Сeть передачи данных устройства, в частности транспортного средства

Изобретение относится к сети передачи данных устройства, в частности, транспортного средства, содержащей группу участников внутри устройства, по меньшей мере, одно кольцо, в котором внутрикольцевые участники группы связаны между собой по кольцевой топологии, и, по меньшей мере, один интерфейсный блок, предназначенный для подключения к кольцу, по меньшей мере, одного внекольцевого участника.

Известны сети передачи данных, в частности, в рельсовых транспортных средствах, в которых, по меньшей мере, в одном секторе реализована кольцевая топология. Внекольцевые участники сети передачи данных могут сообщаться с другими внутри- или внекольцевыми участниками посредством, по меньшей мере, одной части кольца. Например, в кольцо через, по меньшей мере, один коммутатор может быть включен сетевой прибор, например, вышестоящий блок управления или блок управления для устройства рельсового транспортного средства, например, для тормоза или дверей. Они обеспечивают, согласно многоуровневой структуре OSI, подключаемость на уровне 2 (например, Ethernet). Кольцо дает то преимущество, что при прерывании кольца, например, при разрушении вследствие пожара или повреждения транспортного средства, коммуникация и далее возможна через неповрежденный участок кольца.

Наряду с этими аспектами дублирования все большее значение приобретают аспекты, относящиеся к безопасности данных (так называемое «Security») и к защите личности (так называемое «Safety»). В частности, по так называемым Safety-причинам должна быть ограничена возможность включения в кольцо сетевых приборов. Однако при этом, например, в целях обслуживания, должно быть возможным, по меньшей мере, временно допустить включение считающегося надежным блока обслуживания.

Доступ к сети передачи данных или к сетевому интерфейсу можно защитить физически, т.е. за счет запираемой крыши обслуживания. Доступ к сети передачи данных можно также ограничить за счет логических защитных мер. Может осуществляться контроль доступа к сети, при котором идентифицируется или аутентифицируется блок, соединенный с сетевым интерфейсом (называемым также «порт»). Только в том случае, если соединенный блок определяется как разрешенный, активируется сетевой интерфейс. Примерами являются так называемый «Network Access Control» по протоколу IEEE 802.1x или PANA по протоколу RFC5191. В качестве альтернативы или дополнительно сетевой прибор может идентифицироваться или аутентифицироваться вообще с помощью МАС-адреса или пароля или же сертификата прибора (например, по протоколу Х.509).

Однако такие протоколы аутентификации, например, 802.1x, исходят из специальной топологии, принятой в стационарных сетях, например, в сетях зданий. Они характеризуются структурированным кабельным соединением, при котором происходит отдельное сетевое соединение от коммутатора доступа к каждому участнику. При этом происходит разблокировка интерфейса или порта после проверки того, находится ли он в защищенном окружении. Поэтому известные протоколы аутентификации просто так нельзя перенести на кольцевую топологию.

Помимо мер по аутентификации известны так называемые «межсетевые экраны» или пакетные фильтры, которые фильтруют сетевой трафик, так что пропускается только трафик с допустимыми свойствами.

В основе изобретения лежит задача создания родовой сети передачи данных, по меньшей мере, с одним кольцом, которая позволила бы достичь надежной работы и простого, в частности гибкого в применении, управления.

Для этого предложено, что сеть передачи данных содержит фильтрующее устройство, по меньшей мере, с одной фильтрующей функцией, предназначенное для того, чтобы фильтровать трафик в кольце в отношении, по меньшей мере, одного идентификатора участника, и идентифицирующее устройство, предназначенное для того, чтобы для внекольцевого участника принять, по меньшей мере, одну меру касательно идентификатора этого участника таким образом, чтобы он была допустим в отношении фильтрующей функции для трафика в кольце. За счет этого помимо высокой надежности при работе сети передачи данных можно достичь предпочтительной гибкости в отношении управления сетью передачи данных, в частности, в отношении включения внекольцевого участника. Мера касательно идентификатора участника особенно недорогая в реализации и выполнении.

Кольцо может использоваться, в частности, для коммуникации в режиме реального времени или для Safety-релевантной коммуникации. При этом обычно имеются ограничения в отношении используемых для кольца Security-механизмов. Так, например, при определенных обстоятельствах нельзя изменять или можно изменять лишь ограниченно правила фильтрации для кольца. Мера касательно идентификатора участника предпочтительно применима в таком окружении.

Под участником «внутри устройства» следует понимать, в частности, участника сети передачи данных, который в отношении места своего монтажа и/или своей функции предназначен для прочного соединения с устройством, в частности, механического соединения. В частности, для участника внутри устройства предусмотрено определенное место монтажа в устройстве, причем для постоянного соединения участника целесообразно служит крепежный блок устройства. Под «внутрикольцевым» участником сети передачи данных следует понимать участника внутри устройства, который является составной частью кольца или, по меньшей мере, с двумя другими участниками внутри устройства образует кольцо. Под «внекольцевым» участником следует понимать участника сети передачи данных, который включен вне кольца. Внекольцевой участник называется на профессиональном языке «внекольцевым компонентом». Внекольцевым участником может быть участник внутри устройства или другой участник, подключаемый к сети передачи данных не постоянно, в частности, лишь периодически. Такой участник называется, в частности, участником «вне устройства».

Под «подключением» внекольцевого участника к кольцу следует понимать физическое и/или логическое присоединение. В частности, интерфейсный блок может образовать так называемый порт, посредством которого внекольцевому участнику может быть предоставлен доступ к кольцу.

Идентифицирующее устройство и интерфейсный блок могут быть образованы, по меньшей мере, частично, предпочтительно полностью одним общим физическим конструктивным узлом. Интерфейсный блок и/или идентифицирующее устройство и, по меньшей мере, один из внекольцевых участников могут быть образованы, по меньшей мере, частично, предпочтительно полностью одним общим физическим конструктивным узлом. Иначе говоря, интерфейсный блок и/или идентифицирующее устройство могут быть образованы, по меньшей мере, частично, предпочтительно полностью целесообразно конструктивным узлом внутрикольцевого участника.

Целесообразным является то, что фильтрующее устройство имеет, по меньшей мере, одно правило фильтрации, по которому идентификатор участника должен проверяться в соответствии с определенным условием. Проверяемый идентификатор участника может быть, по меньшей мере, составной частью исходного или целевого адреса в пакете данных, который предусмотрен для передачи через, по меньшей мере, часть кольца. Проверяемый идентификатор участника может быть в одном варианте, по меньшей мере, составной частью виртуального сетевого идентификатора (или идентификатора VLAN). Проверяемый идентификатор участника может быть в одном варианте криптографической контрольной суммой (например, Message Authentication Code – код аутентичности сообщений, Message Integrity Code – код целостности сообщений, digitale Signatur – цифровая подпись). Условие определяется преимущественно с помощью набора данных, который содержит, по меньшей мере, один список допущенных для обмена данными в кольце идентификаторов участников. Правило фильтрации может быть реализовано, например, таким образом, что пакет данных направляется дальше, если условие касательно одного или нескольких идентификаторов участников пакета данных выполнено, и блокируется, если это условие не выполнено.

Кольцо может обеспечивать однонаправленную коммуникацию (например, только по часовой стрелке или против часовой стрелки) или двунаправленную коммуникацию (в обоих направлениях). При двунаправленной коммуникации кольцо может быть выполнено в виде двойного кольца, причем первый кольцевой блок служит для коммуникации по часовой стрелке, а второй кольцевой блок – для коммуникации в обратном направлении. Чтобы реализовать коммуникационную сеть с особенно высокими степенью готовности к работе и защищенностью от отказов, само кольцо может быть выполнено дублированным. Так, например, кольцо может иметь два кольцевых блока, причем данные могут передаваться дублированными на оба кольцевых блока.

