[go: up one dir, main page]

WO2017032402A1 - Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen - Google Patents

Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen Download PDF

Info

Publication number
WO2017032402A1
WO2017032402A1 PCT/EP2015/069344 EP2015069344W WO2017032402A1 WO 2017032402 A1 WO2017032402 A1 WO 2017032402A1 EP 2015069344 W EP2015069344 W EP 2015069344W WO 2017032402 A1 WO2017032402 A1 WO 2017032402A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication
initial value
sequence
telegrams
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2015/069344
Other languages
English (en)
French (fr)
Inventor
Herbert Barthel
Maximilian Walter
Wolfgang Schmauss
Edgar Sigwart
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to PCT/EP2015/069344 priority Critical patent/WO2017032402A1/de
Publication of WO2017032402A1 publication Critical patent/WO2017032402A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes

Definitions

  • the invention relates to a communication system for communication of a sequence of telegrams with at least one communication means for establishing a connection and a sequence of test values, each of a Nutz stylist- part of the telegram can be determined, and an initial value, wherein at least one communication means has a function for determining a Initalwerts, and wherein in a first connection, the sequence of test values has been generated at least taking into account an Altinitialwerts. Furthermore, the invention relates to a method for this purpose.
  • a frame is a data packet that can be transmitted within a Kiru ⁇ nikationsnetzes between communication means.
  • the invention relates to the technical field of functionally secure communication, which is used inter alia between field devices, control components and similar devices in industrial process automation or factory automation.
  • Such functionally secure communication also called F-communication, is used in particular for safety-relevant or safety-critical applications, in particular if errors in the communication can lead to endangering people, the environment or property.
  • F-communication functionally secure communication
  • a particularly secure packet-switched data transmission in particular the profiles of international Stan ⁇ dardfamilie IEC 61784-3-X is set a ⁇ according to the prior art.
  • test value therefore serves to ensure data integrity during data transmission or storage.
  • a value in the simplest case a checksum, from data of a telegram is determined by a suitable method, for. B. calculated. The resulting value is then stored or transmitted as a test value.
  • the receiver of the telegram can also determine a test value from the data and transmit it with the transmitted data
  • a physical or logical timestamp is added to telegrams for detecting sequence errors (eg unwanted repetition of a packet due to errors in a storing network element (eg router).)
  • sequence errors eg unwanted repetition of a packet due to errors in a storing network element (eg router).
  • this is a sequence number which is sent every time a user sends a
  • the value range of the time stamp is usually chosen so large that a match of the expected code with the code of the faulty telegram can be ruled out with at least high probability
  • the method is generated of the timestamp reinitialized. In the simplest example, this is done by resetting the sequence number to zero.
  • the invention is therefore based on the object by the presence of a communication system and a method would be the ⁇ He identification of errors in transmission and to improve the transmission of safety and stability is improving ⁇ fibers.
  • the object related to the device is achieved by specifying a communication system for communication ei ⁇ ner sequence of telegrams with at least one communication means for establishing a connection and a sequence of test values, each of which a Nutzsteinteil the telegram can be determined, and an initial value wherein a means of communication at ⁇ least a function for determining an initial value, and wherein the sequence of test values, at least under loading ⁇ consideration of a Altinitialwerts was generated at a first Ver ⁇ weave construction, wherein at a second connection by restarting the Karlu ⁇ nication the function a differing ⁇ chen from Altinitialwert initial value generated, so that the initial value with high probability is used to the last Altinitalwert different.
  • the object relating to the method is achieved by the provision of a method for communicating a sequence of telegrams with at least one communication means for establishing a connection as well as a sequence of test values which will be ⁇ agrees each composed of a payload of the message, as well as an initial value, wherein at least one communication means has a function for determining the init ⁇ al value, and wherein in a first Paarsauf ⁇ construction the sequence of test values was at least under consideration of Altinitialwerts generated, wherein in a second connection by restarting the communication, the function one different from Altinitialwert new initial value is generated so that the initial value is high Probability is generated differently to the last used Altinitialwert.
  • connection is periodically restarted at short intervals, eg during a tool change or daily at the beginning of the shift, the amount of test values actually used is limited, so that it can no longer be ruled out that there will be confusion.
  • the probability of not ent covered ⁇ error then depends on the mean time between two restarts.
  • a storing network element eg a router
  • a storing network element can store a sequence of telegrams which also contains the telegrams used during the connection establishment. Now, if the secure connection is completed, the stored network element, the vomit-assured ⁇ sequence containing the messages for a connection, send an error. This leads to a unge ⁇ wanted to restart / reconnection.
  • an initial value is generated at each restart of the communication to determine a new sequence of test values, which is at least very likely different from the last used initial values, ie it is quasi the function for generating the test values at each restart of the communication (connection) un ⁇ different initialized.
  • This will generate a different sequence of new test values after each reboot.
  • this allows the entire value range of the test values to be run independently of the frequency of the restarts; the amount of test values actually used is therefore limited - not as in the prior art.
  • the probability of an undetected error no longer depends on the mean time between two restarts.
  • the ver ⁇ used in the current standards detection methods for the control of sequence errors also be applied to machines where the communication connections are restarted regularly.
  • the Fre acid sequence of restarts does not have to be considered in the demonstration.
  • This is rele particularly for machine tools and robots ⁇ vant in which tools are typically changed every minute, while the communication is started each time.
  • a change to the state machine (first communication ⁇ medium, second communication means) or Protocol (PDU) is advantageously not required.
  • the initial value becomes the Altinitialwert when the connection is interrupted, ie switching off the computer.
  • a first communication means to a telephoto ⁇ program counters, which for assigning a count value using a first calculating rule to a telegram is provided correspondingly with a send sequence, with the first calculation rule is provided such that a corresponding for each message or sequence of telegrams incremented count, where the new
  • Check value can be determined taking into account the initial value and subsequently new test values can be determined taking into account the initial value and the incremented count value.
  • a first communication means for establishing a connection (initiator) and at least one second communication means for receiving the structure (responder) is provided, wherein at least the initial value is transmitted to the second communication with a first message. is transmitted.
  • This initial value determines the test values of the sent below telegrams for which the respective receivers gene ⁇ riert each a Erwartungsprüfwert, which is compared with the received check value and wherein in case of a deviation a fault is recognized. This can then be reported.
  • a first communication means for establishing a connection (initiator) and at least one second communication means for receiving the body (responder) is provided, wherein at least the initial value is transmitted with a first telegram to the first Kommunikati ⁇ onsffen.
  • This initial value determines the test values of the sent below telegrams for which the respective receivers gene ⁇ riert each a Erwartungsprüfwert, which is compared with the received check value and wherein in case of a deviation a fault is recognized. This can then be reported. That is, in a further preferred embodiment, the initial value is not determined by the initiator, but by the responder.
  • the first communication means for establishing the connection (initiator) and at least one second communication means (responder) for receiving the structure is provided, wherein the first Lichtunikationsmit ⁇ tel generates a first Startinitialwert and sends to the second communication means and the second Lichtunikationsmit ⁇ tel generates a second Startinitialwert and sends to the first communication means and the final initial value by a provided in the first communication means and two ⁇ th communication means calculation unit ⁇ means of the two Startinitialhong is calculated so that no further transmission of the initial value of the first Lichtu ⁇ nikationsstoff to the second communication means or vice versa is necessary.
