本發(fā)明涉及一種用于在具有低安全性要求的第二網(wǎng)絡(luò)中無反作用地檢測至少一個設(shè)備的數(shù)據(jù)的方法和裝置，所述至少一個設(shè)備布置在具有高安全性要求的第一網(wǎng)絡(luò)中。

背景技術(shù)：

用于在具有不同的安全性要求的網(wǎng)絡(luò)之間傳輸數(shù)據(jù)的安全解決方案、即所謂的跨區(qū)域安全解決方案到目前為止被用于特定的領(lǐng)域（如官方通信），在所述特定的領(lǐng)域中適用高安全性要求并且在所述特定的領(lǐng)域中存在對文檔或信息的安全分級。通過跨區(qū)域解決方案，實現(xiàn)了在具有不一樣高的安全性要求的區(qū)之間對文檔和消息（諸如電子郵件）的自動化的安全交換。在此，重要的組件是數(shù)據(jù)二極管，其保證了數(shù)據(jù)通信的單向性、即數(shù)據(jù)僅僅朝一個方向的傳輸。

到目前為止，為了將通常具有高安全性要求的工業(yè)控制網(wǎng)絡(luò)與辦公室網(wǎng)絡(luò)、公共因特網(wǎng)或其它通常只滿足低安全性要求的控制網(wǎng)絡(luò)耦合，使用傳統(tǒng)的防火墻，所述防火墻根據(jù)可配置的過濾規(guī)則來對數(shù)據(jù)通信進行過濾。在此，根據(jù)通信伙伴的地址和所使用的通信協(xié)議來許可或阻止數(shù)據(jù)通信。

由wo2012/170485公知一種基于虛擬化解決方案的跨區(qū)域安全解決方案，在其中虛擬機控制在兩個信息域之間的信息傳輸。

此外，還公知一種網(wǎng)絡(luò)脫耦器（也被稱作網(wǎng)絡(luò)分流器（networktap））作為網(wǎng)絡(luò)組件，以便能夠監(jiān)聽所傳輸?shù)臄?shù)據(jù)，而不影響所傳輸?shù)臄?shù)據(jù)。這種網(wǎng)絡(luò)脫耦器一般被用于網(wǎng)絡(luò)監(jiān)控，因為這里參數(shù)（如吞吐量或延遲）沒有被測量影響。

對于工業(yè)環(huán)境來說，諸如對于鐵路安全系統(tǒng)來說，存在對在安全重要的網(wǎng)絡(luò)中無反作用地檢測診斷數(shù)據(jù)并且將這些診斷數(shù)據(jù)提供給通常在具有較低安全性要求的網(wǎng)絡(luò)中實現(xiàn)的診斷網(wǎng)絡(luò)的需求。在此，尤其是出現(xiàn)如下問題：用于單路徑數(shù)據(jù)傳輸?shù)慕M件不能主動地控制或影響對在具有高安全性要求的網(wǎng)絡(luò)中的信息的詢問。在所提到的鐵路安全系統(tǒng)的例子中，對于人來說依賴于：所需的數(shù)據(jù)的通信在沒有人的協(xié)助下地進行或必需的。

技術(shù)實現(xiàn)要素：

因此，本發(fā)明的任務(wù)是提供一種方法和裝置，所述方法和裝置保證：能夠識別在安全重要的網(wǎng)絡(luò)中的所有相關(guān)數(shù)據(jù)并且將其傳輸?shù)桨踩荒敲粗匾木W(wǎng)絡(luò)中，以便在那里從中確定可靠的診斷信息。

