在信号技术上安全的计算单元之间的数据传输的制作方法

本发明涉及一种用于在信号技术上安全的计算单元之间传输数据的系统和方法。

背景技术：

术语“在信号技术上安全的”结合本发明的理解应与铁路技术中相应的术语一致。例如，标准en50129可以作为参考。“在信号技术上安全的”基本上意味着，发生所定义的危险的概率低于预先给定的阈值。在信号技术上的安全性通常通过冗余地执行计算来产生。优选地，多样冗余地执行计算。术语“冗余”和“多通道”随后被同义地使用。为此，在计算单元中存在例如第一硬件和不同的、即多样的第二硬件。然后分别在第一硬件和第二硬件上执行计算并且比较相应的结果。仅当结果一致时才认为计算是正确的并进行进一步处理。替换地，第一和第二硬件也可以设计为相同的。然后，例如通过在第一和第二硬件上基于例如以不同的编程语言存在的不同的程序执行冗余的计算，在软件层面上引入多样性。多样性还可以在硬件层面上和软件层面上执行。在此，冗余不限于使用仅两个通道。

现有技术在图1中示意性地示出。

在上述意义中在信号技术上安全的计算单元10、例如在信号技术上安全的主计算机10，在此包括在信号技术上安全的时钟16，并且被构造为，与任何应用程序12一样用于在信号技术上安全地实施用于数据传输的安全协议18。此外，在信号技术上安全的时钟被设计为，使得该时钟严格单调地工作，即不停止并且始终只在一个方向上运行。然后，由应用程序12产生的数据14可以作为借助安全协议18保护的并且配备有安全的时钟16的时间戳的数据20经由输入和输出存储器22、例如dp-ram或者fifo转发到信号技术上不安全的输入和输出存储器24，以用于经由数据线26，例如总线、lan等，传输到类似设计的(在图1中未示出的)在信号技术上安全的计算单元。在此，信号技术的计算单元的时钟的同步可以借助传统的同步方法、例如依据根据iec1588的ptp(precisiontimeprotocol精确时间协议)实现，传统的同步方法作为用于不同操作系统的免费软件存在。

在此，输入和输出模块可以作为例如串行的uart、作为太网控制器或者作为例如基于linux的小型计算机提供。作为输入和输出模块通常使用传统的在批量制造中生产的部件(所谓的cots部件，“commercialoff-the-shelf商业现货”)，这些部件在信号技术上是不安全的。在信号技术安全的主计算机中提供信号完整性。

在信号技术上安全的主计算机的示例是西门子公司的simistcc系列计算机。作为用于数据传输的安全协议可以使用例如根据unisigsubset057的“safelinklayer安全链路层”协议。上面描述的输入和输出模块可以作为在信号技术上安全的计算机的电路部分固定连接到电路板上(例如西门子公司的simisfm计算机)，或者可以作为通信组件插入到组件框架中(例如作为结合上文提及的simistcc的组件pnet5)。

技术实现要素：

因此，本发明要解决的技术问题是，简化用于在信号技术上安全地传输数据的系统。

根据本发明，为此提供了用于经由数据线发送和接收数据的输入和输出模块。输入和输出模块包括用于数据传输的安全协议的协议状态机(protokollautomat)以及时钟。由此，输入和输出模块被构造为，用于借助安全协议保护要传输的数据或者处理借助安全协议保护的所接收的数据。此外，输入和输出模块被构造为，借助基于时钟的时间戳设置输出的保护的数据，并将输入数据的时间戳与时钟显示的当前时间进行比较。协议状态机和用于时钟处理的指令在此作为硬流程控制存储在输入和输出模块的只读存储器中。由此可以在输入和输出模块中省去操作系统。

根据本发明的用于在信号技术上安全的计算单元之间传输数据的方法包括以下步骤：提供在信号技术上安全的主计算机。此外，提供可以与主计算机耦合的前面所描述类型的根据本发明的输入和输出模块。

根据第一优选实施方式，通过将输入和输出模块的协议状态机冗余地设计为在信号技术上安全的协议状态机，并且将输入和输出模块的时钟冗余地设计为在信号技术上安全的时钟，可以保证发送和接收的数据的信号完整性。

优选地，输入和输出模块在此被设计为系统级芯片部件(system-on-chip-komponente)。然后，这种输入和输出模块可以以cots部件的形式提供。

根据第二优选的实施方式，通过代替多通道的在技术上安全的输入和输出模块提供输入和输出组件，可以保证发送的数据的信号完整性。该输入和输出组件包括根据本发明的不一定在信号技术上安全的第一输入和输出模块，以及根据本发明的不一定在信号技术上安全的第二输入和输出模块。相比于第二输入和输出模块，第一输入和输出模块在此被多样地设计。以这种方式，即通过组合第一和第二输入和输出模块产生多样的冗余，可以产生在信号技术上的安全性。