Кольцевая топология может быть реализована физически и/или логически. Например, возможна реализация кольцевой топологии, по меньшей мере, частично посредством VLANs (Virtual Local Area Networks – виртуальные локальные компьютерные сети). Могут быть предусмотрены несколько физических кольцевых блоков и/или несколько наложенных друг на друга логических кольцевых блоков.

Под трафиком «кольца» следует понимать трафик, по меньшей мере, на части кольца или отрезка кольца. При этом речь может идти о трафике между двумя внутрикольцевыми участниками, между одним внутрикольцевым и, по меньшей мере, одним внекольцевым участниками или между двумя внекольцевыми участниками, причем в последнем случае соединение в сети передачи данных создано, по меньшей мере, на одном участке кольца.

Фильтрующее устройство может быть предусмотрено для того, чтобы фильтровать трафик, предназначенный для передачи на кольцо. Этого можно достичь за счет того, что фильтрующее устройство содержит, по меньшей мере, один фильтрующий модуль, приданный интерфейсному блоку. Благодаря этому трафик можно фильтровать, прежде чем он будет направлен в участок кольца. Иначе говоря, фильтрация трафика может происходить вне кольца. Кроме того, в этом выполнении может происходить фильтрация трафика, происходящего от кольца и направленного, по меньшей мере, на одного внекольцевого участника. В одном конструктивно простом решении фильтрующий модуль может быть связан с интерфейсным блоком. Особенно предпочтительно интерфейсный блок и фильтрующий модуль образованы одним общим, взаимосвязанным конструктивным узлом.

В качестве альтернативы или дополнительно фильтрующее устройство может быть предусмотрено для фильтрации трафика, происходящего, по меньшей мере, частично на участке кольца. Для этого предложено, что фильтрующее устройство содержит набор фильтрующих модулей, причем внутрикольцевым участникам придано, по меньшей мере, по одному отличающемуся от других фильтрующему модулю. Этим можно достичь фильтрации трафика, происходящего внутри кольца. При этом фильтрующие модули предусмотрены целесообразно для контроля поступающего на участке кольца трафика в соответствии, по меньшей мере, с одним правилом фильтрации и, при необходимости, направлять его дальше, например, на следующий участок кольцо, или блокировать.

В этой связи компактного выполнения с меньшим числом деталей можно достичь, если с внурикольцевыми участниками связано, по меньшей мере, по одному отличающемуся от других фильтрующему модулю. Особенно предпочтительно фильтрующий модуль и приданный ему внурикольцевой участник образованы одним общим, взаимосвязанным конструктивным узлом. Иначе говоря, внурикольцевые участники содержат, по меньшей мере, по одному фильтрующему модулю.

В другом варианте осуществления изобретения предложено, что фильтрующее устройство содержит, по меньшей мере, один фильтрующий модуль, снабженный, по меньшей мере, одной коммутаторной функцией, благодаря чему можно достичь особенно простого, реализуемого широко распространенными средствами управления сетью. Предпочтительно фильтрующее устройство содержит набор фильтрующих модулей, которые приданы разным внутрикольцевым участникам и снабжены, по меньшей мере, одной коммутаторной функцией.

В одном предпочтительном варианте осуществления изобретения внутрикольцевые участники выполнены каждый преимущественно в виде блока управления. При этом блоки управления запрограммированы каждый предпочтительным образом для управления, по меньшей мере, одной определенной функцией устройства, которое отличается только от управления трафиком в сети передачи данных. Блоки управления выполнены каждый целесообразно для управления, по меньшей мере, одним сенсорным блоком, исполнительным блоком и/или нижестоящим блоком управления. Особенно предпочтительно блоки управления выполнены в виде свободно программируемого управления (или SPS). Например, внутрикольцевые участники могут быть образованы структурным элементом типа Simatic®. Предпочтительно один из блоков управления может реализовать функцию центрального блока управления. Блоки управления сами могут быть снабжены, в частности, коммутаторной функцией. Это особенно предпочтительно, если блок управления кольца содержит интерфейсный блок и/или фильтрующий модуль фильтрующего устройства или несколько блоков управления кольца содержат каждый интерфейсный блок и/или фильтрующий модуль фильтрующего устройства.

В этой связи внутрикольцевые участники могут быть предусмотрены, в частности, для управления рельсовым, наземным или воздушным транспортным средством. При этом традиционным образом существуют особенно сильные ограничения в отношении используемых для кольца, в частности, в кольце, Security-механизмов. Так, например, правила фильтрации для кольца или в кольце при определенных обстоятельствах не могут быть или могут быть лишь ограниченно изменены. В таком окружении может предпочтительно применяться мера касательно идентификатора участника. Это предпочтительно, в частности, при выполнении устройства в виде рельсового транспортного средства, если кольцо используется для коммуникации в режиме реального времени и/или для Safety-релевантной коммуникации. При этом к управлению трафиком предъявляются строгие требования, так что в других случаях применения обычные Security-механизмы нельзя так просто использовать. Так называемые «Safety-требования» в рельсовых транспортных средствах определены, в частности, в нормах EN 50128, 50159, 50126 и/или 50129. В частности, Safety-требования относятся к охране личности, причем Security-требования относятся к общей защите данных. Следовательно, Safety-требования более строгие, чем Security-требования.

Согласно одному предпочтительному варианту осуществления изобретения, предложено, что сеть передачи данных содержит блок контроля доступа к сети, который предназначен для управления доступом к трафику в соответствии с определенным протоколом аутентификации, причем идентифицирующее устройство, по меньшей мере, в одном режиме принимает меру для внекольцевого участника в зависимости от его допуска блоком контроля доступа к сети. За счет этого можно еще больше повысить безопасность управления трафиком в сети передачи данных. Блок контроля доступа к сети целесообразно отличается от фильтрующего устройства, по меньшей мере, средствами программного обеспечения. В частности, по меньшей мере, в одном режиме инициируется процесс принятия меры идентифицирующего устройства касательно внекольцевого участника только после того, как процесс допуска блоком контроля доступа к сети был, по меньшей мере, инициирован, в частности, завершен успешным допуском. Под «управлением» доступом к трафику следует понимать, по меньшей мере, один процесс, включающий в себя допуск или отклонение доступа. Этим доступом может быть вообще доступ к сети передачи данных, однако блок контроля доступа к сети предпочтительно предусмотрен для целенаправленного управления доступом к трафику для кольца. При этом для внекольцевого участника с допуском, разрешенным со стороны блока контроля доступа к сети, может быть разблокирован, например, интерфейс или порт интерфейсного блока. При этом блок контроля доступа к сети можно назвать также «контролем доступа к кольцу» или же «Ring Access Control».

Предпочтительным образом сложная и администрируемая аутентификация внекольцевого участника осуществляется блоком контроля доступа к сети, в результате чего фильтрующее устройство не должно само осуществлять и контролировать задачу аутентификации. Это особенно предпочтительно, если фильтрующее устройство содержит фильтрующие модули, образованные внутрикольцевыми участниками, поскольку эти фильтрующие модули и потому приданные участники кольца не нагружаются этой задачей.

В качестве протокола аутентификации возможны различные, представляющиеся специалисту целесообразными протоколы, в частности, протокол по 802.1х, PANA по RFC 5191, аутентификация EAP-TLS посредством сертификата прибора или HTTPS с аутентификацией на основе сертификата. В частности, блок контроля доступа к сети может содержать первый блок и, по меньшей мере, один, отдельный от этого блока сервер аутентификации, который контролирует аутентификацию допускаемого внекольцевого участника и передает на блок результат процесса аутентификации. Сервер аутентификации может быть составной частью внекольцевого участника. В качестве дополнительного метода аутентификации может осуществляться простая аутентификация на основе МАС-адреса. В качестве дополнительного метода аутентификации может осуществляться аутентификация посредством имени пользователя и пароля или посредством кода доступа. Они могут вводиться, например, в HTML-формуляр веб-страницы. В другом варианте аутентификация может осуществляться посредством токена доступа, например, механического замка-выключателя или кардридера RFID.

