用于提供安全的时间信号的方法与流程

1.本发明涉及一种用于尤其为与安全相关的应用提供安全的时间信号的方法和一种用于执行该方法的组件(anordnung)。


背景技术：

2.时间信号是如下信号：该信号承载当前的时钟时间并且必要时承载当前的日期作为信息。例如在电子控制装置和控制器中，尤其是在嵌入式系统(embedded systems)中，例如为了在车辆领域中使用，越来越多地使用如下系统和软件：对于与安全相关的功能，所述系统和软件也需要绝对的时间说明和日期说明。所述信号例如与具有日期/时间戳的说明的文件/数据存储系统相结合用于所存储的文件或者数据，所述文件或者数据的“年龄”是重要相关的。这可能是如下情况：所述数据不是在生产时一次性固定地编入的，而是在使用寿命内同样一次地、多次地或者频繁地通过“较新的”数据来替代或者补充的。
3.在日用消费品领域(consumer-goods-bereich)中，例如在移动电话、智能手机、pc应用等中，常见且已知的是，软件尤其通过运行系统例程提供日期/时钟时间值。在此，典型地，该时钟时间从相应的运行系统定时器(os-timer，os定时器)和/或cpu时钟发生器(cpu：central processing unit，中央处理单元)推导出。为此必需的是，将时钟一次地或者多次地设定为真实的时钟时间，这可以通过相应的功能和指令示出。在此，所述软件时钟可以在每次启动系统时要么重新设定、要么通过实时时钟(rtc模块：real-time-clock)来支持，由此时钟也可以在关断的状况中同样继续运行。
4.应注意的是，对于与安全相关的应用，所述已知的时钟定时器是不足够的，因为相应的故障或者错误的设定可能导致未识别出的有误差的或者甚至未经设定的并且与现实有偏差的日期/时钟时间值。另外，在此，虽然所使用的定时器本身无故障地正常工作，但是随机地或者可能也故意地(例如通过与安全相关的攻击)而可能错误地设定时钟时间的故障源仍然起作用。
5.已知的是，对于与安全相关的功能，os定时器、时钟发生器和由此推导出的时间节拍(zeit-takte)，例如循环的任务，可以通过冗余的且独立地时钟驱动的模块来保护，通常与看门狗相结合地。但是，这仅适用于例如一个节拍的相对时间值，其具有非常短的周期，典型地为1ms直至1sec，并且因此具有相对大的容差，例如为+/-10％或者也为+/-20％。由此得出，所述保护措施不足以或不适合用于产生绝对的时钟时间信号。
6.另外已知的是，从源、例如从gps接收器(gps：global positioning system，全球定位系统)或者也从rtc模块推导出的信号不提供充分的安全性。另外已知的是，当前可用的绝对的时间源主要仅在qm质量或者消费者质量(qm：quality management，质量管理)中提供。