然后，与输入和输出组件耦合的在信号技术上安全的主计算机可以附加地包括比较模块，该比较模块被构造为，将由第一输入和输出模块接收的数据与由第二输入和输出模块接收的数据进行比较。

输入和输出组件的第一和第二输入和输出模块还可以设计为系统级芯片部件，以cots部件的形式提供。

本发明提供了许多优点：

在信号技术上安全的主计算机通过将借助在信号技术上安全的时钟的时间戳记的任务、输出数据的协议安全性和输入数据的协议处理转移到根据本发明的独立的输入和输出模块中来减轻负担。由此，关于在信号技术上安全的主计算机减小了特定于规划的集成开销，因为在主计算机中不再必须提供安全协议和安全的时钟。在根据本发明的输入和输出模块的开发中，集成开销仅产生一次。首先提供了在信号技术上安全的输入和输出模块，其可以作为系统级芯片部件使用，并且以在信号技术上安全的方式硬编码地包括时钟以及安全协议的协议状态机。

本发明的另一个主要优点是，输出数据的时间戳和输入数据的时间戳的检查现在直接硬件层面地在输入和输出模块中执行，并且不像以前那样，在主计算机的应用程序层面执行。以这种方式产生的时间戳和所测量的发送数据的运行时间比迄今精确得多，因为迄今由从应用程序层面通过协议时间戳到输入和输出模块(或者反之)的运行时间形成的延迟不再出现。现在可以实现低于1毫秒的值。这尤其在结合实时应用时是有利的。

通过将时钟转移到输入和输出模块中，还显著简化了参与数据传输的计算单元的时钟的同步。特别地，用于同步时钟的时间戳现在由在信号技术上安全的时钟确定。

代替在信号技术上安全的多通道的输入和输出模块使用具有不一定在信号技术上安全的但是多样的两个输入和输出模块的输入和输出组件的实施方式提供了以下优点，即，可以防止例如在停电时出现所谓的“共模commonmode”错误。而且，在组件的输入和输出模块发生故障的情况下，至少还可以以在信号技术上不安全的方式执行数据传输。

总之，通过本发明可以改善在信号技术上安全的计算单元之间关于时钟同步的数据传输技术和实时的无损数据通信。

根据输入和输出模块的实施方式，其中协议状态机被冗余地设计为在信号技术上安全的协议状态机，并且时钟被冗余地设计为在信号技术上安全的时钟，可以根据优选的变形多样冗余地设计协议状态机。替换地或者附加地，可以多样冗余地设计时钟。这两个措施分别提高了输入和输出模块的在信号技术上的安全性。

在用于在信号技术上安全的计算单元之间传输数据的系统的第一实施方式中，至少一个在信号技术上安全的计算单元包括在信号技术上安全的主计算机，即多通道的或者冗余的、优选多样冗余的主计算机，以及与主计算机耦合的根据本发明的在信号技术上安全的多通道的输入和输出模块。

在用于在信号技术上安全的计算单元之间传输数据的系统的第二实施方式中，在信号技术上安全的计算单元包括在信号技术上安全的主计算机、与主计算机耦合的前面所描述类型的输入和输出组件以及构造为用于比较由第一输入和输出模块接收的数据与由第二输入和输出模块接收的数据的比较模块。

附图说明

结合下面结合附图详细阐述的对实施例的描述，更清楚和明晰地理解本发明的上述特点、特征和优点以及实现它们的方式。附图中：

图1示出了根据现有技术的在信号技术上安全的计算单元，其被设计为用于向/从另一个在信号技术上安全的计算单元发送/接收数据；

图2示出了根据本发明第一优选实施方式的相应的在信号技术上安全的计算单元；

图3示出了根据本发明第二优选实施方式的相应的在信号技术上安全的计算单元；和

图4示意性示出了根据本发明的用于在信号技术上安全的计算单元之间传输数据的方法的优选实施方式的步骤。

具体实施方式

在图1中示出了前面已经简要描述的、根据现有技术在信号技术上安全的计算单元10，其被设计为用于向/从另一个在信号技术上安全的(在图1中未示出的)计算单元发送/接收数据。计算单元10被设计为多通道的并且包括多通道保护的时钟16。计算单元10被构造为用于冗余地执行用于数据传输的安全协议18以及应用程序12。由应用程序12产生的数据14作为借助安全协议18保护的并且配备有由安全的时钟产生的时间戳的数据20被转发到输入和输出存储器22，并且从那里借助传统的输入和输出模块(例如串行uart或者以太网控制器)经由数据线26(诸如总线、lan等)传输到另一个(在图1中未示出的)类似构建的在信号技术上安全的计算单元。

在图1中，以及在随后的图2和图3中，多通道设计的在信号技术上安全的硬件借助在左上角部分地画出阴影的矩形表示，例如图1中的计算单元10或者安全的时钟16。在信号技术上安全实施的软件相应地通过在左边部分地画出阴影的椭圆形表示，例如图1中的应用程序12或者安全协议18。相应的在信号技术上不安全的对应物(参见图3)分别不示出阴影线。