Разблокировка может осуществляться в одном варианте временно. Разблокировка внекольцевого участника может быть закончена, в том числе, за счет вывода из системы («EAPOL-Logoff»), критерия «Time-Out» или разъединения физического сетевого соединения внекольцевого участника с сетью передачи данных.

В случае если доступ к трафику для внекольцевого участника отклонен блоком контроля доступа к сети, то трафик, в котором участвует участник, может блокироваться блоком контроля доступа к сети. В качестве альтернативы блок контроля доступа к сети может послать фильтрующему устройству сообщение, которое содержит характеризующий отклоненного участника его идентификатор, так что трафик по кольцу для этого идентификатора участника блокируется фильтрующим устройством. В одном варианте в качестве альтернативы или дополнительно другим участникам внутри устройства может быть послано предупредительное сообщение. В одном выполнении устройства в виде транспортного средства водителю может быть послано предупредительное сообщение, которое подается акустически и/или оптически. Кроме того, возможно создание сообщения, которое инициирует процесс срабатывания приводного блока и/или тормозного устройства, например, блокирование режима трогания или автоматическое срабатывание тормоза.

Блок контроля доступа к сети и интерфейсный блок могут быть, по меньшей мере, частично, предпочтительно полностью образованы одним общим физическим конструктивным узлом. В частности, по меньшей мере, первый блок блока контроля доступа к сети может быть образован интерфейсным блоком. Интерфейсный блок и/или блок контроля доступа к сети и, по меньшей мере, один из внутрикольцевых участников могут быть, по меньшей мере, частично, предпочтительно полностью образованы одним общим физическим конструктивным узлом. Иначе говоря, интерфейсный блок и/или блок контроля доступа к сети могут быть, по меньшей мере, частично, предпочтительно полностью образованы целесообразно взаимосвязанным конструктивным узлом внутрикольцевого участника.

Блок контроля доступа к сети и идентифицирующее устройство могут быть, по меньшей мере, частично, предпочтительно полностью образованы одним общим физическим конструктивным узлом. В частности, по меньшей мере, первый блок блока контроля доступа к сети может быть образован идентифицирующим устройством. После аутентификации внутрикольцевого участника блок контроля доступа к сети может выполнять функцию идентифицирующего устройства выполняя меру касательно идентификатора аутентифицированного внутрикольцевого участника таким образом, что передача данных участника в отношении фильтрующей функции для передачи данных в кольце определяется с помощью идентификатора участника как допустимая. Идентифицирующее устройство и/или блок контроля доступа к сети и, по меньшей мере, один из внутрикольцевых участников могут быть, кроме того, по меньшей мере, частично, предпочтительно полностью образованы одним общим физическим конструктивным узлом. Иначе говоря, идентифицирующее устройство и/или блок контроля доступа к сети могут быть, по меньшей мере, частично, предпочтительно полностью образованы целесообразно взаимосвязанным конструктивным узлом внутрикольцевого участника. Если фильтрующее устройство содержит фильтрующие модули, образованные внутрикольцевыми участниками, а блок контроля доступа к сети, по меньшей мере, частично, предпочтительно полностью образован целесообразно взаимосвязанным конструктивным узлом внутрикольцевого участника, то за счет предпочтительного отделения функций блока контроля доступа к сети от функции фильтрующего устройства можно избежать нагрузки задачей аутентификации фильтрующих модулей и потому большого числа внутрикольцевых участников. Это может осуществляться с участием отдельного внутрикольцевого участника, образующего блок контроля доступа к сети.

Для образования идентификатора участника возможны различные свойства. Например, участник может характеризоваться посредством особого транспортного протокола (например, TCP, UDP). В качестве дополнительного идентификатора участника возможен, кроме того, номер порта или VLAN-ID. Особенно предпочтительно идентификатором участника является идентификатор точки доступа к услугам многоуровневой модели OSI, например, IP-адрес или МАС-адрес или номер порта. Однако простого выполнения фильтрующего устройства можно достичь, если идентификатором участника является идентификатор защитного уровня модели OSI. Это подходит, в частности, для выполнения интерфейсного блока в качестве коммутатора. В частности, идентификатор участника может быть выполнен в виде МАС-адреса. Защитный уровень модели OSI называется на профессиональном языке также «уровнем 2».

Через интерфейсный блок может быть создано подключение внекольцевых участников разного рода. В частности, через интерфейсный блок к кольцу может быть подключен, по меньшей мере, один внекольцевой участник группы участников внутри устройства. Это, в частности, предпочтительно, если внекольцевой участник внутри устройства, предусмотренный для длительного присоединения к устройству, при его новом монтаже или при обслуживании устанавливается, заново конфигурируется и/или реконфигурируется. В частности, речь может идти об участнике, который включается в сеть передачи данных через так называемый «механизм самоконфигурирования Plug-And-Play». В частности, через интерфейсный блок к кольцу может быть подключена группа участников внутри устройства за счет того, что интерфейсный блок создает подключение кольца с помощью шинной структуры, с которой связана эта группа участников.

В качестве альтернативы или дополнительно интерфейсный блок служит для подключения в качестве внекольцевого участника внутри устройства, который не связан с устройством или предусмотрен для связи с устройством лишь от случая к случаю. Особенно предпочтительно через интерфейсный блок к кольцу может быть подключен блок обслуживания, называемый также «сервисным блоком», причем интерфейсный блок образует так называемый «сервисный порт». Интерфейсный блок может быть предусмотрен вообще для проводного и/или беспроводного, создаваемого по радио подключения участника внутри устройства.

В одном предпочтительном варианте осуществления изобретения предложено, что фильтрующее устройство имеет несколько правил фильтрации, приданных разным рабочим состояниям устройства. За счет этого можно достичь высокой, в частности, динамической, гибкости в управлении сетью передачи данных. Например, фильтрующее устройство может иметь, по меньшей мере, одно правило фильтрации для нормального режима устройства и, по меньшей мере, одно отличающееся от него правило фильтрации для неисправного режима устройства. Неисправный режим может быть вызван, например, сообщением об обнаружении пожара. Кроме того, неисправный режим может быть вызван физической ошибкой сети передачи данных, например, обрывом провода. Одно правило фильтрации для неисправного режима может предусматривать, в частности, менее строгие требования, чем в нормальном режиме устройства, чтобы обеспечить, в частности, быстрый трафик. Это особенно предпочтительно, в частности, в экстренном случае.

Кроме того, предложено, что фильтрующее устройство имеет, по меньшей мере, одно правило фильтрации для нормального режима устройства и, по меньшей мере, одно отличающееся от него правило фильтрации для инициализирующего режима устройства. Под «инициализирующим режимом » следует понимать, в частности, режим устройства, начиная от выключенного или исходного состояния устройства вплоть до начала нормального режима. На профессиональном языке инициализирующий режим можно назвать также «разгоном» устройства. Одно правило фильтрации для инициализирующего режима может предусматривать, в частности, менее строгие требования, чем в нормальном режиме устройства, чтобы нормальный режим можно было осуществлять быстро и надежно. Если устройство выполнено в виде транспортного средства, то за счет, по меньшей мере, одного особого правила фильтрации в инициализирующем режиме можно быстро и надежно достичь начала режима движения. За счет предложенного решения – при выполнении устройства в виде транспортного средства – может быстро и надежно осуществляться так называемый этап «крещения поезда».

