用于运行通信网络的方法和网络装置制造方法
用于运行通信网络的方法和网络装置制造方法
【专利摘要】建议一种用于运行通信网络(102)、尤其是以太网络的方法。耦合在该网络上的网络设备(400)具有交换设备(4)和控制设备(2),该控制设备(2)耦合到交换设备(4)上,以及交换设备(4)具有用于经由通信网络(6)发送和接收数据的至少一个接收端口(10)和发送端口(9)。向接收端口(10)分配用于监视相应的数据传输速率的保险设备(20)。当事先预先给定的最大数据传输速率被超过时,保险设备阻止在相应接收端口处的数据接收。通过在利用双向通信路径条件下的可能环结构以及对接收端口处的数据传输速率的限制,保证了在存在传输和硬件故障时、尤其是在存在胡说的白痴故障时有改善的失效保障和故障分析。此外建议一种具有多个对应网络设备(100,200,300)的网络装置(101),所述网络设备根据该方法工作。
【专利说明】用于运行通信网络的方法和网络装置
【技术领域】
[0001] 本发明涉及一种用于运行通信网络的方法和一种网络装置,该网络装置用所建议 的方法工作。该用于运行的方法尤其是可以在以太网环境中采用。
【背景技术】
[0002] 通信网络越来越广泛地应用于测量、控制和调节复杂的技术系统。例如越来越多 地在机动车中采用网络,以构造出车辆控制系统。在对应的复杂和安全性重要的技术系统 中,对作为网络设备设置的控制元件的可用性提出了高的要求。在例如传感器或控制设备 的各个部件失效的情况下,这不允许导致整个系统的失效。安全性特别重要的是电子线控 系统,例如其中电动地经由传感器设备、控制设备和执行设备的网络耦合将转向轮位置转 换为车轮位置的线控转向系统。
[0003] 在过去采用对特别关键部件的冗余实施,从而在故障情况下相应的备份或冗余部 件可以接管相应的任务。在多个冗余部件的情况下必须确保两个或更多个控制设备中仅有 一个获得相应的控制权。此外不允许对相同的控制功能出现矛盾的控制指令。因此需要所 有控制部件都拥有网络中的相同信息或数据。
[0004] 因此必须识别不一致数据形式的故障,所述不一致数据例如可能在经由所使用的 网络传输数据时败坏。广泛传播的标准网络环境基于以太网协议。以太网基础结构的使用 具有以下优点:可以采用标准化的网络设备和方法。但是在过去也使用专用数据总线,以便 将控制部件与内部冗余的、也就是双重设计的功能相互关联。
[0005] 此外可能的是在网络中采用的节点是有错的。已知例如以下故障类型:一个网络 设备以高频率将不包含对其它控制设备可用的数据发送到该网络中。人们也将此称为"胡 说的白痴(Babbling Idiot)"。于是网络基础结构可能由于高的数据速率而加重负担,使得 真正的控制或传感器数据不再能够在还能工作的网络设备之间交换。期望的是尤其是在安 全性重要的网络中处置这样的故障行为并且适当地处理当前的数据,以保证网络中未被涉 及的设备可靠地运行。
[0006] 在过去建议其中在预先给定的通信伙伴之间的数据交换受带宽限制的方法。但 是有缺陷的网络节点也可以产生具有不正确地址数据的数据分组,这在明确的带宽限制的 范围中不能在每种网络拓扑结构中、尤其是不能在环形网络拓扑结构中得到令人满意的处 置。
[0007] 此外已知基于网络节点相互之间的同步通信的方法。在此定义用于在预先给定的 通信伙伴之间进行数据交换的特定时隙。这样的时隙方法需要耗费的同步和特殊的硬件设 备。
【发明内容】
[0008] 因此本发明的任务是提供改进的方法和/或网络装置。
[0009] 因此建议一种用于运行通信网络的方法,在该通信网络上耦合了网络设备。相应 的网络设备包括至少一个交换设备和至少一个控制设备,该至少一个控制设备耦合到交换 设备上。交换设备具有用于经由通信网络发送和接收数据的至少一个接收端口和至少一个 发送端口,并且向接收端口分配用于限制数据传输速率的保险设备。该方法包括: 预先给定在发送数据时的最大数据传输速率,其中网络设备被设计为利用低于预先给 定的最大数据传输速率的数据速率来发送数据; 在网络设备的接收端口处监视所接收的数据的数据传输速率;以及 如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接 收端口处的数据接收。
[0010] 发送和接收端口的组合也可以被理解为相应设备的通信端口。
[0011] 在该方法的一个变型方案中,相应的网络设备包括至少一个交换设备和第一和第 二控制设备,所述第一和第二控制设备耦合到交换设备。用于第一和第二控制设备的交换 设备分别具有用于经由通信网络发送和接收数据的接收端口和发送端口。向接收端口分配 用于限制数据传输速率的保险设备。
[0012] 于是该方法还包括: 通过第一控制设备产生第一数据并且通过第二控制设备产生第二数据,其中第一数据 和第二数据通过预先给定的编码相互关联; 由第一控制设备经由(多个)交换设备将第一数据发送到第二控制设备,并且由第二控 制设备经由(多个)交换设备将第二数据发送到第一控制设备; 经由从用于第一控制设备的交换设备的发送端口至用于第二控制设备的交换设备的 接收端口的第一通信路径发送第一数据和第二数据; 经由从用于第二控制设备的交换设备的发送端口至用于第一控制设备的交换设备的 接收端口的第二通信路径发送第一数据和第二数据。在此第一和第二通信路径的数据在相 反的方向上穿越相同的网络设备。
[0013] 对数据传输速率的监视和对数据接收的潜在阻止尤其是使得可以处置所谓的"胡 说的白痴",也就是在网络中存在的以下网络设备,这些网络设备出于缺陷的原因发送无意 义的或者不能由网络中其它设备解释的数据。通常这些"无意义的"数据以高的频率被有 错的设备沉淀下来,从而可能使网络基础设施和通信路径加重负担。尽管如此,对所涉及的 接收端口的停止或对过高数据速率的数据接收的阻止使得可以进行可靠的数据通信,即使 存在胡说的白痴。
[0014] 数据传输速率被理解为在一个时间单位内经由传输信道或通信路径传输的数字 数据量。人们也将此称为数据传递速率、数据速率、传输速度、连接速度、带宽或容量。数据 传输速率的通用说明是每秒多少比特。
[0015] 最大数据传输速率优选是根据通信网络的带宽来加以确定的。如果从网络的拓扑 结构中已知网络节点之间或网络设备之间或发送和接收端口之间所有有意义的数据传递 速率,则可以对应地灵敏地设计保险设备。
[0016] 在该方法的实施方式中还规定:如果到来的数据具有小于预先给定的最大数据传 输速率的数据传递速率,则释放在接收端口处的数据接收。
[0017] 重新释放导致在短暂中断之后又在网络中出现通信路径,经由该通信路径可以交 换不是来自有缺陷的网络设备的数据。由此总是保证规则的数据传递。
[0018] 还可以考虑:为发送端口与接收端口之间的每个通信路径预先给定最大链路传输 速率。例如可以在设计通信网络时估计可以存在何种链路传输速率。于是保险设备被相应 地变得敏感,从而在超过最大链路传输速率的情况下禁止数据接收。
[0019] 替换或附加地,可以向数据分配至少两个优先等级,并且仅针对所选择的优先等 级的数据监视数据传输速率和/或阻止数据接收。例如,第一优先等级可以涉及安全性特 别重要的数据,而第二优先等级可以涉及不太关键的数据。于是在设计通信网络时设定最 大数据传递速率并且对应地调整保险设备。在保险设备处检测不同的优先等级并且据此过 滤或不过滤数据。
[0020] 通信网络本身可以包括以太网基础结构。交换设备也可以称为桥设备或路由器设 备。在网络设备的情况下,人们也称为网络节点、网络部件或网络元件。
[0021] 作为设置在网络设备中的控制设备,例如考虑CPU、微处理器或其它可编程开关电 路。作为控制设备还可以理解为传感器设备或执行器设备。
[0022] 通信网络或网络协议优选规定从一个用户或一个网络设备至另一个用户或另一 个网络设备的点对点连接。在此双向或双工通信是可以实现的。
[0023] 通过预先给定的编码相互关联的第一和第二数据例如可以通过位倒置加以产生。 预先给定的编码允许对两个数据进行相互的一致性检验。如果例如通过经由该网络的数 据传递而干扰数据(分组)之一,则这可以通过在考虑相应编码的情况下分别与另一个数据 (分组)相比较来加以识别。
[0024] 尤其是在基于以太网的通信网络情况下,双向通信(所谓的双工通信)是可能的。 因此第一通信路径从第一控制设备的交换设备的发送端口分布至第二控制设备的交换设 备的接收端口,以及第二通信路径从第二控制设备的交换设备的发送端口分布至第一控制 设备的交换设备的接收端口。第一通信路径例如环形地经由其它交换设备或其它网络设备 分布在通信网络上。第二通信路径穿越在相反方向上的网络设备。因此冗余的发送是可能 的并且对所有参与的网络设备的功能性进行检查是可能的。优选第一和第二数据从第一控 制设备至第二控制设备或反过来仅经由网络设备中的交换设备引导。
[0025] 用于运行尤其是基于以太网的通信网络的该方法导致环结构,其中使用以太网环 的所得到的通信方向。在此,在网络设备的与控制单元连接的交换设备之一存在故障的情 况下,仅涉及方向之一,从而与以前一样传送一致的一个或多个数据。通过比较尤其是通过 编码相互关联的、在不同通信路径上发送的数据,可以执行灵活和可靠的故障分析。人们可 以简单地调查已经导致故障的控制部件或设备。它们将优选被挂起或关闭。
[0026] 此外,胡说的白痴这种故障情况通过检查数据传递速率和必要时阻止接收而被处 置为,使得对于未受干扰的设备或者由有缺陷的设备发送的数据存在至少一个无故障传输 的通信路径。
[0027] 在本方法的实施方式中,该方法还包括: 将第一数据和第二数据经由用于第一控制设备的交换设备的发送端口通过具有第一 和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第二控制设备的交 换设备的接收端口;以及 将第一数据和第二数据经由用于第二控制设备的交换设备的发送端口通过具有第一 和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第一控制设备的交 换设备的接收端口。
[0028] 在此在相应的其它交换设备中在用于该其它交换设备的第二控制设备的接收端 口处接收的数据被转发给用于该其它交换设备的第一控制设备的发送端口。在用于该其它 交换设备的第一控制设备的接收端口处接收的数据被转发至用于该其它交换设备的第二 控制设备的发送端口。在输入端口处布置对应的保险设备。
[0029] 由此未经编码或经编码的数据从来自第一控制设备的第一信道被发送至分配给 第二控制设备的信道。这也可以反过来进行,由此进行发送的控制部件可以确定分配给第 二(冗余)控制设备的每另一个信道是否具有相同的数据结果。因此可以确定所分配的以 太网交换机或交换设备是否可靠地工作。如果识别出分配给控制设备的交换设备错误地操 作,则进行发送的控制设备优选挂起。
[0030] 该方法还可以包括: 将第一数据与第一和/或第二控制设备中的第二数据相比较以产生比较结果;以及 依据该比较结果将网络设备挂起。
[0031] 如果识别出第一和第二数据并非相互一致,也就是说没有通过预先给定的编码相 互关联,则可以识别出在数据传输或数据产生时存在故障。
[0032] 该方法还可以包括: 经由第一和第二通信路径重新发送第一和第二数据。
[0033] 如果例如数据在通信周期中未被进行发送的控制设备再次识别或接收,则可以通 过多次发送和对数据是否被正确接收进行检查来推断出在通信路径中存在的有错的网络 部件。
[0034] 在该方法的情况下,还可以在其它网络设备中在用于不同控制设备的输入端口处 接收第一数据和第二数据并且将接收的数据进行相互比较。
[0035] 优选的,用于运行网络装置的该方法还包括在所比较的第一数据和第二数据没有 通过预先给定的编码相互关联的情况下显示故障通知。
[0036] 在实施方式中,向至少两个网络设备的特定保险设备分配针对数据传输速率的不 同阈值,其中这些不同阈值中的每一个都小于等于预先给定的最大数据传输速率。在此在 以下情况下阻止在至少两个网络设备的接收端口处的数据接收,即在该分配的接收端口处 到来的数据具有大于所分配的阈值的数据传输速率。
[0037] 因此向不同网络设备的至少两个保险设备(保险,安全装置)分配针对数据传输速 率的各种或不同阈值。这些阈值中的每一个都小于或等于通信网络中预先给定的最大数据 传输速率。针对数据传输速率的阈值也可以称为带宽极限。
[0038] 通过使用各种阈值,可能的是在通信网络中构造出不同的片段或网络片段。在此 这些网络片段被构造为,使得其允许作为整个片段失效而不会将整个系统带入危险状态, 例如具有共同电流供应装置的网络片段。由多个电流供应装置供电的整个系统无论如何都 必须被构建为,使得该整个系统可以经受得起一个电流供应装置的失效。
[0039] 在此,尤其是当网络设备在带宽极限以下不远处胡说的时候,通过利用具有较低 带宽极限值的安全装置划界的片段将阻止的可能拖延有针对性地限于一个片段上。
[0040] 相应的阈值例如可以通过涉及网络装置的预先给定的最大数据传输速率的百分 比说明来加以说明。从而例如可以在预先给定的最大数据传输速率的80%、50%、35%、20%和 10%处调整出各种阈值。这些阈值例如可以借助通过相应的链路设置的额定数据传输速率、 可能附加地借助安全服务来确定。
[0041] 为了采用保险设备的概念,尤其是不需要更改标准交换部件的硬件。可以使用高 质量交换硬件的特征,或者可以通过相对简单的前置设备来对交换硬件进行补充。可用的 带宽根据实施方式不受影响或者仅受到很小程度的影响。
[0042] 在实施方式中,网络设备分布式地布置在多个网络片段中,其中向这些网络片段 的每一个分配网络设备的子集。在此情况下,在每个网络片段具有至少两个所分配的网络 设备的情况下向布置在该网络片段的边缘区域处的保险设备分配比保险设备布置在该网 络片段的中部区域中的情况下更小的数据传输速率阈值。
[0043] 相应的网络片段可以向外通过相对较小的数据传输速率阈值得到比在该网络片 段的中部区域或内部空间中所需要的更好的封闭。因此边缘区域的保险设备具有比网络片 段的中部区域中的保险设备更小的数据传输速率阈值。
[0044] 利用较小的阈值从外部或向外部、也就是利用具有较小的容许带宽的较小安全装 置保护网络片段。由此在胡说的白痴(有缺陷的网络设备)用稍微小于保险设备的触发带宽 的带宽发送的情况下,不再近似随机地触发随便什么保险设备,而是有针对性地触发具有 较小阈值(较小带宽)的保险设备,使得所涉及的网络片段与通信网络的其余部分分离。 [0045] 在片段的中部区域中具有较大的容许带宽的安全装置(保险)也可以在实施方式 中被去掉。这些安全装置仅负责使得用非常高的带宽胡说的胡说的白痴直接与其相邻节点 隔离并且从而不影响相邻节点。如果去掉在中部区域中的安全装置,则总是整个片段失效, 但是这在当前不会导致整个系统的临界状态。
[0046] 尤其是将子集作为不相交的子集来构成。
[0047] 在实施方式中,网络设备包括至少两个在其功能性方面冗余的网络设备,其中子 集被构成为,使得向每个子集最多分配冗余的网络设备之一。
[0048] 在其功能性方面冗余的网络设备布置在不同的网络片段中,从而在一个网络片段 失效的情况下至少还有一个冗余的网络设备存在于另一个网络片段中并且由此不会危及 整个系统的整个功能性。
[0049] 在实施方式中,在通信网络中多个虚拟网络被设计为避免在一个网络片段的保险 设备处由于从另一个网络片段接收数据而导致针对数据传输速率的阈值被超过。这些虚拟 网络尤其是被构造为虚拟局域网(VLAN)。
[0050] 在此,通过考虑各种虚拟网络、例如各种VLAN实现:片段不可能由于在该片段之 外馈入的分组而被分离。这是通过将VLAN有针对性地配置为使得分组不被传导经过片段、 尤其是外环来实现的。
[0051] 通过在通信网络中使用虚拟网络还可以将各个保险设备的阈值尤其是在各个网 络片段的边缘区域中最大化。由此将整个系统--通信网络的总体失效概率最小化。替换 于VLAN,可以采用其它合适的虚拟化技术。
[0052] 在实施方式中,依据相应保险设备布置于其中的虚拟网络来调整和监视针对该相 应保险设备的数据传输速率的相应阈值。
[0053] 在该实施方式中,专门针对该虚拟网络来调整阈值。如果例如分组必须被传导经 过一个网络片段,因为否则不能到达或不能经由不相交的路径到达在该网络片段旁边的网 络设备,则特定地、尤其是特定于VLAN地限制通过该对应网络片段传导的阈值(带宽极限)。 由此同样可以避免由于由在网络片段外部的胡说的白痴产生的数据分组而使得该实际上 无故障的网络片段被分离。
[0054] 最后建议一种具有多个网络设备的网络装置。这些网络设备耦合到通信网络,尤 其是以太网基础结构,并且相应网络设备包括至少一个交换设备和控制设备。在此,交换设 备耦合到控制设备,并且交换设备包括用于经由通信网络发送和接收数据的至少一个接收 端口和发送端口。网络装置包括为了限制数据传输速率而被分配给接收端口的保险设备。 网络设备被设计为执行如前所述的方法。