  • the defined message structure does not need to be changed for existing protocols.
  • the new initial value or starting value can be ⁇ initial simplicity, a continuation of the stored Endinitialwerts. This means that a retentive storage of the last used initial value or of a value calculated from it is carried out. Reboot takes into account the stored value and ensures that a different sequence of test values is used.
  • the check value can be a remanently stored sequence number, whereby the sequence is continued when restarting.
  • a random generator may be provided for generating the initial value or start initial value. If it is at the test values of sequence numbers, the start initial value of the sequence number is thus chosen randomly at each connection and is therefore very likely different from those previously used ⁇ ten test values.
  • the function for calculating the test values can also be a
  • Pseudo-random generator for generating a Monitoring Number include.
  • the monitoring number is very different for different telegrams, which allows recognition of address or sequence errors.
  • the pseudo-random generator for the MNR is initialized each time the connection is restarted. But it follows that without additional measure ⁇ initialization would be the same every time, and it would be every time the same sequence of MNR and there ⁇ used with the same sequence of test values. Therefore initializing the pseudo-random generator from Ini is made ⁇ tialwert dependent.
  • the initial value is generated by the initiator and sent to the responder in the first telegram instead of the test value. This generates the initiator and the responder has an identical sequence of check values that varies from reboot to reboot. To generate the initial value, the initiator relies on a secure retentive memory.
  • the initial value can be set to zero to the Urla-, and with each restart of the Com ⁇ munication it can be increased by the value one.
  • both Gay ⁇ nikationsmittel have a pseudo-random generator and a function ⁇ on the generation of a start initial value.
  • the start initial values are in when connecting ver ⁇ sent telegrams with the test values in the PDUs offset against.
  • the final initial value for example, is determined by bit ⁇ as XOR function.
  • the random number generators in the initiator and the responder are identically initialized using the initial value, resulting in the generation of an identical sequence of MNR and thus identical sequence of test values in initiator and responder. It is not necessary to transfer the final initial value.
  • the determination of the initial value can be carried out using a real-time clock, eg date, time in seconds.
  • the determination of the initial value can be carried out using a clock signal. This can be, for example, a high-resolution processor clock.
  • the communication means communication participants in a switched network or in a fieldbus system. The transmission of messages can be further improved if according to an advantageous embodiment of the inventions dung the telegrams are stored at least partially in the Kommunikati ⁇ onsffenn.
  • the system is provided for the functionally secure transmission of telegrams.
  • Functionally safe in this context means that the system enters a safe state in the event of a fault or an error.
  • all errors occurring in the system in this case, errors that can occur in the communication means
  • the check value preferably comprises 32 bits.
  • the telegram counter has a count value of 32 bit width.
  • the initial value is considered, which also has a width of 32 bits.
  • the functionally secure data is taken into account in the required length. Also, one bit as the reset information indicating the reset of the message counter, are taken into account in determining the check value ⁇ .
  • a physical or logical monitoring Number (MNR) 2 generated that added to the telephoto ⁇ programs 25, 35, 45 (FIG 3) either, or included in the test value, or both.
  • MNR physical or logical monitoring Number
  • it is a sequence number, which is incremented each time a telegram 25, 35, 45 (FIG. 3) is sent.
  • the range of values of the MNR 2 is usually selected to be large enough that a match of the expected MNR 2 with the MNR 2 of the faulty telegram 25, 35, 45 (FIG. 3) can be ruled out, at least with high probability.
  • the procedure for generating the MNR 2 is reinitialized. This means that in the simplest example, the sequence number is reset to zero.
  • connection is periodically restarted at short intervals (for example, during a tool change, or daily closing)
  • a storing network element for example the memory 4 of a router 3 stores a sequence of telegrams 25, 35, 45 which also contains the telegrams used during connection establishment. If the secure connection is now completed, the stored network element may send the vomit-assured ⁇ sequence by an error, which also contains the telegrams 25,35,45 for a connection. This leads to an unwanted restart (arrow 5).
  • the first problem namely the regular restart
  • the second problem namely the unwanted restart, is so far excluded using properties of the storing elements. These properties are therefore a prerequisite for the validity of the safety case.
  • the proof is therefore not independent of the properties of a transmission channel (black channel approach).
  • FIG 2 shows the generation of an initial value 10 according to the invention.
  • the function for generating a sequence of test values of 11 at each restart of the communication is different initiali ⁇ Siert, ie it is calculated every time a different initial value ⁇ 10th Characterized an un ⁇ ter Kunststoffliche sequence of the new test values 11 and 2, respectively (FIG 1) is generated after every reboot.
  • this allows the entire value range of the new test values 11 to be run through independently of the frequency of the restarts. An incorrectly repeated start ⁇ sequence does not lead to an unwanted restart, if of responders is at least partially involved in the formation of the initial ⁇ value.
  • the initial value 10 can comprise a determining 32 bits.
  • the check value 11 may then also comprise a width of 32 bits.
  • further data can be taken into account when determining the test value 11.
  • these are, for example, the radio ⁇ tional secure data 12 in the required length, one bit as the reset information 13 for the reset of the Telegrammzäh- coupler, which is provided for assigning a count value to a telephoto ⁇ program 25,35,45 (FIG 3), the determination of the new check value 11 may take into account also other non nä data 14 described ⁇ forth (such as message counter).
  • fol ⁇ ing techniques offer, which can also be combined.
  • an initial value 10 can be carried out using a random number generator 22. If the test value 11 is configured as a sequence number, then, for example, the start initial value of the sequence number can be selected at random.
  • the generation of an ini ⁇ tialwerts 10 using a real-time clock 23 done.
  • the real-time clock 23 can be created, for example, based on the date and time in seconds.
  • the generation of an initial value 11 may be done using a clock signal. This can be done for example by a high-resolution processor clock 24.
  • the initial value 10 can serve to initialize a pseudo-random generator identically in both communication means.
  • the random number generators then generate an identical stream of pseudo-random monitoring numbers (MNR) 2 in both communication means.
  • MNR pseudo-random monitoring numbers
  • the initial value 10 is either formed in Initia ⁇ tor or in responders and, included during the connection ⁇ structure in the verification value 11 of a transmitted message frame, for example by means of the XOR function.
  • Check value 11 during initialization it can calculate back the initial value 10 (in the example again with XOR).
  • a transmission error when establishing a connection then causes the transmitter and receiver generate the initial value 10 un ⁇ differently. Therefore none of the following telegrams will be accepted.
  • a transmission error during connection establishment therefore prevents the connection from being established, which corresponds to a fault in the safe direction.
  • Responders each generate a first initial initial value 200 and a second initial initial value 210, which during connection establishment into a first check value 11 of a first transmitted telegram 25 with the data 26, for example with the help the bitwise XOR operation is included.
  • the first test value 11 can be generated, for example, with a random generator 22 or by incrementing or a time stamp of a real-time clock 23 (FIG. 2).
  • the subsequent telegrams 35, 45 can also be calculated.
  • the initial value 10 becomes an old initial value.
  • new start initial values that are different to the start of initial values 200, 210, generated by a different Altinitalwert to initial value to ge ⁇ nerieren. Then proceed as described above.
  • both communication means calculate their final initial value 10, which in the error-free case is identical on both sides. This method is also highly likely to cause the initial values used 10 not to repeat if one of the communication means is faulty and e.g. the now obsolete Startinitialwert used.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