技术实现要素：

7.在该背景下，提出一种具有权利要求1的特征的方法和一种根据权利要求10的组
件。由从属权利要求和由说明书得出实施方式。
8.所提出的方法用于为与安全相关的应用提供尤其安全的绝对时间信号。该方法设置，由用于执行该方法的组件对第一时间源的第一时间信号和第二时间源的第二时间信号进行接收和分析处理，其中，第一时间源和第二时间源彼此独立。这意味着，第一时间源的运行对第二时间源的运行绝对没有影响，反之亦然。因此，所提供的两个时间信号也是彼此独立的，并且这两个信号之间不存在依赖性。
9.组件中的第一单元履行观察器功能与比较器功能。这意味着，该第一单元对两个时间信号或由这两个时间信号所承载的数据或信息进行观察或监控并且将它们相互比较，所述数据或信息尤其示出时间值。然后，对识别出的、两个时间信号之间的偏差进行分析处理。基于该分析处理，输出安全的时间信号。在此，考虑容差或容差阈值。
10.第一单元可以配属有独立的时基，在执行观察器功能与比较器功能时使用该时基。通过这种方式可以安全地且独立于可能借助两个时间信号所传输的故障地执行该比较。在构型中，循环地、即有规律地反复地执行观察器功能与比较器功能。
11.另外，可以设置有第二单元，借助该第二单元将两个时间信号所承载的数据的不同格式相互适应(angeglichen)。因此，时间信号可以与其格式无关地被处理。
12.可以设置有第三单元，对于所述比较得出两个时间信号的、位于预给定的容差之外的偏差的情况，该第三单元触发故障反应。该第三单元也可以输出状态信号。但是，该状态信号也可以由所描述的组件输出，与该第三单元的存在无关。
13.因此，所提出的方法能够实现，在复合系统中、尤其是在车辆内通过适合的措施来消除开头阐述的、安全的时钟时间系统的缺乏，使得可以给与安全相关的应用或者功能提供充分安全的绝对的时钟时间信号。
14.最后，可以识别出两个时间源中的一个时间源的冻结。为此，可以例如设置有第四单元。
15.因此，借助所提出的方法实现，由至少两个独立的时间源和信号产生安全的时间信号、识别时间值的相应的误差并且实施至少一个适合的故障反应。
16.在该方法中，至少在实施方案中的一些实施方案中设置：
17.1.对至少两个独立的时间信号源的处理，
18.2.循环实施的观察器功能，该观察器功能分析时间信号并且识别故障，
19.3.由此为有用的功能提供安全的时间作为信号，
20.4.提供安全的时间的状态和耦合，用以触发故障反应。
21.为了实现这一点，尤其使用多样化的、冗余的时间源。所述时间源一方面由时间信号组成，该时间信号例如由云服务器系统经由wifi连接提供。这例如作为所谓的“utc时间”(utc：协调世界时间)已知，并且在简单的qm系统中相应地使用。另一方面，所述时间源由独立的时间信号组成，该独立的时间信号通过gps接收器模块作为所谓的“gps时间”信号从gps卫星接收、预处理和提供。
22.协调世界时间是如今有效的世界时间，该世界时间在需要全世界统一的时间刻度的地方用于时间说明。
23.在另一种实施方式中，使用两个gps接收器，所述gps接收器在结构上分开地冗余地存在，其中，应当使用不同制造商的模块。在另一种构型中，通过进一步独立的时间源，例
如基于rtc的时钟，与gps接收器或者云服务器时钟时间值相结合。另一种实施方案设置先前提到的时间源与无线电时钟接收器的结合。该无线电时钟接收器可以典型地提供世界时间原子时间。
24.在上文提到的所有实施方案中，时间信号是如此可用的，使得关于用于保护或者用于识别信号的故障的或者所述信号的传输的故障的安全性的特定措施典型地不包含在其技术中。因此，在各一个时间源上可以出现未识别出的故障和时间值的伪造。
25.为了识别相关的时间误差或者失灵，在构型中，在第一步骤中将以不同的表示方式(例如utc“universal time code(国际标准时间码)”、“gps时间”等)存在的两个时间值换算为共同的相同的表示类型。在此，相应地考虑和纠正已知的偏差，例如跳秒(schaltsekunden)，或者计数器溢出例如在gps时间格式中每1024周，时区或者类似物。
26.通过循环地实施的观察器功能与比较器功能，对两个时间信号进行观察和评价。该观察器功能可以在独立的第三时基上实施，例如控制器的cpu定时(taktung)和sw实施。相应于信号源和传输路段的不准确性的、两个时钟的小偏差，例如大小为+/-5sec，被容忍为“正常”。在较大的且因此有误差的偏差的情况下，可以引入适合的故障反应。
27.该故障反应也可以分级地进行，并且可以在于，对于另外的小的容差时间，首先继续使用最后一个安全的时间值，或者但是也将相关的功能或者整个系统置于安全的故障状况中。
28.另外，在构型中，观察器功能也识别一个时钟的或者特别是两个时钟的冻结或不再运行(stuck-at fehler，卡住故障)。在此，也可以相应于安全的时间信号的使用地可能可以容忍时钟的足够短的“静止状态”时间。替代地或者补充地，在超过该容差的情况下，可以触发适合的故障反应。因此，除了真正的、现在安全的时间信号之外，观察器功能同样提供至少一个另外的状态信号，该至少一个另外的状态信号显示时间信号的完整性/正确性/退化状况。可选地，另外，触发另外的故障反应的可能性可以在于使用该时间信号的相应的功能。
29.在另一种实施方式中，观察器功能同样可以容忍并且通过相应的状态状况显示信号源的初始“失灵”，所述初始“失灵”典型地在启动系统之后首先存在。因此，可靠的且稳健的且同时也安全的系统启动是可能的。
30.在上文中且在附图的描述中，描述第一时间源和第二时间源的使用。当然，该方法也可以借助多于这两个时间源的时间源来执行。
31.所提出的组件用于执行所述方法并且例如在硬件和/或软件中实现。
32.由说明书和所附附图得出本发明的其他优点和构型方案。