[0055] 网络装置尤其是车辆的一部分。
[0056] 网络设备可以是传感器设备或执行器设备。作为传感器设备可以考虑转数传感 器、制动设备或开关控制设备。还可以采用控制设备,所述控制设备例如实现电子线控。在 此例如将转向或加速脉冲电子地经由网络传送给对应的执行器,从而启动车辆的期望反 应。
[0057] 保险设备被构造为网络安全装置或保险。在达到针对穿越相应保险设备的数据的 预先给定数据传输速率阈值时,保险设备阻止进一步的数据流量。只要数据速率又低于设 定的阈值,则数据又可以通过所述保险设备。
[0058] 该阈值尤其是被设定为最大数据传递速率。
[0059] 总之得到在通信信道有干扰的情况下也能可靠工作的特别可靠的网络装置。在冗 余的环形通信路径设备的情况下,实现了一致的控制设备通信和不太耗费的故障分析和校 正以及不太耗费的对通过胡说的白痴的故障的处置。
[0060] 在网络装置的实施方式中,至少一个网络设备装备有第一和第二交换设备,其中 第一交换设备被分配给第一控制设备并且第二交换设备被分配给第二控制设备。在此,交 换设备分别包括至少两个端口并且交换设备以通信方式相互耦合。该耦合可以在网络设备 内部进行或者借助交换设备的发送和接收端口进行。
[0061] 可能的是,交换设备集成在单个交换设备中,该单个交换设备提供输入和输出端 □。
[0062] 在网络装置的其它实施方式中,还可以在网络装置中为其它单重网络设备分别设 置控制设备和交换设备。单重网络设备在此不具有冗余的控制设备并且可以被设置用于安 全性不太重要的功能。
[0063] 网络设备和或保险设备优选分别实施为单个FPGA、ASIC、1C芯片或固定连线的微 电路。例如,保险设备可以为了构造出所建议的网络装置而分别耦合在交换设备的接收端 口或输入端口之前。
[0064] 保险设备尤其是可以实施为交换设备的一部分。还可以考虑实现为用于运行交换 设备之一的程序或程序代码。
[0065] 此外建议一种计算机程序产品,其促使在一个或多个由程序控制的设备上执行如 上所阐述的方法以用于运行网络装置。
[0066] 诸如计算机程序装置的计算机程序产品例如可以作为诸如存储卡、USB棒、 CD-ROM、DVD的存储介质或者以可从网络中的服务器下载的文件的形式提供或运送。这例 如可以在无线通信网络中通过传输具有该计算机程序产品或计算机程序装置的对应文件 来进行。作为由程序控制的设备尤其是考虑如前所述的网络设备。
[0067] 本发明的其它可能实现还包括未明确提及的、前面或下面关于实施例所描述的方 法、网络布置、网络设备或网络节点的方法步骤、特征或实施方式的组合。在此专业人员还 补充或修改各个方面作为改进或对本发明的相应基本形式的补充。
【专利附图】
【附图说明】
[0068] 结合下面对实施例的描述,本发明的上述特性、特征和优点以及如何实现它们的 方式和方法可以被更清楚和更明白地理解,所述实施例将被结合附图得到更详细的阐述。 [0069] 图1示出网络装置的第一实施方式的示意图; 图2、3示出具有用于阐述故障处置的方法方面的通信流程的网络装置的实施方式的 示意图; 图4示出网络装置的第二实施方式的示意图; 图5示出网络装置的第三实施方式的示意图; 图6示出网络装置的第四实施方式的示意图; 图7示出网络装置的第五实施方式的示意图; 图8示出网络装置的第六实施方式的示意图; 图9示出网络装置的第七实施方式的示意图。
[0070] 只要没有另外说明,在图中相同或功能相同的元件被设置有相同的附图标记。
【具体实施方式】
[0071] 在图1中示出网络装置的第一实施方式的示意图。此外这些图还用于阐述用于运 行网络装置的方法。
[0072] 图1示出网络装置1,该网络装置例如可以作为以太网网络在车辆中采用。在此示 例性地示出三个网络设备100, 200, 300。它们例如可以是控制部件。下面也称为网络节点 或控制部件的网络设备100, 201,301分别具有冗余的控制设备2, 3, 202, 203, 302, 303。网 络设备100, 201,301也可以称为网络用户。
[0073] 控制设备2, 3, 202, 203, 302, 303被适配,以完成确定的任务或功能。这例如可以 是执行传感器检测或执行器。人们也将这些控制设备作为CPU或微处理器来实现。例如可 以考虑将控制部件100设计用于检测车辆中的踏板位置或转向运动。例如可以考虑由控制 部件或网络设备100将控制信号或控制数据发送给网络中的另一控制部件。在此尤其是在 机动车的安全性重要的应用情况下,例如在电子线控的情况下要保证控制数据一致地存在 于所有网络节点处。
[0074] 控制部件或网络节点或网络设备100, 200, 300装备有冗余的以太网交换设备 4, 5, 204, 205, 304, 305。以太网交换设备4, 5, 204, 205, 304, 305分别具有发送或输出端口 9, 13, 209, 213, 309, 313和接收或输入端口 10, 14, 210, 214, 310, 314,借助这些端口进行至 通信网络6的耦合。向接收端口 10, 14, 210, 214, 310, 314分配分别检测到达的数据传递速 率的保险设备20, 21,220, 221,320, 321。如果预先给定的最大数据传递速率被超过,则保险 设备触发并且阻止数据传递。
[0075] 网络设备100在此包括CPU2和分配的以太网交换设备4。以太网交换设备4具 有接收端口 7和发送端口 8,该接收端口与发送端口与CPU2以通信方式耦合。另一发送端 口 9和接收端口 10耦合到网络6以发送和接收数据。在网络6与接收端口 10之间布置保 险设备20。类似地,CPU3具有以太网交换设备5,该以太网交换设备具有接收端口 11和发 送端口 12以耦合到CPU3。以太网交换设备5还具有发送端口 13和接收端口 14以耦合到 网络6。在网络6与接收端口 14之间布置保险设备21。此外在以太网交换机4,5处设置 发送端口和接收端口 15, 16, 17, 18,以便将两个交换设备4, 5相互耦合。两个交换设备4, 5 在此分开,例如被制造为FPGA或ASIC或微芯片。
[0076] 类似地,控制部件200和300具有相互分离的、带有用于耦合到网络6的发 送和接收端口 204, 210, 213, 214, 215, 219, 304, 310, 313, 314, 315, 319 的交换设备 204, 205, 304, 305。此外在接收端口 210, 214, 310, 314与通信网络6之间布置保险设备 220, 221,320, 321。
[0077] 在网络部件内部进行冗余产生的控制数据D1和D2的平衡。CPU2提供数据D1,而 CPU3提供数据D2。在此这些数据通过编码相互关联。也就是说,数据D1从数据D2中通过 数学运算得出,反之亦然。可以考虑例如简单的位倒置,从而数据D1是数据D2的倒置,反 之亦然。
[0078] 控制部件100中的内部一致性检查通过产生数据D1、在端口 7处传送给以太网交 换机4以及经由端口组合16, 17转发给以太网交换机5来进行,该以太网交换机5将数据 D1提供给CPU3。类似的,数据D2经由端口 11,18, 15和8被传送给CPU2。因此可以通过数 据D1和D2相互的一致编码来进行内部的一致性检查。只要这些数据相互是一致的,也就 是说,预先给定的编码的模--例如位倒置--一致,则可以假定经由端口 7和11的数据 接收、经由端口 8和12的数据发送、用于在上面这些端口之间交换数据的交换设备4, 5以 及还有CPU2、3都正确工作。如果相反比较结果提供了数据D1和D2相互之间的不一致,则 表示CPU2, 3或交换设备4、5有故障,接着用于数据一致性保证的可能反应是控制部件100 的挂起--即停用。
[0079] 类似的一致性检查在网络设备200, 300中进行。在两个交换机204, 205或304, 305 之间传输的数据在图1中没有设置附图标记。从上到下分别从端口 218至端口 207传输数 据D2B和DIB。从端口 216至端口 211传输数据D1R和D2R。完全一样地,端口 307从端口 318接收与D2B和DIB对应的数据。端口 311从端口 316接收与D1R和D2R对应的数据。
[0080] 网络装置1被设计为环形通信路径。通过尤其是在以太网基础结构情况下存在 的、用户或网络设备相互间点对点连接的可能性,可能形成两个相互分离的通信环,这些通 信环仅分享相应的交换设备,但是在那里在接收和发送侧不使用共同的端口。在图1的实 施例中得出由片段CB1,CB2, CB3组成的第一通信路径。数据D1和D2通过这些片段CB1, CB2, CB3,这借助箭头DIB和D2B表示。在此附加物B代表通信路径B。
[0081] 此外,在相反的通信方向上分布着由片段CR1,CR2和CR3组成的通信路径。同样 经由该路径来发送数据D1和D2,这通过箭头D2R和D1R表示。在此附加物R代表通信路径 R〇
[0082] 数据D1和D2由此经由不相交的通信路径被传送至网络中存在的所有控制部件 201,301。每个CPU202, 203, 302, 303经由不同的通信路径、也就是具有相反的通信方向的 两个逻辑环来获得经编码和未经编码的数据D1和D2。在此,电缆铺设包括唯一的环。每个 CPU202, 203, 302, 303将经由通信路线或通信路径接收的针对数据Dl,D2的值相比较。
[0083] 例如,CPU303经由通信路径CB1获得数据DIB和D2B。这些数据经由保险设备321 到达交换设备304的输入端口 314。在发送端口 312处,交换设备304将在输入端口 314处 接收的数据DIB和D2B转发给CPU303。在那里可以进行数据DIB和D2B的比较。如果这些 数据相互一致,则表示通信路径CB1无故障。
[0084] CPU303还经由由片段CR1和CR2得出的第二通信路径获得数据D1R和D2R。数 据D1R和D2R由交换设备304经由保险设备320在接收端口 310处接收并且输出至分配给 CPU303的发送端口 312。可以重新进行一致性检查。此外CPU303现在可以将经由环路径 CB1获得的数据以及经由环路径CR1和CR2获得的数据进行比较或表决。在无干扰的情况 下,数据D1R和D2R相互一致,以及数据DIB和D2B相互一致,并且经由CB1和经由CR1-CR2 接收以及各个已经被确定为一致的数据相互一致。由此得出:由CPU2或3产生的基本数据 D1和D2是正确的。如果在控制部件3或CPU302, 303中对经由CB1和经由CR1-CR2接收并 且各个已经被确定为一致的数据进行比较或表决时出现不一致,则可以推断出通信故障。
[0085] 类似的一致性检查在控制部件201或CPU或控制设备202, 203中进行。如果参与 的交换设备4, 5, 204, 205, 304, 305之一应当有错误的工作或者失效了,则在重复发送数据 D1,D2时可以识别出对应的网络故障。一般在网络6上发送多个具有不同控制设备的不同 数据的通信周期。由于在图1中未示出的其它数据,相应控制部件201,301可以确定它们 自己的交换机204, 205, 304, 305是否有缺陷。因此可以识别和处置各种故障情形。
[0086] 通过不相交的数据路径CB1,CB2, CB3和CR1,CR2, CR3,在传输时的故障仅彼此无 关地出现。通过构造为网络节点或部件100, 201,301的以太网环,保证尤其是具有冗余的 控制设备2, 3的控制装置的最大程度一致的通信。
[0087] 所采用的保险设备20, 21,220, 221,320, 321在如图1中所示的网络装置1的运行 情形中是导通的。也就是说,数据未被阻止。这在图1中通过两个平行的虚线表示。
[0088] 可能的是,网络设备的部分受到损伤,使得仅还有不可解释的、也就是不可使用的 数据被产生并且被发送到网络中。人们也将此称为胡说的白痴,也就是产生不可使用的数 据并发送到网络中的网络设备,由此这种无意义的数据分组加重基础结构的负担。在此可 能出现的是:数据分组被以错误的地址数据发送并且仅阻止数据流量。此外胡说的白痴的 情况下,对应的数据分组被产生和发送的数据速率大多较高。
[0089] 为了也能合适地处置胡说的白痴的故障情形,将网络装置1中的网络设备构造 为,使得每个网络设备1〇〇, 200, 300都能用预先给定的最大数据传递速率发送。例如,最 大数据传递速率可以是在通信网络中物理最大可能的数据传递速率的预先给定百分比。因 此在网络设备能工作和无故障或没有发送端口 9, 13, 209, 213, 309, 313的元件能工作和 无故障的情况下设置预先给定的最大数据速率更大的数据速率。这可以通过对网络设备 100, 200, 300的对应编程来进行。
[0090] 当到达的数据速率大于预先给定的最大数据传递速率时,被构造为网络安全装置 20, 21,220, 221,320, 321的保险设备触发。通过该措施也可以克服针对该情形的胡说的白 痴。
[0091] 在图2中例如假定:交换设备205是有错的,使得该交换设备205用不受限制的数 据速率、也就是网络中最大可能的数据速率产生和发出无意义的数据分组。因此网络设备 200应被解释为胡说的白痴。在图2以及还有图3中示出参照图1描述的网络装置1。由 于由有缺陷的交换设备205的发送端口 213和218发送无意义的数据分租,因此该网络被 这些无意义的数据填充。
[0092] 但是保险设备20, 21,320, 321识别到:数据传递速率高于预先给定的最大数 据传递速率。也就是说,保险设备20, 21,320, 321触发并且为分配给它们的接收端口 10, 14, 310, 314阻止数据流量。网络设备200的保险设备220和221是不令人感兴趣的。 被触发的保险设备20, 21,320, 321通过"叉"表示。不重要的保险设备220, 221被设置有 水平划线。
[0093] 在如图2中所示的故障运行情形中,能工作的网络设备100, 300不再接收数据。但 是,这些网络设备被设计为继续发送自己产生的数据。例如,网络设备100与以前一样经由 发送端口 9和13将数据D1B,D2B,D1R和D2R发送到网络6中。
[0094] 通过阻止数据接收或触发安全装置20, 21,320, 321,没有直接与胡说的白痴200 耦合的保险设备20, 321处的数据传递速率又下降到低于预先给定的最大数据传递速率。 也就是说,结果安全装置或保险装置20, 321又为分配给它们的接收端口 10, 314释放了数 据接收。该情形在图3中示出。但是安全装置或网络保险装置21,320保持触发并进行阻 止。
[0095] 在图3中识别出:现在重新可以在网络设备100和300之间进行可靠的数据传递, 因为通信路径CB1和CR3与胡说的白痴200所产生的无意义的数据分组隔离。因此即使出 现故障--在该故障的情况下网络设备或其元件将无意义的数据以高的数据速率发送到 网络中--也能得到处置。尽管如此,也保证在所有未完全缺陷的网络设备之间继续进行 可靠的通信。
[0096] 图4示出网络装置101的另一实施方式。与图1-3的图相比,中间的网络设备被 替换为三个串行地相互耦合的单重交换设备404, 504, 604。交换设备404, 504, 604也可以 被解释为不保险的网络设备。例如,交换设备404是这种不保险的网络设备400的一部分。 例如,对于安全性特别不重要的应用来说在车辆中采用对应单重的、非冗余构建的网络设 备。
[0097] 单重的交换设备404, 504,604经由发送和接收端口 407, 416, 504, 511,507, 516, 611,618相互耦合。交换设备404具有耦合到通信网络、也就 是以太网6的发送端口 409和接收端口 410。交换设备604具有同样耦合到通信网络6的 发送端口 609和接收端口 610。得出已经在图1-3中示出的通信路径片段CB1,CB2,CB3和 CR1,CR2,CR3。属于网络设备100, 200的交换设备4, 5, 304, 305的接收端口 10, 14, 310, 314 经由保险设备20, 21,320, 321耦合到网络6。
[0098] 现在只要单重交换设备404, 504, 604之一是胡说的白痴,则数据速率首先在整个 网络中升高并且在接收端口处超过预先给定的最大数据传递速率。然后保险设备21和 320阻止针对端口 14和310的数据接收。因此来自交换设备404, 504, 604的线路与数据 通信脱离。但是监督至接收端口 310, 314的数据传递的保险设备20, 321是导通的。因 此在不保险的网络设备4或还有是胡说的白痴的交换设备504不规则的情况下也得到保 证。在能工作的安全性重要的网络设备100, 300之间可以与以前一样经由发送和接收端口 9, 10, 313, 314 进行通信。