Die Erfindung betrifft ein Kommunikationssystems zur Kommunikation einer Sequenz von Telegrammen mit mindestens einem Kommunikationsmittel zum Aufbau einer Verbindung sowie einer Sequenz von Prüfwerten, welche jeweils aus einem Nutzdatenteil des Telegramms bestimmbar sind, sowie einem Initialwert, wobei zumindest ein Kommunikationsmittel eine Funktion zur Bestimmung des Initialwerts (10) aufweist, und wobei bei einem ersten Verbindungsaufbau die Sequenz von Prüfwerten (11) zumindest unter Berücksichtigung eines Altinitialwerts generiert wurde, wobei bei einem zweiten Verbindungsaufbau durch Neustart der Kommunikation die Funktion einen vom Altinitialwert unterschiedlichen Initialwert (10) generiert, so dass der Initialwert (10) mit hoher Wahrscheinlichkeit unterschiedlich zu dem zuletzt verwendetem Altinitialwert ist. Weiterhin betrifft die Erfindung ein Verfahren zur Kommunikation von einem Telegramm.

Description

Beschreibung
Kommunikationssystem und Verfahren zur Kommunikation mit einer Sequenz von Telegrammen
Die Erfindung betrifft ein Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen mit mindestens einem Kommunikationsmittel zum Aufbau einer Verbindung sowie einer Sequenz von Prüfwerten, welche jeweils aus einem Nutzdaten- teil des Telegramms bestimmbar sind, sowie einem Initialwert, wobei zumindest ein Kommunikationsmittel eine Funktion zur Bestimmung eines Initalwerts aufweist, und wobei bei einem ersten Verbindungsaufbau die Sequenz von Prüfwerten zumindest unter Berücksichtigung eines Altinitialwerts generiert wurde. Ferner betrifft die Erfindung ein Verfahren hierzu.
Ein Telegramm ist ein Datenpaket, das innerhalb eines Kommu¬ nikationsnetzes zwischen Kommunikationsmitteln übertragbar ist. Die Erfindung betrifft das technische Gebiet der funkti- onal sicheren Kommunikation, die unter anderem zwischen Feldgeräten, Steuerungskomponenten und ähnlichen Einrichtungen in der industriellen Prozessautomatisierung oder Fertigungsautomatisierung eingesetzt wird. Eine solche funktional sichere Kommunikation, auch F-Kommunikation genannt, wird insbesonde- re bei sicherheitsrelevanten oder sicherheitskritischen Anwendungen eingesetzt, insbesondere dann, wenn Fehler in der Kommunikation zur Gefährdung von Menschen, der Umwelt oder Sachwerten führen können. Zur funktional sicheren Kommunikation in den oben genannten technischen Gebieten wird gemäß dem Stand der Technik eine besonders abgesicherte paketvermittelte Datenübertragung ein¬ gesetzt, insbesondere die Profile der internationalen Stan¬ dardfamilie IEC 61784-3-X. Dabei werden in den funktional si- cheren Datenpaketen (PDU = Prozess Data Unit) , die dann auch „funktional sichere Prozess-Data-Unit" (F-PDU) genannt wer¬ den, zusätzliche Prüfwerte (Prüfsummen, Checksummen, Signatu¬ ren) eingesetzt, wobei in den Protokollen der unterlagerten Standard-Kommunikationslayer (vgl. Normenfamilie IEC 61158) bereits Prüfwerte oder dgl . vorgesehen sind, die ein Erkennen von Übertragungsfehlern gestatten. Ein Adress- oder Routingfehler in diesen unteren Protokollschichten, also außerhalb der erwähnten Sicherungsschicht der F-Kommunikation, führt zur Zustellung eines Datenpakets (F- PDU) an den falschen Empfänger. In diesem Fall passen die beim Sender zur Berechnung des Prüfwerts (frame check
sequence, FCS) verwendeten Adressen nicht zu den Erwartungs¬ werten des Empfängers.
Die Verwendung eines Prüfwerts dient daher der Gewährleistung von Datenintegrität bei der Datenübermittlung oder - speicherung. Dabei wird ein Wert, im einfachsten Fall eine Prüfsumme, aus Daten eines Telegramms mit einem geeigneten Verfahren bestimmt, z. B. berechnet. Der sich ergebende Wert wird dann als Prüfwert mitgespeichert bzw. -übertragen. Der Empfänger des Telegramms kann aus den Daten ebenfalls einen Prüfwert bestimmen und diesen mit dem mitübertragenen
Prüfwert des Senders vergleichen. Sind die beiden Prüfwerte unterschiedlich, liegt ein Fehler, insbesondere ein Übertragungsfehler, vor. Sind die beiden Prüfwerte identisch, ist die Nachricht mit hoher Wahrscheinlichkeit korrekt übertragen worden.
In Kommunikationsprotokollen wird den Telegrammen zur Erkennung von Sequenzfehlern (z.B. ungewollte Wiederholung eines Pakets durch Fehler in einem speichernden Netzelement (z. B. Router) ein physischer oder logischer Zeitstempel hinzugefügt. Im einfachsten Fall handelt es sich um eine Sequenznummer, die bei jedem Versenden eines Telegramms inkrementiert wird. Der Wertebereich des Zeitstempels wird üblicherweise so groß gewählt, dass eine Übereinstimmung des erwarteten Codes mit dem Code des fehlerhaften Telegramms mit zumindest hoher Wahrscheinlichkeit ausgeschlossen werden kann. Beim Neustart einer Verbindung (reset) , wird das Verfahren zur Generierung des Zeitstempels neu initialisiert. Im einfachsten Beispiel geschieht dies durch Zurücksetzen der Sequenznummer auf Null.
Der Erfindung liegt daher die Aufgabe zugrunde, durch die An- gäbe eines Kommunikationssystems und eines Verfahren die Er¬ kennung von Fehlern bei der Übertragung zu verbessern und die Übertragung hinsichtlich Sicherheit und Stabilität zu verbes¬ sern . Die auf die Vorrichtung bezogene Aufgabe wird gelöst durch die Angabe eines Kommunikationssystems zur Kommunikation ei¬ ner Sequenz von Telegrammen mit mindestens einem Kommunikationsmittel zum Aufbau einer Verbindung sowie einer Sequenz von Prüfwerten, welche jeweils aus einem Nutzdatenteil des Tele- gramms bestimmbar sind, sowie einem Initialwert, wobei zumin¬ dest ein Kommunikationsmittel eine Funktion zur Bestimmung eines Initialwerts aufweist, und wobei bei einem ersten Ver¬ bindungsaufbau die Sequenz von Prüfwerten zumindest unter Be¬ rücksichtigung eines Altinitialwerts generiert wurde, wobei bei einem zweiten Verbindungsaufbau durch Neustart der Kommu¬ nikation die Funktion einen vom Altinitialwert unterschiedli¬ chen Initialwert generiert, so dass der Initialwert mit hoher Wahrscheinlichkeit unterschiedlich zu dem zuletzt verwendetem Altinitalwert ist.
Die auf das Verfahren bezogene Aufgabe wird gelöst durch die Angabe eines Verfahrens zur Kommunikation einer Sequenz von Telegrammen mit mindestens einem Kommunikationsmittel zum Aufbau einer Verbindung sowie einer Sequenz von Prüfwerten, welche jeweils aus einem Nutzdatenteil des Telegramms be¬ stimmt wird, sowie einem Initialwert, wobei zumindest ein Kommunikationsmittel eine Funktion zur Bestimmung des Initi¬ alwerts aufweist, und wobei bei einem ersten Verbindungsauf¬ bau die Sequenz von Prüfwerten zumindest unter Berücksichti- gung eines Altinitialwerts generiert wurde, wobei bei einem zweiten Verbindungsaufbau durch Neustart der Kommunikation die Funktion einen vom Altinitialwert unterschiedlichen neuen Initialwert generiert, so dass der Initialwert mit hoher Wahrscheinlichkeit unterschiedlich zu dem zuletzt verwendeten Altinitialwert generiert wird.
Erfindungsgemäß wurde erkannt, dass wenn die Verbindung in geringen Abständen periodisch neu gestartet wird, z.B. bei einem Werkzeugwechsel oder täglich zu Schichtbeginn, die Menge der tatsächlich verwendeten Prüfwerte begrenzt ist, so dass nicht mehr ausgeschlossen werden kann, dass es zu einer Verwechslung kommt. Die Wahrscheinlichkeit eines nicht ent¬ deckten Fehlers hängt dann von der mittleren Zeit zwischen zwei Neustarts ab.
