用于监测通信网络中的第一节点的方法和监测系统

摘要

本发明涉及一种经由第二节点(205)监测通信网络中的第一节点的方法，其中，第一节点(203)形成为单通道并且被设计为执行面向安全的应用，其中，第二节点(205)形成为双通道，并且其中，在第一节点和第二节点之间的通信网络(207)上经由安全协议执行数据传输，其中，通信网络的第二节点在两个连续时间处基于第二节点的内部时钟确定各个时间值，并且经由通信网络将各自确定的时间值发送到第一节点，其中，第一节点根据发送的时间值的各自接收基于第一节点的另一内部时钟确定另一时间值，其中，第一节点将第二节点的两个时间值之间的差与第一节点的两个另一时间值之间的差进行比较，并且其中，第一节点根据比较进入错误状态。本发明还涉及对应的监测系统。

说明书

本发明涉及用于监测通信网络中的第一节点的方法和监测系统。

DE 10 2012 023 748 A1公开了一种用于同步传感器的方法，在所述方法中，将来自所述传感器中的定时器的时钟与来自控制单元中的中心定时器的时钟进行比较。DE 103 61 178 A1公开了一种通信网络，其中，节点将时间戳消息中的时间偏移量进行比较。EP 2 648 100 A1公开了一种处理监测设备和包括这样的设备的自动化单元。

本发明的目标可以被认为是提供用于监测通信网络中的第一节点的改进方法，该节点执行面向安全的应用。

此外，本发明的目标可以被认为是提供改进的监测系统。

这些目标通过各个独立权利要求的主题实现。各个从属权利要求的主题包含本发明的有益实施方式。

根据一方面，提供一种用于监测通信网络中的第一节点的方法，其中：

-通信网络的第二节点在两个连续时间点中的每个时间点处确定时间值，所述时间值基于所述第二节点的内部定时器，并且经由所述通信网络将每个所确定的时间值发送到所述第一节点，其中

-响应于每次接收到所发送的时间值，所述第一节点确定另一时间值，所述另一时间值基于所述第一节点的另一内部定时器，其中

-所述第一节点将来自所述第二节点的所述两个时间值之间的差与来自所述第一节点的所述两个另一时间值之间的差进行比较，

-其中，所述第一节点根据所述比较进入错误状态。

根据另一方面，提供一种用于监测通信网络的第一节点的系统，所述系统包括：

-用于通信网网络的第一节点和用于通信网络的第二节点，其中

-第二节点包括：内部定时器；至少一个处理器，所述至少一个处理器被设计成基于内部定时器确定时间值；以及通信接口，所述通信接口被设计成经由通信网络将时间值发送到第一节点，所述时间值由所述至少一个处理器在两个连续时间点处被确定，其中

-所述第一节点包括另一内部定时器和另一通信接口，所述另一通信接口被设计成经由通信网络从第二节点接收时间值，其中

-所述第一节点包括另一处理器，所述另一处理器被设计成响应于每次从第二节点接收到所发送的时间值确定另一时间值，所述另一时间值基于所述另一内部定时器，并且将来自所述第二节点的两个时间值之间的差与来自第一节点的两个另一时间值之间的差进行比较，其中

-所述第一节点被设计成根据所述比较进入错误状态。

根据一方面，提供一种用于通信网络的节点，所述节点包括：

-内部定时器，

-至少一个处理器，所述至少一个处理器被设计成基于内部定时器确定时间值，以及

-通信接口，所述通信接口被设计成经由通信网络将时间值发送到另一节点，所述时间值由所述至少一个处理器在两个连续时间点处确定。

根据另一方面，提供一种用于通信网络的节点，所述节点包括：

-内部定时器，

-通信接口，所述通信接口被设计成经由所述通信网络从另一节点接收时间值，以及

-处理器，所述处理器被设计成响应于每次接收到时间值确定另一时间值，所述另一时间值基于所述内部定时器，并且所述处理器被设计成将两个连续接收的时间值之间的差与两个连续确定的另一时间值之间的差进行比较，其中

-所述节点被设计成根据所述比较进入错误状态。

为了进行更清楚的区分，经由通信网络将时间值发送到另一节点的节点被称为第二节点。接收这些时间值的节点被称为第一节点。为了使得更容易地区分定时器、通信接口和处理器所属的节点，在说明书中，前缀“另一”被添加到第一节点的定时器、通信接口和处理器。