該任務(wù)通過在獨立權(quán)利要求中描述的措施來解決。在從屬權(quán)利要求中呈現(xiàn)了本發(fā)明的有利的改進方案。

根據(jù)本發(fā)明的用于在具有低安全性要求的第二網(wǎng)絡(luò)中無反作用地檢測至少一個設(shè)備（所述至少一個設(shè)備布置在具有高安全性要求的第一網(wǎng)絡(luò)中）的數(shù)據(jù)的方法具有通過布置在第一網(wǎng)絡(luò)之內(nèi)的詢問單元根據(jù)詢問配置文件向所述至少一個設(shè)備請求數(shù)據(jù)，作為第一方法步驟。緊接著，在第一網(wǎng)絡(luò)之內(nèi)通過監(jiān)聽單元來監(jiān)聽由所述至少一個設(shè)備應(yīng)所述請求發(fā)送給詢問單元的數(shù)據(jù)并且將所述數(shù)據(jù)傳送給在第二網(wǎng)絡(luò)中的分析單元。在那里，將所監(jiān)聽到的數(shù)據(jù)與按照詢問配置文件所期望的數(shù)據(jù)進行比較，并且當所監(jiān)聽到的數(shù)據(jù)與按照詢問配置文件所期望的數(shù)據(jù)有偏差時提供報警信號。

“無反作用地檢測數(shù)據(jù)”在此應(yīng)被理解為：沒有數(shù)據(jù)或干擾通過從安全重要的第一網(wǎng)絡(luò)傳輸?shù)桨踩圆荒敲粗匾牡诙W(wǎng)絡(luò)中而被引入到所述安全重要的第一網(wǎng)絡(luò)中。

通過根據(jù)預(yù)先給定的詢問配置文件（所述詢問配置文件不僅在詢問單元中而且在分析單元中都是已知的）來請求數(shù)據(jù)，可以明確地確定是否所有必需的數(shù)據(jù)都已經(jīng)被傳輸?shù)搅说诙W(wǎng)絡(luò)中并且因此可以確保正確的功能。通過提供報警信號，例如可以確定并且監(jiān)控在進行請求和/或進行監(jiān)聽和/或進行傳送時的錯誤率。這通過對數(shù)據(jù)的專門的監(jiān)聽來保證。所述監(jiān)聽這里例如可以通過網(wǎng)絡(luò)脫耦器、即網(wǎng)絡(luò)分流器來執(zhí)行。

在根據(jù)本發(fā)明的方法的一種有利的實施方式中，通過報警信號來表明在分析單元和/或在診斷網(wǎng)絡(luò)中的診斷設(shè)備中的報警通知。除此之外或替換于此地，制成在監(jiān)控報告中的記錄（也稱作日志文件），和/或在監(jiān)聽單元或者在詢問單元中觸發(fā)主動反應(yīng)。

在此，例如可以將發(fā)起監(jiān)聽單元的重新啟動視為主動反應(yīng)或者例如可以引起詢問單元的電流供應(yīng)的中斷，使得進行詢問單元的重新啟動并且按照詢問配置文件重新生成詢問。因此，可以執(zhí)行用于消除干擾的措施。此外，還可以通過記錄到監(jiān)控報告中或者通過報警通知來持續(xù)地監(jiān)控詢問單元和監(jiān)聽單元的功能能力。這樣，尤其是當不容許地經(jīng)常詢問時、當太少詢問時、當所需的數(shù)據(jù)未被詢問時或者當不容許的數(shù)據(jù)被詢問時，可以對報警信號進行置位。

在另一有利的實施方式中，通過報警信號來阻止所監(jiān)聽到的數(shù)據(jù)通過分析單元的轉(zhuǎn)發(fā)或者阻止所監(jiān)聽到的數(shù)據(jù)從分析單元的讀出。

這防止了：錯誤的或者不容許的數(shù)據(jù)被考慮用于分析和診斷。

在根據(jù)本發(fā)明的方法的一個變型方案中，針對不同的數(shù)據(jù)類型和/或針對不同的設(shè)備類型和/或針對各個設(shè)備本身，所述詢問配置文件具有不同的詢問規(guī)則。

由此，可以根據(jù)不同的數(shù)據(jù)類型和/或各個設(shè)備或設(shè)備類型的特性來生成并且分析出有說服力的診斷值。這樣，例如可以分別針對相同的設(shè)備類型（諸如鐵路柵欄）設(shè)定相同的詢問規(guī)則或者針對所有列車信號或信號燈設(shè)定相同的詢問規(guī)則。