Auch wurde erkannt, dass ein speicherndes Netzelement (z.B. ein Router) eine Sequenz von Telegrammen, die auch die beim Verbindungsaufbau verwendeten Telegramme enthält, speichern kann. Wenn nun die sichere Verbindung beendet wird, so kann durch einen Fehler das speichernde Netzelement die gespei¬ cherte Sequenz, die auch die Telegramme für einen Verbindungsaufbau enthält, senden. Dadurch kommt es zu einem unge¬ wollten Wiederanlauf/Wiederaufbau der Verbindung.
Erfindungsgemäß wird zur Bestimmung einer neuen Sequenz von Prüfwerten bei jedem Neustart der Kommunikation ein Initialwert generiert, der zumindest mit hoher Wahrscheinlichkeit unterschiedlich zu den zuletzt verwendeten Initialwerten ist, d.h. es wird quasi die Funktion zur Generierung der Prüfwerte bei jedem Neustart der Kommunikation (Verbindungsaufbau) un¬ terschiedlich initialisiert. Dadurch wird nach jedem Neustart eine unterschiedliche Sequenz von neuen Prüfwerten generiert. Insgesamt kann dadurch der gesamte Wertebereich der Prüfwerte unabhängig von der Frequenz der Neustarts durchlaufen werden; die Menge der tatsächlich verwendeten Prüfwerte ist daher - nicht mehr wie im Stand der Technik - begrenzt. Somit hängt auch die Wahrscheinlichkeit eines nicht entdeckten Fehlers nicht mehr von der mittleren Zeit zwischen zwei Neustarts ab.
Vorteilhafterweise können die in den gängigen Standards ver¬ wendeten Nachweismethoden zur Beherrschung von Sequenzfehlern auch auf Maschinen angewendet werden, bei denen die Kommunikationsverbindungen regelmäßig neu gestartet werden. Die Fre¬ quenz der Neustarts muss beim Nachweis nicht berücksichtigt werden .
Dies ist insbesondere für Werkzeugmaschinen und Roboter rele¬ vant, bei denen Werkzeuge typischerweise minütlich gewechselt werden, und dabei die Kommunikation jedes Mal neu gestartet wird .
Eine Änderung an der Zustandsmaschine (erstes Kommunikations¬ mittel, zweites Kommunikationsmittel) oder des Protokolls (PDU) ist vorteilhafterweise nicht erforderlich. Der Initialwert wird bei Unterbrechung der Verbindung, d.h. Abschalten des Rechners, zum Altinitialwert.
In den Unteransprüchen sind weitere vorteilhafte Maßnahmen aufgelistet, die beliebig miteinander kombiniert werden kön- nen, um weitere Vorteile zu erzielen.
Bevorzugt weist ein erstes Kommunikationsmittel einen Tele¬ grammzähler auf, welcher zur Zuordnung eines Zählwertes mittels einer ersten Rechenvorschrift zu einem Telegramm ent- sprechend einer Sendereihenfolge vorgesehen ist, wobei die erste Rechenvorschrift derart vorgesehen ist, dass sich für jedes Telegramm oder Folge von Telegrammen ein korrespondierender inkrementierter Zählwert ergibt, wobei der neue
Prüfwert unter Berücksichtigung des Initialwerts bestimmbar ist und nachfolgend neue Prüfwerte unter Berücksichtigung des Initialwerts sowie des inkrementierten Zählwertes bestimmbar sind .
In einer bevorzugten Ausgestaltung ist ein erstes Kommunika- tionsmittel zum Aufbau einer Verbindung (Initiator) und zumindest ein zweites Kommunikationsmittel zur Entgegennahme des Aufbaus (Responder) vorgesehen, wobei zumindest der Initialwert mit einem ersten Telegramm an das zweites Kommunika- tionsmittel übermittelt wird. Dieser Initialwert bestimmt die Prüfwerte der nachfolgend versendeten Telegramme, für die der jeweilige Empfänger jeweils einen Erwartungsprüfwert gene¬ riert, welcher mit dem empfangenen Prüfwert verglichen wird und wobei im Fall einer Abweichung ein Fehler erkennbar ist. Dieser kann dann gemeldet werden.
In einer bevorzugten Ausgestaltung ist ein erstes Kommunikationsmittel zum Aufbau einer Verbindung (Initiator) und zumindest ein zweites Kommunikationsmittel zur Entgegennahme des Aufbaus (Responder) vorgesehen, wobei zumindest der Initialwert mit einem ersten Telegramm an das erste Kommunikati¬ onsmittel übermittelt wird. Dieser Initialwert bestimmt die Prüfwerte der nachfolgend versendeten Telegramme, für die der jeweilige Empfänger jeweils einen Erwartungsprüfwert gene¬ riert, welcher mit dem empfangenen Prüfwert verglichen wird und wobei im Fall einer Abweichung ein Fehler erkennbar ist. Dieser kann dann gemeldet werden. D.h. in einer weiteren bevorzugten Ausgestaltung wird der Initialwert nicht vom Initiator, sondern vom Responder bestimmt.
In einer bevorzugten Ausgestaltung ist das erste Kommunikationsmittel zum Aufbau der Verbindung (Initiator) und zumindest ein zweites Kommunikationsmittel (Responder) zur Entgegennah- me des Aufbaus vorgesehen, wobei das erste Kommunikationsmit¬ tel einen ersten Startinitialwert generiert und an das zweite Kommunikationsmittel sendet und das zweite Kommunikationsmit¬ tel einen zweiten Startinitialwert generiert und an das erste Kommunikationsmittel sendet und der endgültige Initialwert durch eine in dem ersten Kommunikationsmittel als auch zwei¬ ten Kommunikationsmittel vorgesehenen Berechnungseinheit mit¬ tels der beiden Startinitialwerte berechenbar ist, so dass keine weitere Übersendung des Initialwerts vom ersten Kommu¬ nikationsmittel an das zweite Kommunikationsmittel oder umge- kehrt notwendig ist. Somit erfolgt keine Übersendung des Ini¬ tialwerts vom ersten Kommunikationsmittel an das zweite Kom¬ munikationsmittel. D.h. dass der Initialwert nicht nur von einem, sondern von beiden Verbindungsteilnehmern, nämlich dem Initiator und dem Responder abhängt. Lediglich die Prüfwerte werden mit den Telegrammen mitgesendet. Wiederholt ein spei¬ cherndes Element z.B. ein Router fehlerhafterweise eine Se¬ quenz von Telegrammen mit Prüfwerten, die auf Basis eines veralteten Initialwerts berechnet wurden, passen die Prüfwerte nicht zur erwarteten Sequenz, und es kommt nicht zu einem unerwünschten Wiederanlauf. Ein unerwünschter Wiederanlauf kann dadurch erkannt werden. Der Vorteil dieser Ausgestaltung liegt darin, dass auch dann mit hoher Wahrscheinlichkeit ein neuer endgültiger Initial¬ wert gebildet wird, wenn eines der Kommunikationsmittel feh¬ lerhaft ist, und z. B. einen veralteten Startinitialwert ver¬ wendet. Solange das zweite Kommunikationsmittel fehlerfrei ist, wird dennoch ein unterschiedlicher endgültiger Initialwert gebildet.
Zudem muss für bereits existierende Protokolle der definierte Telegrammaufbau (PDU) nicht geändert werden. Dies kann da- durch erreicht werden, dass der Initialwert bzw. die Start¬ initialwerte, die beim Aufbau der Verbindung ausgetauscht werden, folgendermaßen versendet werden: Der Sender verknüpft den Wert z. B. mit bitweiser XOR-Operation mit dem im Telegramm versendeten Prüfwert. Da der Empfänger eine feste Er- Wartungshaltung für den Prüfwert hat, kann er den Initialwert bzw. den Startinitialwert daraus zurückrechnen (im Beispiel wieder mit XOR) . Liegt ein Übertragungsfehler beim Verbindungsaufbau vor, so führt das dazu, dass Initiator und
