用于提供安全的时间信号的方法与流程

本发明涉及一种用于尤其为与安全相关的应用提供安全的时间信号的方法和一种用于执行该方法的组件(anordnung)。

背景技术：

1、时间信号是如下信号：该信号承载当前的时钟时间并且必要时承载当前的日期作为信息。例如在电子控制装置和控制器中，尤其是在嵌入式系统(embedded systems)中，例如为了在车辆领域中使用，越来越多地使用如下系统和软件：对于与安全相关的功能，所述系统和软件也需要绝对的时间说明和日期说明。所述信号例如与具有日期/时间戳的说明的文件/数据存储系统相结合用于所存储的文件或者数据，所述文件或者数据的“年龄”是重要相关的。这可能是如下情况：所述数据不是在生产时一次性固定地编入的，而是在使用寿命内同样一次地、多次地或者频繁地通过“较新的”数据来替代或者补充的。

2、在日用消费品领域(consumer-goods-bereich)中，例如在移动电话、智能手机、pc应用等中，常见且已知的是，软件尤其通过运行系统例程提供日期/时钟时间值。在此，典型地，该时钟时间从相应的运行系统定时器(os-timer，os定时器)和/或cpu时钟发生器(cpu：central processing unit，中央处理单元)推导出。为此必需的是，将时钟一次地或者多次地设定为真实的时钟时间，这可以通过相应的功能和指令示出。在此，所述软件时钟可以在每次启动系统时要么重新设定、要么通过实时时钟(rtc模块：real-time-clock)来支持，由此时钟也可以在关断的状况中同样继续运行。

3、应注意的是，对于与安全相关的应用，所述已知的时钟定时器是不足够的，因为相应的故障或者错误的设定可能导致未识别出的有误差的或者甚至未经设定的并且与现实有偏差的日期/时钟时间值。另外，在此，虽然所使用的定时器本身无故障地正常工作，但是随机地或者可能也故意地(例如通过与安全相关的攻击)而可能错误地设定时钟时间的故障源仍然起作用。

4、已知的是，对于与安全相关的功能，os定时器、时钟发生器和由此推导出的时间节拍(zeit-takte)，例如循环的任务，可以通过冗余的且独立地时钟驱动的模块来保护，通常与看门狗相结合地。但是，这仅适用于例如一个节拍的相对时间值，其具有非常短的周期，典型地为1ms直至1sec，并且因此具有相对大的容差，例如为+/-10％或者也为+/-20％。由此得出，所述保护措施不足以或不适合用于产生绝对的时钟时间信号。

5、另外已知的是，从源、例如从gps接收器(gps：global positioning system，全球定位系统)或者也从rtc模块推导出的信号不提供充分的安全性。另外已知的是，当前可用的绝对的时间源主要仅在qm质量或者消费者质量(qm：quality management，质量管理)中提供。

技术实现思路

1、在该背景下，提出一种具有权利要求1的特征的方法和一种根据权利要求10的组件。由从属权利要求和由说明书得出实施方式。

2、所提出的方法用于为与安全相关的应用提供尤其安全的绝对时间信号。该方法设置，由用于执行该方法的组件对第一时间源的第一时间信号和第二时间源的第二时间信号进行接收和分析处理，其中，第一时间源和第二时间源彼此独立。这意味着，第一时间源的运行对第二时间源的运行绝对没有影响，反之亦然。因此，所提供的两个时间信号也是彼此独立的，并且这两个信号之间不存在依赖性。

3、组件中的第一单元履行观察器功能与比较器功能。这意味着，该第一单元对两个时间信号或由这两个时间信号所承载的数据或信息进行观察或监控并且将它们相互比较，所述数据或信息尤其示出时间值。然后，对识别出的、两个时间信号之间的偏差进行分析处理。基于该分析处理，输出安全的时间信号。在此，考虑容差或容差阈值。

4、第一单元可以配属有独立的时基，在执行观察器功能与比较器功能时使用该时基。通过这种方式可以安全地且独立于可能借助两个时间信号所传输的故障地执行该比较。在构型中，循环地、即有规律地反复地执行观察器功能与比较器功能。

5、另外，可以设置有第二单元，借助该第二单元将两个时间信号所承载的数据的不同格式相互适应(angeglichen)。因此，时间信号可以与其格式无关地被处理。

6、可以设置有第三单元，对于所述比较得出两个时间信号的、位于预给定的容差之外的偏差的情况，该第三单元触发故障反应。该第三单元也可以输出状态信号。但是，该状态信号也可以由所描述的组件输出，与该第三单元的存在无关。