在另一變型方案中，針對不同數(shù)據(jù)類型和/或針對不同的設(shè)備類型和/或針對各個設(shè)備本身，所述詢問配置文件具有統(tǒng)一的詢問規(guī)則。

這使得使用簡單構(gòu)造的并且不那么復(fù)雜的詢問單元成為可能。但是，當例如被確定為有錯誤的數(shù)據(jù)的數(shù)量增加時，所述詢問單元也可以轉(zhuǎn)變到具有統(tǒng)一的詢問規(guī)則的模式下，使得可以維持緊急診斷可能性。

在根據(jù)本發(fā)明的方法的一個變型方案中，所監(jiān)聽到的數(shù)據(jù)被暫存在分析單元中，并且在成功的檢驗之后才被傳送給診斷設(shè)備。

在根據(jù)本發(fā)明的方法的一個變型方案中，如果所監(jiān)聽到的數(shù)據(jù)對應(yīng)于詢問配置文件和/或如果所監(jiān)聽到的數(shù)據(jù)具有有效的加密校驗和，那么存在成功的檢驗。

這具有如下優(yōu)點：只轉(zhuǎn)發(fā)并且借此考慮相關(guān)的和/或以未改變的內(nèi)容來傳輸?shù)牟⑶矣杀辉试S的、經(jīng)授權(quán)的設(shè)備來傳輸?shù)臄?shù)據(jù)，用來進行分析。

在根據(jù)本發(fā)明的方法的一個變型方案中，在不成功的檢驗的情況下將替代值或錯誤通知傳送給診斷設(shè)備。

盡管有失真的或不相關(guān)的數(shù)據(jù)值，這仍然允許盡可能好的并且持續(xù)的分析、尤其是通過使用替代值來進行的盡可能好的并且持續(xù)的分析。在通知有錯誤時，尤其是可以簡單地確定錯誤率。

在根據(jù)本發(fā)明的方法的另一實施例中，在檢驗之后在分析單元中給所監(jiān)聽到的數(shù)據(jù)分配有效性信息。

在較長時間的存儲的情況下，這也能夠?qū)崿F(xiàn)對數(shù)據(jù)的評估，或簡化對所監(jiān)聽到的數(shù)據(jù)的管理，其方式是例如在有效時長期滿之后將數(shù)據(jù)組存檔或刪除。

在根據(jù)本發(fā)明的方法的一個變型方案中，只有當已經(jīng)在分析單元中在所分配的詢問之后的預(yù)先確定的時間間隔內(nèi)接收到所監(jiān)聽到的數(shù)據(jù)時，才將所監(jiān)聽到的數(shù)據(jù)傳送給診斷計算機。

由此，減少了所檢測到的不屬于當前詢問配置文件的數(shù)據(jù)的數(shù)量。此外，借此可以至少部分地識別出已經(jīng)在第一網(wǎng)絡(luò)中由不容許的設(shè)備或攻擊者引入的數(shù)據(jù)并且不將所述數(shù)據(jù)用于分析。

根據(jù)本發(fā)明的用于在具有低安全性要求的第二網(wǎng)絡(luò)中無反作用地檢測至少一個設(shè)備（所述至少一個設(shè)備布置在具有高安全性要求的第一網(wǎng)絡(luò)中）的數(shù)據(jù)的裝置包含詢問單元，所述詢問單元布置在第一網(wǎng)絡(luò)之內(nèi)并且被構(gòu)造為根據(jù)詢問配置文件來向所述至少一個設(shè)備請求數(shù)據(jù)。所述裝置包含監(jiān)聽單元，所述監(jiān)聽單元布置在第一網(wǎng)絡(luò)之內(nèi)并且被構(gòu)造為監(jiān)聽由所述至少一個設(shè)備應(yīng)所述請求來發(fā)送的數(shù)據(jù)，并且將所述數(shù)據(jù)傳送給分析單元。此外，所述裝置還包括：分析單元，所述分析單元布置在第二網(wǎng)絡(luò)中并且被構(gòu)造為將所監(jiān)聽到的數(shù)據(jù)與按照詢問配置文件所期望的數(shù)據(jù)進行比較；以及報警單元，所述報警單元被構(gòu)造為在所監(jiān)聽到的數(shù)據(jù)與按照詢問配置文件所期望的數(shù)據(jù)有偏差時提供報警信號。