[0099] 图5示出网络装置的另一实施方式。网络装置102在此包括分别仅具有控制设备 2和交换设备4的单重网络设备400。该交换设备分别具有耦合到通信网络6的接收端口 10和接收端口 9以用于数据D的耦合输出或耦合输入。此外控制设备或CPU2经由发送和 接收端口 8, 7与交换设备以通信方式连接。向接收端口 10分配保险设备20,所述保险设备 在所设定的最大接收数据速率被超过的情况下完全阻止数据传递。在此该网络装置如前面 已经描述的那样运行。
[0100] 由此该方法以及还有所建议的网络装置在安全性重要的应用中提供最高一致的 和可靠的控制装置通信,其中该网络装置具有其环结构并且在网络设备的接收端口处使数 据传递速率得到监视。所有可能的单故障或者不会导致在一个或多个网络设备中可能产生 不一致的数据,或者可以在一个通信周期之内得到定位。此外,作为胡说的白痴的网络设备 (也就是以高速率将数据不受监督地发送到网络中)的干扰不可能导致通信失效。
[0101] 所建议的网络装置尤其是使得可以:在网络装置中也可以设置分别具有至少一个 控制设备和至少一个交换设备的不保险的网络设备。未受保护的网络设备在接收端口处例 如不拥有保险设备,这些网络设备是常规的以太网装置。尽管如此,未受保护的网络设备不 可能干扰可靠的流量,因为在未受保护的网络设备之一是胡说的白痴时,这些未受保护的 网络设备通过下一个受保护的、也就是设置有保险设备的网络设备的保险设备分离。
[0102] 在另一实施方式中,当在具有任意网络拓扑结构的网络中的交通模式都已知时, 上述实施方式也可以在所述网络中应用。
[0103] 一种替换的实施方式在于,代替测量输入端口处的带宽而测量高优先级分组在网 络设备中的停留时间,即等待时间。当停留时间超过所计算的最大值时,可以从中推断出, 容许的带宽被超过并且保险(安全装置)可以触发。
[0104] 当交换机ASIC支持速率限制和速率监视或流敏感速率监视时,所描述的保险(安 全装置或网络安全装置)可以或者直接在交换机ASIC中实现。由此可能的是,实现网络安 全装置而无需附加的硬件。
[0105] 替换地,网络安全装置可以在附加部件、例如FPGA中实现,所述附加部件连接在 网络设备的外部输入端之前。由此可以使用更简单的交换机,同时在单独的硬件中实现网 络安全装置必要时简化了认证。
[0106] 在图6中反映网络装置102的第四实施方式的示意图。网络装置102具有4个网 络设备400。相应网络设备400可以基于图1-5的实施例之一。网络设备400可以具有不 同功能。例如,图6上面的两个网络设备400可以被构造为控制计算机,下面的两个网络设 备400被构造为执行器。左侧的网络设备400是第一网络片段701的一部分。与此相应的, 右侧的网络设备400是第二网络片段702的一部分。
[0107] 在相应网络片段701,702的中部区域(内部区域)中安装第一保险设备F1,所述第 一保险设备比布置在相应网络片段701,702的边缘区域中的保险设备F2具有更大的数据 传输速率阈值。因此,具有更高阈值F1的第一保险设备被设置用于相应网络片段701,702 中的内部通信。与此相应的,具有较低数据传输速率阈值的保险设备F2被设置用于网络片 段701,702之间的外部通信。
[0108] 图7示出网络装置102的第五实施方式的示意图。
[0109] 图7的网络装置102具有不同功能的12个网络设备811-814, 821-822, 831-832, 841-842, 851-852。网络设备811-814被构造为控制计算机。网络设备821-822构造出第一 类型的节点,网络设备831,832构造出第二类型的节点,并且网络设备841,842构造出第三 类型的节点。网络设备851,852被构造为耦合交换机。
[0110] 此外,网络装置102具有4个实现的虚拟网络V1-V4。在此,在图7中通过附图标 记V1-V4示出哪些虚拟线路属于哪个虚拟网络V1-V4。
[0111] 此外,在网络装置102中使用具有不同阈值的5个不同保险设备F1-F5。第一保险 设备F1例如具有网络装置102的预先给定的最大数据传输速率的80%的阈值,F2具有网 络装置102的预先给定的最大数据传输速率的50%的阈值,F3具有网络装置102的预先给 定的最大数据传输速率的35%的阈值,F4具有网络装置102的预先给定的最大数据传输速 率的20%的阈值,F5具有网络装置102的预先给定的最大数据传输速率的10%的阈值。
[0112] 网络装置102被构造为三重环形网络,人们也将此称为具有外环或外循环的内 环。一个内环用控制计算机8111-814形成,两个外环用节点821-822, 831-832和841-842 形成。通过虚拟连接V1-V4,基于环形拓扑结构在所有控制计算机811-814相互之间以及在 控制计算机和节点之间形成两个不相交的、无环的路径。
[0113] 在图7的实施方式中所有网络设备冗余地存在,从而存在例如相对于节点 822冗余的节点821。对应地,节点831相对于节点832冗余,节点841相对于节点 842冗余。当这些节点之一失效时,网络装置102的整个系统保持能运转。网络设备 811-814, 821-822, 831-832, 841-842和851-852的三位数的附图标记中的单位数位(最右 边数位)可以表示用于供应电流的不同电路。于是如果一个电源失效,则在相同类型的每一 对冗余节点中对一个节点供应电流并且该一个节点连接到网络装置102。片段701-707被 对应地选择为,使得在一个片段701-707分离的情况下在每一对冗余节点中至少一个节点 保持连接到通信网络102。
[0114] 也就是说,如果两个冗余节点、例如节点821和822安装在外环中,则在这些节点 之间安装具有较小阈值的保险设备。当前是具有通信网络102的预先给定的最大数据传输 速率的10%的保险设备F5。
[0115] 通过使用4个虚拟网络V1-V4,可能的是经由耦合交换机851,852之一馈入外环或 内环的数据分组绝不会又通过另一个耦合交换机852, 851离开该环。尽管如此,为了能够 在所有节点之间实现两个不相交的路径,则采用所描述的4个虚拟网络V1-V4。
[0116] 图7的实施方式的保险设备F1-F5或保险的功能通过以下例子加以说明。在该例 子中假定节点822是胡说的白痴。
[0117] 在此情况下可以区分以下情况--情况1至情况4 : 情况1 : 节点822用直到9%- ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。 节点841还向由节点822向上发送至节点841的数据分组添加其计划的带宽,例如1%。尽 管如此没有阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的影响。
[0118] 情况 2: 节点822用9%+ ε至20%- ε的带宽胡说:节点841添加其计划的部分1%,该计划的部 分触发节点831的保险设备F5。于是节点被假定为有缺陷的。节点841没有缺陷,但是与 通信分离并由此被丢失。经由路径VI的连接通过保险设备F5中断,经由路径V2的连接通 过有缺陷的节点822中断。
[0119] 情况 3: 节点822用20%至80%- ε的带宽胡说:除了在节点831处的保险F5之外,在耦合交换 机852处的保险F2也触发。由节点821和841组成的片段707于是与通信分离。通信网 络102的其余部分未受影响。由此只有右外环中的冗余部分丢失。
[0120] 情况 4: 节点822用大于80%的带宽胡说:下耦合交换机852处的保险F2和节点841处的保险 F1触发。由此节点822与通信分离,通信网络102的剩余部分未受影响,并且只有右外节点 中的冗余部分丢失。节点841也没有丢失。如果忽略节点841处的保险F1,则出现与在情 况3中相同的状态。在片段的中部区域中的保险仅改善各个节点的可用性,并且不是无条 件必需的。
[0121] 下面的第二例子基于以下假定,即控制计算机811是胡说的白痴: 在此也可以区分四种情况1至4 : 情况1 : 控制计算机811用直至例如22. 5%- ε的带宽胡说。控制计算机813添加例如12. 5%的 为其设置的带宽。耦合交换机851,852处的保险F3,F2,F1不触发。可能的是可以触发节 点831和841之间的保险F5之一,因为在此调节出较小的容许带宽。但是该效应不会导致 节点的丢失。可能将外环与相对的耦合交换机分离的保险不触发,因为发送到外环的数据 分组必须属于VLAN VI或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组 都不由另一个耦合交换机852, 851接收,因为该另一个耦合交换机总是属于另一个VLANV1 或V2。因此没有节点也没有控制计算机811-814被排除出通信。
[0122] 情况 2: 控制计算机811用大约22. 5%至35%- ε的带宽胡说:控制计算机813添加例如12. 5% 的为其设置的带宽。耦合交换机852处的保险F3触发。在相对的耦合交换机851处的相 对的保险F3不触发。在最坏的情况下,控制计算机811在朝着VLANV4的方向上胡说。在该 情况下,在控制计算机812和814添加了其数据之后,在控制计算机814与耦合交换机852 之间的连接处的保险F3触发。由此还有控制计算机812和814可用,但是不再冗余地连接 到外环。但是至所有节点的非冗余的连接仍然存在。对针对内环的VLANV3和V4的带宽的 附加限制可以改善这种情况,使得控制计算机811-814的冗余耦合得以维持,因为可以阻 止在耦合交换机852处的保险F3的触发。
[0123] 情况 3: 控制计算机811用大于35%的带宽胡说:耦合交换机851,852的左侧保险F3触发,控 制计算机811和813被丢失,但是控制计算机812和814保持冗余地连接。
[0124] 情况 4: 控制计算机811用大于80%的带宽胡说。控制计算机811与控制计算机813之间的保 险F1触发。由此控制计算机811被排除在外,但是其它控制计算机812至814保持完全连 接。
[0125] 下面的另外的例子基于以下假定:耦合交换机851是胡说的白痴。在此也可以区 分4种情况1-4 : 情况1 : 耦合交换机851用小于8%的带宽胡说:节点821和831添加其计划的带宽,例如分别 1%。节点841处的保险F5不触发。下耦合交换机852的保险F4和F5同样不触发,因为上 耦合交换机851只能在VLAN VI上胡说,但是不接收来自下耦合交换机852的数据分组。在 内环中没有保险触发,但是浪费了大约8%的带宽。
[0126] 情况 2: 耦合交换机851用8%至10%- ε的带宽胡说:节点821,831添加其相应计划的带宽。 节点841处的保险F5触发。节点821和832与剩余通信网络102分离。下耦合交换机852 的保险F4和F5不触发,因为上耦合交换机851只能在VLAN VI上胡说。尽管如此在下耦 合交换机852处不接收来自上耦合交换机851的数据分组。在内环中没有保险触发,但是 浪费了大约10%的带宽。
[0127] 情况 3: 上耦合交换机851用10%至50%- ε的带宽胡说:由此节点841的保险F5触发。节点 821和832与剩余通信网络102分离。下耦合交换机852的保险F4和F5同样不触发,因为 上耦合交换机851只能在VLAN VI上胡说,但是不接收来自下耦合交换机的数据分组。
[0128] 控制计算机811-814分别添加其计划的带宽12. 5%。当上耦合交换机851在VALN V3上的其左侧端口上胡说,在VLAN V4上的右侧端口上胡说。在这种非常不可能的情况下 所有控制计算机811-814都被丢失。
[0129] 在这种情况下,由上耦合交换机851产生的、穿过片段704引导的数据分组被引 导用于触发耦合交换机852的右保险F3并由此用于分离实际上无故障的片段704。为了 避免这种最差的情况,限制针对VLAN V3和V4的带宽。经由VLAN VI和V2,上耦合交换机 851不可能导致下耦合交换机852的保险F3的触发,因为所述数据分组不穿过控制计算机 811-814 传递。
[0130] 替换地,可以放弃VLAN V3和V4,由此不再在所有控制计算机811-814之间存在不 相交的路径,这在控制功能合适地分布在控制计算机811-804上的情况下可以忍受。为此 不需要穿过控制计算机片段703, 704地传送数据分组。
[0131] 情况 4: 上耦合交换机851用超过50%的带宽胡说:节点841的保险F5由此触发。节点821和 832与剩余通信网络102分离。下耦合交换机852的保险F4和F5不触发,因为上耦合交换 机852只能在VLAN VI上胡说。但是不接收来自下耦合交换机852的数据分组。
[0132] 控制计算机811,812的保险F2触发。没有胡说的流量渗入由片段703, 704组成 的内环中。
[0133] 在图8中示出网络装置102的第六实施方式的示意图。图8的实施例与图7的实 施例的不同之处尤其在于网络拓扑结构。尤其是在图8的实施方式中仅实现两个VLAN VI, V2。通过两个VLAN VI,V2,经由耦合交换机851,852之一馈入外环中的分组绝不能通过另 一个耦合交换机852, 851又离开该环。由此也就是该数据分组不穿过外环引导。尽管如 此为了在通信网络102的所有节点之间实现两个不相交的路径,采用两个描述的VLAN VI, V2〇
[0134] 保险F1-F5的功能可以通过下面的三个例子加以说明: 第一例子基于以下假定:节点822是胡说的白痴。在该第一例子中可以区分四种情况: 情况1 : 节点822用直到9%- ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。 节点841还向由节点822向上发送的数据分组添加其计划的带宽,例如1%。尽管如此没有 保险F1-F5之一的阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的 影响。
[0135] 情况 2: 节点822用9%+ ε至20%- ε的带宽胡说:节点841添加其计划的部分1%,节点831处 的保险设备F5触发。节点822被假定为有缺陷的。节点841没有缺陷,但是与通信分离并 由此被丢失。经由路径VI的连接通过保险设备F5中断,经由路径V2的连接通过有缺陷的 节点822中断。
[0136] 情况 3: 节点822用20%至80%- ε的带宽胡说:除了保险F5之外,在下耦合交换机852处的保 险F4也触发。由节点822和841组成的片段708与通信分离。通信网络102的其余部分 未受影响。只有右外环中的冗余部分丢失。
[0137] 情况 4: 节点822用大于80%的带宽胡说:下耦合交换机852处的保险F4和节点841处的保险 F1触发。由此节点822仅与通信分离,通信网络102的剩余部分未受影响。只有右外节点 中的冗余部分丢失。但是节点841没有丢失。
[0138] 在下面的第二例子中假定:控制计算机811是胡说的白痴。在此可以区分两种情 况: 情况1 : 控制计算机811用直至35%- ε的带宽胡说。耦合交换机851,852处的保险F3不触发。 可能的是触发节点831和841之间的保险F5中的一个或两个,因为在此调节出较小的容许 带宽(10%)。该效应是不期望的,但是不会导致节点的丢失。
[0139] 可以将外环与相对的耦合交换机851分离的保险不触发,因为发送到外环的数据 分组必须属于VLAN VI或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组 都不由另一个耦合交换机852, 851接收,因为该另一个耦合交换机总是属于另一个VLANV1 或V2。因此没有节点也没有控制计算机811-814被排除出通信。
[0140] 情况 2: 控制计算机811用大于35%的带宽胡说:耦合到控制计算机811的耦合交换机851,852 的保险F3触发。由此控制计算机811与通信网络102分离。但是所有其它节点保持冗余 地连接。
[0141] 下面的第三例子基于以下假定:上耦合交换机851是胡说的白痴:在该例子中可 以区分三种情况: 情况1 : 上耦合交换机851用小于8%的带宽胡说。节点821和833添加其计划的带宽,例如 分别1%。由此节点841处的保险F5不触发。下耦合交换机852的保险F2和F1同样不触 发,因为上耦合交换机只能在VLAN VI上胡说,但是不接收来自下耦合交换机852的数据分 组。下耦合交换机852的保险F3同样不耦合,因为VALN VI的数据分组不从控制计算机 811-813转发给下耦合交换机852。由此所有节点经由VLAN V2保持相互连接。
