对网络中的有故障的节点的检测的制作方法

本发明涉及用于提高网络中的业务品质的方法和设备。
背景技术：
：除了传送语音数据和图像数据之外，网络目前经常被用于安全攸关的（sicherheitskritisch）应用。这样，自动化系统例如包括多个控制计算机、传感器和执行器，这些控制计算机、传感器和执行器表示网络中的节点。在这种情况下，在这些节点之间的数据通信不允许受单个节点的不当行为干扰，使得整个自动化系统的功能安全性受到威胁。这样的故障情况例如被称为“胡言傻瓜（babblingidiot）”。在此可以被理解为如下节点：该节点违背所规划的资源约定并且必要时甚至违背数据通信的规范来发送大量数据，并且由此占用网络和妨碍或者甚至损坏其他节点的通信。德国专利申请DE102012000185建议了，通过如下方式确保在网络中在传输和硬件故障时、尤其是在“胡言傻瓜”故障的情况下的改进的故障安全性和故障分析：在交换装置的接收端口处分配保险丝（Fuse）装置用以监控相应的数据传输率。当超过之前预给定的最大数据传输率时，保险丝装置阻止在相应的接收端口上的数据接收。该行为方式是有利的，因为该行为方式可以以简单的方式被实施和实现。然而不利的是，在数据传输率剧烈波动时，基于预给定的最大数据传输率可能会触发误报警，该误报警错误地阻止了数据接收。经此发生不希望的数据损失，由此降低了网络的业务品质。此外需要一开始就知道和设定期望的数据率。技术实现要素：本发明的任务在于说明了一种方法和设备，利用所述方法和设备在存在有故障的节点时提高网络中的业务品质，识别和必要时隔离所述有故障的节点，所述有故障的节点可能导致在所述网络的至少一部分中的数据流通量（Datenverkehr）过载。该任务通过独立权利要求来解决。本发明的扩展方案可在从属权利要求中得知。本发明涉及一种用于在具有多个节点的网络中在存在有故障的节点时提高业务品质的方法，其中所述节点经由相应的连接而彼此连接用以交换数据包，有故障的节点与至少一个设备耦合，所述至少一个设备作为数据接收器和/或数据源工作，所述方法具有如下步骤：a）选择所述节点中的至少一个节点作为被监控的节点；b）通过从多个节点中选择而产生至少两个观测节点，其中被监控的节点被排除在选择之外，使得：-不仅相应的数据包类别的从所述至少两个观测节点中的至少一个观测节点到被监控的节点的送达的（zugehend）数据流通量完全被确定，-而且相应的数据包类别的从被监控的节点到所述至少两个观测节点中的至少一个观测节点的离开的（abgehend）数据流通量完全被确定；c）测定相应的观测节点的送达的数据流通量和离开的数据流通量；d）基于（i）通过相应的数据包类别的相应的送达的数据流通量而产生的离开的数据流通量和（ii）所述至少一个设备的数据源的期望的数据流通量来生成被监控的节点的所期望的离开的总数据流通量；e）根据离开的数据流通量（DAB）与所期望的离开的总数据流通量（GDV）之差来生成差值（DIFF）；f）如果差值（DIFF）超过可预给定的阈值（SWLL），则将所监控的节点（WK）探测为有故障的节点（KF）。该方法展现出如下优点：根据送达的数据流通量可以识别将被监控的节点识别为有故障的节点。换言之，被监控的节点被识别为有故障的节点的阈值动态地与送达的数据流通量适配。这能够实现在奇异的（singulaer）以太网环形结构中使用本发明用于故障操作（fail-operational）通信，在奇异的以太网环形结构中通过利用在环中的两个方向实现所需的冗余。“完全”意味着：从一个节点到被监控的节点以及从被监控的节点到网络的节点中的一个节点的整个数据流通量通过观测节点来分析。节点K1和K3被挑选为观测节点KB1、KB2，因为它们可以完全地测定节点K2的整个的送达的数据流通量和整个的离开的数据流通量。特别是，送达的和离开的数据流通量完全通过这些观测节点。“完全”并不意味着：所有数据包类别必须纳入监控中。尤其是可以有利的是，只监控安全攸关的或者高优先级的数据包类别。在本发明的一种扩展方案中，被监控的节点的所期望的离开的总数据流通量通过对如下量求和来形成：（i）一个或者多个所期望的离开的数据流通量，和（ii）至少一个设备的数据源的要期望的数据流通量，其中相应的所期望的发出的（ausgehend）数据流通量通过（a）对于相应的数据包类别的每个进入的数据包的离开的数据包的数目，和（b）分别关联（dazugehoerig）的送达的数据流通量相乘来形成。