因此，所述裝置能夠?qū)崿F(xiàn)：通過詢問來在該設(shè)備中有針對性地刺激數(shù)據(jù)并且在傳輸?shù)讲荒敲窗踩牡诙W(wǎng)絡(luò)中之后將所述數(shù)據(jù)與相同的、在分析單元中已知的詢問配置文件進行比較，并且因此保證對數(shù)據(jù)的可靠的分析是可能的。

在根據(jù)本發(fā)明的裝置的一個有利的實施方式中，監(jiān)聽單元和/或詢問單元被構(gòu)造為識別出報警信號并且于是自主地重新起動，或者分析單元被構(gòu)造為在識別出報警信號之后阻止對所監(jiān)聽到的數(shù)據(jù)的轉(zhuǎn)發(fā)或者讀出。

在根據(jù)本發(fā)明的裝置的一個變型方案中，分析單元被構(gòu)造為存儲所監(jiān)聽到的數(shù)據(jù)、執(zhí)行對數(shù)據(jù)的檢驗并且在成功的檢驗之后才將所述數(shù)據(jù)傳送給診斷設(shè)備。

在根據(jù)本發(fā)明的裝置的另一變型方案中，分析單元被構(gòu)造為：檢驗所監(jiān)聽到的數(shù)據(jù)是否對應(yīng)于詢問配置文件和/或或者所監(jiān)聽到的數(shù)據(jù)是否具有有效的加密校驗和，以及僅僅將成功地被檢驗的數(shù)據(jù)傳送給診斷設(shè)備或者在不成功的檢驗的情況下將替代值或錯誤消息傳送給診斷設(shè)備。

此外，還要求保護一種具有用于實施上述方法的程序指令的計算機程序產(chǎn)品。

附圖說明

根據(jù)本發(fā)明的方法和根據(jù)本發(fā)明的裝置的實施例在附圖中示例性地被示出并且依據(jù)隨后的描述進一步予以闡述。其中：

圖1以流程圖的形式示出了根據(jù)本發(fā)明的方法的實施例；

圖2以示意圖示出了在示例性的自動化環(huán)境中的根據(jù)本發(fā)明的裝置的第一實施例；以及

圖3以示意圖示出了具有暫存在分析單元中的數(shù)據(jù)的根據(jù)本發(fā)明的裝置的第二實施例。

彼此相對應(yīng)的部分在所有圖中都配備有相同的參考標記。

具體實施方式

現(xiàn)在，依據(jù)在圖1中的流程圖，進一步闡述根據(jù)本發(fā)明的方法。在初始狀態(tài)1下，存在具有高安全性要求的第一網(wǎng)絡(luò)以及具有低安全性要求的第二網(wǎng)絡(luò)。在第一網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)現(xiàn)在應(yīng)該無反作用地（也就是說不改變在第一網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、不在第一網(wǎng)絡(luò)中生成新的數(shù)據(jù)或者不對所述第一網(wǎng)絡(luò)施加其它影響）被傳送到第二網(wǎng)絡(luò)中。所述數(shù)據(jù)在第一網(wǎng)絡(luò)中由至少一個設(shè)備產(chǎn)生并且例如給出關(guān)于所述一個或多個單元的運行狀態(tài)的信息。此外，監(jiān)聽單元處在第一網(wǎng)絡(luò)中，所述監(jiān)聽單元例如被構(gòu)造為網(wǎng)絡(luò)脫耦器或者被構(gòu)造為其它結(jié)構(gòu)類型的數(shù)據(jù)二極管。在第一網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)例如被復(fù)制，而且副本被傳送給在第二網(wǎng)絡(luò)中的組件、尤其是被傳送給分析單元。