Responder den Initialwert und damit die Folge von Prüfwerten mit der Funktion unterschiedlich berechnen und diese nicht übereinstimmen. Deshalb wird mit hoher Wahrscheinlichkeit keines der folgenden Telegramme akzeptiert. Ein Übertragungs¬ fehler beim Verbindungsaufbau verhindert daher, dass die Ver¬ bindung zustande kommt, was einem Fehler in die sichere Rich- tung entspricht. Der fehlerhafte Wiederanlauf wird prinzipi¬ ell ausgeschlossen, ohne Anforderungen an einen sogenannten „Black Channel" stellen zu müssen. Alternativ oder zusätzlich wird der zuletzt verwendete Initi¬ alwert bzw. Startinitialwert oder ein daraus berechneter Wert als ein Endinitialwert gespeichert, so dass bei Neustart der Kommunikation die Generierung des neuen Initialwerts bzw. Startinitialwerts unterschiedlich zum gespeicherten Endinitialwert erfolgt. Dabei kann der neue Initialwert bzw. Start¬ initialwert einfachheitshalber eine Fortsetzung des gespeicherten Endinitialwerts sein. D.h. es wird eine remanente Speicherung des zuletzt verwendeten Initialwerts bzw. eines daraus berechneten Werts vorgenommen. Beim Neustart wird der gespeicherte Wert berücksichtigt und es wird sichergestellt, dass eine unterschiedliche Sequenz von Prüfwerten verwendet wird. So kann z.B. der Prüfwert eine remanent gespeicherte Sequenznummer sein, wobei bei Neustart die Sequenz fortge- setzt wird.
Alternativ oder zusätzlich kann zur Generierung des Initialwerts oder Startinitialwerts ein Zufallsgenerator vorgesehen sein. Handelt es sich bei den Prüfwerten um Sequenznummern, so wird der Startinitialwert der Sequenznummer dadurch bei jedem Verbindungsaufbau zufällig gewählt und ist daher mit hoher Wahrscheinlichkeit verschieden von den zuvor verwende¬ ten Prüfwerten. Die Funktion zur Berechnung der Prüfwerte kann auch einen
Pseudozufallsgenerator zur Erzeugung einer Monitoring Number (MNR) umfassen. Die Monitoring Number ist mit hoher Wahrscheinlichkeit für verschiedene Telegramme unterschiedlich, was eine Erkennung von Adress- bzw. Sequenzfehlern erlaubt. Der Pseudozufallsgenerator für die MNR wird bei jedem Verbindungsneustart initialisiert. Daraus folgt aber, dass ohne zu¬ sätzliche Maßnahme die Initialisierung jedes Mal identisch wäre, und es würde jedes Mal dieselbe Sequenz von MNR und da¬ mit dieselbe Sequenz von Prüfwerten verwendet werden. Daher wird die Initialisierung des Pseudozufallsgenerators vom Ini¬ tialwert abhängig gemacht. Der Initialwert wird vom Initiator generiert, und im ersten Telegramm an Stelle des Prüfwerts an den Responder versendet. Dadurch erzeugen der Initiator und der Responder eine identische Sequenz von Prüfwerten, die von Neustart zu Neustart unterschiedlich ist. Zur Generierung des Initialwerts stützt sich der Initiator auf einen sicheren re- manenten Speicher. Bevorzugt kann der Initialwert beim Urla- den auf Null gesetzt werden, und bei jedem Neustart der Kom¬ munikation kann er um den Wert eins erhöht werden.
Bevorzugt ist ein erstes Kommunikationsmittel zum Aufbau der Verbindung und mindestens ein zweites Kommunikationsmittel zur Entgegennahme des Aufbaus vorgesehen, wobei beide Kommu¬ nikationsmittel einen Pseudozufallsgenerator und eine Funkti¬ on zur Generierung eines Startinitialwerts aufweisen. Die Startinitialwerte werden in den beim Verbindungsaufbau ver¬ sendeten Telegrammen mit den Prüfwerten in den PDUs verrech- net.
Aus den beiden Startinitialwerten des Initiators und des Responders wird der endgültige Initialwert, z.B. durch bit¬ weise XOR-Funktion, ermittelt. Die Zufallszahlgeneratoren im Initiator und im Responder werden identisch, unter Verwendung des Initialwerts initialisiert, was zur Generierung einer identischen Sequenz von MNR und damit identischer Sequenz von Prüfwerten in Initiator und Responder führt. Es ist nicht erforderlich, den endgültigen Initialwert zu übertragen.
Wiederholt ein speicherndes Element (z.B. ein Router) eine Sequenz von veralteten Telegrammen mit Prüfwerten, die auf Basis früherer Initialwerte berechnet wurden, passt die Se¬ quenz von Prüfwerten zumindest mit hoher Wahrscheinlichkeit nicht zu den erwarteten Prüfwerten und es kommt nicht zu ei¬ nem unerwünschten Wiederanlauf.
Alternativ oder zusätzlich kann die Bestimmung des Initialwertes unter Verwendung einer Echtzeituhr erfolgen, z.B. Da- tum, Uhrzeit in Sekunden. Alternativ oder zusätzlich kann die Bestimmung des Initialwertes unter Verwendung eines Taktsignals erfolgen. Dies kann z.B. eine hoch auflösende Prozessor-Uhr sein. Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung sind die Kommunikationsmittel Kommunikationsteilnehmer in einem geschalteten Netzwerk oder in einem Feldbussystem. Die Übertragung von Telegrammen kann weiter verbessert werden, wenn gemäß einer vorteilhaften Ausgestaltung der Erfin- dung die Telegramme zumindest teilweise in den Kommunikati¬ onsmitteln speicherbar sind.
Vorteilhafterweise ist das System zum funktional sicheren Übertragen von Telegrammen vorgesehen. Funktional sicher (engl, failsafe) bedeutet in diesem Zusammenhang, dass das System bei Störung oder im Fehlerfall in einen sicheren Zustand übergeht. Bei einem funktional sicheren System müssen alle im System vorkommenden Fehler (hier Fehler, die in den Kommunikationsmitteln auftreten können) mit einer hinreichend großen Wahrscheinlichkeit erkannt und beherrscht werden, mit dem Ziel die Gefährdung von Mensch, Umwelt und/oder Sachwerten durch Fehler des Systems ausreichend zu reduzieren.
Weiterhin ist es vorteilhaft, keine zusätzlichen Zustände in den Protokollmaschinen, hier Initiator und Responder und keine zusätzlichen Felder in den Telegrammen einzuführen. Der Prüfwert umfasst vorzugsweise 32 Bit. Der Telegrammzähler weist einen Zählwert von 32 Bit Breite auf. Zudem wird der Initialwert berücksichtigt, welcher ebenfalls eine Breite von 32 Bit aufweist. Zudem werden die funktional sicheren Daten in der erforderlichen Länge berücksichtigt. Auch können ein Bit als Rücksetzinformation, welches den Reset des Telegrammzählers anzeigt, bei der Bestimmung des Prüfwerts berücksich¬ tigt werden.
Weitere Merkmale, Eigenschaften und Vorteile der vorliegenden Erfindung ergeben sich aus der nachfolgenden beispielhaften Beschreibung unter Bezugnahme auf die beiliegende Figuren. Darin zeigen schematisch:
FIG 1 Fehler bei der Übertragung eines Telegramms,
FIG 2 Generierung eines Prüfwerts nach der Erfindung,
FIG 3 ein weiteres Ausführungsbeispiel der Erfindung.
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele einge¬ schränkt. Variationen hiervon können vom Fachmann abgeleitet werden, ohne den Schutzumfang der Erfindung, wie er durch die nachfolgenden Patentansprüche definiert wird, zu verlassen. FIG 1 zeigt die Fehler bei der Übertragung eines Telegramms 25, 35, 45 (FIG 3) .
In Kommunikationsprotokollen wird zur Erkennung von Sequenzfehlern, z.B. eine ungewollte Wiederholung eines Pakets durch Fehler in einem speichernden Netzelement, eine physische oder logische Monitoring Number (MNR) 2 generiert, die den Tele¬ grammen 25, 35, 45 (FIG 3) entweder hinzugefügt, oder in den Prüfwert eingerechnet wird, oder beides. Im einfachsten Fall handelt es sich um eine Sequenznummer, die bei jedem Versenden eines Telegramms 25,35,45 (FIG 3) inkrementiert wird. Der Wertebereich der MNR 2 wird üblicherweise so groß gewählt, dass eine Übereinstimmung der erwarteten MNR 2 mit der MNR 2 des fehlerhaften Telegramms 25,35,45 (FIG 3) zumindest mit hoher Wahrscheinlichkeit ausgeschlossen werden kann. Beim Neustart einer Verbindung (reset) , wird das Verfahren zur Ge- nerierung der MNR 2 neu initialisiert. D.h. im einfachsten Beispiel wird die Sequenznummer auf Null zurückgesetzt. In diesem Zusammenhang gibt es zwei Probleme:
1. Wird die Verbindung in geringen Abständen periodisch neu gestartet (z.B. bei einem Werkzeugwechsel, oder täglich zu
Schichtbeginn) , ist die Menge der tatsächlich verwendeten MNR 2 begrenzt, so dass nicht mehr ausgeschlossen werden kann, dass es zu Verwechslungen (Pfeil 1) kommt. Die Wahr- scheinlichkeit eines nicht entdeckten Fehlers hängt dann von der mittleren Zeit zwischen zwei Neustarts ab.
2. Ein speicherndes Netzelement, z.B. der Speicher 4 eines Routers 3 speichert eine Sequenz von Telegrammen 25,35,45 die auch die beim Verbindungsaufbau verwendeten Telegramme enthält. Wird die sichere Verbindung nun beendet, so kann das speichernde Netzelement durch einen Fehler die gespei¬ cherte Sequenz senden, die auch die Telegramme 25,35,45 für einen Verbindungsaufbau enthält. Dadurch kommt es zu einem ungewollten Wiederanlauf (Pfeil 5) .
Das erste Problem, nämlich der regelmäßiger Neustart, wurde bisher nicht adressiert und ist in den gängigen Standards (z.B. IEC 61784-3) nicht beschrieben. Die dort erwähnten Be¬ rechnungsformeln gehen von der Annahme aus, dass das System nicht regelmäßig (bzw. nicht in kurzen Zeitabständen) neu gestartet wird. Das zweite Problem, nämlich der ungewollte Wiederanlauf, wird bisher unter Nutzung von Eigenschaften der speichernden Elemente ausgeschlossen. Diese Eigenschaften sind daher Voraussetzung für die Gültigkeit des Sicherheitsnachweises. Der Nachweis ist also nicht unabhängig von den Eigenschaften ei- nes Übertragungskanals (Black-Channel-Ansatz) .
FIG 2 zeigt die Generierung eines Initialwerts 10 nach der Erfindung. Erfindungsgemäß wird die Funktion zur Generierung einer Sequenz von der Prüfwerten 11 bei jedem Neustart der Kommunikation (Verbindungsaufbau) unterschiedlich initiali¬ siert, d.h. es wird jedes Mal ein unterschiedlicher Initial¬ wert 10 berechnet. Dadurch wird nach jedem Neustart eine un¬ terschiedliche Sequenz von neuen Prüfwerten 11 bzw. 2 (FIG 1) generiert. Insgesamt kann dadurch der gesamte Wertebereich der neuen Prüfwerte 11 unabhängig von der Frequenz der Neustarts durchlaufen werden. Eine fehlerhaft wiederholte Start¬ sequenz führt nicht zu einem ungewollten Wiederanlauf, wenn der Responder zumindest teilweise an der Bildung des Initial¬ werts beteiligt ist.
Der Initialwert 10 kann dabei bestimmende 32 Bit umfassen. Der Prüfwert 11 kann dann ebenfalls eine Breite von 32 Bits umfassen. Zudem können bei Bestimmung des Prüfwerts 11 noch weitere Daten berücksichtigt werden. Dies sind z.B. die funk¬ tional sicheren Daten 12 in der erforderlichen Länge, ein Bit als Rücksetzinformation 13 für den Reset des Telegrammzäh- lers, welcher zur Zuordnung eines Zählwerts zu einem Tele¬ gramm 25,35,45 (FIG 3) vorgesehen ist, Auch andere, nicht nä¬ her beschriebenen Daten 14 (wie z.B. Telegrammzähler) können der Bestimmung des neuen Prüfwerts 11 berücksichtigt werden. Für die Berechnung des Initialwerts 10 bieten sich u. a. fol¬ gende Techniken an, die auch kombiniert werden können. Dies ist zum einen die remanente Speicherung des zuletzt verwende¬ ten Initialwerts 10, dem Endinitialwert 21. Beim Neustart wird der gespeicherte Endinitialwert 21 berücksichtigt und es wird sichergestellt, dass der neue Initialwert 10 zumindest mit hoher Wahrscheinlichkeit unterschiedlich zu den zuletzt gespeicherten Endinitialwerten 21 ist. Ist der neue Prüfwert 11 als remanent gespeicherte Sequenznummer ausgestaltet, so kann beispielsweise bei jedem Neustart die Sequenz fortge- setzt werden.
Zum anderen kann die Generierung eines Initialwerts 10 unter Verwendung eines Zufallszahlgenerators 22 erfolgen. Ist der Prüfwert 11 als Sequenznummer ausgestaltet, so kann bei- spielsweise der Startinitialwert der Sequenznummer zufällig gewählt werden.
Als eine weitere Möglichkeit kann die Generierung eines Ini¬ tialwerts 10 unter Verwendung einer Echtzeituhr 23 erfolgen. Die Echtzeituhr 23 kann z.B. anhand des Datums und der Uhrzeit in Sekunden erstellt werden. Als eine zusätzliche Möglichkeit kann die Generierung eines Initialwerts 11 unter Verwendung eines Taktsignals erfolgen. Dies kann z.B. durch eine hochauflösende Prozessor-Uhr 24 erfolgen .
Als eine weitere Möglichkeit kann der Initialwert 10 dazu dienen, in beiden Kommunikationsmitteln einen Pseudozufalls- generator identisch zu initialisieren. Die Zufallsgeneratoren erzeugen dann in beiden Kommunikationsmitteln einen identi- sehen Strom an pseudozufälligen Monitoring Numbers (MNR) 2.
Im einfachen Fall wird der Initialwert 10 entweder im Initia¬ tor oder im Responder gebildet und während des Verbindungs¬ aufbaus in den Prüfwert 11 eines übertragenen Telegramms , z.B. mit Hilfe der XOR-Funktion, eingerechnet.
Wird der Initialwert im Responder gebildet, stellt dies eine Erweiterung zum Schutz vor unerwünschtem Wiederanlauf dar. Für bereits existierende Protokolle ist es weder notwendig die Zustandsmaschine des Initiators bzw. Responders noch die verwendete Telegrammstruktur (PDU) zu ändern.
Da der Empfänger eine feste Erwartungshaltung für den
Prüfwert 11 während der Initialisierung hat, kann er den Ini- tialwert 10 daraus zurückrechnen (im Beispiel wieder mit XOR) . Ein Übertragungsfehler beim Verbindungsaufbau führt dann dazu, dass Sender und Empfänger den Initialwert 10 un¬ terschiedlich generieren. Deshalb wird keines der folgenden Telegramme akzeptiert. Ein Übertragungsfehler beim Verbin- dungsaufbau verhindert daher, dass die Verbindung zustande kommt, was einem Fehler in die sichere Richtung entspricht.
Im erweiterten Fall (FIG 3) wird der Initialwert 10 von Ini¬ tiator und Responder gemeinsam gebildet. Initiator und
Responder erzeugen jeweils einen ersten Startinitialwert 200 und einen zweiten Startinitialwert 210, welcher während des Verbindungsaufbaus in einen ersten Prüfwert 11 eines ersten versendeten Telegramms 25 mit den Daten 26, z.B. mit Hilfe der bitweisen XOR-Operation eingerechnet wird. Der erste Prüfwert 11 kann hierbei z.B. mit einem Zufallsgenerator 22 oder durch inkrementieren oder einem Zeitstempel einer Echtzeituhr 23 (FIG 2) generiert werden. Die nachfolgenden Tele- gramme 35,45 können ebenso berechnet werden.
Bei Abbrechen wird der Initialwert 10 zu einem Altinitalwert. Bei einem Neustart werden neue Startinitialwerte, die sich zu den Startinitialwerten 200, 210 unterscheiden, generiert, um einen zum Altinitalwert unterschiedlichen Initialwert zu ge¬ nerieren. Anschließend wird wie oben beschrieben verfahren.
Aus dem Startinitialwert 200,210 berechnen beide Kommunikati onsmittel jeweils ihren endgültigen Initialwert 10, welcher im fehlerfreien Fall auf beiden Seiten identisch ist. Dieses Verfahren führt auch dann mit hoher Wahrscheinlichkeit dazu, dass sich die verwendeten Initialwerte 10 nicht wiederholen, wenn eines der Kommunikationsmittel fehlerhaft ist und z.B. den nunmehr veralteten Startinitialwert benutzt.