Одно правило фильтрации в неисправном и/или инициализирующем режиме может предусматривать, что трафик фильтруется, по меньшей мере, на одной части кольца с минимальным ограничением в отношении идентификатора участника. В частности, по сравнению с правилом фильтрации для нормального режима может быть предусмотрено второе правило фильтрации для неисправного и/или инициализирующего режима, по которому прекращается фильтрация, основанная, согласно правилу фильтрации для нормального режима, на идентификаторе участника. В инициализирующем режиме может быть, в частности, предусмотрено, что составляется список авторизованных фильтрующим устройством идентификаторов участников за счет регистрации всех участников внутри устройства. Необходимое для этого регистрирующее сообщение, посылаемое фильтрующему устройству, может без ограничений передаваться в кольце или по кольцу в соответствии со вторым правилом, причем дополнительные сообщения, содержание которых выходит за рамки этой регистрации и включает в себя, следовательно, дополнительные полезные данные, подлежит правилу фильтрации для нормального режима.

Если сеть передачи данных содержит, как сказано выше, блок контроля доступа к сети, то интерфейсный блок, по меньшей мере, в одном эксплуатационном состоянии устройства предпочтительно предусмотрен для разблокировки интерфейса с целью подключения к кольцу внекольцевого участника, непроверенного блоком контроля доступа к сети. За счет этого в определенном эксплуатационном состоянии, особенно предпочтительно в неисправном и/или инициализирующем режиме, для допуска к трафику в кольце может отпасть условие в отношении успешного процесса допуска блоком контроля доступа к сети по сравнению с нормальным режимом. Так, при выполнении устройства в виде рельсового транспортного средства в его инициализирующем режиме может быть предусмотрено, что трафик в инициализирующем режиме происходит, по меньшей мере, на части кольца с внекольцевыми участниками, которые не были или не были окончательно аутентифицированы блоком контроля доступа к сети. При этом может быть предусмотрено время запрета аутентификации, в течение которого, правда, отпадает требование аутентификации, однако по истечении которого требуемый процесс аутентификации должен быть успешно завершен. По истечении этого времени можно решить, продлевать ли отмену требования аутентификации или блокировать трафик с неаутентифицированными участниками.

При выполнении устройства в виде транспортного средства, в частности, рельсового транспортного средства, нормальным режимом может быть пассажирский режим. Он может включать в себя разные этапы, например, режим движения по участку пути и остановочный режим, для которых могут быть предусмотрены, при необходимости, различные правила фильтрации. Другими эксплуатационными состояниями могут быть, как пояснялось выше, неисправный, инициализирующий режимы или режим обслуживания, в частности, цеховой или диагностический режим. В режиме обслуживания может быть реализовано, в частности, правило фильтрации, которое упрощает доступ признанного сервисным блоком участника вне устройства к трафику в кольце по сравнению с нормальным режимом.

Эксплуатационное состояние может регистрироваться сенсорикой, например, датчиком скорости, или оно может быть установлено активно оператором путем ввода, например, посредством коммутационного блока в кабине для активирования режима обслуживания.

Согласно одному предпочтительному варианту осуществления изобретения предложено, что идентифицирующее устройство содержит блок для назначения идентификатора, предусмотренный для присвоения внекольцевому участнику авторизованного, в частности, заданного идентификатора. При этом фильтрующее устройство содержит предпочтительно набор заданных идентификаторов, которые, при необходимости, могут быть присвоены, по меньшей мере, временно допускаемому внекольцевому участнику. В этом варианте фильтрующее устройство содержит, по меньшей мере, один список авторизованных идентификаторов участника, выполненный в виде статического или нередактируемого списка. Внекольцевой участник имеет в этом варианте для трафика в кольце идентификатор из этого списка, причем этот идентификатор может отличаться от идентификатора для трафика вне кольца. При этом блок для назначения идентификатора имеет целесообразно функцию трансляции, посредством которой создается однозначная связь между обоими идентификаторами одного и того же внекольцевого участника. В случае использования кольца для Safety-коммуникации изменение правил фильтрации может быть недопустимым, или аутентификация участника внутри кольца не может быть реализована. Здесь особенно предпочтительно применимо изобретение, т.к. происходит относительно просто реализуемая фильтрация, которая при Safety-допуске может быть проверена с относительно малыми затратами и которую не приходится переконфигурировать в текущем режиме. После успешной аутентификации внекольцевого участника его трафику присваивается идентификатор, который разрешает трафик по кольцу, т.е. не блокируется фильтрующей функцией. В одном предпочтительном варианте правила фильтрации для кольца не изменяются. Это имеет особое преимущество, если фильтрующее устройство содержит фильтрующие модули, образованные внутрикольцевыми участниками, и фильтрация происходит поэтому в кольце.

В качестве альтернативы или дополнительно идентифицирующее устройство может быть предусмотрено для того, чтобы оповестить фильтрующее устройство о присвоенном внекольцевому участнику идентификаторе в качестве авторизованного идентификатора. Например, посредством идентифицирующего устройства можно послать фильтрующему устройству сообщение, причем сообщение содержит присвоенный идентификатор допускаемого участника. Если фильтрующее устройство содержит набор фильтрующих модулей, то идентифицирующее устройство может посылать фильтрующим модулям так называемое Multicast- или Broadcast-сообщение. Если фильтрующее устройство содержит список авторизованных идентификаторов участника, то этот список с помощью предложенной меры идентифицирующего устройства может редактироваться, в частности, дополняться уже присвоенным идентификатором допускаемого внекольцевого участника.

За счет приема и передачи дальше сообщения посредством фильтрующих модулей они могут информировать друг друга об идентификаторе допускаемого участника. В одном предпочтительном варианте предложено, что внутрикольцевой участник выполняет функцию менеджера кольца, а идентифицирующее устройство предусмотрено для того, чтобы посылать менеджеру кольца содержащее идентификатор участника сообщение. Благодаря этому уведомление фильтрующих модулей может осуществляться просто за счет коммуникации с менеджером кольца.

Изобретение относится далее к способу управления сетью передачи данных устройства, содержащей группу участников внутри устройства, по меньшей мере, одно кольцо, в которой внутрикольцевые участники группы связаны между собой по кольцевой топологии, и, по меньшей мере, один интерфейсный блок, предусмотренный для создания подключения к кольцу, по меньшей мере, одного внекольцевого участника.

Предложено, что трафик кольца фильтруется в отношении, по меньшей мере, одного идентификатора участника и для внекольцевого участника, по меньшей мере, одна мера касательно идентификатора этого участника принимается таким образом, что идентификатор в отношении фильтрующей функции допускается к трафику в кольце. В отношении предпочтительных эффектов предложенного способа следует сослаться на приведенные выше рассуждения, касающиеся предложенной сети передачи данных.

Примеры осуществления изобретения более подробно поясняются со ссылкой на чертежи, на которых представлено следующее:

- фиг. 1 — схематичный вид сбоку рельсового транспортного средства с внутренними функциональными компонентами;

- фиг. 2 — соединяющая функциональные компоненты сеть передачи данных с кольцом, которому придано фильтрующее устройство;

- фиг. 3 — список идентификаторов участника, допущенных фильтрующим устройством;

- фиг. 4 — передача пакета данных в сети по фиг. 2 с трансляцией идентификатора участника;

- фиг. 5 — таблица трансляции по фиг. 4;

- фиг. 6 — уведомление фильтрующего устройства об идентификаторе участника;

- фиг. 7 — передача пакета данных с идентификатором участника после уведомления из фиг. 6;

- фиг. 8 — уведомление менеджера кольца об идентификаторе участника;

- фиг. 9 — ход времени инициализирующего режима рельсового транспортного средства.