经此，说明了用于确定所期望的离开的总数据流通量的计算规则，所述计算规则可以以简单且因此成本低廉的方式被实施和执行。以有利的方式，数据包类别通过送达的数据流通量和离开的数据流通量的相应的数据包的如下特性中的至少一个来确定：a）“单播（unicast）”转发类型b）“多播（multi-cast）”转发类型c）“广播（broadcast）”转发类型d）优先级类别。经此实现了：所期望的离开的总数据流通量可以以非常精确的方式来确定，因为确定考虑不同的数据包类别的特定特性。通过精确确定可以改善将被监控的节点有错误地识别为有故障的节点或没有故障的节点，使得进一步提高了网络中的业务品质。这样，对于为“单播”转发类型的数据包类别，所期望的离开的数据流通量被设置为与送达的数据流通量相同。这样，对于为“多播”转发类型的数据包类别，所期望的离开的数据流通量通过由被监控的节点到被监控的节点的直接相邻的节点的连接输出端的可用的数目与送达的数据流通量构成的乘积（Multiplikationsergebnis）来确定，其中可用的数目被确定在零到被监控的节点的到直接相邻的节点的连接输出端的减了一的数目之间。这样，针对为“广播”转发类型的数据包类别，所期望的离开的数据流通量可通过由被监控的节点的到直接相邻的节点的连接输出端的减了一的数目与送达的数据流通量构成的乘积来确定。通过采用特定的计算规则可以以有利的方式确保，本发明的不同的实施方案以相同的方式和方法将被监控的节点识别为有故障的节点。这进一步提高了网络的可靠性。以有利的方式，只有当离开的数据流通量超过单位时间的可预给定的数据量时，才执行所述方法的步骤。由此确保了，只有当接收到临界的数据量时，该方法才加重网络的系统资源负担。在本发明的一个有利的扩展方案中，如果被监控的节点被探测为有故障的节点，则被监控的节点的连接中的至少一个连接（尤其是从被监控的节点离开的连接中的至少一个连接）被中断。由此，避免网络的误动作，因为该网络不再充满大数据量。这在存在有故障的节点时提高了网络的业务品质。本发明也涉及一种用于在具有多个节点的网络中在存在有故障的节点时提高业务品质的设备，其中所述节点经由相应的连接而彼此连接用以交换数据包，有故障的节点与至少一个设备耦合，所述至少一个设备作为数据接收器和/或数据源工作，该设备具有如下单元：a）用于选择所述节点中的至少一个节点作为被监控的节点的第一单元；b）用于通过从多个节点中选择而产生至少两个观测节点的第二单元，其中被监控的节点被排除在选择之外，使得：-不仅相应的数据包类别的从所述至少两个观测节点中的至少一个观测节点到被监控的节点的送达的数据流通量完全被确定，-而且相应的数据包类别的从被监控的节点到所述至少两个观测节点中的至少一个观测节点的离开的数据流通量完全被确定，c）用于测定相应的观测节点的送达的数据流通量和离开的数据流通量的第三单元；d）第四单元，用于基于（i）通过相应的数据包类别的相应的送达的数据流通量而产生的离开的数据流通量和（ii）所述至少一个设备的数据源的期望的数据流通量来生成被监控的节点的所期望的离开的总数据流通量；e）用于根据离开的数据流通量与所期望的离开的总数据流通量之差来生成差值的第五单元；f）第六单元，用于：如果差值超过可预给定的阈值，则将被监控的节点检测为有故障的节点。经此可以以有利的方式实施和执行本发明。该设备的优点类似于相对应的方法步骤。在该设备的一个有利的扩展方案中，该设备具有第七单元，该第七单元被构建为使得借助该第七单元可实施和可执行前面所描述的方法步骤中的一个或者多个。该设备的优点类似于相对应的方法步骤。附图说明本发明及其优点依据所附的附图予以更详细地阐述：图1根据第一实施例的具有有故障的节点的网络；图2根据第二实施例的网络，其中多个可能有故障的节点共同被监控；图3用于执行本发明的设备；图4具有送达的数据流通量和离开的数据流通量的被监视（überachter）的节点。具有相同功能和作用方式的要素在附图中配备有相同的附图标记。具体实施方式根据图1的第一实施例示出了六个节点K1、...、K6，所述节点K1、...