Claims

Patentansprüche
1. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) mit mindestens einem Kommunikations- mittel zum Aufbau einer Verbindung sowie einer Sequenz von Prüfwerten (11), welche jeweils aus einem Nutzdatenteil des Telegramms (25,35,45) bestimmbar sind sowie einem Initial¬ wert, wobei zumindest ein Kommunikationsmittel eine Funktion zur Bestimmung des Initialwerts aufweist, und wobei bei einem ersten Verbindungsaufbau die Sequenz von Prüfwerten (11) zu¬ mindest unter Berücksichtigung eines Altinitialwerts gene¬ riert wurde,
d a d u r c h g e k e n n z e i c h n e t, d a s s bei ei¬ nem zweiten Verbindungsaufbau durch Neustart der Kommunikati- on die Funktion einen vom Altinitialwert unterschiedlichen
Initialwert (10) generiert, so dass der Initialwert (10) mit hoher Wahrscheinlichkeit unterschiedlich zu dem zuletzt ver¬ wendetem Altinitalwert ist.
2. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t, d a s s das Kom¬ munikationssystem als verbindungsorientiertes , uni- oder mul- tidirektionales Kommunikationssystem ausgestaltet ist.
3. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 1 oder 2,
d a d u r c h g e k e n n z e i c h n e t, d a s s ein ers¬ tes Kommunikationsmittel einen Telegrammzähler aufweist, wel- eher zur Zuordnung eines Zählwertes mittels einer ersten Re¬ chenvorschrift zu einem Telegramm (25,35,45) entsprechend ei¬ ner Sendereihenfolge vorgesehen ist, wobei die erste Rechen¬ vorschrift derart vorgesehen ist, dass sich für jedes Tele¬ gramm (25,35,45) oder Folge von Telegrammen (25,35,45) ein korrespondierender inkrementierter Zählwert ergibt, wobei der neue Prüfwert (11) unter Berücksichtigung des Initialwertes (10) bestimmbar ist und nachfolgend neue Prüfwerte unter Be- rücksichtigung des Initialwertes (10) sowie des inkrementier- te Zählwertes bestimmbar sind.
4. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 3,
d a d u r c h g e k e n n z e i c h n e t, d a s s
das erste Kommunikationsmittel zum Aufbau einer Verbindung (Initiator) und zumindest ein zweites Kommunikationsmittel zur Entgegennahme des Aufbaus (Responder) vorgesehen ist, wo- bei zumindest der Initialwert (10) mit einem ersten Telegramm (25) an das zweites Kommunikationsmittel übermittelbar ist, und wobei mit Hilfe dieses Initialwerts (10) die Prüfwerte der nachfolgend versendeten Telegramme (35,45) bestimmbar sind .
5. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 4,
d a d u r c h g e k e n n z e i c h n e t, d a s s für die Prüfwerte (11) das zweite Kommunikationsmittel jeweils einen Erwartungsprüfwert generiert, welcher mit dem empfangenen
Prüfwert (11) verglichen wird und wobei im Fall einer Abwei¬ chung ein Fehler erkennbar ist, oder dass für die Prüfwerte (11) das erste Kommunikationsmittel jeweils einen Erwartungs¬ prüfwert generiert, welcher mit dem empfangenen Prüfwert (11) verglichen wird und wobei im Fall einer Abweichung ein Fehler erkennbar ist.
6. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der Ansprüche 1-3,
d a d u r c h g e k e n n z e i c h n e t, d a s s ein ers¬ tes Kommunikationsmittel zum Aufbau einer Verbindung (Initia¬ tor) und zumindest ein zweites Kommunikationsmittel zur Ent¬ gegennahme des Aufbaus (Responder) vorgesehen ist, wobei zu¬ mindest der Initialwert (10) mit einem ersten Telegramm (25) an das erste Kommunikationsmittel übermittelbar ist, und wo¬ bei mit Hilfe dieses Initialwerts (10) die Prüfwerte (11) der nachfolgend versendeten Telegramme (35,45) bestimmbar sind.
7. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 6,
d a d u r c h g e k e n n z e i c h n e t, d a s s für die Prüfwerte das zweite Kommunikationsmittel jeweils einen Er- wartungsprüfwert generiert, welcher mit dem empfangenen Prüf¬ wert (11) verglichen wird und wobei im Fall einer Abweichung ein Fehler erkennbar ist, oder dass für die Prüfwerte (11) das erste Kommunikationsmittel jeweils einen Erwartungsprüf- wert generiert, welcher mit dem empfangenen Prüfwert (11) verglichen wird und wobei im Fall einer Abweichung ein Fehler erkennbar ist.
8. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprü- che ,
d a d u r c h g e k e n n z e i c h n e t, d a s s ein ers¬ tes Kommunikationsmittel zum Aufbau der Verbindung (Initia¬ tor) und zumindest ein zweites Kommunikationsmittel
(Responder) zur Entgegennahme des Aufbaus vorgesehen, wobei das erste Kommunikationsmittel einen ersten Startinitialwert (200) generiert und an das zweite Kommunikationsmittel sendet und das zweite Kommunikationsmittel einen zweiten Startiniti¬ alwert (210) generiert und an das erste Kommunikationsmittel sendet und der endgültige Initialwert (10) durch eine in dem ersten Kommunikationsmittel als auch zweiten Kommunikations¬ mittel vorgesehen Berechnungseinheit mittels der beiden
Startinitialwerte (200,210) berechenbar ist, so dass keine weitere Übersendung des Initialwerts (10) vom ersten Kommunikationsmittel an das zweite Kommunikationsmittel oder umge- kehrt notwendig ist.
9. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t, d a s s der zu¬ letzt verwendete Initialwert (10) oder ein daraus berechneter Wert als ein Endinitialwert (21) gespeichert, so dass bei Neustart der Kommunikation die Generierung des neuen Initial- werts (10) unterschiedlich zum gespeicherten Endinitialwert (21) erfolgt.
10. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 9,
d a d u r c h g e k e n n z e i c h n e t, d a s s der Ini- tialwert (10) eine Fortsetzung des gespeicherten Endprüfwerts (21) ist.
11. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t, d a s s in der Funktion ein Zufallsgenerator (22) zur Generierung des Initi- alwerts (11) vorgesehen ist.
12. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach Anspruch 11,
d a d u r c h g e k e n n z e i c h n e t, d a s s der Zu- fallsgenerator einen Zufallsprüfwert zufällig bestimmt und dieser als Initialwert (11) herangezogen wird.
13. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprü- che ,
d a d u r c h g e k e n n z e i c h n e t, d a s s ein ers¬ tes Kommunikationsmittel zum Aufbau der Verbindung und min¬ destens ein zweites Kommunikationsmittel zur Entgegennahme des Aufbaus vorgesehen ist, wobei beide Kommunikationsmittel einen Pseudozufallsgenerator und eine Funktion zur Generierung eines Startinitialwerts (210,220) aufweisen und aus den beiden Startinitialwerten (210,220) der endgültige Initial¬ wert (10), z.B. durch bitweise XOR-Funktion, ermittelbar ist.
14. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, d a s s die Be¬ stimmung des Initialwerts (10) unter Verwendung einer Echtzeituhr (23) erfolgt.
15. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t, d a s s die Be¬ stimmung des Initialwerts (10) unter Verwendung eines Takt- signals erfolgt.
16. Kommunikationssystem zur Kommunikation einer Sequenz von Telegrammen (25,35,45) nach einem der vorhergehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t, d a s s das Kom¬ munikationssystem zum funktional sicheren Übertragen von Telegrammen (25,35,45) vorgesehen ist.
17. Verfahren zur Kommunikation einer Sequenz von Telegrammen (25,35,45) mit mindestens einem Kommunikationsmittel zum Auf¬ bau einer Verbindung sowie einer Sequenz von Prüfwerten, welche jeweils aus einem Nutzdatenteil des Telegramms (25,35,45) bestimmt wird, sowie einem Initialwert, wobei zumindest ein Kommunikationsmittel eine Funktion zur Bestimmung des Initi- alwerts aufweist, und wobei bei einem ersten Verbindungsauf¬ bau die Sequenz von Prüfwerten (11) zumindest unter Berücksichtigung eines Altinitialwerts generiert wurde,
d a d u r c h g e k e n n z e i c h n e t, d a s s bei ei¬ nem zweiten Verbindungsaufbau durch Neustart der Kommunikati- on die Funktion einen vom Altinitialwert unterschiedlichen neuen Initialwert (10) generiert, so dass der Initialwert (10) mit hoher Wahrscheinlichkeit unterschiedlich zu dem zu¬ letzt verwendeten Altinitialwert ist, wobei der Initialwert (10) zur Generierung eines neuen Prüfwertes (11) herangezogen wird.
18. Verfahren zur Kommunikation von einem Telegramm
(25,35,45) nach Anspruch 17,
d a d u r c h g e k e n n z e i c h n e t, d a s s die Be¬ stimmung des Initialwerts (11) unter Verwendung einer Echt- zeituhr (23) und/oder eines Taktsignals vorgenommen wird.
19. Verfahren zur Kommunikation von einem Telegramm
(25,35,45) nach Anspruch 17,
d a d u r c h g e k e n n z e i c h n e t, d a s s der Ini- tialwerts (11) durch einen in der Funktion vorgesehen Zufallsgenerator (22) generiert wird.
20. Verfahren zur Kommunikation von einem Telegramm
(25,35,45) einem der vorhergehenden Ansprüche 17-19,
d a d u r c h g e k e n n z e i c h n e t, d a s s der zu¬ letzt verwendete Initialwert (10) oder ein daraus berechneter Wert als ein Endinitialwert (21) gespeichert wird, so dass bei Neustart der Kommunikation die Generierung des neuen Initialwerts (10) unterschiedlich zum gespeicherten Endinitial- wert erfolgt.
PCT/EP2015/069344 2015-08-24 2015-08-24 Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen Ceased WO2017032402A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/069344 WO2017032402A1 (de) 2015-08-24 2015-08-24 Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/069344 WO2017032402A1 (de) 2015-08-24 2015-08-24 Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen

Publications (1)

Publication Number Publication Date
WO2017032402A1 true WO2017032402A1 (de) 2017-03-02

Family

ID=54014802

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/069344 Ceased WO2017032402A1 (de) 2015-08-24 2015-08-24 Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen

Country Status (1)

Country Link
WO (1) WO2017032402A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1686732A1 (de) * 2005-01-28 2006-08-02 Siemens Aktiengesellschaft Verfahren und System zur Übertragung von Telegrammen
EP1780923A1 (de) * 2005-10-26 2007-05-02 Siemens Aktiengesellschaft Übertragung von Datentelegrammen
EP2814193A1 (de) * 2013-06-14 2014-12-17 Siemens Aktiengesellschaft Verfahren und System zur Erkennung von Fehlern bei der Übertragung von Daten von einem Sender zu zumindest einem Empfänger

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1686732A1 (de) * 2005-01-28 2006-08-02 Siemens Aktiengesellschaft Verfahren und System zur Übertragung von Telegrammen
EP1780923A1 (de) * 2005-10-26 2007-05-02 Siemens Aktiengesellschaft Übertragung von Datentelegrammen
EP2814193A1 (de) * 2013-06-14 2014-12-17 Siemens Aktiengesellschaft Verfahren und System zur Erkennung von Fehlern bei der Übertragung von Daten von einem Sender zu zumindest einem Empfänger

Similar Documents

Publication Publication Date Title
DE10316649B4 (de) Sicherheitskommunikation auf einer einzigen Rückebene
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
EP2814193B1 (de) Verfahren und system zur erkennung von fehlern bei der übertragung von daten von einem sender zu zumindest einem empfänger
EP2145430B1 (de) Verfahren sowie system zur sicheren übertragung von zyklischen zu übertragenden prozessdaten
EP3170287A1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
WO2011006575A2 (de) Vermeidung von maskerade durch verwendung von kennungssequenzen
EP1789857B1 (de) Datenübertragungsverfahren und automatisierungssystem zum einsatz eines solchen datenübertragungsverfahrens
DE10065907A1 (de) Verfahren zum gesicherten Datentransport
EP1469625B1 (de) Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten
WO2016059100A1 (de) Verfahren zum überwachen eines ersten teilnehmers in einem kommunikationsnetzwerk und überwachungssystem
WO2017036508A1 (de) Kommunikationsgerät für ein redundant betreibbares industrielles kommunikationsnetz und verfahren zum betrieb eines kommunikationsgeräts
WO2013174578A1 (de) Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete
EP1686732B1 (de) Verfahren und System zur Übertragung von Telegrammen
DE102012110712B4 (de) Verfahren und System zur Funktionsprüfung einer Fehlererkennungseinheit einer CAN-Bus-Controllereinheit
EP1064590B1 (de) Verkürztes datentelegramm eines automatisierungssystems
EP2567485A1 (de) Verfahren und vorrichtung zur absicherung von über eine schnittstelle zu übertragenden datenpaketen
EP1484679B1 (de) Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
WO2017032402A1 (de) Kommunikationssystem und verfahren zur kommunikation mit einer sequenz von telegrammen
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102013204371B4 (de) Verfahren und Bussystem zum protokollunabhängigen Übertragen von Standarddatenpaketen mit Sicherheitsdaten
WO2018215285A1 (de) Eingebettete zyklische redundanzprüfungswerte
EP1780923A1 (de) Übertragung von Datentelegrammen
WO2021058561A1 (de) Verfahren zum betreiben eines kommunikationsnetzwerks, kommunikationsnetzwerk und teilnehmer für ein kommunikationsnetzwerk
DE102008031621A1 (de) Verfahren und Vorrichtung zur sicheren Adressierung von dezentralen Prozesselementen unter Berücksichtigung der Anwendung von nicht explizit sicheren Standardkomponenten für Kommunikation und die Prozessdatenerfassung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15756885

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15756885

Country of ref document: EP

Kind code of ref document: A1