На фиг. 1 схематично при виде сбоку изображено транспортное средство 10, выполненное в виде рельсового транспортного средства. Транспортное средство 10 выполнено в виде состава из нескольких вагонов 12, механически сцепленных между собой и образующих поездную единицу. В данном варианте транспортное средство 10 выполнено в виде так называемого моторвагонного поезда. Для этого, по меньшей мере, один из вагонов 12 снабжен приводным блоком 14 для привода приводной оси 16. Приводной блок 14 содержит силовой блок питания, который, в частности, посредством силовой электроники вырабатывает электрическую мощность для электродвигателя (не показан). В другом варианте возможно, чтобы транспортное средство 10 было выполнено в виде отдельного моторвагона. Кроме того, транспортное средство 10 может содержать состав из бесприводных пассажирских вагонов, который сцеплен, по меньшей мере, с одной тяговой единицей, например, локомотивом.

Транспортное средство 10 содержит известным образом определенное число функциональных компонентов, обеспечивающих его эксплуатацию. Типичные функциональные компоненты, в частности, компоненты приводного блока 14, тормозного устройства 11 (показано в качестве примера и схематично в вагоне 12.2), устройства 13 обеспечения безопасности поезда, дверного блока 15 (показан в качестве примера и схематично в вагоне 12.3), кондиционера 17, системы 19 информирования пассажиров, бортового сетевого устройства и т.д., общеизвестны и здесь подробно не поясняются. Функциональные компоненты транспортного средства 10 могут быть выполнены вообще в виде блока управления, сенсорного блока и/или исполнительного блока, причем набор функционально взаимосвязанных функциональных компонентов, приданных, например, одной из вышеперечисленных функций, можно назвать также «подсистемой». Функциональные компоненты, установленные в транспортном средстве 10 и потому постоянно привязанные к его структуре, связаны между собой, являясь при этом составными частями сети 18 передачи данных (фиг. 2). С точки зрения техники управления транспортным средством, относящиеся к транспортному средству 10 функциональные компоненты называются «внутренними» участниками 20, 22 сети 18 передачи данных транспортного средства 10. Внутренние участники 20, 22 соединены между собой с возможностью обмена данными посредством шинного устройства 24, которое само может содержать различные шинные структуры. Шинные структуры могут отличаться друг от друга по выполнению соответствующих сетевых аппаратных средств и/или используемого сетевого протокола.

На фиг. 2 более подробно изображена часть сети 18 передачи данных. Первая шинная структура 26 шинного устройства 24 соединяет участников 20 в замкнутой петле таким образом, что они образуют кольцо 28 сети 18 передачи данных. Чтобы отличать внутренних участников 20 в кольце 28 от других внутренних участников 22 сети 18 передачи данных, они называются «внутрикольцевыми участниками», а другие участники 22 и внешние участники (см. ниже) – «внекольцевыми участниками». На профессиональном языке внутренние участники 22 называются также «внекольцевыми компонентами» сети 18 передачи данных. Шинная структура 26 кольца 28 основана на технологии, известной под термином «Industrial Ethernet». Внутрикольцевые участники 20 выполнены, в частности, каждый в виде блока управления. Например, внутрикольцевые компоненты 20 могут быть выполнены каждый в виде SPS. Внекольцевые участники 22 изображены на фиг. 2 схематично и могут соответствовать каждый определенному функциональному компоненту или всей подсистеме транспортного средства 10 на фиг. 1.

Сеть 18 передачи данных содержит интерфейсные блоки 30, 32, посредством которых внекольцевые участники подключаются к кольцу 28. Интерфейсный блок 30 служит для подключения к кольцу 28 внутренних участников 22. Они сами связаны между собой посредством шинной структуры 34, отличающейся от шинной структуры 26. При этом интерфейсный блок 30 служит для подключения к кольцу 28 шинной структуры 34 и подключенных к ней участников 22. В данном примере шинная структура 34 может быть выполнена в виде MVB-шины TCN-протокола.

Интерфейсный блок 32 служит для подключения к кольцу 28 внешних участников 36. При этом внешним участником является функциональный компонент, который предусмотрен для связи с сетью 18 передачи данных от случая к случаю. Например, внешним участником 36 может быть переносной блок обслуживания, который, при необходимости, соединяется с сетью 18 передачи данных с возможностью обмена данными, а в нормальном режиме работы транспортного средства 10 не соединен с ней. Интерфейсный блок 32 может быть предусмотрен для создания проводного и/или беспроводного соединения кольца 28 с внешним участником 36.

Помимо физической (или с помощью аппаратных средств) возможности 31, 33 интерфейсные блоки 30, 32 обладают каждый коммутаторной функцией. Кроме того, они непосредственно механически связаны каждый с внутрикольцевым участником 20. В частности, каждый внутрикольцевой участник 20 и связанный с ним интерфейсный блок 30, 32 расположены в одном взаимосвязанном конструктивном узле. Внутрикольцевые участники 20 выполнены каждый в данном примере, в частности, в виде блока управления с коммутаторной функцией.

Кроме того, сеть 18 передачи данных содержит фильтрующее устройство 38 с фильтрующей функцией, которое предусмотрено для фильтрации трафика кольца 28 в отношении, по меньшей мере, одного идентификатора участника. Учтенным для фильтрации идентификатором участника является в рассматриваемом примере идентификатор защитного уровня модели OSI. В частности, в целях фильтрации в соответствии, по меньшей мере, с одним правилом фильтрации проверяется, по меньшей мере, один МАС-адрес участника. При этом речь идет об участнике – внутреннем или внешнем, участвующем в передаче данных, которая происходит или должна происходить, по меньшей мере, на части кольца 28. Фильтрующее устройство 38 содержит набор фильтрующих модулей 40. Трафик по кольцу 28 может осуществляться в двух направлениях – по часовой стрелке или против часовой стрелки.

Внутрикольцевым участникам 20 придано по одной паре фильтрующих модулей 40. Первый фильтрующий модуль 40 пары контролирует для данного направления трафика в кольце 28 направленный на участника 20 поток данных, а второй фильтрующий модуль 40 пары – поток данных, направленный на участника 20 во встречном направлении трафика. В одном альтернативном варианте трафик может быть возможен только в одном направлении.

Кроме того, фильтрующее устройство 38 содержит фильтрующие модули 39, 41, приданные каждый интерфейсному блоку 30, 32 и, в частности, связанные с ним. За счет этих фильтрующих модулей 39, 41 можно фильтровать трафик, направленный на кольцо 28, прежде чем в него попадут данные. Кроме того, за счет фильтрующих модулей 39, 41 можно фильтровать трафик, который происходит от кольца 28 и направлен на внекольцевого участника. В одном особом варианте можно отказаться от этих фильтрующих модулей 39, 41. Нижеследующее описание касается фильтрующих модулей 40 и относится в соответствии с этим также к фильтрующим модулям 39, 41.

Фильтрующее устройство 38 запрограммировано с первым правилом фильтрации, осуществляющим контроль пакетов данных, передача которого происходит или должна происходить, по меньшей мере, на части кольца 28. Как уже описано выше, контроль происходит на основе идентификатора участника, соответствующего МАС-адресу участника, участвующего в передаче пакета данных. При этом речь может идти о выполненном в виде передатчика участнике и/или о выполненном в виде приемника пакета участнике. Приданные внутрикольцевым участникам 20 фильтрующие модули 40 вызывают фильтрацию осуществляемого, по меньшей мере, на части кольца 28 трафика за счет того, что направленный на соответствующего участника 20 пакет данных направляется дальше этим участником 20 только тогда, когда проверяемый в соответствии с правилом фильтрации в этом пакете данных идентификатор участника или идентификаторы участника относится/относятся к списку допущенных идентификаторов участника. Этот список изображен на фиг. 3. Кроме того, в качестве правил фильтрации могут быть реализованы другие правила, соответствующие обычным правилам межсетевого экрана.