此外，在第一網(wǎng)絡(luò)中還有詢問單元，所述詢問單元具有詢問配置文件，所述詢問配置文件例如包含預(yù)先確定的詢問和應(yīng)該何時將這些詢問發(fā)送給在第一網(wǎng)絡(luò)中的設(shè)備的時間方案。相同的詢問配置文件存在于布置在第二網(wǎng)絡(luò)中的分析單元中。在第一方法步驟2中，在第一網(wǎng)絡(luò)之內(nèi)由詢問單元根據(jù)存儲在該詢問單元中的詢問配置文件來向所述至少一個設(shè)備請求數(shù)據(jù)。所述請求例如可以通過發(fā)送詢問消息、也包括請求消息來進行，所述詢問消息或者直接尋址到各個設(shè)備上或者作為組播消息或廣播消息由多個設(shè)備來接收和分析。作為對這些詢問消息的反應(yīng)，所述一個或多個設(shè)備例如在應(yīng)答消息中將所請求的數(shù)據(jù)發(fā)回給詢問單元。

現(xiàn)在，在方法步驟3中，被發(fā)回的數(shù)據(jù)通過在第一網(wǎng)絡(luò)中的監(jiān)聽單元被監(jiān)聽并且被傳送給在第二網(wǎng)絡(luò)中的分析單元。在此，監(jiān)聽單元例如本身可以僅僅將所述設(shè)備的與對所發(fā)送的詢問消息的應(yīng)答相對應(yīng)的那些應(yīng)答消息傳送到第二網(wǎng)絡(luò)中。但是，也可以監(jiān)聽由一個設(shè)備發(fā)送并且尋址到該詢問單元上的全部數(shù)據(jù)流量。但是，監(jiān)聽單元也可以僅僅監(jiān)聽或分析所述數(shù)據(jù)流量或如下確定的消息類型，所述消息類型在將詢問消息從所述設(shè)備發(fā)送給詢問單元之后在預(yù)先確定的時間間隔內(nèi)被發(fā)送。

尤其是，通過使監(jiān)聽時間限于所發(fā)送的詢問消息之后的時間間隔，可以防止檢測到并非針對當前詢問發(fā)回的應(yīng)答消息、即卻在對詢問消息的應(yīng)答的格式方面相同的消息。因此，這種應(yīng)答消息和相對應(yīng)地包含的數(shù)據(jù)沒有使稍后的分析失真。

緊接著，在方法步驟4中，在分析單元中，將所監(jiān)聽到的數(shù)據(jù)與按照詢問配置文件所期望的數(shù)據(jù)進行比較。也就是說，例如將應(yīng)答消息與所發(fā)送的詢問消息進行比較，并且僅僅當針對應(yīng)答消息能夠確定詢問消息時，才接受該應(yīng)答消息。

如果所監(jiān)聽到的數(shù)據(jù)或應(yīng)答消息與按照詢問配置文件所期望的數(shù)據(jù)或應(yīng)答消息有偏差，那么由分析單元提供報警信號，參見方法步驟5。在此，在唯一的偏差的情況下、即當針對一個應(yīng)答消息已經(jīng)不能找到所屬的詢問消息時，提供報警信號，要不然也可以關(guān)于有偏差的數(shù)據(jù)的最大數(shù)量來限定預(yù)先確定的閾值并且在超過該閾值之后才提供報警信號。

作為對報警信號的反應(yīng)，可以將報警通知顯示在分析單元中和/或顯示在診斷設(shè)備中，所述數(shù)據(jù)例如為了進一步分析而被傳送給所述分析單元和/或所述診斷設(shè)備。但是，也可以通過報警信號在監(jiān)聽設(shè)備中或者在分析單元中要不然在診斷設(shè)備中制成在監(jiān)控報告（即所謂的日志文件）中的記錄。也可以產(chǎn)生針對操作人員的錯誤通知、例如以報警聲音或光信號或在監(jiān)控器上的顯示的形式的錯誤通知。此外，還可能的是觸發(fā)對該報警信號的主動反應(yīng)。這樣，例如可以通過中斷電流供應(yīng)來實現(xiàn)詢問單元的重新起動。因此，這允許對在第一網(wǎng)絡(luò)中的組件的間接訪問。由此，可以重新發(fā)起詢問過程，即在詢問單元中對詢問消息的發(fā)送。也可能的是，根據(jù)報警信號來轉(zhuǎn)發(fā)或者阻止所監(jiān)聽到的數(shù)據(jù)，或容許或者禁止從分析單元對所監(jiān)聽到的數(shù)據(jù)的讀取訪問。

