一步被设立用于，在安全相关数据的以太网帧的通信信息中，一同传输安全相关数据的数据类型，所述数据类型优选地由在以太网标准中未定义的标志构成，但是必要时也可以作为标志重新被接纳到太网标准中。

因为在机动车辆的通信网络中的每个控制设备按照以太网标准可以优选地被用作发送器、接收器或中间节点，以便实现尽可能多的不同的物理传输路径，所以有意义的是，在每个控制设备中实现全部的前述功能。至少每个控制设备的计算单元至少可以利用所述方法的关于控制设备所描述的部分被设立，其中需要所述部分，以便在与相应地描述的其他控制设备的通信中实施所述方法。也可能的是，控制设备的计算单元被设立，使得控制设备的通信单元被设立用于实施所有方法步骤，并且从而可以在与其他控制设备的通信中实施每种功能、也即发送器、接收器和/或中间节点的功能。

可以借助于计算机程序产品设立前述控制设备的计算单元。

附图说明

也从实施例的随后描述和附图中得出本发明的其他优点、特征和应用可能性。在此，所有描述的和/或以图解方式示出的特征自身或以任意组合构成本发明的主题，也与其在权利要求中的组合或其回引无关。

图1示意性地示出按照现有技术以太网数据包在发送器和接收器之间的传输；

图2示意性地示出根据现有技术以太网帧在控制设备的计算单元中在osi层模型的范围中的典型转发；

图3示出按照现有技术的以太网数据包的构造；

图4示出按照本发明的一种优选实施方式沿着传输路径对以太网帧的处理，所述以太网数据具有安全相关数据的数据类型的按照本发明所建议的标志；

图5示出按照本发明的不同变型方案在不同的数据字段中具有按照本发明建议的数据类型的以太网帧的片段；

图6示出根据前述示例的用于以太网帧的通信数据的具体实施例。

具体实施方式

在图1至3中示出在以太网数据包的结构以及沿着通信路径的流程方面的已知以太网标准，其中在本发明方面主要的特征被示出。为了阐述，这些图在上面已经详细地得以描述。在此处参照所述描述。

图4示出按照以太网标准的传输系统1，所述传输系统1按照建议的方法被设立用于传输安全相关数据。

类似于按照图2的图示，传输系统1也具有用作发送器的控制设备2、用作接收器的控制设备3和用作中间节点的控制设备4。全部的控制设备2、3、4按照osi模型执行通信协议，其中以太网标准仅在层模型的前两个层osi1和osi2中实现。相应地，发送器2在层osi2中产生以太网帧5，所述以太网帧5从结构上对应于在图3中示出的以太网帧58，并且以嵌入到未示出的以太网数据包中的方式被发出。

具有以太网帧5的该以太网数据包在以太网帧5的通信信息（如在图5和6中示意性示出）中包含数据类型7（在按照图5和6的图示中以方格的方式被示出），所述数据类型7已经通过发送器2被设定到以太网帧5中。中间节点4在接收之后读取以太网帧5的通信信息6，并且按照数据类型7进行过滤。

只要安全相关数据的这样的数据类型7存在于以太网帧5中，那么中间节点4的计算单元将以太网帧复制成具有相同数据内容的经复制的以太网帧5'。在优选地直接相继的、在按照图4的图示中未示出的、朝向接收器6方向的以太网数据包中构造两个以太网帧5、5'，其中经复制的以太网帧5'优选地在最初的以太网帧5之后被发出。优选地，在具有以太网帧5的以太网数据包和具有经复制的以太网帧5'的以太网数据包之间，不应当通过中间节点4发送另外的以太网数据包。

在按照图4的图示中，仅示出一个经复制的以太网帧5'。然而按照本发明可以进行单次或多次复制。

相应地，接收器3接收两个以太网数据包、也即具有以太网帧5的第一以太网数据包和具有经复制的以太网帧5'的第二以太网数据包。接收器3检验：在数据包到达时，在以太网帧5、5'中是否存在安全相关数据的数据类型7。如果这是该情况，那么接收器3可以认为，副本作为经复制的以太网帧5'将跟随所述以太网帧5。如果最初的、首先接收的以太网帧5已经按规定和无错误地被接收了的话，那么接收器3丢弃经复制的以太网帧5'的随后的副本。而如果在传输时在最初的以太网帧5的数据包中出现了错误的话，那么接收器3可以使用经复制的以太网帧5'的、在非常短的时间间隔中随后发送的副本。由此，事实上实现高的冗余，因为不需要接收器3在发送器2处的详细询问。

图5示出按照一种优选实施方式的以太网帧5的通信信息6。通信信息6分别包含目标地址8、发送器地址9和以太网类型10。在图5中示出的通信信息6的变型方案a、b、c和d通过以下方面来区别，即安全相关数据的数据类型7作为标志被设置在不同的数据字段、即目标地址8、发送器地址9或者以太网类型10中。变型方案a在发送器地址9中示出数据类型7，变型方案b在目标地址8中示出数据类型，变型方案c在目标地址8和发送器地址9中组合地示出数据类型，并且变型方案d在以太网类型10中示出数据类型。

图6以具体的数字示例示出图5的变型方案d。在此，各个数据字段目标地址8、发送器地址9和以太网类型10以及必要时vlan-标签（在图5和6中未示出）的确定的值根据以太网标准被预留。这样的经预留的目标地址8和发送器地址9在该图示中作为所谓的mac地址在图6中示例性地被录入。

以太网类型10具有十六进制的数字序列90-05，所述数字序列不根据以太网标准来分派。在传输系统1中按照以太网标准参与安全相关信息的传输的控制设备2、3、4可以在图6中示出的示例中、也即在以太网类型10的数据字段中按照十进制数“09-05”过滤，以便根据按照本发明所建议的方法激活冗余功能，并且激活以太网帧5到一个或多个经复制的以太网帧5'的复制，所述经复制的以太网帧5'作为优选地直接相继的以太网数据包被传递给接收器3。