Фильтрующие модули 40 образованы каждый устройством с коммутаторной функцией. При этом они могут быть образованы отдельным коммутатором, выполненным отдельно от приданного ему внутрикольцевого участника 20. Однако в рассматриваемом примере они непосредственно механически связаны каждый с приданным ему внутрикольцевым участником 20. В частности, каждый внутрикольцевой участник 20 и приданный ему фильтрующий модуль 40 расположены в одном и том же взаимосвязанном конструктивном узле. В рассматриваемом примере внутрикольцевые участники 20 выполнены каждый в виде блока управления с коммутаторной функцией.

Сеть 18 передачи данных содержит далее блоки 42, 44 контроля доступа к сети, соответствующие разным интерфейсным блокам 30, 32. Каждый из них служит для управления доступом внекольцевых участников 22, 36 к трафику кольца 28, в частности, для разрешения или отклонения. При разрешенном доступе внекольцевого участника к трафику он может участвовать в передаче данных, осуществляемом, по меньшей мере, на части кольца 28. Если аутентификация внекольцевого участника 22, 36 блоком 42, 44 контроля доступа к сети успешно завершилась разрешением, то посредством соответствующего интерфейсного блока 30, 32 разблокируется интерфейс («порт») для доступа внекольцевого участника к кольцу 28. Протоколом аутентификации может быть, например, протокол по IEEE 802.1x, в частности, в виде аутентификации EAP-TLS посредством сертификата прибора.

Чтобы этот трафик был разрешен также в отношении описанной выше фильтрующей функции фильтрующего устройства 38, должны быть приняты соответствующие меры. Для этого интерфейсному блоку 32 придано идентифицирующее устройство 46. Идентифицирующее устройство 46 служит для принятия меры касательно идентификатора внешнего участника 36, так что идентификатор участника, используемый при происходящей от внешнего участника 36 передаче данных в кольце 28, разрешен в соответствии с действующим правилом фильтрации. Для этого возможны несколько вариантов.

Согласно первому варианту на фиг. 4, идентифицирующее устройство 46 содержит блок 48 для назначения идентификатора, который служит для присвоения внешнему участнику 36 идентификатора ТК, авторизованного фильтрующим устройством 38. Для этого в упомянутом выше, изображенном на фиг. 3 списке содержится, по меньшей мере, один идентификатор ТК, который, при необходимости, может быть присвоен внешнему участнику 36. Этот идентификатор является так называемым «свободным» идентификатором, который не использовался перед включением внешнего участника 36 в сеть 18 передачи данных. Для назначения разрешенного по сравнению с фильтрующим устройством 38 идентификатора ТК участника блок 48 обладает преимущественно функцией трансляции. Для этого блок 48 создает изображенную на фиг. 5 таблицу трансляции, которая создает однозначную связь между собственно идентификатором, в частности, МАС-адресом, включаемого внекольцевого участника 36 и внесенным в список фильтрующего устройства 38 свободным идентификатором ТК. Эту таблицу трансляции можно назвать на профессиональном языке «MAC Address Translation Table» (таблица трансляции МАС-адресов).

На фиг. 4 изображен пакет DP1 данных, созданный внешним участником 36 и адресованный внекольцевому участнику 20.а (слева вверху). Идентифицирующее устройство 46, получающее пакет DP1 данных, заменяет посредством блока 48 адрес отправителя, т.е. выполненный в виде МАС-адреса идентификатор МА участника, свободным идентификатором ТК списка на фиг. 3. Направленный дальше идентифицирующим устройством 46 пакет DP2 данных содержит отныне в качестве адреса отправителя этот идентификатор ТК участника. Поскольку он разрешен фильтрующим устройством 38, т.е. фильтрующими модулями 40, пакет DP2 данных направляется дальше к получателю (участник 20.а). Соответственно при передаче данных, направленной на внешнего участника 36, идентификатор ТК участника, используемый в кольце 28 в качестве разрешенного целевого идентификатора ТК участника, транслируется обратно блоком 48 в собственно идентификатор МА внешнего участника 36 для назначения идентификатора в соответствии с таблицей трансляции на фиг. 5. Двойное преобразование идентификатора участника может происходить для передачи данных, осуществляемой между внешним 36 и внутренним 22 участниками по кольцу 28.

Варианты осуществления изобретения изображены на фиг. 6 и 8. В этих вариантах собственно идентификатор МА внешнего участника 36 используется для участия в трафике, осуществляемом, по меньшей мере, на части кольца 28. В частности, для этого трафика в качестве идентификатора МА внешнего участника 36 используется его МАС-адрес. Чтобы трафик мог осуществляться без отфильтровывания фильтрующим устройством 38, уже присвоенный внешнему участнику 36 идентификатор МА в качестве авторизованного в соответствии с действующим правилом фильтрации идентификатора должен быть известен фильтрующим модулям 40. В рассматриваемых вариантах происходит процесс актуализации изображенного на фиг. 3 списка разрешенных фильтрующим устройством 38 идентификаторов участника. Процесс актуализации инициируется идентифицирующим устройством. Для этого возможны, по меньшей мере, два процесса. Чтобы отличить варианты друг от друга, идентифицирующее устройство обозначено поз. 46’ и 46’’.

В варианте на фиг. 6 идентифицирующее устройство 46’ посылает в кольцо 28 сообщение N, что все фильтрующие модули 40, т.е. в конкретно рассматриваемом выполнении фильтрующего устройства 38 все внутрикольцевые участники 20 принимают это сообщение N. Оно содержит, как показано на фиг. 6, допускаемый идентификатор МА внешнего участника 36. После получения сообщения N фильтрующие модули 40 расширяют каждый свой список допускаемых идентификаторов на идентификатор МА внешнего участника 36. Сообщение N посылается идентифицирующим устройством 46’ преимущественно в виде Multicast- или Broadcast-сообщения. Сообщение N посылается в виде пакета данных с МАС-адресом идентифицирующего устройства 46’ в качестве адреса отправителя и – в рассматриваемом выполнении – предусмотренным для передачи адресом FF-FF-FF-FF-FF-FF в качестве целевого адреса. Информационное содержание сообщения N включает в себя команду («RegisterOffRingDevice»), после чего список допускаемых идентификаторов должен быть расширен адресованными фильтрующими модулями 40 на идентификатор МА.

На фиг. 7 представлена передача пакета DP1 данных, который направляется дальше расположенными на передающем тракте фильтрующими модулями 40 без изменений к получателю (участник 20.а). В отличие от фиг. 4, пакет DP1 данных содержит в качестве адреса отправителя собственно идентификатор МА внешнего участника 36, который в соответствии с описанной выше мерой идентифицирующего устройства 46’ внесен в список на фиг. 3.

В варианте на фиг. 8 кольцо 28 содержит так называемый менеджер RM кольца. Он образован одним из внутрикольцевых участников 20, который по сравнению с другими внутрикольцевыми участниками 20 обладает определенными функциями управления. Идентифицирующее устройство 46’’ посылает сообщение N менеджеру RM кольца, который после его получения осуществляет процесс актуализации списков допущенных фильтрующими модулями 40 идентификаторов участника. Менеджер RM кольца распределяет информацию, например, путем посылки Multicast- или Broadcast-сообщения фильтрующим модулям 40 или их отдельной адресации. Трафик может тогда осуществляться так, как это показано на фиг. 7.

В обоих вариантах сообщение N можно назвать на профессиональном языке «FilterUpdate-Message». Оно посылается преимущественно в зашифрованном виде. В частности, оно может содержать криптографическую контрольную сумму, например, по AES-CBC-MAC, HMAC-SHA1, HMAC-SHA256, RSA-Signatur, DSA-Signatur, ECDSA-Signatur.