结合该方法作出的评论还类似地应用至该系统和节点。这意味着方法的特征、益处和实施方式可以从系统或者节点的相应实施方式类似地得到，并且反之亦然。

从而，本发明特别包括如下构思：通信网络的第二节点经由通信网络将在两个连续时间点处确定的时间值发送到第一节点。该第一节点形成这两个时间值的差，即， 德尔塔(Δ)。此外，所述第一节点本身确定另一时间值，这些时间值与从第二节点发送的时间值的各自接收时间相关。再次，在该情况下，第一节点根据已被确定的时间值形成相应差，即，德尔塔(Δ)。第一节点将这两个差进行比较。第一节点根据比较进入错误状态。

由于所确定的时间值基于第一节点和第二节点的内部定时器，比较时间值的相应差有利地使得可以检验两个节点的两个内部定时器是否正在同步运行或者第一节点的另一内部定时器是否比第二节点的内部定时器更快或更慢地运行。这有利地允许监测第一节点的内部定时器。这仅通过第二节点将基于所述第二节点的内部定时器的时间值发送到第一节点来实现。从而，这特别意味着为了检验第一节点的另一内部定时器，通信网络不需要包括附加的单独外部主时钟，换句话说，单独外部定时器。作为替换，第二节点的内部定时器用于该目的。通过相互比较相应差，有利的是不再必须发送绝对时间值。从而，所发送的时间值不需要包括绝对日期。这减少将被发送的相应数据量。

在时间点处确定的时间值特别等于计数器值，计数器值基于第一节点或者第二节点的内部定时器增加或者减少。从而，这特别意味着第二节点在两个连续时间点处确定相应计数器值，并且然后将这些计数器值发送到第一节点。第一节点本身在这些计数器值的各自接收时间处确定第一节点的另一内部计数器的内部计数器值，其基于另一内部定时器增加或者减少。各自定时器提供例如用于增加或者减少的时钟，例如，毫秒时钟。

如果两个节点的两个内部定时器相互同步运行，则在通过测量容限或者随机或系统误差给出的精确度的界限内，两个计数器应该增加或者减少相同的量。然而，如果两个差相差所限定的阈值，则假设两个内部定时器不再相互同步运行，一个内部定时器比另一个内部定时器更快或者更慢地运行。在该情况下，然后特别假设第一节点进入错误状态。所限定的阈值例如取决于特定应用。

根据一个实施方式，用于触发错误状态的阈值取决于两个内部定时器的时间分辨率。为了确定阈值，优选地使用两个内部定时器的最小普通时间单位，诸如，例如，1ms，特别是10ms或者还优选100ms，并且最小普通时间单位增加百分比值，例如，增加20％，特别地增加30％。从而，时间安全裕量被应用至最小时间单位。增加的普通时间单位形成阈值。如果两个连续定时器值或时间值的差相差多于增加百分比值 的最小时间单位，例如相差多于20％，则假设错误状态并且第一节点因此进入错误状态。

根据一个实施方式，从时间值的各自发送时间以所限定的时间间隔确定来自第二节点的时间值。这特别实现了可以最小化定时器生成时的任何抖动(jitter)的技术优点。然后当使用当前时间值或者计数器的计数器值时，这借助在发送时间值之前进行延迟直到所限定时间间隔为止。所限定的时间间隔特别在于毫秒范围，特别是在1μs至1000μs的范围内，例如，在1μs到500μs之间，特别是在1μs到100μs之间，优选在1μs到10μs之间。

在另一个实施方式中，第二节点具有双通道设计并且第一节点具有单通道设计。这特别实现了以下优点：对于第二节点，存在第二节点检测其本身的内部错误或者故障的增加可能性。这是由于双通道设计。特别是，第二节点已增加冗余和可靠性。由于第二节点已具有双通道设计，这不必仍然是针对第一节点的情况。在该情况下，所述节点具有单通道设计就足够。这简化了相应系统设计。特别是，第一节点可以更便宜地生产。例如，这可以为标准“个人计算机”(PC)的形式。特别是，第二节点包括两个处理器，特别是两个微处理器，例如，两个微控制器。相反，第一节点优选包括单个处理器。从而，第二节点的两个处理器被特别设计成相互监测故障。如果处理器中的一个具有故障，则第二节点的另一处理器仍然可以执行第一处理器的功能。两个处理器特别地被设计成确定相关定时器值或者时间值。