[0142] 情况 2: 上耦合交换机851用8%至50%- ε的带宽胡说:节点821和831添加其计划的带宽。 节点841的保险F5触发。由此节点821和831与剩余通信网络102分离。下耦合交换机 852的保险F2和F1不触发,因为上耦合交换机851只能在VLAN VI上胡说,但是不接收来 自下耦合交换机852的数据分组。下耦合交换机852的保险F3同样不触发,因为VLAN VI 的数据分组不从控制计算机811-813转发给下耦合交换机852。
[0143] 情况 3: 上耦合交换机851用大于50%的带宽胡说:节点821和832处的保险F2触发。此外控 制计算机811-813的保险F2也触发。由此上耦合交换机851与通信网络102分离。但是 所有节点经由VLAN V2不冗余地相互连接。在此情况下耦合交换机851,852不属于节点。
[0144] 图9示出网络装置102的第七实施方式的示意图。
[0145] 保险F1-F5阻止胡说的白痴具有用无意义的数据淹没网络装置102的一个或多个 环的可能性。为此保险F1-F5监视尤其是到达平台计算机811-814的外连接处、也就是到 达控制计算机811-814的外环链路处的高优先级的数据流量。从而在由片段701,704, 705 组成的外环中的胡说的白痴不可能干扰在由片段702, 703组成的内环中的通信。如果冗余 的以及至少在通信方面高度可用的网络设备、例如成套机器安装在外环中,在这些网络设 备之间必须同样在两个方向上安装保险F1-F5。对此的例子是网络设备831和822的保险 F5。
[0146] 同样监视将控制计算机811至814与各种电源连接的片段702, 703的内环的链 路。由此例如像控制计算机811和812供应第一电源,相反向控制计算机813和814供应 第二电源。总之,第一电源供应网络设备811,812, 821,831,822,而第二电源供应网络设备 823, 824, 813, 814, 832。由此胡说的控制计算机在最坏的情况下可能影响具有相同电源的 控制计算机,也就是说建立相当于电源失效的状态。第二电源以及由此连接到第二电源的 网络设备保持不被其打扰。
[0147] 通过这些链路的关键流量手动地或者通过自动配置机制加以确定。在此,设置具 有定义预留的保险F1-F5中的最大容许带宽,所述最大容许带宽例如保守地可以用100%来 加以估计。由内环(通过片段702和703形成)中的计划流量以及通过外环端口进入内环中 的最大流量之和不允许超过在控制计算机811-814之间为保险F2 (F2=50%)调整出的值, 否则来自外部的流量可能中断内环中的通信。例如在图9中由控制计算机811向控制计算 机812计划25%的带宽。控制计算机812的保险F4可以最大进入来自外环的20%,也就是 说控制计算机814的保险F2必须允许至少25%+20%的负载。在图9的例子中,在考虑安全 性预留的情况下为控制计算机814的保险F2设置50%。
[0148] 此外保险F3-F5 (F3=35%,F4=20%,F5=10%)将带宽限制为明显比保险F1和F2 (Fl=80%,F2=50%)更高的值。如果胡说的白痴以非常高的带宽胡说,则该胡说的白痴被本 地隔离并且不会影响其它网络设备的功能。下面借助两个例子阐述在图9的实施方式中的 保险F1-F5的功能: 在第一例子中假定网络设备832是胡说的白痴: 在此情况下可以区分四种情况: 情况1 : 网络设备832用直至9%的带宽胡说:该具有较小带宽的胡说未被保险F1-F5中任何一 个识别。所使用的8%的带宽不会导致网络装置102的整个系统受到影响。
[0149] 情况 2: 网络设备832用9%+ ε至20%- ε的带宽胡说。同一个片段705的网络设备822添加 其计划的部分1%。由此网络设备831的保险F5触发。控制计算机814的外环端口处的保 险F4还没有触发。由此网络设备832被假定为有缺陷的。与此相应地,网络设备822没有 缺陷,但是与使用控制计算机811至814的通信分离并由此丢失。经由路径VI的连接通过 保险F5中断,而经由路径V2的连接通过有缺陷的网络设备832中断。由此网络设备832 以非关键流量为代价使用直至20%的带宽。
[0150] 情况 3: 网络设备832用20%至80%- ε的带宽胡说:除了网络设备831的保险F5之外,控制计 算机814的外环端口处的控制计算机814的保险F4也触发。网络设备832和网络设备822 与通信分离。通信网络102的其余部分未受影响。由此仅丢失通过网络片段705的冗余。
[0151] 情况 4: 网络设备832用大于80%的带宽胡说。控制计算机814的保险F4和网络设备822的 保险F5触发。由此网络设备832与通信分离,但是通信网络102的其余部分不受影响。仅 丢失在右外环中的冗余。网络设备822在情况4中也不丢失。
[0152] 第二例子基于以下假定:控制计算机811是胡说的白痴。在此可以区分三种情况: 情况1 : 控制计算机811用较小的带宽胡说。可能的是网络设备831和822之间的保险F5之 一触发,因为在此设置了较小的容许带宽(F5=10%)。该效应是不期望的,但是不会导致网络 设备的丢失,而是仅导致由片段704和705组成的右外环中的冗余丢失。可以将外环与相 对的控制计算机的外环端口 F5分离的保险不触发,因为发送到外环的分组必须属于VLAN VI或VLAN V2。任何情况下由一个控制计算机811发送的数据分组都不会由另一个控制计 算机813接收,因为该另一个控制计算机813总是属于另一个VLAN V2, VI。因此它不是网 络设备并且没有控制计算机被排除出通信,所使用的带宽以非关键流量为代价。
[0153] 情况 2: 控制计算机811以直至80%的较高带宽胡说:根据控制计算机811在其上胡说的VLAN V1-V4以及其它流量,控制计算机812, 813, 814的保险F2可以触发。在此情况下要区分以 下两种子情况i)和ii): 子情况i):仅控制计算机813的保险F2触发:控制计算机812, 813, 814非冗余地连 接,由片段704和705组成的右外环冗余地连接。由片段701组成的左外环非冗余地连接。 在VLAN VI或VLAN V3上可以使用带宽的直至50%。VLAN V2是可运转的并且将控制计算 机812, 813, 814与外环的网络设备连接。
[0154] 子情况ii):控制计算机813的保险F2以及附加地控制计算机812的保险F2和 /或控制计算机814的保险F2触发:实际的可运转的控制计算机812与内环分离。控制计 算机813和814不冗余地与外环的所有网络设备相互连接。在最不利的情况下,使用带宽 的 50%。
[0155] 情况 3: 控制计算机811用大于80%的带宽胡说:控制计算机813的保险F2和控制计算机812 的保险F1触发。有缺陷的控制计算机811被排除出通信。所有其它控制计算机812-814 以及外环的网络设备至少非冗余地连接,由片段704, 705组成的右外环甚至是冗余的。在 此全部带宽可供使用,因为胡说的白痴(在此是控制计算机811)被隔离。
[0156] 虽然通过优选实施例详细地图解和描述了本发明,但是本发明不通过所公开的例 子限制,并且专业人员可以从中推导出其它变型,而不脱离本发明的保护范围。尤其是网络 装置的实施方式可以具有其它能联网的元件,这些元件也可以是胡说的白痴。
【权利要求】
1. 用于为耦合到通信网络(6)上的网络设备(400)运行通信网络(102)的方法,其中 相应的网络设备(400)包括至少一个交换设备(4)和控制设备(2),该控制设备(2)耦合到 交换设备(4)上,以及其中交换设备(4)具有用于经由通信网络(6)发送和接收数据的接 收端口( 10)和发送端口(9),并且向接收端口( 10)分配用于限制数据传输速率的保险设备 (20),其中该方法包括: 预先给定在发送数据时的最大数据传输速率,其中网络设备(400)被设计为利用低于 预先给定的最大数据传输速率的数据速率来发送数据; 在网络设备(400)的接收端口( 10)处监视所接收的数据的数据传输速率;以及 如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接 收端口(10)处的数据接收。
2. 根据权利要求1所述的方法,其中相应的网络设备(1)包括至少一个交换设备(4)、 第一和第二控制设备(2, 3),所述第一和第二控制设备耦合到交换设备(4),以及其中交换 设备(4)分别具有用于经由通信网络(6)发送和接收数据的接收端口(10, 14)和发送端口 (9, 13),并且向接收端口(10, 14)分配用于限制数据传输速率的保险设备(20, 21),其中该 方法还包括: 通过第一控制设备(2)产生第一数据(D1)并且通过第二控制设备(3)产生第二数据 (D2),其中第一数据(D1)和第二数据(D2)通过预先给定的编码相互关联; 由第一控制设备(2)经由交换设备(4)将第一数据(D1)发送到第二控制设备(3),并且 由第二控制设备(3 )经由交换设备(4 )将第二数据(D2 )发送到第一控制设备(2 ); 经由从用于第一控制设备(2 )的交换设备(4)的发送端口( 9 )至用于第二控制设备(3 ) 的交换设备(4)的接收端口(14)的第一通信路径(CB1,CB2, CB3)发送第一数据(D1)和第 二数据(D2); 经由从用于第二控制设备(3)的交换设备(4)的发送端口(13)至用于第一控制设备 (2)的交换设备(4)的接收端口(10)的第二通信路径(CR1,CR2, CR3)发送第一数据(D1) 和第二数据(D2); 其中第一和第二通信路径(CB1,CB2, CB3, CR1,CR2, CR3)的数据在相反的方向上穿越 相同的网络设备(200, 300)。
3. 根据权利要求1或2所述的方法,此外包括: 如果到来的数据具有小于预先给定的最大数据传输速率的数据传递速率,则释放在接 收端口(10, 14)处的数据接收。
4. 根据权利要求1-3之一所述的方法,其中为发送端口(9, 13)与接收端口(10, 14)之 间的每个通信路径预先给定最大链路传输速率。
5. 根据权利要求1-4之一所述的方法,其中向数据分配至少两个优先等级,并且仅针 对所选择的优先等级的数据监视数据传输速率和/或阻止数据接收。
6. 根据权利要求1-5之一所述的方法,其中向数据分配至少两个优先等级,并且为了 估计所选择的优先等级的数据的数据传输速率,在交换设备(4, 5)中检测所选择的优先等 级的数据的等待时间。
7. 根据权利要求2-6之一所述的方法,还包括: 将第一数据(D1)和第二数据(D2)经由用于第一控制设备(2)的交换设备(4)的发送 端口(9)通过具有第一和第二控制设备(202, 203)的另一网络设备(200)的至少一个其它 交换设备(204)发送至用于第二控制设备(3)的交换设备(4)的接收端口(14);以及 将第一数据(D1)和第二数据(D2)经由用于第二控制设备(3)的交换设备(4)的发送 端口( 13)通过具有第一和第二控制设备(202, 203)的另一网络设备(200)的至少一个其它 交换设备(204)发送至用于第一控制设备(2)的交换设备(4)的接收端口(10); 其中在相应的其它交换设备(204)中在用于该其它交换设备(204)的第二控制设备 (203)的接收端口(214)处接收的数据被转发给用于该其它交换设备(204)的第一控制设 备(202)的发送端口(209),并且在用于该其它交换设备(204)的第一控制设备(202)的接 收端口(210)处接收的数据被转发至用于该其它交换设备(204)的第二控制设备(203)的 发送端口(213)。
8. 根据权利要求2-7之一所述的方法,还包括:将第一数据(D1)与第一和/或第二控 制设备(2, 3)中的第二数据(D2)相比较以产生比较结果;以及依据该比较结果将网络设备 (1)挂起。
9. 根据权利要求2-8之一所述的方法,还包括:在其它网络设备(200)中在用于不同控 制设备(202, 203)的输入端口(210, 214)处接收第一数据(D1)和第二数据(D2)并且将接 收的数据进行比较。
10. 根据权利要求1-9之一所述的方法(1),其特征在于,通信网络(6)是以太网络。
11. 根据权利要求1-10之一所述的方法,其特征在于, 向至少两个网络设备(811-814, 821-822, 831-832, 841-842, 851-852)的保险设备 (F1-F5)分配针对数据传输速率的不同阈值,其中这些不同阈值中的每一个都小于或等于 预先给定的最大数据传输速率,其中在以下情况下阻止在至少两个网络设备(811-814, 821 -822, 831-832, 841-842, 851-852)的接收端口(7, 10, 11,14, 15, 17)处的数据接收,即在该 分配的接收端口(7, 10, 11,14, 15, 17)处到来的数据具有大于所分配的阈值的数据传输速 率。
12. 根据权利要求11所述的方法,其特征在于, 网络设备(811-814, 821-822, 831-832, 841-842, 851-852)分布式地布置在多个网络片 段(701-707)中,其中向这些网络片段(701-707)的每一个分配网络设备(811-814, 821-82 2, 831-832, 841-842, 851-852)的子集,其中在每个网络片段(701-707)具有至少两个所分 配的网络设备(811-814, 821-822, 831-832, 841-842, 851-852)的情况下向布置在该网络片 段(701-707)的边缘区域处的保险设备(F1-F5)分配比保险设备(F1-F5)布置在该网络片 段(701-707)的中部区域中的情况下更小的数据传输速率阈值。
13. 根据权利要求12所述的方法,其特征在于, 将子集作为不相交的子集来构成。
14. 根据权利要求11-13之一所述的方法,其特征在于, 网络设备(811-814, 821-822, 831-832, 841-842, 851-852)包括至少两个在其功能性方 面冗余的网络设备(811-814, 821-822, 831-832, 841-842, 851-852),其中子集被构成为,使 得向每个子集最多分配冗余的网络设备(811-814, 821-822, 831-832, 841-842, 851-852)之 〇
15. 根据权利要求12-14之一所述的方法,其特征在于, 在通信网络(102)中实现多个虚拟网络(V1-V5),以便避免在一个网络片段(701-707) 的保险设备(F1-F5)处由于从另一个网络片段(701-707)接收数据而导致针对数据传输速 率的阈值被超过。
16. 根据权利要求15所述的方法,其特征在于, 依据相应保险设备(F1-F5)布置于其中的虚拟网络(V1-V4)来调整针对该相应保险设 备(F1-F5)的数据传输速率的相应阈值。
17. 计算机程序产品,其促使在一个或多个由程序控制的设备(1,100, 200, 300)上执 行根据权利要求1-16之一所述的方法。
18. 数据载体,具有包括指令的存储的计算机程序,所述指令促使在一个或多个由程序 控制的设备(1,100, 200, 300)上执行根据权利要求1-16之一所述的方法。
19. 具有多个网络设备(1,201,301)的网络装置(101 ),这些网络设备耦合到通信网络 (6),其中相应的网络设备(1)具有至少一个交换设备(4)和控制设备(2),该控制设备耦合 到交换设备(4),并且其中交换设备(4)具有用于经由通信网络(6)发送和接收数据的接收 端口(10)和发送端口(9),以及所述网络装置具有至少一个被分配给接收端口(10)的保险 设备(20)以用于限制数据传输速率,其中所述网络设备(400)被设计为执行根据权利要求 1-16之一所述的方法。
20. 根据权利要求19所述的网络装置(101),其特征在于, 至少一个网络设备(100)包括第一和第二控制设备(2, 3)和第一和第二交换设备 (4, 5),其中第一交换设备(4)被分配给第一控制设备(2)并且第二交换设备(5)被分配给 第二控制设备(3),以及其中交换设备(4, 5)分别具有用于经由通信网络(6)发送和接收数 据的接收端口(10,14)和发送端口(9,13),并且交换设备(4, 5)以通信方式相互耦合。
21. 根据权利要求19或20所述的网络装置(101),其特征在于, 网络设备(1,100, 200, 300)和/或保险设备(20, 21,220, 221,320, 321)分别实施为单 个FPGA、ASIC、1C芯片或固定连线的微电路。
【文档编号】H04L12/437GK104145453SQ201280071242
【公开日】2014年11月12日 申请日期:2012年9月28日 优先权日:2012年1月9日