、K6经由连接V1、...、V7彼此连接。相应的箭头对于每个连接指明了传输方向。这样，存在从节点K2到节点K1经由子连接V21的单向传输方向和从节点K1到节点K2的另一单向子连接V22。因此，箭头方向说明了单向传输方向。所述节点中的一些节点具有被耦合的设备G、G1、G2，其中不同于节点，所述设备没有将数据包转发给其他节点，而是自己被构造为数据接收器（也就是构造为数据包的接收方）和/或构造为数据源（也就是构造为数据包的产生方）。在本实例中，网NET是制造设施中的自动化网络的部分，其中设备G1、G2分别表示位置传感器，所述位置传感器每隔一定时间将部件在输送带上的地理位置的测量值以相应的数据包的形式提供给分别耦合的节点用以转发。此外，这些设备可以利用借助数据包被所述设备接收到的参数来参数化，例如在哪些时间点要记录测量值。随后，要检验：节点K2是否是有故障的节点KF，该有故障的节点KF如“胡言傻瓜”那样由于过大的包生成而妨碍从节点K3到节点K1的数据通信。节点K2因此是被监控的节点（WK）。为此首先在网络中选择两个观测节点KB1、KB2，所述观测节点KB1、KB2不仅完全测定相应的数据包类别CLA的到被监控的节点的送达的数据流通量DZU而且完全测定相应的数据包类别CLA的从被监控的节点到所述节点的离开的数据流通量DAB。“完全”意味着：从一个节点到被监控的节点以及从被监控的节点到网络中的节点之一的整个数据流通量通过观测节点来分析。节点K1和K3被挑选为观测节点KB1、KB2，因为它们可以完全地测定节点K2的送达的整个数据流通量和离开的整个数据流通量。特别是，送达的和离开的数据流通量完全通过观测节点。送达的数据流通量DZU根据图1通过子连接V22和V32来获得。为此，观测节点观测其相应的输出端，所述输出端属于子连接V22和V32、即关联的端口，并且在可预给定的为例如100ms（ms-微秒）的时间段上对于每个数据包类别确定在那里出现的数据量。在该实例中假设的是，仅仅存在单个的数据包类别。在本实例中，送达的数据流通量DZU的结果为20kByte（千字节）。与之类似地，观测节点在其相应的输入端、即端口上观测子连接V21和V31，所述子连接V21和V31总共对应于离开的数据流通量DAB。在本实例中，DAB=30000字节。此外已知的是，设备G1可以在为100ms的时间段中产生为200字节的期望的数据流通量DVG。在中间步骤中，通过DVW1=A（CLA）xDZU来计算所期望的离开的数据流通量DVW1。在这种情况下，数目A确定针对可预给定的数据包类别对于每个进入的数据包产生多少离开的数据包。在当前的实例中，进入的数据包的长度与相对应的发出的数据包被假设为相同的。在本实例中假设的是，相应的数据流通量的数据包唯一地具有为“单播”转发类型的数据包类别。转发类型例如通过数据包中的特定标记或者通过网络的配置来预给定。“单播”在此上下文中意味着：由节点接收到的数据包仅被转发给相邻的节点中的一个或者被转发给设备。因此，A（CLA）=1。在本实例中，所期望的离开的第一数据流通量DVW1被确定为DVW1=1x20千字节=20000字节。由于仅仅为“单播”转发类型的数据包类别的数据包被寄送，所以所期望的离开的总数据流通量GDV通过所期望的离开的数据流通量和设备G2的数据源的要期望的数据流通量被确定为：GDV=DVW1+DVG=20千字节+200字节=20200字节。这意味着：节点K2要产生为20.2千字节的离开的总数据流通量。随后检验被监控的节点WK是否是有故障的节点KF。为此，由离开的数据流通量DAB和所期望的离开的总数量流通GDV之差形成为DIFF=DAB-GDV=30000字节-20200字节=9800字节的差值。该差值随后与可预给定的阈值SWLL进行比较。如果该差值超过可预给定的阈值，也就是说DIFF>SWLL，则被监控的节点WK被探测为有故障的节点KF。在本情况下，阈值被置为1500字节，以便能够考虑在处理在被监控的节点WK上接收到的数据包和在被监控的节点WK上派出的（abgesandte）数据包时的延迟。由于（DIFF=9800字节）>（SWLL=1500字节），所以节点K2被标识为有故障地工作的节点。