33.显而易见的是，上文提到的和下文仍待阐述的特征不仅能够按相应给出的组合来使用，还能够按其他的组合来使用或者单独使用，而不偏离本发明的框架。
附图说明
34.图1在示意性图示中示出用于执行所提出的方法的组件的一种实施方式。
35.图2在流程图中示出所提出的方法的一种可能的流程。
36.图3在流程图中示出所提出的方法的另一种可能的流程。
具体实施方式
37.根据实施方式在附图中示意性示出本发明，并且在下文中参考附图详细描述本发明。
38.图1在示意性图示中示出用于执行在此描述的方法的组件的一种实施方式，该组件整体上用附图标记10表示。该图示另外象征性地示出地球12，该地球具有真实的世界时间14，该真实的世界时间通过卫星16传输一次，并且独立于此地通过无线电链路18传输。因此，存在第一时间源13和第二时间源15，所述第一时间源和所述第二时间源彼此独立。由此得出，通过gps接收器20传输第一时间信号22，在这种情况下是gps时间信号，并且通过移动无线电网络、wifi和类似的网络24传输第二时间信号26，在这种情况下是utc时间信号。两个时间信号22和26是组件10的输入参量。
39.组件10执行观察器功能与比较器功能。这意味着，组件对两个时间信号22、26或两个时间信号22、26所承载的信息尤其循环地进行观察或监控并且将它们相互比较。为此，设置有第一单元30，该第一单元将两个时间信号22、26相互比较并且识别出偏差，其中，可以考虑容差。由于在这种情况下两个时间信号22、26或所述两个时间信号所传输的时间值以不同的表示方式存在，因此，设置有第二单元32，该第二单元将时间值换算为共同的表示类型。
40.绝对的时间说明可以以不同的方式表示。广泛使用的是utc的unix时间戳，该unix时间戳将当前的时间表示为自1970年1月1日以来所经过的秒数的数值。但是，时间说明也可以以“人类的”形式作为“年-月-日-时：分：秒”来存储、传输或者约定，在此，不仅可以作为“文本”或者在数据结构中通过数字编码，或者如其在“gps时间”的情况下所使用的那样，作为自1980年1月6日以来的所经过的周加上作为数值的“当前的周的秒数”的说明。替代地，也可以使用自己的表示的任意的明确唯一的定义，例如“自2020年1月1日起的秒数”。此外，在这里可以纠正系统性的、已知的偏差，所述偏差例如呈跳秒的形式。
41.另外，在组件30的示出的实施方案中，设置有独立的第三时基34，在该第三时基的基础上实施观察器功能与比较器功能。此外，需要该单独的时基，以便实现容差时间，在所述容差时间的间隔中短暂地容忍无效的偏差或者一个或者两个信号的失灵。
42.如果识别出的偏差位于预确定的容差之外，则第三单元36触发故障反应40。另外，根据所述比较，输出状态信号42。
43.此外，设置有第四单元42，该第四单元设置用于尤其识别在一可信值对上的两个时间信号22、26的冻结。
44.然后，第一单元30根据对两个时间信号22、26所执行的比较来输出安全的时间信号46。
45.原则上，在此根据时间说明的进一步使用可以存在以不同方式适合的策略，例如也存在对“最新的”、“最旧的”值或者在这之间的定义的值的选择，例如加权平均值、算数平均值等。在当前情况下，只要两个信号的偏差位于容差内，就始终仅使用如下信号源的时间值：对于该信号源，在正常的、无故障的运行中期望较大的可用性和精度。在较大的偏差的故障情况下，保留最后一个通过比较确认的正确的时间值。
46.如果在短的容忍的时间间隔中两个时间值再次充分一致，则再次回到正常的无故障的运行中并且再次提供当前的时间值。
47.在启动时，在从始终是无效且错误的定义的初始值切换为当前的时间值之前，首先验证多个有效的时间值。相关的状态在此从“初始”/“无效”切换为“有效”。
48.所描述的单元30、32、36和42可以作为组件中的硬件模块、作为纯粹的软件模块或者作为硬件软件解决方案来实现。
49.图2在流程图中示出所描述的方法的一种可能的流程。在第一步骤50中，用于执行该方法的组件接收承载第一时间值的第一时间信号和承载第二时间值的第二时间信号。在第二步骤52中，将两个时间信号或时间值相互比较。在第三步骤53中，由在考虑容差的情况下的比较结果，连同状态信号一起形成和输出安全的时间信号，该状态信号显示正确性状况或故障状况。附加地，在第四步骤56中，在容差时间到期之后，触发故障反应。
50.典型地，输出信号的具体构型取决于系统设计。在现有的设计中，由该安全时间功能始终连同单独的状态信号一起输出时间。在替代的实施方案中可能的是，冻结时间，将时间设置为无效的值，或者在触发故障反应时结束时间的提供，在该情况下可能不再需要状态。如果不使用单独的状态信号，则该状态也可以通过时间的特定的值来表示(例如作为“无效的值”，时间＝
“‑
1”、
“‑
2”等)。应注意，在这些情况下，隐含地通过安全的时间的状况(无效的值，或者不提供时间，在此解读为状态＝“无效”)来再现状态。
51.图3示出所提出的方法的另一种可能的流程，其中，在此尤其突出可选的步骤。
52.在可选的启动阶段70期间，在第一步骤72中接收时间。在第二步骤74中，将所述时间相互比较。然后，在第三步骤中，多次验证所述时间并且核查所述时间是否稳定。如果不是这种情况，则该实施方案跳回(箭头78)至第一步骤72。如果是这种情况(箭头80)，则启动阶段70结束并且以第四步骤82继续进行。
53.在该第四步骤82中，接收时间。在第五步骤84中，将所述时间相互比较。如果该比较是成功的并且所述时间位于容差内(箭头86)，则在第六步骤88中输出安全的时间。如果第五步骤84中的比较失败或者所述时间位于容差之外(箭头90)，则在可选的第七步骤92中核查容差时间。如果未超过该容差时间(箭头94)，则跳回至第四步骤82。如果超过该容差时间，则在第八步骤96中转移到安全状况中。