【发明者】A.齐克勒, L.菲格, T.施密德, M.安布鲁斯特, J.里德 申请人:西门子公司
【专利摘要】建议一种用于运行通信网络(102)、尤其是以太网络的方法。耦合在该网络上的网络设备(400)具有交换设备(4)和控制设备(2),该控制设备(2)耦合到交换设备(4)上,以及交换设备(4)具有用于经由通信网络(6)发送和接收数据的至少一个接收端口(10)和发送端口(9)。向接收端口(10)分配用于监视相应的数据传输速率的保险设备(20)。当事先预先给定的最大数据传输速率被超过时,保险设备阻止在相应接收端口处的数据接收。通过在利用双向通信路径条件下的可能环结构以及对接收端口处的数据传输速率的限制,保证了在存在传输和硬件故障时、尤其是在存在胡说的白痴故障时有改善的失效保障和故障分析。此外建议一种具有多个对应网络设备(100,200,300)的网络装置(101),所述网络设备根据该方法工作。
【专利说明】用于运行通信网络的方法和网络装置
【技术领域】
[0001] 本发明涉及一种用于运行通信网络的方法和一种网络装置,该网络装置用所建议 的方法工作。该用于运行的方法尤其是可以在以太网环境中采用。
【背景技术】
[0002] 通信网络越来越广泛地应用于测量、控制和调节复杂的技术系统。例如越来越多 地在机动车中采用网络,以构造出车辆控制系统。在对应的复杂和安全性重要的技术系统 中,对作为网络设备设置的控制元件的可用性提出了高的要求。在例如传感器或控制设备 的各个部件失效的情况下,这不允许导致整个系统的失效。安全性特别重要的是电子线控 系统,例如其中电动地经由传感器设备、控制设备和执行设备的网络耦合将转向轮位置转 换为车轮位置的线控转向系统。
[0003] 在过去采用对特别关键部件的冗余实施,从而在故障情况下相应的备份或冗余部 件可以接管相应的任务。在多个冗余部件的情况下必须确保两个或更多个控制设备中仅有 一个获得相应的控制权。此外不允许对相同的控制功能出现矛盾的控制指令。因此需要所 有控制部件都拥有网络中的相同信息或数据。
[0004] 因此必须识别不一致数据形式的故障,所述不一致数据例如可能在经由所使用的 网络传输数据时败坏。广泛传播的标准网络环境基于以太网协议。以太网基础结构的使用 具有以下优点:可以采用标准化的网络设备和方法。但是在过去也使用专用数据总线,以便 将控制部件与内部冗余的、也就是双重设计的功能相互关联。
[0005] 此外可能的是在网络中采用的节点是有错的。已知例如以下故障类型:一个网络 设备以高频率将不包含对其它控制设备可用的数据发送到该网络中。人们也将此称为"胡 说的白痴(Babbling Idiot)"。于是网络基础结构可能由于高的数据速率而加重负担,使得 真正的控制或传感器数据不再能够在还能工作的网络设备之间交换。期望的是尤其是在安 全性重要的网络中处置这样的故障行为并且适当地处理当前的数据,以保证网络中未被涉 及的设备可靠地运行。
[0006] 在过去建议其中在预先给定的通信伙伴之间的数据交换受带宽限制的方法。但 是有缺陷的网络节点也可以产生具有不正确地址数据的数据分组,这在明确的带宽限制的 范围中不能在每种网络拓扑结构中、尤其是不能在环形网络拓扑结构中得到令人满意的处 置。
[0007] 此外已知基于网络节点相互之间的同步通信的方法。在此定义用于在预先给定的 通信伙伴之间进行数据交换的特定时隙。这样的时隙方法需要耗费的同步和特殊的硬件设 备。
【发明内容】
[0008] 因此本发明的任务是提供改进的方法和/或网络装置。
[0009] 因此建议一种用于运行通信网络的方法,在该通信网络上耦合了网络设备。相应 的网络设备包括至少一个交换设备和至少一个控制设备,该至少一个控制设备耦合到交换 设备上。交换设备具有用于经由通信网络发送和接收数据的至少一个接收端口和至少一个 发送端口,并且向接收端口分配用于限制数据传输速率的保险设备。该方法包括: 预先给定在发送数据时的最大数据传输速率,其中网络设备被设计为利用低于预先给 定的最大数据传输速率的数据速率来发送数据; 在网络设备的接收端口处监视所接收的数据的数据传输速率;以及 如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接 收端口处的数据接收。
[0010] 发送和接收端口的组合也可以被理解为相应设备的通信端口。
[0011] 在该方法的一个变型方案中,相应的网络设备包括至少一个交换设备和第一和第 二控制设备,所述第一和第二控制设备耦合到交换设备。用于第一和第二控制设备的交换 设备分别具有用于经由通信网络发送和接收数据的接收端口和发送端口。向接收端口分配 用于限制数据传输速率的保险设备。
[0012] 于是该方法还包括: 通过第一控制设备产生第一数据并且通过第二控制设备产生第二数据,其中第一数据 和第二数据通过预先给定的编码相互关联; 由第一控制设备经由(多个)交换设备将第一数据发送到第二控制设备,并且由第二控 制设备经由(多个)交换设备将第二数据发送到第一控制设备; 经由从用于第一控制设备的交换设备的发送端口至用于第二控制设备的交换设备的 接收端口的第一通信路径发送第一数据和第二数据; 经由从用于第二控制设备的交换设备的发送端口至用于第一控制设备的交换设备的 接收端口的第二通信路径发送第一数据和第二数据。在此第一和第二通信路径的数据在相 反的方向上穿越相同的网络设备。
[0013] 对数据传输速率的监视和对数据接收的潜在阻止尤其是使得可以处置所谓的"胡 说的白痴",也就是在网络中存在的以下网络设备,这些网络设备出于缺陷的原因发送无意 义的或者不能由网络中其它设备解释的数据。通常这些"无意义的"数据以高的频率被有 错的设备沉淀下来,从而可能使网络基础设施和通信路径加重负担。尽管如此,对所涉及的 接收端口的停止或对过高数据速率的数据接收的阻止使得可以进行可靠的数据通信,即使 存在胡说的白痴。
[0014] 数据传输速率被理解为在一个时间单位内经由传输信道或通信路径传输的数字 数据量。人们也将此称为数据传递速率、数据速率、传输速度、连接速度、带宽或容量。数据 传输速率的通用说明是每秒多少比特。
[0015] 最大数据传输速率优选是根据通信网络的带宽来加以确定的。如果从网络的拓扑 结构中已知网络节点之间或网络设备之间或发送和接收端口之间所有有意义的数据传递 速率,则可以对应地灵敏地设计保险设备。
[0016] 在该方法的实施方式中还规定:如果到来的数据具有小于预先给定的最大数据传 输速率的数据传递速率,则释放在接收端口处的数据接收。
[0017] 重新释放导致在短暂中断之后又在网络中出现通信路径,经由该通信路径可以交 换不是来自有缺陷的网络设备的数据。由此总是保证规则的数据传递。
[0018] 还可以考虑:为发送端口与接收端口之间的每个通信路径预先给定最大链路传输 速率。例如可以在设计通信网络时估计可以存在何种链路传输速率。于是保险设备被相应 地变得敏感,从而在超过最大链路传输速率的情况下禁止数据接收。
[0019] 替换或附加地,可以向数据分配至少两个优先等级,并且仅针对所选择的优先等 级的数据监视数据传输速率和/或阻止数据接收。例如,第一优先等级可以涉及安全性特 别重要的数据,而第二优先等级可以涉及不太关键的数据。于是在设计通信网络时设定最 大数据传递速率并且对应地调整保险设备。在保险设备处检测不同的优先等级并且据此过 滤或不过滤数据。
[0020] 通信网络本身可以包括以太网基础结构。交换设备也可以称为桥设备或路由器设 备。在网络设备的情况下,人们也称为网络节点、网络部件或网络元件。
[0021] 作为设置在网络设备中的控制设备,例如考虑CPU、微处理器或其它可编程开关电 路。作为控制设备还可以理解为传感器设备或执行器设备。
[0022] 通信网络或网络协议优选规定从一个用户或一个网络设备至另一个用户或另一 个网络设备的点对点连接。在此双向或双工通信是可以实现的。
[0023] 通过预先给定的编码相互关联的第一和第二数据例如可以通过位倒置加以产生。 预先给定的编码允许对两个数据进行相互的一致性检验。如果例如通过经由该网络的数 据传递而干扰数据(分组)之一,则这可以通过在考虑相应编码的情况下分别与另一个数据 (分组)相比较来加以识别。
[0024] 尤其是在基于以太网的通信网络情况下,双向通信(所谓的双工通信)是可能的。 因此第一通信路径从第一控制设备的交换设备的发送端口分布至第二控制设备的交换设 备的接收端口,以及第二通信路径从第二控制设备的交换设备的发送端口分布至第一控制 设备的交换设备的接收端口。第一通信路径例如环形地经由其它交换设备或其它网络设备 分布在通信网络上。第二通信路径穿越在相反方向上的网络设备。因此冗余的发送是可能 的并且对所有参与的网络设备的功能性进行检查是可能的。优选第一和第二数据从第一控 制设备至第二控制设备或反过来仅经由网络设备中的交换设备引导。
[0025] 用于运行尤其是基于以太网的通信网络的该方法导致环结构,其中使用以太网环 的所得到的通信方向。在此,在网络设备的与控制单元连接的交换设备之一存在故障的情 况下,仅涉及方向之一,从而与以前一样传送一致的一个或多个数据。通过比较尤其是通过 编码相互关联的、在不同通信路径上发送的数据,可以执行灵活和可靠的故障分析。人们可 以简单地调查已经导致故障的控制部件或设备。它们将优选被挂起或关闭。
[0026] 此外,胡说的白痴这种故障情况通过检查数据传递速率和必要时阻止接收而被处 置为,使得对于未受干扰的设备或者由有缺陷的设备发送的数据存在至少一个无故障传输 的通信路径。
[0027] 在本方法的实施方式中,该方法还包括: 将第一数据和第二数据经由用于第一控制设备的交换设备的发送端口通过具有第一 和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第二控制设备的交 换设备的接收端口;以及 将第一数据和第二数据经由用于第二控制设备的交换设备的发送端口通过具有第一 和第二控制设备的另一网络设备的至少一个其它交换设备发送至用于第一控制设备的交 换设备的接收端口。
[0028] 在此在相应的其它交换设备中在用于该其它交换设备的第二控制设备的接收端 口处接收的数据被转发给用于该其它交换设备的第一控制设备的发送端口。在用于该其它 交换设备的第一控制设备的接收端口处接收的数据被转发至用于该其它交换设备的第二 控制设备的发送端口。在输入端口处布置对应的保险设备。
[0029] 由此未经编码或经编码的数据从来自第一控制设备的第一信道被发送至分配给 第二控制设备的信道。这也可以反过来进行,由此进行发送的控制部件可以确定分配给第 二(冗余)控制设备的每另一个信道是否具有相同的数据结果。因此可以确定所分配的以 太网交换机或交换设备是否可靠地工作。如果识别出分配给控制设备的交换设备错误地操 作,则进行发送的控制设备优选挂起。
[0030] 该方法还可以包括: 将第一数据与第一和/或第二控制设备中的第二数据相比较以产生比较结果;以及 依据该比较结果将网络设备挂起。
[0031] 如果识别出第一和第二数据并非相互一致,也就是说没有通过预先给定的编码相 互关联,则可以识别出在数据传输或数据产生时存在故障。
[0032] 该方法还可以包括: 经由第一和第二通信路径重新发送第一和第二数据。
[0033] 如果例如数据在通信周期中未被进行发送的控制设备再次识别或接收,则可以通 过多次发送和对数据是否被正确接收进行检查来推断出在通信路径中存在的有错的网络 部件。
[0034] 在该方法的情况下,还可以在其它网络设备中在用于不同控制设备的输入端口处 接收第一数据和第二数据并且将接收的数据进行相互比较。
[0035] 优选的,用于运行网络装置的该方法还包括在所比较的第一数据和第二数据没有 通过预先给定的编码相互关联的情况下显示故障通知。
[0036] 在实施方式中,向至少两个网络设备的特定保险设备分配针对数据传输速率的不 同阈值,其中这些不同阈值中的每一个都小于等于预先给定的最大数据传输速率。在此在 以下情况下阻止在至少两个网络设备的接收端口处的数据接收,即在该分配的接收端口处 到来的数据具有大于所分配的阈值的数据传输速率。
[0037] 因此向不同网络设备的至少两个保险设备(保险,安全装置)分配针对数据传输速 率的各种或不同阈值。这些阈值中的每一个都小于或等于通信网络中预先给定的最大数据 传输速率。针对数据传输速率的阈值也可以称为带宽极限。
[0038] 通过使用各种阈值,可能的是在通信网络中构造出不同的片段或网络片段。在此 这些网络片段被构造为,使得其允许作为整个片段失效而不会将整个系统带入危险状态, 例如具有共同电流供应装置的网络片段。由多个电流供应装置供电的整个系统无论如何都 必须被构建为,使得该整个系统可以经受得起一个电流供应装置的失效。
[0039] 在此,尤其是当网络设备在带宽极限以下不远处胡说的时候,通过利用具有较低 带宽极限值的安全装置划界的片段将阻止的可能拖延有针对性地限于一个片段上。
[0040] 相应的阈值例如可以通过涉及网络装置的预先给定的最大数据传输速率的百分 比说明来加以说明。从而例如可以在预先给定的最大数据传输速率的80%、50%、35%、20%和 10%处调整出各种阈值。这些阈值例如可以借助通过相应的链路设置的额定数据传输速率、 可能附加地借助安全服务来确定。
[0041] 为了采用保险设备的概念,尤其是不需要更改标准交换部件的硬件。可以使用高 质量交换硬件的特征,或者可以通过相对简单的前置设备来对交换硬件进行补充。可用的 带宽根据实施方式不受影响或者仅受到很小程度的影响。
[0042] 在实施方式中,网络设备分布式地布置在多个网络片段中,其中向这些网络片段 的每一个分配网络设备的子集。在此情况下,在每个网络片段具有至少两个所分配的网络 设备的情况下向布置在该网络片段的边缘区域处的保险设备分配比保险设备布置在该网 络片段的中部区域中的情况下更小的数据传输速率阈值。
[0043] 相应的网络片段可以向外通过相对较小的数据传输速率阈值得到比在该网络片 段的中部区域或内部空间中所需要的更好的封闭。因此边缘区域的保险设备具有比网络片 段的中部区域中的保险设备更小的数据传输速率阈值。
[0044] 利用较小的阈值从外部或向外部、也就是利用具有较小的容许带宽的较小安全装 置保护网络片段。由此在胡说的白痴(有缺陷的网络设备)用稍微小于保险设备的触发带宽 的带宽发送的情况下,不再近似随机地触发随便什么保险设备,而是有针对性地触发具有 较小阈值(较小带宽)的保险设备,使得所涉及的网络片段与通信网络的其余部分分离。 [0045] 在片段的中部区域中具有较大的容许带宽的安全装置(保险)也可以在实施方式 中被去掉。这些安全装置仅负责使得用非常高的带宽胡说的胡说的白痴直接与其相邻节点 隔离并且从而不影响相邻节点。如果去掉在中部区域中的安全装置,则总是整个片段失效, 但是这在当前不会导致整个系统的临界状态。
[0046] 尤其是将子集作为不相交的子集来构成。
[0047] 在实施方式中,网络设备包括至少两个在其功能性方面冗余的网络设备,其中子 集被构成为,使得向每个子集最多分配冗余的网络设备之一。
[0048] 在其功能性方面冗余的网络设备布置在不同的网络片段中,从而在一个网络片段 失效的情况下至少还有一个冗余的网络设备存在于另一个网络片段中并且由此不会危及 整个系统的整个功能性。
[0049] 在实施方式中,在通信网络中多个虚拟网络被设计为避免在一个网络片段的保险 设备处由于从另一个网络片段接收数据而导致针对数据传输速率的阈值被超过。这些虚拟 网络尤其是被构造为虚拟局域网(VLAN)。
[0050] 在此,通过考虑各种虚拟网络、例如各种VLAN实现:片段不可能由于在该片段之 外馈入的分组而被分离。这是通过将VLAN有针对性地配置为使得分组不被传导经过片段、 尤其是外环来实现的。
[0051] 通过在通信网络中使用虚拟网络还可以将各个保险设备的阈值尤其是在各个网 络片段的边缘区域中最大化。由此将整个系统--通信网络的总体失效概率最小化。替换 于VLAN,可以采用其它合适的虚拟化技术。
[0052] 在实施方式中,依据相应保险设备布置于其中的虚拟网络来调整和监视针对该相 应保险设备的数据传输速率的相应阈值。
[0053] 在该实施方式中,专门针对该虚拟网络来调整阈值。如果例如分组必须被传导经 过一个网络片段,因为否则不能到达或不能经由不相交的路径到达在该网络片段旁边的网 络设备,则特定地、尤其是特定于VLAN地限制通过该对应网络片段传导的阈值(带宽极限)。 由此同样可以避免由于由在网络片段外部的胡说的白痴产生的数据分组而使得该实际上 无故障的网络片段被分离。
[0054] 最后建议一种具有多个网络设备的网络装置。这些网络设备耦合到通信网络,尤 其是以太网基础结构,并且相应网络设备包括至少一个交换设备和控制设备。在此,交换设 备耦合到控制设备,并且交换设备包括用于经由通信网络发送和接收数据的至少一个接收 端口和发送端口。网络装置包括为了限制数据传输速率而被分配给接收端口的保险设备。 网络设备被设计为执行如前所述的方法。