在图2中示意性示出了根据本发明第一实施方式的同样设计为用于向/从另一个在信号技术上安全的(在图2中未示出的)计算单元发送/接收数据的在信号技术上安全的计算单元110。

该计算单元110包括在信号技术上安全的主计算机11。该主计算机11被构造为，在信号技术上安全地实施应用程序12并且将由应用程序12产生的数据14转发到输入和输出存储器22。相比于图1，协议安全的功能和时间戳的功能不再位于主计算机11中，而是转移到与主计算机11耦合的独立的输入和输出模块50中。输入和输出模块50被设计为系统级芯片部件，并且包括多通道保护的在信号技术上安全的时钟16以及用于实施用于数据传输的安全协议18的在信号技术上安全的协议状态机118。从输入和输出存储器22获取的数据14可以借助安全协议18保存并且基于时钟16配备有时间戳。然后，所形成的保护的时间戳记的数据20可以经由数据线26传输到另外的计算单元。

由于输入和输出模块50仅具有已知的专用的功能范围，协议状态机118以及用于时钟处理的指令可以在输入和输出模块50的只读存储器17中硬编码地存在。为了编程可以使用不同的编程语言，诸如c、汇编或者(在没有cpu核心的fpga中)例如vhdl。

在信号技术上安全的输入和输出模块50可以包括例如两个在物理上分开的fpga模块或微控制器模块，这些模块是并行冗余的并且松散地(循环地)或牢固地(锁步地，lockstep)相互耦合。以这种方式，可以在输入和输出模块50中提供在信号技术上安全的时钟16和在信号技术上安全的协议状态机18。在此，两个在物理上分开的模块中的每个可以提供多通道结构的通道。

在此，可以根据en50129sil4进行集成，并提供包含安全证明的验证报告。最底层的集成的结果是在信号技术上安全的cots部件。按照根据现有技术的可自由编程的单元，按照根据图2的实施方式，已经变为具有固定的不变的功能范围的专用的输入和输出模块50，其在功能上包括安全的时钟、同步和安全协议以及安全证明。

在图3中示意性示出了根据本发明第二实施方式的在信号技术上安全的计算单元210。

相对于根据图2的实施方式的主要区别在于，代替在信号技术上安全的多通道的输入和输出模块50仅提供了两个多样的在信号技术上分别不一定安全的输入和输出模块152、154，这两个模块结合在所示的输入和输出组件150中。

输入和输出模块152、154中的每个包括时钟116、216和用于实施安全协议18的协议状态机218、318。如结合图2所描述的，协议状态机218、318和用于时钟处理的指令在相应的输入和输出模块152、154的只读存储器117、217中被硬编码。相对于第二输入和输出模块154，第一输入和输出模块152被多样地设计。多样性可以存在于所使用的硬件层上。替换地或者附加地，所实现的软件(时钟，协议状态机)也可以被多样地设计。

在某些方面，根据图3的输入和输出组件150可以视为当图2中的在信号技术上安全的输入和输出模块50的两个通道分开，从而形成输入和输出模块152、154时形成的组件。

第一输入和输出模块152和第二输入和输出模块154相结合可以视为在信号技术上安全的输入和输出组件。这至少在主计算机111包括比较模块30时适用，该比较模块30被构造为用于比较由两个输入和输出模块152、154接收的输入数据。

由计算单元210冗余输出的受保护的并且时间戳记的数据120、220在(未示出的)进行接收的信号技术计算单元的比较模块方面在应用程序数据14、14′层面上进行比较，该进行接收的信号技术计算单元同样必须支持通过协议状态机218、318实现的安全协议。此外，在进行接收的计算单元中检查相应的时间戳，以确定时钟116、216是否在规定的界限内同步，是否仅向前运行而未停止。

输入和输出模块152、154也可以以系统级芯片部件的形式制造并作为cots部件提供。

图4示意性示出了根据本发明的用于在信号技术上安全的计算单元之间传输数据的方法的优选实施方式的步骤。

该方法包括以下步骤：

在步骤s1中提供在信号技术上安全的主计算机。

此外，在步骤s2中提供可与主计算机耦合的前面所描述类型的输入和输出模块，其包括用于数据传输的安全协议的协议状态机和时钟，其中，协议状态机和用于时钟处理的指令作为硬流程控制存储在输入和输出模块的只读存储器中。

根据第一实施方式可以提供根据图2的主计算机11和在信号技术上安全的输入和输出模块50。

根据第二实施方式可以提供根据图3的主计算机111和输入和输出组件150，其包括前面参考步骤s2所描述的类型的第一和第二输入和输出模块152、154。

虽然在细节上通过优选的实施例对本发明进行阐述和描述，但是本发明却不限于所公开的示例并且本领域技术人员可以从中导出其它方案，而不脱离本发明的保护范围。