在另一个实施方式中，假设基于EtherCAT安全协议发送时间值。这特别实现了以下技术优点：时间值基于特别是被SIL3认证的安全协议被发送。异步SIL在此表示安全整合等级。EtherCAT的安全在IEC 61784-3-12中在国际上被标准化。

根据另一个实施方式，第二节点将时间值发送到第一节点，而不管与连接至第二节点的电子模块相关的任何模块错误。这特别实现以下技术优点：第二节点甚至在模块错误的情况下将时间值发送到第一节点。从而，甚至在模块错误的情况下，第一节点可以基于从第二节点发送的时间值检验其内部定时器。这有利地确保了仍然可以甚至在模块错误的情况下监测第一节点。

例如，电子模块是连接至第二节点的致动器或者传感器。换句话说，第二节点读取传感器或者控制致动器。如果在控制操作或者读取操作期间发生错误，则例如这被称为模块错误。特别是，如果传感器或致动器具有故障，则这还特别被称为模块错误。 从而，这意味着在电子模块中的任何故障的情况下或者在电子模块上的控制操作或者读取操作中发生错误的情况下，这不影响确定时间值并且不影响发送这些时间值。这意味着不管这样的错误如何，第二节点确定或者生成相关时间值并且经由通信网络将这些时间值发送到第一节点。模块错误可以包括例如用于模块的外部布线中的故障。从而，不管这样的模块错误如何，仍特别地生成时间值。根据一个实施方式，可以通过总线终端系统的输入终端和/或输出终端检测模块错误，其中，终端是通信网络的节点。

根据一个实施方式，通信网络是EthereCAT通信网络。根据一个实施方式，通常，通信网络是现场总线通信网络，特别地通信网络是过程现场总线(Profibus)或者工业以太网(Profinet)通信系统。

根据一个实施方式，提供包括根据本发明的系统的自动化系统。该自动化系统例如是生产设备(特别是工业生产设备)的一部分。自动化系统例如是建筑物自动化系统的一部分。

根据一个实施方式，面向安全的应用在第一节点中执行，或者特别是另一处理器的第一节点被设计成执行面向安全的应用。这特别地基于第一节点的另一内部定时器来进行。从而，这特别地意味着第一节点的另一内部定时器采用用于运行或者执行面向安全的应用的定时时钟。在此特别重要的是，第一节点的另一内部定时器正确地工作，即，不太慢也不太快地运行。这是因为接通和/或断开延迟的定时特性特别重要，这通常在面向安全的应用中使用。时间值的根据本发明的比较(即，在该情况下，比较相应差)可以有利地用于确保第一节点的内部定时器不能允许地不减速或者加速，其可能导致不再能够正确地运行在第一节点中执行的面向安全的应用。

第一节点根据比较进入错误状态的设计特别地包括第一节点的另一处理器被设计成根据比较进入错误状态的情况。

错误状态是指例如停止执行节点中的安全应用，到外部节点的通信也正被挂起，例如，使得在可限定的看门狗时间之后，这些节点同样切换到安全状态并且断开输出。

根据一个实施方式，以循环方式连续地执行确定时间值、将时间值发送到第一节点、并且响应于接收第一节点确定另一时间值的步骤。特别是，在该情况下，循环对应于通信网络的数据传输循环。根据一个实施方式，将被发送的时间值或者计数器值被封装或者插入到消息中，该消息根据传输循环经由通信网络被发送到第一节点。优 选地假设延迟确定计数器值或者时间值，直到从消息发送开始了所限定的时间间隔为止，使得有利地可以将尽可能新近的计数器值发送到第一节点。所限定的时间间隔在于例如毫秒范围。这特别实现以下技术优点：可以最小化在生成或者确定时间值或者计数器值中的任何抖动。

以下将参考优选示例性实施方式更详细地解释本发明，其中：

图1是用于监测通信网络的第一节点的方法的流程图；

图2示出用于监测通信网络的第一节点的系统；

图3示出用于通信网络的节点；以及

图4示出用于通信网络的另一节点。

图1示出用于监测通信网络的第一节点的方法的流程图。

根据步骤101，通信网络的第二节点基于第二节点的内部定时器在第一时间点处确定时间值。该时间值例如对应于第二节点的内部计数器的计数器值，其中，内部计数器根据由内部定时器提供的时钟增加或者减少。