7、因此，所提出的方法能够实现，在复合系统中、尤其是在车辆内通过适合的措施来消除开头阐述的、安全的时钟时间系统的缺乏，使得可以给与安全相关的应用或者功能提供充分安全的绝对的时钟时间信号。

8、最后，可以识别出两个时间源中的一个时间源的冻结。为此，可以例如设置有第四单元。

9、因此，借助所提出的方法实现，由至少两个独立的时间源和信号产生安全的时间信号、识别时间值的相应的误差并且实施至少一个适合的故障反应。

10、在该方法中，至少在实施方案中的一些实施方案中设置：

11、1.对至少两个独立的时间信号源的处理，

12、2.循环实施的观察器功能，该观察器功能分析时间信号并且识别故障，

13、3.由此为有用的功能提供安全的时间作为信号，

14、4.提供安全的时间的状态和耦合，用以触发故障反应。

15、为了实现这一点，尤其使用多样化的、冗余的时间源。所述时间源一方面由时间信号组成，该时间信号例如由云服务器系统经由wifi连接提供。这例如作为所谓的“utc时间”(utc：协调世界时间)已知，并且在简单的qm系统中相应地使用。另一方面，所述时间源由独立的时间信号组成，该独立的时间信号通过gps接收器模块作为所谓的“gps时间”信号从gps卫星接收、预处理和提供。

16、协调世界时间是如今有效的世界时间，该世界时间在需要全世界统一的时间刻度的地方用于时间说明。

17、在另一种实施方式中，使用两个gps接收器，所述gps接收器在结构上分开地冗余地存在，其中，应当使用不同制造商的模块。在另一种构型中，通过进一步独立的时间源，例如基于rtc的时钟，与gps接收器或者云服务器时钟时间值相结合。另一种实施方案设置先前提到的时间源与无线电时钟接收器的结合。该无线电时钟接收器可以典型地提供世界时间原子时间。

18、在上文提到的所有实施方案中，时间信号是如此可用的，使得关于用于保护或者用于识别信号的故障的或者所述信号的传输的故障的安全性的特定措施典型地不包含在其技术中。因此，在各一个时间源上可以出现未识别出的故障和时间值的伪造。

19、为了识别相关的时间误差或者失灵，在构型中，在第一步骤中将以不同的表示方式(例如utc“universal time code(国际标准时间码)”、“gps时间”等)存在的两个时间值换算为共同的相同的表示类型。在此，相应地考虑和纠正已知的偏差，例如跳秒(schaltsekunden)，或者计数器溢出例如在gps时间格式中每1024周，时区或者类似物。

20、通过循环地实施的观察器功能与比较器功能，对两个时间信号进行观察和评价。该观察器功能可以在独立的第三时基上实施，例如控制器的cpu定时(taktung)和sw实施。相应于信号源和传输路段的不准确性的、两个时钟的小偏差，例如大小为+/-5sec，被容忍为“正常”。在较大的且因此有误差的偏差的情况下，可以引入适合的故障反应。

21、该故障反应也可以分级地进行，并且可以在于，对于另外的小的容差时间，首先继续使用最后一个安全的时间值，或者但是也将相关的功能或者整个系统置于安全的故障状况中。

22、另外，在构型中，观察器功能也识别一个时钟的或者特别是两个时钟的冻结或不再运行(stuck-at fehler，卡住故障)。在此，也可以相应于安全的时间信号的使用地可能可以容忍时钟的足够短的“静止状态”时间。替代地或者补充地，在超过该容差的情况下，可以触发适合的故障反应。因此，除了真正的、现在安全的时间信号之外，观察器功能同样提供至少一个另外的状态信号，该至少一个另外的状态信号显示时间信号的完整性/正确性/退化状况。可选地，另外，触发另外的故障反应的可能性可以在于使用该时间信号的相应的功能。

23、在另一种实施方式中，观察器功能同样可以容忍并且通过相应的状态状况显示信号源的初始“失灵”，所述初始“失灵”典型地在启动系统之后首先存在。因此，可靠的且稳健的且同时也安全的系统启动是可能的。

24、在上文中且在附图的描述中，描述第一时间源和第二时间源的使用。当然，该方法也可以借助多于这两个时间源的时间源来执行。

25、所提出的组件用于执行所述方法并且例如在硬件和/或软件中实现。

26、由说明书和所附附图得出本发明的其他优点和构型方案。

27、显而易见的是，上文提到的和下文仍待阐述的特征不仅能够按相应给出的组合来使用，还能够按其他的组合来使用或者单独使用，而不偏离本发明的框架。