在一种可替选的实施方案中，阈值SWLL被置到送达的数据流通量DZU的可预给定的百分比上，例如SWLL=10%xDZU，以便能够将阈值与送达的数据流通量的不同的数据量适配。由于节点K2被识别为有故障的节点KF，所以该节点K2被从网络拿走，使得该节点K2随后可以不再干扰整个网络。为此，节点K1和K3可以例如通过如下方式中断其连接V2、V3：所述节点K1和K3既不将数据发送给有故障的节点，也不接受来自有故障的节点的数据。因此防止了：充当“胡言傻瓜”的有故障的节点KF干扰整个网络，或者由于有许多数据包而使网络中的数据通信停顿。在前面的实施例中，数据包的转发类型曾被选择为“单播”。此外，还有其他转发类型、如“广播”和“多播”是常见的。“广播”转发类型意味着：对于每个到达所述节点之一的数据包产生多个数据包，并且所述多个数据包在该节点的相应的输出端上被输出。因此，所期望的离开的第二数据流通量DVW2通过由到被监控的节点的直接相邻的节点的连接输出端的减了一的数目与送达的数据流通量构成的相乘来确定。具体地在图1中展示了，被监控的节点具有两个输出端，所述输出端被引至直接相邻的节点K1和K3。因此，确定所期望的离开的第二数据流通量DW2=（2-1）xDZU。因此，在“广播”转发类型的情况下转发数据包。在另一场景中，节点具有至直接相邻的节点的五个输出端。在此情况下，所期望的离开的第二数据流通量DW2被确定为DW2=（5-1）xDZU。在这种情况下，针对送达的数据包通过所述的节点产生四个数据包。在本发明的一个扩展方案或者可替选的实施形式中，“多播”被选择为转发类型。该转发类型的特点在于，数据包在0、1至n个输出端上被发送，所述输出端从该节点直接引至相邻的节点。对于每个进入的数据包的要发送的数据包的特定数目与该节点的具体参数化有关，例如节点的五个输出端中的三个输出端被参数化，使得“多播”数据包仅被转发给五个输出端中的三个输出端。代替或者除了转发类型作为数据包类型、如“单播”或“多播”，本发明还可以区分优先级类别。例如，存在三个优先级类别：基本、扩展1和扩展2。在这种情况下，对有故障的节点的定位可以特定地针对三个优先等级中的一个来执行。然而可替选地，也可能的是，一起考虑两个或者更多个类别，以便由此确定所期望的离开的总数据流通量GDV。例如，通过观测节点考虑如下数据包：所述数据包对应于“基本”优先级类别并且同时对应于“单播”或者“广播”作为转发类型。根据该预给定，观测节点对于每个数据包类别确定与该预给定匹配的送达的数据流通量和离开的数据流通量。在对所期望的离开的总数据流通量的随后确定中，针对每个数据包类别单独地确定相应的期望的离开的数据流通量。如下的表格示出了在为2s的观测时间段内对于每个数据包类别的相应的送达的数据流通量、相应的离开的数据流通量和相应的所期望的离开的数据流通量的概览，其中相应的流通量值由在相应的观测节点上所确定的相应的值之和得到：数据包类别相应的数据包类别的送达的数据流通量DZU相应的数据包类别的离开的数据流通量DAB所期望的离开的数据流通量1.单播5000字节4500字节DVWl=5000字节2.广播7500字节20000字节DVW2=2x7500字节=15000字节在本实施例中，所期望的离开的总数据流通量可以通过对相应的数据包类别的相应的所期望的离开的数据流通量值与至少一个设备的数据源的要期望的数据流通量求和来确定。在这种情况下得到：GDV=DVW1+DW2+DVG=5000字节+15000字节+250字节GDV=20250字节。由于在接收和发送数据包之间的时间上的延迟，选择阈值被置为SWLL=1000字节。差值DIFF=（4500字节+20000字节）-20250字节=4250字节由于SWLL>DIFF，所以被监控的节点是有故障的节点KF。在本方法的一个替选方案中，不仅单个具有设备的节点被监控，而且也可以监控两个或者更多个节点，所述节点至少分别与设备耦合。在图2中，具有设备G1、G2的节点K1和K2要被监控。为此，首先由节点G1、G2形成汇集节点KS，该汇集节点具有所有如下连接：所述连接从K1和K2离去，然而并不到相应的设备并且不到K1和K2自己。汇集节点包括连接V1、V5和V3。观测节点随后被选择为K6、K5和K3，它们可以确定至汇集节点的送达的整个数据流通量以及从汇集节点离开的整个数据流通量。汇集节点是被监控的节点WK。