在步骤103中，第一节点经由通信网络将所确定的时间值(例如，在第一时间点处的计数器值)发送到第一节点。在步骤105中，第一节点接收该时间值，其中，响应于该接收，第一节点根据步骤107确定另一时间值。这基于第一节点的另一内部定时器作出。例如，该另一时间值还对应于在接收由步骤105给出的第二节点的时间值时的第一节点的内部计数器的计数器值。该内部计数器基于另一内部定时器增加或者减少。

以循环方式连续地执行步骤101至107。特别地，在该情况下，该循环对应于通信网络的数据传输循环。将被发送的时间值或者计数器值被封装或者插入到消息中，该消息根据传输循环经由通信网络被发送到第一节点。优选地假设延迟确定计数器值，直到从消息传输开始过去了所限定的时间间隔为止，使得可以有利地将尽可能新的计数器值发送到第一节点。所限定的时间间隔例如在毫秒范围内。这特别实现以下技术优点：可以最小化在生成或者确定时间值或者计数器值时的任何抖动。

一旦步骤101至107已被执行两次，则第一节点具有在两个连续时间点处确定的来自第二节点的可用的两个时间值或者计数器值。此外，第一节点还具有与各自接收时间处的那些计数器值相对应的可用的两个另一时间值或者计数器值。在步骤109中，第一节点将来自第二节点的两个时间值之间的差与来自第一节点的两个另一时间 值之间的差进行比较。从而，这意味着第一节点形成来自第二节点的两个时间值之间的差。第一节点还形成来自第一节点的两个另一时间值之间的差。将这两个差进行相互比较。在理想情况下，当两个节点的两个内部定时器相互同步地运行时，两个差应该相等。另一方面，如果第一节点的另一内部定时器比第二节点的内部定时器更快或者更慢地运行，则在各自差之间存在差异。该差异应该大于预定阈值，根据步骤111假设第一节点进入错误状态。例如，该阈值特别取决于特定应用并且必须特别考虑诸如传输速率、发送路径和抖动的参数。这是存在阈值的原因，因为在真实环境中通常很少出现理想情况。

从而，根据本发明的方法有利地使得通信网络的第二节点能够监测第一节点，以检验第一节点的内部定时器不比第二节点的内部定时器更快或者更慢地运行。特别是当面向安全的应用正在第一节点中执行并且所述执行基于由另一内部定时器提供的时钟执行时，这尤其重要并且特别有利。这样的执行可以例如接通或者关闭基于面向安全的应用控制的特定致动器或者最终控制元件。通过第二节点的定时器被用于监测第一节点的定时器的同步行为，有利地不再必要的是提供与两个节点分开形成的主时钟或者主定时器。由于在此比较相应差，因此不再必要的是经由通信网络发送绝对时间信息。这减少了相应数据量。

在未示出的一个实施方式中，通信网络是现场总线通信网络。该现场总线是例如EtherCAT现场总线。用于经由通信网络将时间值发送到第一节点的协议例如是EthereCat安全协议。该协议具有特别是为SIL3认证协议(即，安全控制)的优点。根据一个实施方式通常假设基于EtherCAT安全协议执行经由通信网络的通信。

图2示出用于监测通信网络的第一节点的系统201。

该系统201包括第一节点203和第二节点205。为了经由通信网络207(其例如是现场总线通信网络)进行通信，两个节点203、205中的每个包括在此未示出的通信接口。在该情况下，基于安全协议，例如，基于EtherCAT安全协议，执行两个节点203、205之间的通信。参考标记209指向代表从第一节点203经由现场总线207到第二节点205的数据传输的箭头。类似地，参考标记211指向代表从第二节点205经由现场总线207到第一节点203的数据传输。该数据传输211传送两种数据，例如有效载荷(payload)数据、和如在本说明书中已经解释的那样第二节点205确定的时间值或计数器值。

第二节点205具有双通道设计。这意味着第二节点205包括两个处理器213、215，其可以被设计为例如微处理器或者微控制器。此外，第二节点205包括内部定时器219。内部定时器219例如是毫秒定时器。内部定时器219提供例如毫秒时钟的时钟,计数器(在此未示出)基于该时钟增加或者减少。在连续时间点处，在每个时间点处的计数器值根据数据传输211经由现场总线207被发送到第一节点203。这使用安全协议221，安全协议221在该情况下例如是EtherCAT安全协议。优选地假设延迟确定相关计数器值，直到从数据传输或者消息发送211的时间开始过去了所限定的时间间隔为止。从而，尽可能新近的计数器值有利地用于发送到第一节点203。