В описанных выше вариантах фильтрующее устройство 38 имеет правило фильтрации, по которому трафик фильтруется в отношении, по меньшей мере, одного идентификатора участника. Трафик, осуществляемый, по меньшей мере, на части кольца 28, разрешается только тогда, когда соответствующие пакеты данных содержат идентификаторы участника, содержащиеся в списке на фиг. 3. В противном случае пакет данных блокируется фильтрующим модулем 40 и не направляется дальше к следующему внутрикольцевому участнику 20. Принятая идентифицирующим устройством 46, 46’, 46’’ мера касательно идентификатора участника принимается к тому же только тогда, когда внекольцевые участники 36 удалось успешно аутентифицировать по сравнению с блоком 44 контроля доступа к сети. Описанные выше меры идентифицирующего устройства 46, 46’, 46’’ принимаются в зависимости от допуска внешнего участника 36 блоком 44 контроля доступа к сети.

Функции блоков 42, 44 контроля доступа к сети и идентифицирующего устройства 46, 46’, 46’’ пояснялись выше на примере блока 44 контроля доступа к сети, который используется для подключения внешних участников, например, внешнего участника 36.

Блок 42 контроля доступа к сети используется для подключения внекольцевых участников, которые выполнены в виде внутренних участников 22 или устанавливаются в транспортном средстве 10 заново или после ремонта. Он придан интерфейсному блоку 30. Как пояснялось в отношении блока 44 контроля доступа к сети, интерфейсному блоку 30 придано идентифицирующее устройство 50. Для описания принципа работы блока 42 контроля доступа к сети и идентифицирующего устройства 50 следует указать на описание блока 44 контроля доступа к сети и идентифицирующего устройства 46. Как и для идентифицирующего устройства 46, он содержит в первом варианте на фиг. 4 блок 52 для назначения идентификатора, принцип действия которого идентичен принципу действия блока 48. В вариантах на фиг. 6 и 8 для различения введены поз. 50’ и 50’’.

Интерфейсный блок 30 и приданные ему блок 42 контроля доступа к сети и идентифицирующее устройство 50 могут быть выполнены в виде отдельных друг от друга конструктивных узлов. Как видно в рассматриваемом выполнении, однако, предпочтительно, если они являются составными частями одного общего взаимосвязанного конструктивного узла. В частности, этот конструктивный узел соответствует одному из внутрикольцевых участников 20. При этом внутрикольцевой участник 20 включает в себя интерфейсный блок 30 и приданные ему блок 42 контроля доступа к сети и идентифицирующее устройство 50. При этом он может быть запрограммирован с функцией этих устройств. Вышеприведенные рассуждения относятся также к интерфейсному блоку 32 и приданным ему блоку 44 контроля доступа к сети и идентифицирующему устройству 46.

В рассматриваемом выполнении фильтрующее устройство 38 имеет несколько правил фильтрации, соответствующих разным эксплуатационным состояниям транспортного средства 10.

Например, может потребоваться управление трафиком, осуществляемым, по меньшей мере, на части кольца 28, таким образом, чтобы разгон подключенных к сети 18 передачи данных функциональных компонентов или внутренних участников 22 мог происходить в течение короткого промежутка времени. Для этого на этом этапе разгона транспортного средства 10 действует правило фильтрации, которое модифицировано по сравнению с описанным выше правилом фильтрации в нормальном режиме. Кроме того, на этапе разгона, по меньшей мере, блок 42 контроля доступа к сети эксплуатируется в режиме, отличающемся от поясненного выше режима, применяемого при нормальной эксплуатации транспортного средства 10.

Это изображено на фиг. 9. Для блока 42 контроля доступа к сети и фильтрующего устройства 38 реализуется так называемый «грейс-период», в течение которого действуют менее строгие по сравнению с нормальной эксплуатацией требования. В рассматриваемом выполнении устройства в качестве транспортного средства 10 нормальная эксплуатация соответствует « режиму регулярного движения». Он разрешен только после успешного окончания аутентификации всех внутренних участников 20, 22 блоком 42 контроля доступа к сети.

На этапе разгона HFP (фиг. 9) описанное при нормальной эксплуатации транспортного средства 10 правило фильтрации фильтрующего устройства 38, определенное с помощью списка допущенных идентификаторов участника, не действует. Следовательно, действует второе правило фильтрации фильтрующего устройства 38, по которому любой трафик разрешен фильтрующим устройством 38, по меньшей мере, на части кольца 28. За счет этого осуществляемый по кольцу 28 трафик, необходимый, в частности, для построения сети 18 передачи данных и для аутентификации внутренних участников 20, 22, может осуществляться за счет фильтрующих модулей 40 без ограничения. Этап разгона HFP можно разделить на несколько фаз. На первой фазе Р1 строится сеть 18 передачи данных. На следующей за ней фазой Р2 происходит инициализация трафика между одним из внутренних участников 20, 22, выполняющим функции центрального блока управления, с приданными ему внутренними участниками 20, 22. Этот блок управления может быть выполнен, например, в виде внекольцевого участника 22. Этот шаг соответствует инициализации управляющей сети, контролируемой центральным блоком управления.

На первых фазах Р1, Р2 блок 42 контроля доступа к сети и фильтрующее устройство 38 эксплуатируются таким образом, что внутренние участники 20, 22 допущены к участию в трафике по кольцу 28, хотя они еще не подвергались аутентификации блоком 42 контроля доступа к сети. При этом, в частности, возможно подключение к кольцу 28 всех внекольцевых участников 22 через, по меньшей мере, один интерфейс (или порт) интерфейсного блока 30, причем этот интерфейс разблокируется интерфейсным блоком 30, хотя все внекольцевые участники 22 еще не прошли или еще не прошли завершающий контроль блоком 42 контроля доступа к сети.

После окончания фазы Р2 осуществляются описанные выше процессы аутентификации внутренних участников, т.е. внутрикольцевых 20 и внекольцевых 22 участников, блоком 42 контроля доступа к сети на фазе Р3 в соответствии с одним из вышеупомянутых протоколов аутентификации, в частности, посредством аутентификации на основе сертификата. С успешным завершением процессов аутентификации заканчивается этап разгона HFP, а с ним – грейс-период фильтрующего устройства 38. При последующей разрешенной нормальной эксплуатации NB, в частности, в режиме регулярного движения, действует поясненное выше правило фильтрации на основе идентификаторов участников. Этап разгона HFP называется также «инициализирующим режимом» транспортного средства 10. В рассматриваемом выполнении транспортного средства 10 в качестве рельсового транспортного средства в инициализирующем режиме происходит, в частности, так называемое «крещение поезда».

Используемый в инициализирующем режиме режим блока 42 контроля доступа к сети и фильтрующего устройства 38 может быть активирован, кроме того, в случае неисправного режима транспортного средства 10. Такой режим может быть активирован, например, путем подачи сигнала экстренного торможения или сообщения о пожаре.

Возможны другие эксплуатационные состояния, для которых предусмотрено иное правило фильтрации и/или аутентификации, нежели при нормальной эксплуатации транспортного средства 10. Так, в частности, в режиме обслуживания или в цеховом режиме изготовителя может быть предусмотрено правило фильтрации, соответствующее второму правилу фильтрации. В этих режимах осуществляемый, по меньшей мере, на части кольца 28 трафик возможен без ограничения.

Кроме того, возможно также, чтобы правило фильтрации фильтрующего устройства 38 и/или процесс аутентификации блоков 42, 44 контроля доступа к сети при нормальной эксплуатации, т.е. в рассматриваемом примере в режиме регулярного движения, не были переконфигурируемыми или, иначе говоря, блокированы для переконфигурирования. Эта блокировка может быть снята, например, при активировании другого режима, например, режима обслуживания.