[0055] 网络装置尤其是车辆的一部分。
[0056] 网络设备可以是传感器设备或执行器设备。作为传感器设备可以考虑转数传感 器、制动设备或开关控制设备。还可以采用控制设备,所述控制设备例如实现电子线控。在 此例如将转向或加速脉冲电子地经由网络传送给对应的执行器,从而启动车辆的期望反 应。
[0057] 保险设备被构造为网络安全装置或保险。在达到针对穿越相应保险设备的数据的 预先给定数据传输速率阈值时,保险设备阻止进一步的数据流量。只要数据速率又低于设 定的阈值,则数据又可以通过所述保险设备。
[0058] 该阈值尤其是被设定为最大数据传递速率。
[0059] 总之得到在通信信道有干扰的情况下也能可靠工作的特别可靠的网络装置。在冗 余的环形通信路径设备的情况下,实现了一致的控制设备通信和不太耗费的故障分析和校 正以及不太耗费的对通过胡说的白痴的故障的处置。
[0060] 在网络装置的实施方式中,至少一个网络设备装备有第一和第二交换设备,其中 第一交换设备被分配给第一控制设备并且第二交换设备被分配给第二控制设备。在此,交 换设备分别包括至少两个端口并且交换设备以通信方式相互耦合。该耦合可以在网络设备 内部进行或者借助交换设备的发送和接收端口进行。
[0061] 可能的是,交换设备集成在单个交换设备中,该单个交换设备提供输入和输出端 □。
[0062] 在网络装置的其它实施方式中,还可以在网络装置中为其它单重网络设备分别设 置控制设备和交换设备。单重网络设备在此不具有冗余的控制设备并且可以被设置用于安 全性不太重要的功能。
[0063] 网络设备和或保险设备优选分别实施为单个FPGA、ASIC、1C芯片或固定连线的微 电路。例如,保险设备可以为了构造出所建议的网络装置而分别耦合在交换设备的接收端 口或输入端口之前。
[0064] 保险设备尤其是可以实施为交换设备的一部分。还可以考虑实现为用于运行交换 设备之一的程序或程序代码。
[0065] 此外建议一种计算机程序产品,其促使在一个或多个由程序控制的设备上执行如 上所阐述的方法以用于运行网络装置。
[0066] 诸如计算机程序装置的计算机程序产品例如可以作为诸如存储卡、USB棒、 CD-ROM、DVD的存储介质或者以可从网络中的服务器下载的文件的形式提供或运送。这例 如可以在无线通信网络中通过传输具有该计算机程序产品或计算机程序装置的对应文件 来进行。作为由程序控制的设备尤其是考虑如前所述的网络设备。
[0067] 本发明的其它可能实现还包括未明确提及的、前面或下面关于实施例所描述的方 法、网络布置、网络设备或网络节点的方法步骤、特征或实施方式的组合。在此专业人员还 补充或修改各个方面作为改进或对本发明的相应基本形式的补充。
【专利附图】
【附图说明】
[0068] 结合下面对实施例的描述,本发明的上述特性、特征和优点以及如何实现它们的 方式和方法可以被更清楚和更明白地理解,所述实施例将被结合附图得到更详细的阐述。 [0069] 图1示出网络装置的第一实施方式的示意图; 图2、3示出具有用于阐述故障处置的方法方面的通信流程的网络装置的实施方式的 示意图; 图4示出网络装置的第二实施方式的示意图; 图5示出网络装置的第三实施方式的示意图; 图6示出网络装置的第四实施方式的示意图; 图7示出网络装置的第五实施方式的示意图; 图8示出网络装置的第六实施方式的示意图; 图9示出网络装置的第七实施方式的示意图。
[0070] 只要没有另外说明,在图中相同或功能相同的元件被设置有相同的附图标记。
【具体实施方式】
[0071] 在图1中示出网络装置的第一实施方式的示意图。此外这些图还用于阐述用于运 行网络装置的方法。
[0072] 图1示出网络装置1,该网络装置例如可以作为以太网网络在车辆中采用。在此示 例性地示出三个网络设备100, 200, 300。它们例如可以是控制部件。下面也称为网络节点 或控制部件的网络设备100, 201,301分别具有冗余的控制设备2, 3, 202, 203, 302, 303。网 络设备100, 201,301也可以称为网络用户。
[0073] 控制设备2, 3, 202, 203, 302, 303被适配,以完成确定的任务或功能。这例如可以 是执行传感器检测或执行器。人们也将这些控制设备作为CPU或微处理器来实现。例如可 以考虑将控制部件100设计用于检测车辆中的踏板位置或转向运动。例如可以考虑由控制 部件或网络设备100将控制信号或控制数据发送给网络中的另一控制部件。在此尤其是在 机动车的安全性重要的应用情况下,例如在电子线控的情况下要保证控制数据一致地存在 于所有网络节点处。
[0074] 控制部件或网络节点或网络设备100, 200, 300装备有冗余的以太网交换设备 4, 5, 204, 205, 304, 305。以太网交换设备4, 5, 204, 205, 304, 305分别具有发送或输出端口 9, 13, 209, 213, 309, 313和接收或输入端口 10, 14, 210, 214, 310, 314,借助这些端口进行至 通信网络6的耦合。向接收端口 10, 14, 210, 214, 310, 314分配分别检测到达的数据传递速 率的保险设备20, 21,220, 221,320, 321。如果预先给定的最大数据传递速率被超过,则保险 设备触发并且阻止数据传递。
[0075] 网络设备100在此包括CPU2和分配的以太网交换设备4。以太网交换设备4具 有接收端口 7和发送端口 8,该接收端口与发送端口与CPU2以通信方式耦合。另一发送端 口 9和接收端口 10耦合到网络6以发送和接收数据。在网络6与接收端口 10之间布置保 险设备20。类似地,CPU3具有以太网交换设备5,该以太网交换设备具有接收端口 11和发 送端口 12以耦合到CPU3。以太网交换设备5还具有发送端口 13和接收端口 14以耦合到 网络6。在网络6与接收端口 14之间布置保险设备21。此外在以太网交换机4,5处设置 发送端口和接收端口 15, 16, 17, 18,以便将两个交换设备4, 5相互耦合。两个交换设备4, 5 在此分开,例如被制造为FPGA或ASIC或微芯片。
[0076] 类似地,控制部件200和300具有相互分离的、带有用于耦合到网络6的发 送和接收端口 204, 210, 213, 214, 215, 219, 304, 310, 313, 314, 315, 319 的交换设备 204, 205, 304, 305。此外在接收端口 210, 214, 310, 314与通信网络6之间布置保险设备 220, 221,320, 321。
[0077] 在网络部件内部进行冗余产生的控制数据D1和D2的平衡。CPU2提供数据D1,而 CPU3提供数据D2。在此这些数据通过编码相互关联。也就是说,数据D1从数据D2中通过 数学运算得出,反之亦然。可以考虑例如简单的位倒置,从而数据D1是数据D2的倒置,反 之亦然。
[0078] 控制部件100中的内部一致性检查通过产生数据D1、在端口 7处传送给以太网交 换机4以及经由端口组合16, 17转发给以太网交换机5来进行,该以太网交换机5将数据 D1提供给CPU3。类似的,数据D2经由端口 11,18, 15和8被传送给CPU2。因此可以通过数 据D1和D2相互的一致编码来进行内部的一致性检查。只要这些数据相互是一致的,也就 是说,预先给定的编码的模--例如位倒置--一致,则可以假定经由端口 7和11的数据 接收、经由端口 8和12的数据发送、用于在上面这些端口之间交换数据的交换设备4, 5以 及还有CPU2、3都正确工作。如果相反比较结果提供了数据D1和D2相互之间的不一致,则 表示CPU2, 3或交换设备4、5有故障,接着用于数据一致性保证的可能反应是控制部件100 的挂起--即停用。
[0079] 类似的一致性检查在网络设备200, 300中进行。在两个交换机204, 205或304, 305 之间传输的数据在图1中没有设置附图标记。从上到下分别从端口 218至端口 207传输数 据D2B和DIB。从端口 216至端口 211传输数据D1R和D2R。完全一样地,端口 307从端口 318接收与D2B和DIB对应的数据。端口 311从端口 316接收与D1R和D2R对应的数据。
[0080] 网络装置1被设计为环形通信路径。通过尤其是在以太网基础结构情况下存在 的、用户或网络设备相互间点对点连接的可能性,可能形成两个相互分离的通信环,这些通 信环仅分享相应的交换设备,但是在那里在接收和发送侧不使用共同的端口。在图1的实 施例中得出由片段CB1,CB2, CB3组成的第一通信路径。数据D1和D2通过这些片段CB1, CB2, CB3,这借助箭头DIB和D2B表示。在此附加物B代表通信路径B。
[0081] 此外,在相反的通信方向上分布着由片段CR1,CR2和CR3组成的通信路径。同样 经由该路径来发送数据D1和D2,这通过箭头D2R和D1R表示。在此附加物R代表通信路径 R〇
[0082] 数据D1和D2由此经由不相交的通信路径被传送至网络中存在的所有控制部件 201,301。每个CPU202, 203, 302, 303经由不同的通信路径、也就是具有相反的通信方向的 两个逻辑环来获得经编码和未经编码的数据D1和D2。在此,电缆铺设包括唯一的环。每个 CPU202, 203, 302, 303将经由通信路线或通信路径接收的针对数据Dl,D2的值相比较。
[0083] 例如,CPU303经由通信路径CB1获得数据DIB和D2B。这些数据经由保险设备321 到达交换设备304的输入端口 314。在发送端口 312处,交换设备304将在输入端口 314处 接收的数据DIB和D2B转发给CPU303。在那里可以进行数据DIB和D2B的比较。如果这些 数据相互一致,则表示通信路径CB1无故障。
[0084] CPU303还经由由片段CR1和CR2得出的第二通信路径获得数据D1R和D2R。数 据D1R和D2R由交换设备304经由保险设备320在接收端口 310处接收并且输出至分配给 CPU303的发送端口 312。可以重新进行一致性检查。此外CPU303现在可以将经由环路径 CB1获得的数据以及经由环路径CR1和CR2获得的数据进行比较或表决。在无干扰的情况 下,数据D1R和D2R相互一致,以及数据DIB和D2B相互一致,并且经由CB1和经由CR1-CR2 接收以及各个已经被确定为一致的数据相互一致。由此得出:由CPU2或3产生的基本数据 D1和D2是正确的。如果在控制部件3或CPU302, 303中对经由CB1和经由CR1-CR2接收并 且各个已经被确定为一致的数据进行比较或表决时出现不一致,则可以推断出通信故障。
[0085] 类似的一致性检查在控制部件201或CPU或控制设备202, 203中进行。如果参与 的交换设备4, 5, 204, 205, 304, 305之一应当有错误的工作或者失效了,则在重复发送数据 D1,D2时可以识别出对应的网络故障。一般在网络6上发送多个具有不同控制设备的不同 数据的通信周期。由于在图1中未示出的其它数据,相应控制部件201,301可以确定它们 自己的交换机204, 205, 304, 305是否有缺陷。因此可以识别和处置各种故障情形。
[0086] 通过不相交的数据路径CB1,CB2, CB3和CR1,CR2, CR3,在传输时的故障仅彼此无 关地出现。通过构造为网络节点或部件100, 201,301的以太网环,保证尤其是具有冗余的 控制设备2, 3的控制装置的最大程度一致的通信。
[0087] 所采用的保险设备20, 21,220, 221,320, 321在如图1中所示的网络装置1的运行 情形中是导通的。也就是说,数据未被阻止。这在图1中通过两个平行的虚线表示。
[0088] 可能的是,网络设备的部分受到损伤,使得仅还有不可解释的、也就是不可使用的 数据被产生并且被发送到网络中。人们也将此称为胡说的白痴,也就是产生不可使用的数 据并发送到网络中的网络设备,由此这种无意义的数据分组加重基础结构的负担。在此可 能出现的是:数据分组被以错误的地址数据发送并且仅阻止数据流量。此外胡说的白痴的 情况下,对应的数据分组被产生和发送的数据速率大多较高。
[0089] 为了也能合适地处置胡说的白痴的故障情形,将网络装置1中的网络设备构造 为,使得每个网络设备1〇〇, 200, 300都能用预先给定的最大数据传递速率发送。例如,最 大数据传递速率可以是在通信网络中物理最大可能的数据传递速率的预先给定百分比。因 此在网络设备能工作和无故障或没有发送端口 9, 13, 209, 213, 309, 313的元件能工作和 无故障的情况下设置预先给定的最大数据速率更大的数据速率。这可以通过对网络设备 100, 200, 300的对应编程来进行。
[0090] 当到达的数据速率大于预先给定的最大数据传递速率时,被构造为网络安全装置 20, 21,220, 221,320, 321的保险设备触发。通过该措施也可以克服针对该情形的胡说的白 痴。
[0091] 在图2中例如假定:交换设备205是有错的,使得该交换设备205用不受限制的数 据速率、也就是网络中最大可能的数据速率产生和发出无意义的数据分组。因此网络设备 200应被解释为胡说的白痴。在图2以及还有图3中示出参照图1描述的网络装置1。由 于由有缺陷的交换设备205的发送端口 213和218发送无意义的数据分租,因此该网络被 这些无意义的数据填充。
[0092] 但是保险设备20, 21,320, 321识别到:数据传递速率高于预先给定的最大数 据传递速率。也就是说,保险设备20, 21,320, 321触发并且为分配给它们的接收端口 10, 14, 310, 314阻止数据流量。网络设备200的保险设备220和221是不令人感兴趣的。 被触发的保险设备20, 21,320, 321通过"叉"表示。不重要的保险设备220, 221被设置有 水平划线。
[0093] 在如图2中所示的故障运行情形中,能工作的网络设备100, 300不再接收数据。但 是,这些网络设备被设计为继续发送自己产生的数据。例如,网络设备100与以前一样经由 发送端口 9和13将数据D1B,D2B,D1R和D2R发送到网络6中。
[0094] 通过阻止数据接收或触发安全装置20, 21,320, 321,没有直接与胡说的白痴200 耦合的保险设备20, 321处的数据传递速率又下降到低于预先给定的最大数据传递速率。 也就是说,结果安全装置或保险装置20, 321又为分配给它们的接收端口 10, 314释放了数 据接收。该情形在图3中示出。但是安全装置或网络保险装置21,320保持触发并进行阻 止。
[0095] 在图3中识别出:现在重新可以在网络设备100和300之间进行可靠的数据传递, 因为通信路径CB1和CR3与胡说的白痴200所产生的无意义的数据分组隔离。因此即使出 现故障--在该故障的情况下网络设备或其元件将无意义的数据以高的数据速率发送到 网络中--也能得到处置。尽管如此,也保证在所有未完全缺陷的网络设备之间继续进行 可靠的通信。
[0096] 图4示出网络装置101的另一实施方式。与图1-3的图相比,中间的网络设备被 替换为三个串行地相互耦合的单重交换设备404, 504, 604。交换设备404, 504, 604也可以 被解释为不保险的网络设备。例如,交换设备404是这种不保险的网络设备400的一部分。 例如,对于安全性特别不重要的应用来说在车辆中采用对应单重的、非冗余构建的网络设 备。
[0097] 单重的交换设备404, 504,604经由发送和接收端口 407, 416, 504, 511,507, 516, 611,618相互耦合。交换设备404具有耦合到通信网络、也就 是以太网6的发送端口 409和接收端口 410。交换设备604具有同样耦合到通信网络6的 发送端口 609和接收端口 610。得出已经在图1-3中示出的通信路径片段CB1,CB2,CB3和 CR1,CR2,CR3。属于网络设备100, 200的交换设备4, 5, 304, 305的接收端口 10, 14, 310, 314 经由保险设备20, 21,320, 321耦合到网络6。
[0098] 现在只要单重交换设备404, 504, 604之一是胡说的白痴,则数据速率首先在整个 网络中升高并且在接收端口处超过预先给定的最大数据传递速率。然后保险设备21和 320阻止针对端口 14和310的数据接收。因此来自交换设备404, 504, 604的线路与数据 通信脱离。但是监督至接收端口 310, 314的数据传递的保险设备20, 321是导通的。因 此在不保险的网络设备4或还有是胡说的白痴的交换设备504不规则的情况下也得到保 证。在能工作的安全性重要的网络设备100, 300之间可以与以前一样经由发送和接收端口 9, 10, 313, 314 进行通信。