詢問配置文件可以針對不同類型的被觀察的通信來限定不同的詢問規(guī)則。例如，在針對不同的數(shù)據(jù)類型和/或針對不同的設(shè)備類型（諸如針對不同的儀器類型）和/或針對各個設(shè)備本身的詢問配置文件中，包含有不同的詢問規(guī)則，這樣，例如可以針對在鐵路控制網(wǎng)絡(luò)中的所有鐵路柵欄來在詢問配置文件中記錄比例如針對信號設(shè)施更長的詢問間隔。

另一方面，詢問配置文件也可以針對不同的數(shù)據(jù)類型、不同的設(shè)備類型或者針對各個設(shè)備本身包含統(tǒng)一的詢問規(guī)則。這種簡單的方案例如也可以通過不那么復(fù)雜的詢問單元來輔助。

尤其是可以將所監(jiān)聽到的數(shù)據(jù)暫存在監(jiān)聽單元或暫存在分析單元中。在將數(shù)據(jù)從分析單元中轉(zhuǎn)發(fā)或讀出并且傳送給診斷單元之前，才檢驗所監(jiān)聽到的數(shù)據(jù)。一方面可以關(guān)于詢問配置文件來執(zhí)行檢驗。但是，也可以在其有效性方面檢驗加密校驗和，所述加密校驗和已經(jīng)由所述設(shè)備本身通過所發(fā)送的數(shù)據(jù)或應(yīng)答消息形成并且已經(jīng)與所述應(yīng)答消息一起被傳送給詢問單元。然而，為此，在分析單元中必須存在被用在該設(shè)備中的加密密鑰，或者在不對稱加密系統(tǒng)的情況下，例如必須存在與該設(shè)備的私鑰匹配的公鑰。

如果這種檢驗沒有成功地進行，那么優(yōu)選地將替代值或錯誤通知傳送給診斷單元。因此，被檢驗的是：是否已經(jīng)以一種方式確定了與預(yù)先給定的詢問配置文件相對應(yīng)的所暫存的數(shù)據(jù)。在傳送所述數(shù)據(jù)之后，在方法步驟6中結(jié)束該方法。

所描述的方法能夠?qū)崿F(xiàn)：保證數(shù)據(jù)傳輸?shù)恼_的工作原理，而不需要直接訪問在安全重要的第一網(wǎng)絡(luò)中的組件。如果確定了所確定的數(shù)據(jù)與預(yù)先確定的詢問配置文件的偏差，那么這是對例如診斷數(shù)據(jù)的檢測有錯誤的提示，并且能夠?qū)崿F(xiàn)：一方面將這種數(shù)據(jù)識別為不正確的并且在對所述數(shù)據(jù)的評估和說服力方面考慮這一點。此外，還可以引起用于消除這種錯誤的措施。