Трафик, осуществляемый, по меньшей мере, на части кольца 28, может быть блокирован для определенного внешнего участника, которого уже, по меньшей мере, один раз удалось успешно аутентифицировать в сети 18 передачи данных, за счет правила фильтрации фильтрующего устройства 38 и/или режима блока 44 контроля доступа к сети при нормальной эксплуатации. Например, в режиме регулярного движения транспортного средства 10 трафик с внешним участником 36, которого, правда, удалось успешно аутентифицировать в предыдущем режиме обслуживания, может быть блокирован фильтрующим устройством 38 и/или блоком 44 контроля доступа к сети.

В изображенных на чертежах выполнениях трафик может осуществляться в кольце 28 в разных направлениях, например, по часовой стрелке или против часовой стрелки. За счет этого возможны потенциальные передающие тракты разной длины, причем для трафика выбирается преимущественно передающий тракт наименьшей длины. Кроме того, также возможно, чтобы один из внутрикольцевых участников 20 выполнял функцию мастера (или «Medien Redundanz Master Switch»), который логически прерывает кольцо 28 в определенном месте.

В одном предпочтительном варианте правила фильтрации фильтрующего устройства 38 не зависят от направления передачи пакета данных. Это имеет то преимущество, что при переконфигурировании кольца, в частности, в случае ошибки, переконфигурировать правила фильтрации не требуется. Однако для фильтрации пакетов данных могут быть предусмотрены также правила фильтрации фильтрующего устройства 38, которые зависят от направления передачи пакета данных по кольцу 28. По одному правилу фильтрации для фильтрующего модуля 40 может быть предусмотрено, что пакет данных направляется дальше только в одном определенном направлении и блокируется во встречном направлении. В этом случае может происходить автоматическое переконфигурирование правил фильтрации для внутрикольцевых участников 20, чтобы учесть иное направление передачи. В другом варианте автоматического переконфигурирования правил фильтрации не происходит. В этом случае необходимо заново аутентифицировать внутренних участников 20, 22.

Еще в одном варианте происходит автоматическое переконфигурирование правил фильтрации для внутрикольцевых участников 20, тогда как внекольцевых участников 22 необходимо заново аутентифицировать.

1. Сеть передачи данных устройства, в частности, транспортного средства (10), содержащая группу участников (20, 22) внутри устройства, по меньшей мере, одно кольцо (28), в котором внутрикольцевые участники (20) группы связаны между собой по кольцевой топологии, и, по меньшей мере, один интерфейсный блок (30, 32), предназначенный для подключения к кольцу (28), по меньшей мере, одного внекольцевого участника (22, 36), отличающаяся тем, что она содержит фильтрующее устройство (38), по меньшей мере, с одной фильтрующей функцией, выполненное с возможностью фильтрации трафика кольца (28) в отношении, по меньшей мере, одного идентификатора (ТК; МА) участника, и идентифицирующее устройство (46, 50; 46’, 50’; 46’’, 50’’), выполненное с возможностью принятия для внекольцевого участника (22, 36), по меньшей мере, одной меры касательно идентификатора (МА) этого участника (22, 36) таким образом, чтобы он был допущен в отношении фильтрующей функции к трафику в кольце (28).

2. Сеть по п. 1, отличающаяся тем, что фильтрующее устройство (38) содержит набор фильтрующих модулей (40), причем внутрикольцевым участникам (20) придано, по меньшей мере, по одному отличающемуся от других фильтрующему модулю (40).

3. Сеть по п. 2, отличающаяся тем, что с внутрикольцевыми участниками (20) связано, по меньшей мере, по одному отличающемуся от других фильтрующему модулю (40).

4. Сеть по любому из пп. 1-3, отличающаяся тем, что фильтрующее устройство (38) содержит, по меньшей мере, один фильтрующий модуль (40), снабженный, по меньшей мере, одной коммутаторной функцией.

5. Сеть по любому из пп. 1-4, отличающаяся тем, что внутрикольцевые участники (20) выполнены каждый в виде блока управления.

6. Сеть по любому из пп. 1-5, отличающаяся тем, что она содержит блок (42, 44) контроля доступа к сети, который запрограммирован для управления доступом к трафику по определенному протоколу аутентификации, причем идентифицирующее устройство (46, 50), по меньшей мере, в одном режиме выполнено с возможностью принятия меры для внекольцевого участника (22, 36) в зависимости от его допуска блоком (42, 44) контроля доступа к сети.

7. Сеть по любому из пп. 1-6, отличающаяся тем, что идентификатором (ТК, МА) участника является идентификатор защитного уровня модели OSI.

8. Сеть по любому из пп. 1-7, отличающаяся тем, что через интерфейсный блок (30) к кольцу (28) подключен, по меньшей мере, один внекольцевой участник группы участников (22) внутри устройства.

9. Сеть по любому из пп. 1-8, отличающаяся тем, что интерфейсный блок (30) служит для подключения в качестве внекольцевого участника (36) внутри устройства, который не привязан к устройству или выполнен с возможностью периодической привязки к устройству.

10. Сеть по любому из пп. 1-9, отличающаяся тем, что фильтрующее устройство (38) содержит несколько правил фильтрации, соответствующих разным эксплуатационным состояниям устройства.

11. Сеть по п. 10, отличающаяся тем, что фильтрующее устройство (38) содержит, по меньшей мере, одно правило фильтрации для нормального режима устройства и, по меньшей мере, одно отличающееся от него правило фильтрации для инициализирующего режима устройства.

12. Сеть по любому из пп. 6, 10, 11, отличающаяся тем, что интерфейсный блок (30), по меньшей мере, в одном эксплуатационном состоянии устройства выполнен с возможностью разблокирования интерфейса для подключения к кольцу внекольцевого участника (22), не проверенного блоком (42) контроля доступа к сети.

13. Сеть по любому из пп. 1-12, отличающаяся тем, что идентифицирующее устройство (46, 50) содержит блок (48, 52) для назначения идентификатора, выполненный с возможностью присвоения внекольцевому участнику (36, 22) идентификатора (ТК), авторизованного фильтрующим устройством (38).

14. Сеть по любому из пп. 1-13, отличающаяся тем, что идентифицирующее устройство (46’, 50’) выполнено с возможностью уведомления фильтрующего устройства (38) о присвоении внекольцевому участнику (36, 22) идентификатора (МА) в качестве авторизованного идентификатора.

15. Сеть по п. 14, отличающаяся тем, что идентифицирующее устройство (46’, 50’) выполнено с возможностью посылки фильтрующему устройству (38) сообщения (N), содержащего идентификатор (МА) участника.

16. Сеть по п. 14, отличающаяся тем, что внутрикольцевой участник (20.b) выполняет функцию менеджера (RM) кольца, а идентифицирующее устройство (46’’, 50’’) выполнено с возможностью посылки менеджеру (RM) кольца сообщения (N), содержащего идентификатор (МА) участника.

17. Система передачи данных в рельсовом транспортном средстве, содержащая сеть (18) передачи данных по любому из пп. 1-16.

18. Способ управления сетью (18) передачи данных устройства, содержащей группу участников (20, 22) внутри устройства, по меньшей мере, одно кольцо (28), в котором внутрикольцевые участники (20) группы связаны между собой по кольцевой топологии, и, по меньшей мере, один интерфейсный блок (30, 32), выполненный с возможностью подключения к кольцу (28) внекольцевого участника (22, 36), отличающийся тем, что трафик кольца (28) фильтруют в отношении, по меньшей мере, одного идентификатора (ТК; МА) участника и для внекольцевого участника (22, 36) принимают, по меньшей мере, одну меру касательно идентификатора (МА) этого участника (22, 36) таким образом, чтобы он был допущен к трафику в кольце (28) в отношении фильтрующей функции.