[0099] 图5示出网络装置的另一实施方式。网络装置102在此包括分别仅具有控制设备 2和交换设备4的单重网络设备400。该交换设备分别具有耦合到通信网络6的接收端口 10和接收端口 9以用于数据D的耦合输出或耦合输入。此外控制设备或CPU2经由发送和 接收端口 8, 7与交换设备以通信方式连接。向接收端口 10分配保险设备20,所述保险设备 在所设定的最大接收数据速率被超过的情况下完全阻止数据传递。在此该网络装置如前面 已经描述的那样运行。
[0100] 由此该方法以及还有所建议的网络装置在安全性重要的应用中提供最高一致的 和可靠的控制装置通信,其中该网络装置具有其环结构并且在网络设备的接收端口处使数 据传递速率得到监视。所有可能的单故障或者不会导致在一个或多个网络设备中可能产生 不一致的数据,或者可以在一个通信周期之内得到定位。此外,作为胡说的白痴的网络设备 (也就是以高速率将数据不受监督地发送到网络中)的干扰不可能导致通信失效。
[0101] 所建议的网络装置尤其是使得可以:在网络装置中也可以设置分别具有至少一个 控制设备和至少一个交换设备的不保险的网络设备。未受保护的网络设备在接收端口处例 如不拥有保险设备,这些网络设备是常规的以太网装置。尽管如此,未受保护的网络设备不 可能干扰可靠的流量,因为在未受保护的网络设备之一是胡说的白痴时,这些未受保护的 网络设备通过下一个受保护的、也就是设置有保险设备的网络设备的保险设备分离。
[0102] 在另一实施方式中,当在具有任意网络拓扑结构的网络中的交通模式都已知时, 上述实施方式也可以在所述网络中应用。
[0103] 一种替换的实施方式在于,代替测量输入端口处的带宽而测量高优先级分组在网 络设备中的停留时间,即等待时间。当停留时间超过所计算的最大值时,可以从中推断出, 容许的带宽被超过并且保险(安全装置)可以触发。
[0104] 当交换机ASIC支持速率限制和速率监视或流敏感速率监视时,所描述的保险(安 全装置或网络安全装置)可以或者直接在交换机ASIC中实现。由此可能的是,实现网络安 全装置而无需附加的硬件。
[0105] 替换地,网络安全装置可以在附加部件、例如FPGA中实现,所述附加部件连接在 网络设备的外部输入端之前。由此可以使用更简单的交换机,同时在单独的硬件中实现网 络安全装置必要时简化了认证。
[0106] 在图6中反映网络装置102的第四实施方式的示意图。网络装置102具有4个网 络设备400。相应网络设备400可以基于图1-5的实施例之一。网络设备400可以具有不 同功能。例如,图6上面的两个网络设备400可以被构造为控制计算机,下面的两个网络设 备400被构造为执行器。左侧的网络设备400是第一网络片段701的一部分。与此相应的, 右侧的网络设备400是第二网络片段702的一部分。
[0107] 在相应网络片段701,702的中部区域(内部区域)中安装第一保险设备F1,所述第 一保险设备比布置在相应网络片段701,702的边缘区域中的保险设备F2具有更大的数据 传输速率阈值。因此,具有更高阈值F1的第一保险设备被设置用于相应网络片段701,702 中的内部通信。与此相应的,具有较低数据传输速率阈值的保险设备F2被设置用于网络片 段701,702之间的外部通信。
[0108] 图7示出网络装置102的第五实施方式的示意图。
[0109] 图7的网络装置102具有不同功能的12个网络设备811-814, 821-822, 831-832, 841-842, 851-852。网络设备811-814被构造为控制计算机。网络设备821-822构造出第一 类型的节点,网络设备831,832构造出第二类型的节点,并且网络设备841,842构造出第三 类型的节点。网络设备851,852被构造为耦合交换机。
[0110] 此外,网络装置102具有4个实现的虚拟网络V1-V4。在此,在图7中通过附图标 记V1-V4示出哪些虚拟线路属于哪个虚拟网络V1-V4。
[0111] 此外,在网络装置102中使用具有不同阈值的5个不同保险设备F1-F5。第一保险 设备F1例如具有网络装置102的预先给定的最大数据传输速率的80%的阈值,F2具有网 络装置102的预先给定的最大数据传输速率的50%的阈值,F3具有网络装置102的预先给 定的最大数据传输速率的35%的阈值,F4具有网络装置102的预先给定的最大数据传输速 率的20%的阈值,F5具有网络装置102的预先给定的最大数据传输速率的10%的阈值。
[0112] 网络装置102被构造为三重环形网络,人们也将此称为具有外环或外循环的内 环。一个内环用控制计算机8111-814形成,两个外环用节点821-822, 831-832和841-842 形成。通过虚拟连接V1-V4,基于环形拓扑结构在所有控制计算机811-814相互之间以及在 控制计算机和节点之间形成两个不相交的、无环的路径。
[0113] 在图7的实施方式中所有网络设备冗余地存在,从而存在例如相对于节点 822冗余的节点821。对应地,节点831相对于节点832冗余,节点841相对于节点 842冗余。当这些节点之一失效时,网络装置102的整个系统保持能运转。网络设备 811-814, 821-822, 831-832, 841-842和851-852的三位数的附图标记中的单位数位(最右 边数位)可以表示用于供应电流的不同电路。于是如果一个电源失效,则在相同类型的每一 对冗余节点中对一个节点供应电流并且该一个节点连接到网络装置102。片段701-707被 对应地选择为,使得在一个片段701-707分离的情况下在每一对冗余节点中至少一个节点 保持连接到通信网络102。
[0114] 也就是说,如果两个冗余节点、例如节点821和822安装在外环中,则在这些节点 之间安装具有较小阈值的保险设备。当前是具有通信网络102的预先给定的最大数据传输 速率的10%的保险设备F5。
[0115] 通过使用4个虚拟网络V1-V4,可能的是经由耦合交换机851,852之一馈入外环或 内环的数据分组绝不会又通过另一个耦合交换机852, 851离开该环。尽管如此,为了能够 在所有节点之间实现两个不相交的路径,则采用所描述的4个虚拟网络V1-V4。
[0116] 图7的实施方式的保险设备F1-F5或保险的功能通过以下例子加以说明。在该例 子中假定节点822是胡说的白痴。
[0117] 在此情况下可以区分以下情况--情况1至情况4 : 情况1 : 节点822用直到9%- ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。 节点841还向由节点822向上发送至节点841的数据分组添加其计划的带宽,例如1%。尽 管如此没有阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的影响。
[0118] 情况 2: 节点822用9%+ ε至20%- ε的带宽胡说:节点841添加其计划的部分1%,该计划的部 分触发节点831的保险设备F5。于是节点被假定为有缺陷的。节点841没有缺陷,但是与 通信分离并由此被丢失。经由路径VI的连接通过保险设备F5中断,经由路径V2的连接通 过有缺陷的节点822中断。
[0119] 情况 3: 节点822用20%至80%- ε的带宽胡说:除了在节点831处的保险F5之外,在耦合交换 机852处的保险F2也触发。由节点821和841组成的片段707于是与通信分离。通信网 络102的其余部分未受影响。由此只有右外环中的冗余部分丢失。
[0120] 情况 4: 节点822用大于80%的带宽胡说:下耦合交换机852处的保险F2和节点841处的保险 F1触发。由此节点822与通信分离,通信网络102的剩余部分未受影响,并且只有右外节点 中的冗余部分丢失。节点841也没有丢失。如果忽略节点841处的保险F1,则出现与在情 况3中相同的状态。在片段的中部区域中的保险仅改善各个节点的可用性,并且不是无条 件必需的。
[0121] 下面的第二例子基于以下假定,即控制计算机811是胡说的白痴: 在此也可以区分四种情况1至4 : 情况1 : 控制计算机811用直至例如22. 5%- ε的带宽胡说。控制计算机813添加例如12. 5%的 为其设置的带宽。耦合交换机851,852处的保险F3,F2,F1不触发。可能的是可以触发节 点831和841之间的保险F5之一,因为在此调节出较小的容许带宽。但是该效应不会导致 节点的丢失。可能将外环与相对的耦合交换机分离的保险不触发,因为发送到外环的数据 分组必须属于VLAN VI或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组 都不由另一个耦合交换机852, 851接收,因为该另一个耦合交换机总是属于另一个VLANV1 或V2。因此没有节点也没有控制计算机811-814被排除出通信。
[0122] 情况 2: 控制计算机811用大约22. 5%至35%- ε的带宽胡说:控制计算机813添加例如12. 5% 的为其设置的带宽。耦合交换机852处的保险F3触发。在相对的耦合交换机851处的相 对的保险F3不触发。在最坏的情况下,控制计算机811在朝着VLANV4的方向上胡说。在该 情况下,在控制计算机812和814添加了其数据之后,在控制计算机814与耦合交换机852 之间的连接处的保险F3触发。由此还有控制计算机812和814可用,但是不再冗余地连接 到外环。但是至所有节点的非冗余的连接仍然存在。对针对内环的VLANV3和V4的带宽的 附加限制可以改善这种情况,使得控制计算机811-814的冗余耦合得以维持,因为可以阻 止在耦合交换机852处的保险F3的触发。
[0123] 情况 3: 控制计算机811用大于35%的带宽胡说:耦合交换机851,852的左侧保险F3触发,控 制计算机811和813被丢失,但是控制计算机812和814保持冗余地连接。
[0124] 情况 4: 控制计算机811用大于80%的带宽胡说。控制计算机811与控制计算机813之间的保 险F1触发。由此控制计算机811被排除在外,但是其它控制计算机812至814保持完全连 接。
[0125] 下面的另外的例子基于以下假定:耦合交换机851是胡说的白痴。在此也可以区 分4种情况1-4 : 情况1 : 耦合交换机851用小于8%的带宽胡说:节点821和831添加其计划的带宽,例如分别 1%。节点841处的保险F5不触发。下耦合交换机852的保险F4和F5同样不触发,因为上 耦合交换机851只能在VLAN VI上胡说,但是不接收来自下耦合交换机852的数据分组。在 内环中没有保险触发,但是浪费了大约8%的带宽。
[0126] 情况 2: 耦合交换机851用8%至10%- ε的带宽胡说:节点821,831添加其相应计划的带宽。 节点841处的保险F5触发。节点821和832与剩余通信网络102分离。下耦合交换机852 的保险F4和F5不触发,因为上耦合交换机851只能在VLAN VI上胡说。尽管如此在下耦 合交换机852处不接收来自上耦合交换机851的数据分组。在内环中没有保险触发,但是 浪费了大约10%的带宽。
[0127] 情况 3: 上耦合交换机851用10%至50%- ε的带宽胡说:由此节点841的保险F5触发。节点 821和832与剩余通信网络102分离。下耦合交换机852的保险F4和F5同样不触发,因为 上耦合交换机851只能在VLAN VI上胡说,但是不接收来自下耦合交换机的数据分组。
[0128] 控制计算机811-814分别添加其计划的带宽12. 5%。当上耦合交换机851在VALN V3上的其左侧端口上胡说,在VLAN V4上的右侧端口上胡说。在这种非常不可能的情况下 所有控制计算机811-814都被丢失。
[0129] 在这种情况下,由上耦合交换机851产生的、穿过片段704引导的数据分组被引 导用于触发耦合交换机852的右保险F3并由此用于分离实际上无故障的片段704。为了 避免这种最差的情况,限制针对VLAN V3和V4的带宽。经由VLAN VI和V2,上耦合交换机 851不可能导致下耦合交换机852的保险F3的触发,因为所述数据分组不穿过控制计算机 811-814 传递。
[0130] 替换地,可以放弃VLAN V3和V4,由此不再在所有控制计算机811-814之间存在不 相交的路径,这在控制功能合适地分布在控制计算机811-804上的情况下可以忍受。为此 不需要穿过控制计算机片段703, 704地传送数据分组。
[0131] 情况 4: 上耦合交换机851用超过50%的带宽胡说:节点841的保险F5由此触发。节点821和 832与剩余通信网络102分离。下耦合交换机852的保险F4和F5不触发,因为上耦合交换 机852只能在VLAN VI上胡说。但是不接收来自下耦合交换机852的数据分组。
[0132] 控制计算机811,812的保险F2触发。没有胡说的流量渗入由片段703, 704组成 的内环中。
[0133] 在图8中示出网络装置102的第六实施方式的示意图。图8的实施例与图7的实 施例的不同之处尤其在于网络拓扑结构。尤其是在图8的实施方式中仅实现两个VLAN VI, V2。通过两个VLAN VI,V2,经由耦合交换机851,852之一馈入外环中的分组绝不能通过另 一个耦合交换机852, 851又离开该环。由此也就是该数据分组不穿过外环引导。尽管如 此为了在通信网络102的所有节点之间实现两个不相交的路径,采用两个描述的VLAN VI, V2〇
[0134] 保险F1-F5的功能可以通过下面的三个例子加以说明: 第一例子基于以下假定:节点822是胡说的白痴。在该第一例子中可以区分四种情况: 情况1 : 节点822用直到9%- ε的带宽胡说。该使用较小带宽的胡说未被保险F1-F5识别出。 节点841还向由节点822向上发送的数据分组添加其计划的带宽,例如1%。尽管如此没有 保险F1-F5之一的阈值被超过。所使用的9%带宽不会导致对网络装置102的整个系统的 影响。
[0135] 情况 2: 节点822用9%+ ε至20%- ε的带宽胡说:节点841添加其计划的部分1%,节点831处 的保险设备F5触发。节点822被假定为有缺陷的。节点841没有缺陷,但是与通信分离并 由此被丢失。经由路径VI的连接通过保险设备F5中断,经由路径V2的连接通过有缺陷的 节点822中断。
[0136] 情况 3: 节点822用20%至80%- ε的带宽胡说:除了保险F5之外,在下耦合交换机852处的保 险F4也触发。由节点822和841组成的片段708与通信分离。通信网络102的其余部分 未受影响。只有右外环中的冗余部分丢失。
[0137] 情况 4: 节点822用大于80%的带宽胡说:下耦合交换机852处的保险F4和节点841处的保险 F1触发。由此节点822仅与通信分离,通信网络102的剩余部分未受影响。只有右外节点 中的冗余部分丢失。但是节点841没有丢失。
[0138] 在下面的第二例子中假定:控制计算机811是胡说的白痴。在此可以区分两种情 况: 情况1 : 控制计算机811用直至35%- ε的带宽胡说。耦合交换机851,852处的保险F3不触发。 可能的是触发节点831和841之间的保险F5中的一个或两个,因为在此调节出较小的容许 带宽(10%)。该效应是不期望的,但是不会导致节点的丢失。
[0139] 可以将外环与相对的耦合交换机851分离的保险不触发,因为发送到外环的数据 分组必须属于VLAN VI或VLAN V2。任何情况下经由耦合交换机851,852发送的数据分组 都不由另一个耦合交换机852, 851接收,因为该另一个耦合交换机总是属于另一个VLANV1 或V2。因此没有节点也没有控制计算机811-814被排除出通信。
[0140] 情况 2: 控制计算机811用大于35%的带宽胡说:耦合到控制计算机811的耦合交换机851,852 的保险F3触发。由此控制计算机811与通信网络102分离。但是所有其它节点保持冗余 地连接。
[0141] 下面的第三例子基于以下假定:上耦合交换机851是胡说的白痴:在该例子中可 以区分三种情况: 情况1 : 上耦合交换机851用小于8%的带宽胡说。节点821和833添加其计划的带宽,例如 分别1%。由此节点841处的保险F5不触发。下耦合交换机852的保险F2和F1同样不触 发,因为上耦合交换机只能在VLAN VI上胡说,但是不接收来自下耦合交换机852的数据分 组。下耦合交换机852的保险F3同样不耦合,因为VALN VI的数据分组不从控制计算机 811-813转发给下耦合交换机852。由此所有节点经由VLAN V2保持相互连接。