第一节点203连续地接收这些计数器值，并且响应于每次接收确定第一节点203的内部计数器(未示出)的计数器值，该内部计数器基于第一节点203的另一内部定时器(在此未示出)增加或者减少。第一节点203的该另一内部定时器旨在提供与第二节点205的内部定时器219相同或者成比例的时钟。从而，这意味着在各自时钟之间至少存在所限定的关系。

现在，为了确定第一节点203的另一内部定时器的时钟是否比第二节点205的内部定时器219的时钟更快或者更慢地运行，根据本发明假设第一节点203的处理器223针对各个时间值或者计数器值形成各个差，并且相互比较所述差。这些差应该具有大于所限定的阈值的差异，然后处理器223并且因此还有节点203进入错误状态。第一节点203具有单通道设计，该单通道设计在于其具有单个处理器223，但是该处理器在未示出的实施方式中当然可以具有多个内核并且通常独立于该特定示例性实施方式。

图3示出用于通信网络的节点301。该节点301是用于通信网络的第二节点的实施方式。

通常，这样的节点301包括通信接口303、内部定时器305和处理器307。内部定时器306提供时钟。处理器307被设计成基于内部定时器确定时间值。通信接口303被设计成经由通信网络将在两个连续时间点处由处理器307确定的时间值发送到另一节点，例如，发送到通信网络的第一节点，例如，如图2中所示的节点203。

图4示出用于通信网络的另一节点401。图4中所示的节点401在本说明书的情况下是第一节点。例如，节点401是图2中所示的节点203。

通常，这样的节点401具有以下设计。该节点401包括通信接口403，通信接口 403可以被称为另一内部通信接口，以使得与图3中所示的第二节点301的内部定时器进行区分。

节点401还包括内部定时器405，其可以同样被称为另一内部定时器，以使得所述内部定时器更容易与节点301的内部定时器305进行区分。

节点401还包括处理器407，处理器407可以同样被称为另一处理器，以使得与处理器307进行区分。

另一通信接口403被设计成经由通信网络从另一节点(例如，从节点301)接收时间值。处理器407被设计成响应于每次接收到时间值来确定基于内部定时器405的另一时间值，并且将所接收的两个时间值之间的差与两个另一时间值之间的差进行比较。节点401(特别是处理器407)被设计成根据比较进入错误状态。

从而，本发明特别包括提供可以被用于通过从双通道安全系统(第二节点)发送定时器值(时间值或者计数器值)监测单通道安全系统的方法的构思。特别假设安全协议(在该情况下是FSoE、EtherCAT安全协议)被用于以安全(SIL3)方式在安装有基于PC的安全运行时间组件(第一节点)的PC与面向安全的设备(第二节点)之间传输数据。现场总线(优选还基于以太网)用于在这些设备之间的通信。

通过安全协议在两个设备之间循环地传输数据。定时器值另外在通道中从安全设备被发送到单通道设备。该定时器值由具有双通道设计的安全设备生成。

基于PC的安全运行组件具有其自己的定时器，将定时器与所发送的定时器值进行比较。如果该CPU建立定时器值是不能允许地分散，则CPU进入错误状态。

需要定时器值的该比较，以确保单通道系统的定时器是不能允许地不减速或加速并且由此防止在所述系统中执行的面向安全的应用能够正确地执行。这对于通常在面向安全的应用中使用的接通和/或断开延迟的定时特性特别重要。

定时器生成功能例如通过安全设备的处理图像的限定来激活。

定时器在第二节点的两个μC(微控制器)中的一个上通过高优先级定时器任务生成。两个微控制器相互监测，具有硬件和/或软件中的任何故障均被检测到的结果(SIL3)。所确定的定时器值被封装到安全协议中并且在下一个FSoE通信循环中被发送到单通道系统(第一节点)。

为了最小化定时器生成时的抖动，优选地进行延迟直到在消息发送之前不久(所限定的时间间隔)为止，并且然后使用当前定时器值。

甚至在安全设备中的模块错误的情况下，定时器生成优选地仍然继续。

安全协议(例如，在该情况下为FSoE(IEC61784-3-12)，其被SIL3认证)被用于发送。

从而，本发明描述可以以SIL3质量被提供给单通安全系统(第一节点)的定时器值(来自第二节点)。