技术特征：
1.一种用于提供安全的时间信号(46)的方法，其中，-由组件(10)对第一时间源(13)的第一时间信号(22)和第二时间源(15)的第二时间信号(26)进行接收和分析处理，其中，所述第一时间源(13)和所述第二时间源(15)彼此独立，借助所述组件(10)中的履行观察器功能与比较器功能的第一单元(30)，将两个时间信号(22，26)相互比较，并且对识别出的、所述两个时间信号(22，26)之间的偏差进行分析处理，并且基于所述分析处理输出所述安全的时间信号(46)。2.根据权利要求1所述的方法，其中，所述第一单元(30)配属有独立的时基(34)，在执行所述观察器功能与比较器功能时使用所述时基。3.根据权利要求1或2所述的方法，其中，循环地执行所述观察器功能与比较器功能。4.根据权利要求1至3中任一项所述的方法，其中，设置有第二单元(32)，借助所述第二单元将所述两个时间信号(22，26)所承载的数据的不同格式相互适应。5.根据权利要求1至4中任一项所述的方法，其中，设置有第三单元(36)，对于所述比较得出所述两个时间信号(22，26)的、位于预给定的容差之外的偏差的情况，所述第三单元触发故障反应(40)。6.根据权利要求1至5中任一项所述的方法，其中，附加地根据所执行的比较输出状态信号(42)。7.根据权利要求1至6中任一项所述的方法，其中，设置有第四单元(42)，所述第四单元设置用于识别所述两个时间源(13，15)中的至少一个时间源的冻结。8.根据权利要求1至7中任一项所述的方法，其中，所述两个时间信号(22，26)中的至少一个时间信号从组中选择，所述组包括：gps信号、utc信号。9.根据权利要求1至8中任一项所述的方法，其中，在车辆中提供所述安全的时间信号。10.一种用于提供时间信号的组件，所述组件设立用于执行根据权利要求1至9中任一项所述的方法。

技术总结
一种用于提供安全的时间信号(46)的方法，其中，由组件(10)对第一时间源(13)的第一时间信号(22)和第二时间源(15)的第二时间信号(26)进行接收和分析处理，其中，所述第一时间源(13)和所述第二时间源(15)彼此独立，借助所述组件(10)中的履行观察器功能与比较器功能的第一单元(30)，将所述两个时间信号(22，26)相互比较，并且对识别出的、所述两个时间信号(22，26)之间的偏差进行分析处理，并且基于所述分析处理输出所述安全的时间信号(46)。述分析处理输出所述安全的时间信号(46)。述分析处理输出所述安全的时间信号(46)。


技术研发人员：W
受保护的技术使用者：罗伯特
技术研发日：2021.11.22
技术公布日：2023/8/5