[0142] 情况 2: 上耦合交换机851用8%至50%- ε的带宽胡说:节点821和831添加其计划的带宽。 节点841的保险F5触发。由此节点821和831与剩余通信网络102分离。下耦合交换机 852的保险F2和F1不触发,因为上耦合交换机851只能在VLAN VI上胡说,但是不接收来 自下耦合交换机852的数据分组。下耦合交换机852的保险F3同样不触发,因为VLAN VI 的数据分组不从控制计算机811-813转发给下耦合交换机852。
[0143] 情况 3: 上耦合交换机851用大于50%的带宽胡说:节点821和832处的保险F2触发。此外控 制计算机811-813的保险F2也触发。由此上耦合交换机851与通信网络102分离。但是 所有节点经由VLAN V2不冗余地相互连接。在此情况下耦合交换机851,852不属于节点。
[0144] 图9示出网络装置102的第七实施方式的示意图。
[0145] 保险F1-F5阻止胡说的白痴具有用无意义的数据淹没网络装置102的一个或多个 环的可能性。为此保险F1-F5监视尤其是到达平台计算机811-814的外连接处、也就是到 达控制计算机811-814的外环链路处的高优先级的数据流量。从而在由片段701,704, 705 组成的外环中的胡说的白痴不可能干扰在由片段702, 703组成的内环中的通信。如果冗余 的以及至少在通信方面高度可用的网络设备、例如成套机器安装在外环中,在这些网络设 备之间必须同样在两个方向上安装保险F1-F5。对此的例子是网络设备831和822的保险 F5。
[0146] 同样监视将控制计算机811至814与各种电源连接的片段702, 703的内环的链 路。由此例如像控制计算机811和812供应第一电源,相反向控制计算机813和814供应 第二电源。总之,第一电源供应网络设备811,812, 821,831,822,而第二电源供应网络设备 823, 824, 813, 814, 832。由此胡说的控制计算机在最坏的情况下可能影响具有相同电源的 控制计算机,也就是说建立相当于电源失效的状态。第二电源以及由此连接到第二电源的 网络设备保持不被其打扰。
[0147] 通过这些链路的关键流量手动地或者通过自动配置机制加以确定。在此,设置具 有定义预留的保险F1-F5中的最大容许带宽,所述最大容许带宽例如保守地可以用100%来 加以估计。由内环(通过片段702和703形成)中的计划流量以及通过外环端口进入内环中 的最大流量之和不允许超过在控制计算机811-814之间为保险F2 (F2=50%)调整出的值, 否则来自外部的流量可能中断内环中的通信。例如在图9中由控制计算机811向控制计算 机812计划25%的带宽。控制计算机812的保险F4可以最大进入来自外环的20%,也就是 说控制计算机814的保险F2必须允许至少25%+20%的负载。在图9的例子中,在考虑安全 性预留的情况下为控制计算机814的保险F2设置50%。
[0148] 此外保险F3-F5 (F3=35%,F4=20%,F5=10%)将带宽限制为明显比保险F1和F2 (Fl=80%,F2=50%)更高的值。如果胡说的白痴以非常高的带宽胡说,则该胡说的白痴被本 地隔离并且不会影响其它网络设备的功能。下面借助两个例子阐述在图9的实施方式中的 保险F1-F5的功能: 在第一例子中假定网络设备832是胡说的白痴: 在此情况下可以区分四种情况: 情况1 : 网络设备832用直至9%的带宽胡说:该具有较小带宽的胡说未被保险F1-F5中任何一 个识别。所使用的8%的带宽不会导致网络装置102的整个系统受到影响。
[0149] 情况 2: 网络设备832用9%+ ε至20%- ε的带宽胡说。同一个片段705的网络设备822添加 其计划的部分1%。由此网络设备831的保险F5触发。控制计算机814的外环端口处的保 险F4还没有触发。由此网络设备832被假定为有缺陷的。与此相应地,网络设备822没有 缺陷,但是与使用控制计算机811至814的通信分离并由此丢失。经由路径VI的连接通过 保险F5中断,而经由路径V2的连接通过有缺陷的网络设备832中断。由此网络设备832 以非关键流量为代价使用直至20%的带宽。
[0150] 情况 3: 网络设备832用20%至80%- ε的带宽胡说:除了网络设备831的保险F5之外,控制计 算机814的外环端口处的控制计算机814的保险F4也触发。网络设备832和网络设备822 与通信分离。通信网络102的其余部分未受影响。由此仅丢失通过网络片段705的冗余。
[0151] 情况 4: 网络设备832用大于80%的带宽胡说。控制计算机814的保险F4和网络设备822的 保险F5触发。由此网络设备832与通信分离,但是通信网络102的其余部分不受影响。仅 丢失在右外环中的冗余。网络设备822在情况4中也不丢失。
[0152] 第二例子基于以下假定:控制计算机811是胡说的白痴。在此可以区分三种情况: 情况1 : 控制计算机811用较小的带宽胡说。可能的是网络设备831和822之间的保险F5之 一触发,因为在此设置了较小的容许带宽(F5=10%)。该效应是不期望的,但是不会导致网络 设备的丢失,而是仅导致由片段704和705组成的右外环中的冗余丢失。可以将外环与相 对的控制计算机的外环端口 F5分离的保险不触发,因为发送到外环的分组必须属于VLAN VI或VLAN V2。任何情况下由一个控制计算机811发送的数据分组都不会由另一个控制计 算机813接收,因为该另一个控制计算机813总是属于另一个VLAN V2, VI。因此它不是网 络设备并且没有控制计算机被排除出通信,所使用的带宽以非关键流量为代价。
[0153] 情况 2: 控制计算机811以直至80%的较高带宽胡说:根据控制计算机811在其上胡说的VLAN V1-V4以及其它流量,控制计算机812, 813, 814的保险F2可以触发。在此情况下要区分以 下两种子情况i)和ii): 子情况i):仅控制计算机813的保险F2触发:控制计算机812, 813, 814非冗余地连 接,由片段704和705组成的右外环冗余地连接。由片段701组成的左外环非冗余地连接。 在VLAN VI或VLAN V3上可以使用带宽的直至50%。VLAN V2是可运转的并且将控制计算 机812, 813, 814与外环的网络设备连接。
[0154] 子情况ii):控制计算机813的保险F2以及附加地控制计算机812的保险F2和 /或控制计算机814的保险F2触发:实际的可运转的控制计算机812与内环分离。控制计 算机813和814不冗余地与外环的所有网络设备相互连接。在最不利的情况下,使用带宽 的 50%。
[0155] 情况 3: 控制计算机811用大于80%的带宽胡说:控制计算机813的保险F2和控制计算机812 的保险F1触发。有缺陷的控制计算机811被排除出通信。所有其它控制计算机812-814 以及外环的网络设备至少非冗余地连接,由片段704, 705组成的右外环甚至是冗余的。在 此全部带宽可供使用,因为胡说的白痴(在此是控制计算机811)被隔离。
[0156] 虽然通过优选实施例详细地图解和描述了本发明,但是本发明不通过所公开的例 子限制,并且专业人员可以从中推导出其它变型,而不脱离本发明的保护范围。尤其是网络 装置的实施方式可以具有其它能联网的元件,这些元件也可以是胡说的白痴。
【权利要求】
1. 用于为耦合到通信网络(6)上的网络设备(400)运行通信网络(102)的方法,其中 相应的网络设备(400)包括至少一个交换设备(4)和控制设备(2),该控制设备(2)耦合到 交换设备(4)上,以及其中交换设备(4)具有用于经由通信网络(6)发送和接收数据的接 收端口( 10)和发送端口(9),并且向接收端口( 10)分配用于限制数据传输速率的保险设备 (20),其中该方法包括: 预先给定在发送数据时的最大数据传输速率,其中网络设备(400)被设计为利用低于 预先给定的最大数据传输速率的数据速率来发送数据; 在网络设备(400)的接收端口( 10)处监视所接收的数据的数据传输速率;以及 如果到来的数据具有大于预先给定的最大数据传输速率的数据传输速率,则阻止在接 收端口(10)处的数据接收。
2. 根据权利要求1所述的方法,其中相应的网络设备(1)包括至少一个交换设备(4)、 第一和第二控制设备(2, 3),所述第一和第二控制设备耦合到交换设备(4),以及其中交换 设备(4)分别具有用于经由通信网络(6)发送和接收数据的接收端口(10, 14)和发送端口 (9, 13),并且向接收端口(10, 14)分配用于限制数据传输速率的保险设备(20, 21),其中该 方法还包括: 通过第一控制设备(2)产生第一数据(D1)并且通过第二控制设备(3)产生第二数据 (D2),其中第一数据(D1)和第二数据(D2)通过预先给定的编码相互关联; 由第一控制设备(2)经由交换设备(4)将第一数据(D1)发送到第二控制设备(3),并且 由第二控制设备(3 )经由交换设备(4 )将第二数据(D2 )发送到第一控制设备(2 ); 经由从用于第一控制设备(2 )的交换设备(4)的发送端口( 9 )至用于第二控制设备(3 ) 的交换设备(4)的接收端口(14)的第一通信路径(CB1,CB2, CB3)发送第一数据(D1)和第 二数据(D2); 经由从用于第二控制设备(3)的交换设备(4)的发送端口(13)至用于第一控制设备 (2)的交换设备(4)的接收端口(10)的第二通信路径(CR1,CR2, CR3)发送第一数据(D1) 和第二数据(D2); 其中第一和第二通信路径(CB1,CB2, CB3, CR1,CR2, CR3)的数据在相反的方向上穿越 相同的网络设备(200, 300)。
3. 根据权利要求1或2所述的方法,此外包括: 如果到来的数据具有小于预先给定的最大数据传输速率的数据传递速率,则释放在接 收端口(10, 14)处的数据接收。
4. 根据权利要求1-3之一所述的方法,其中为发送端口(9, 13)与接收端口(10, 14)之 间的每个通信路径预先给定最大链路传输速率。
5. 根据权利要求1-4之一所述的方法,其中向数据分配至少两个优先等级,并且仅针 对所选择的优先等级的数据监视数据传输速率和/或阻止数据接收。
6. 根据权利要求1-5之一所述的方法,其中向数据分配至少两个优先等级,并且为了 估计所选择的优先等级的数据的数据传输速率,在交换设备(4, 5)中检测所选择的优先等 级的数据的等待时间。
7. 根据权利要求2-6之一所述的方法,还包括: 将第一数据(D1)和第二数据(D2)经由用于第一控制设备(2)的交换设备(4)的发送 端口(9)通过具有第一和第二控制设备(202, 203)的另一网络设备(200)的至少一个其它 交换设备(204)发送至用于第二控制设备(3)的交换设备(4)的接收端口(14);以及 将第一数据(D1)和第二数据(D2)经由用于第二控制设备(3)的交换设备(4)的发送 端口( 13)通过具有第一和第二控制设备(202, 203)的另一网络设备(200)的至少一个其它 交换设备(204)发送至用于第一控制设备(2)的交换设备(4)的接收端口(10); 其中在相应的其它交换设备(204)中在用于该其它交换设备(204)的第二控制设备 (203)的接收端口(214)处接收的数据被转发给用于该其它交换设备(204)的第一控制设 备(202)的发送端口(209),并且在用于该其它交换设备(204)的第一控制设备(202)的接 收端口(210)处接收的数据被转发至用于该其它交换设备(204)的第二控制设备(203)的 发送端口(213)。
8. 根据权利要求2-7之一所述的方法,还包括:将第一数据(D1)与第一和/或第二控 制设备(2, 3)中的第二数据(D2)相比较以产生比较结果;以及依据该比较结果将网络设备 (1)挂起。
9. 根据权利要求2-8之一所述的方法,还包括:在其它网络设备(200)中在用于不同控 制设备(202, 203)的输入端口(210, 214)处接收第一数据(D1)和第二数据(D2)并且将接 收的数据进行比较。
10. 根据权利要求1-9之一所述的方法(1),其特征在于,通信网络(6)是以太网络。
11. 根据权利要求1-10之一所述的方法,其特征在于, 向至少两个网络设备(811-814, 821-822, 831-832, 841-842, 851-852)的保险设备 (F1-F5)分配针对数据传输速率的不同阈值,其中这些不同阈值中的每一个都小于或等于 预先给定的最大数据传输速率,其中在以下情况下阻止在至少两个网络设备(811-814, 821 -822, 831-832, 841-842, 851-852)的接收端口(7, 10, 11,14, 15, 17)处的数据接收,即在该 分配的接收端口(7, 10, 11,14, 15, 17)处到来的数据具有大于所分配的阈值的数据传输速 率。
12. 根据权利要求11所述的方法,其特征在于, 网络设备(811-814, 821-822, 831-832, 841-842, 851-852)分布式地布置在多个网络片 段(701-707)中,其中向这些网络片段(701-707)的每一个分配网络设备(811-814, 821-82 2, 831-832, 841-842, 851-852)的子集,其中在每个网络片段(701-707)具有至少两个所分 配的网络设备(811-814, 821-822, 831-832, 841-842, 851-852)的情况下向布置在该网络片 段(701-707)的边缘区域处的保险设备(F1-F5)分配比保险设备(F1-F5)布置在该网络片 段(701-707)的中部区域中的情况下更小的数据传输速率阈值。
13. 根据权利要求12所述的方法,其特征在于, 将子集作为不相交的子集来构成。
14. 根据权利要求11-13之一所述的方法,其特征在于, 网络设备(811-814, 821-822, 831-832, 841-842, 851-852)包括至少两个在其功能性方 面冗余的网络设备(811-814, 821-822, 831-832, 841-842, 851-852),其中子集被构成为,使 得向每个子集最多分配冗余的网络设备(811-814, 821-822, 831-832, 841-842, 851-852)之 〇
15. 根据权利要求12-14之一所述的方法,其特征在于, 在通信网络(102)中实现多个虚拟网络(V1-V5),以便避免在一个网络片段(701-707) 的保险设备(F1-F5)处由于从另一个网络片段(701-707)接收数据而导致针对数据传输速 率的阈值被超过。
16. 根据权利要求15所述的方法,其特征在于, 依据相应保险设备(F1-F5)布置于其中的虚拟网络(V1-V4)来调整针对该相应保险设 备(F1-F5)的数据传输速率的相应阈值。
17. 计算机程序产品,其促使在一个或多个由程序控制的设备(1,100, 200, 300)上执 行根据权利要求1-16之一所述的方法。
18. 数据载体,具有包括指令的存储的计算机程序,所述指令促使在一个或多个由程序 控制的设备(1,100, 200, 300)上执行根据权利要求1-16之一所述的方法。
19. 具有多个网络设备(1,201,301)的网络装置(101 ),这些网络设备耦合到通信网络 (6),其中相应的网络设备(1)具有至少一个交换设备(4)和控制设备(2),该控制设备耦合 到交换设备(4),并且其中交换设备(4)具有用于经由通信网络(6)发送和接收数据的接收 端口(10)和发送端口(9),以及所述网络装置具有至少一个被分配给接收端口(10)的保险 设备(20)以用于限制数据传输速率,其中所述网络设备(400)被设计为执行根据权利要求 1-16之一所述的方法。
20. 根据权利要求19所述的网络装置(101),其特征在于, 至少一个网络设备(100)包括第一和第二控制设备(2, 3)和第一和第二交换设备 (4, 5),其中第一交换设备(4)被分配给第一控制设备(2)并且第二交换设备(5)被分配给 第二控制设备(3),以及其中交换设备(4, 5)分别具有用于经由通信网络(6)发送和接收数 据的接收端口(10,14)和发送端口(9,13),并且交换设备(4, 5)以通信方式相互耦合。
21. 根据权利要求19或20所述的网络装置(101),其特征在于, 网络设备(1,100, 200, 300)和/或保险设备(20, 21,220, 221,320, 321)分别实施为单 个FPGA、ASIC、1C芯片或固定连线的微电路。
【文档编号】H04L12/437GK104145453SQ201280071242
【公开日】2014年11月12日 申请日期:2012年9月28日 优先权日:2012年1月9日
【发明者】A.齐克勒, L.菲格, T.施密德, M.安布鲁斯特, J.里德 申请人:西门子公司
最新回复(0)