用于确定所期望的离开的总数据流通量、差值和对被监控的节点是否是有故障的节点的声明的行为方式类似于前面的实例。然而，对被监控的单元是否是有故障的节点的分析接着说明了，这两个节点K1、K2中的至少一个是有故障的节点。如果被监控的节点被标识为有故障的节点，则这两个节点K1、K2都可以从该网络拿走、也就是被隔离，使得没有数据包被寄给这些节点并且没有数据包被这些节点接受。为了定位两个容纳在汇集节点中的节点K1、K2中的哪一个是有故障的节点，随后可以采取行动来使得节点K1和节点K2可以单独地被检查：相应的节点是否是有故障的节点。在根据图2的本实例中，接着仅仅节点K2关于有故障的行为被调查。如果由此表明节点K2有故障，则该节点可以被阻塞。如果由此表明节点K2无故障地工作，则有故障的节点必然是K1。在此情况下，节点K1被阻塞，使得该节点不能将数据寄到该网络中。为了避免由于本发明的各个步骤的使用对相应的节点造成过重的负荷，只有当特定的节点的离开的数据流通量或者连接超过可设定的每单位时间的数据量时，才可采用用于提高业务品质的方法。例如，网络在相应的连接上能够实现100MBit/s的带宽。这样，数据阈值例如被置到70%x100MBit/s=70MBit/s。这意味着，如果特定节点的连接和/或离开的数据流通量超过可预给定的每单位时间的数据量DS，则起动该方法并且检验被考虑的节点是否是有故障的节点。本发明可以借助具有多个单元的设备VOR来实施和执行。图3示出了示例性的具有如下单元的设备：a）用于选择所述节点K1、…、K6中的至少一个节点作为被监控的节点WK的第一单元M1；b）用于通过从多个节点K1、K3中选择而产生至少两个观测节点KB1、KB2的第二单元M2，其中被监控的节点WK被排除在选择之外，使得：-不仅相应的数据包类别CLA的从所述至少两个观测节点KB1、KB2中的至少一个观测节点到被监控的节点WK的离开的数据流通量DZU、DZU1完全被确定，-而且相应的数据包类别CLA的从被监控的节点WK到所述至少两个观测节点K1、K3中的至少一个观测节点的离开的数据流通量DAB完全被确定；c）用于测定相应的观测节点KB1、KB2的送达的数据流通量DZ）和离开的数据流通量DAB的第三单元（M3）；d）第四单元M3，用于基于（i）通过相应的数据包类别CLA的相应的送达的数据流通量DZU而产生的离开的数据流通量和（ii）所述至少一个设备G的数据源DQ的期望的数据流通量DVG来生成被监控的节点WK的所期望的离开的总数据流通量GDV；e）用于根据离开的数据流通量DAB与所期望的离开的总数据流通量GDV之差来生成差值DIFF的第五单元M5；f）第六单元M6，用于：如果差值DIFF超过可预给定的阈值SWLL，则将所监控的节点WK探测为有故障的节点KF。此外，该设备VOR可以具有第七单元M7，利用该第七单元M7，本发明的扩展方案和/或替换方案是可实施的和可执行的。这些单元Ml、...、M7可以被实施成网络的节点中的一个或者多个，例如被实施成观测节点KB1、KB2，其中所述节点经由网络彼此进行通信，以便通知或也交换值（如送达的数据流通量）。为了确保在所述节点之间的安全通信，所述节点必要时可以经由连接进行通信，其中这些连接并不经由被监控的节点引导。因此，这些单元中的一些可以在多个节点上被实施和执行，并且一些其他单元可以仅在这些节点中的一个上被实施和执行。这些单元及其功能可以如下地分布到观测节点上：观测节点KB1:-第一单元Ml-第二单元M2-第三单元M3-第四单元M4-第五单元M5-第六单元M6-第七单元M7观测节点KB2:-第三单元M3。应注意的是，并不是所有单元或方法步骤都必须分布到观测节点上。更确切而言，这些单元或方法步骤可以分布于网络中的多个节点上地被实施和执行，其中被监控的节点本身并不实现这些单元或方法步骤中的任何单元或方法步骤。单元Ml、...、M7可以为软件、硬件或者为软件和硬件构成的组合。在此，各个方法步骤都可以以机器可读的代码被存放在存储器上。所述存储器可以与处理器连接，使得该处理器可从存储器读取机器可读的代码并且可执行机器可读的代码的相应的被编码的指令。此外，处理器可以与输入和/或输出单元连接，所述输入和/或输出单元可被用于与其他单元和节点交换信息。当前第1页1 2 3