現(xiàn)在，在圖2中，以運行安全網(wǎng)絡(luò)為例描述了用于借助于單路徑通信來無反作用地檢測數(shù)據(jù)的相對應(yīng)的裝置10。該運行安全網(wǎng)絡(luò)可以是鐵路自動化網(wǎng)絡(luò)、車輛控制網(wǎng)絡(luò)、能量自動化網(wǎng)絡(luò)、制造自動化網(wǎng)絡(luò)、過程自動化網(wǎng)絡(luò)或者諸如此類的。在圖2中所示出的第一網(wǎng)絡(luò)12在此對應(yīng)于運行安全網(wǎng)絡(luò)，所述運行安全網(wǎng)絡(luò)具有在數(shù)據(jù)傳輸和訪問權(quán)限方面的高安全性要求。在這種運行安全網(wǎng)絡(luò)中的設(shè)備16.1、16.2、16.3尤其可以是帶有被連接的傳感器或執(zhí)行器的控制計算機和現(xiàn)場設(shè)備。所述設(shè)備16.1、16.2、16.3通過具有高安全性要求的第一網(wǎng)絡(luò)12、例如通過連接線路18或者也通過無線通信連接（例如wlan）彼此連接。所述設(shè)備16.1、16.2、16.3例如通過機器到機器協(xié)議（m2m）、如由opc組織規(guī)定的opc統(tǒng)一架構(gòu)（簡稱opcua）來進行通信，所述opc統(tǒng)一架構(gòu)規(guī)定了用于在工業(yè)網(wǎng)絡(luò)之間傳輸例如狀態(tài)通知或報警通知的特定的消息。

現(xiàn)在，在所示出的例子中，例如由裝置10從第一網(wǎng)絡(luò)12中無反作用地讀出所述設(shè)備16.1、16.2、16.3的診斷數(shù)據(jù)并且將所述診斷數(shù)據(jù)傳輸給在診斷網(wǎng)絡(luò)15中的診斷設(shè)備19，所述診斷網(wǎng)絡(luò)15布置在具有較低安全性要求的第二網(wǎng)絡(luò)11中。裝置10包含詢問單元14、監(jiān)聽單元21、分析單元13以及報警單元24。

詢問單元14布置在第一網(wǎng)絡(luò)12中并且將詢問發(fā)送給不同的設(shè)備16.1、16.2、16.3。詢問單元14按照預(yù)先給定的詢問配置文件17'來發(fā)送這些詢問、例如opcua詢問消息。詢問配置文件17'例如可以通過服務(wù)技術(shù)員被引入到詢問單元14中，要不然可以在制造或安裝到第一網(wǎng)絡(luò)12中時被配置到詢問單元14中。

在設(shè)備16.1、16.2、16.3中接收到這種詢問消息之后，所述設(shè)備16.1、16.2、16.3以應(yīng)答消息（也稱為響應(yīng)）來應(yīng)答。這些應(yīng)答消息或者也包括包含在其中的信息對應(yīng)于已經(jīng)提到的數(shù)據(jù)。

單路徑通信由來自第一網(wǎng)絡(luò)12的監(jiān)聽單元21通過對例如在連接線路18上的數(shù)據(jù)流量的監(jiān)聽來讀出，并且被傳輸給分析單元13。分析單元13優(yōu)選地已經(jīng)布置在第二網(wǎng)絡(luò)11（諸如具有較低安全性要求的辦公室網(wǎng)絡(luò)）中。在第一網(wǎng)絡(luò)12與第二網(wǎng)絡(luò)11之間的界限是通過在圖2中以及同樣在圖3中的點狀線來示出。

監(jiān)聽單元21可以只監(jiān)聽在第一網(wǎng)絡(luò)11中傳輸?shù)臄?shù)據(jù)，以便確保無反作用性。所述監(jiān)聽單元21不能將消息發(fā)送給設(shè)備16.1、16.2、16.3而且也不能將消息發(fā)送給詢問單元14。所述監(jiān)聽單元21例如可以監(jiān)聽在連接線路18上傳輸?shù)娜繑?shù)據(jù)流量或者只監(jiān)聽opcua通信的已經(jīng)由詢問單元14詢問的消息。

在第二網(wǎng)絡(luò)11中的分析單元13比照詢問配置文件17來檢驗所監(jiān)聽到的數(shù)據(jù)流量或opcua通信的消息，所述詢問配置文件17對應(yīng)于在詢問單元14中的詢問配置文件17'。根據(jù)所監(jiān)聽到的opcua通信是否對應(yīng)于該詢問配置文件，將所監(jiān)聽到的數(shù)據(jù)提供給診斷計算機19。由此，尤其是可以實現(xiàn)：只轉(zhuǎn)發(fā)與詢問配置文件17、17'相對應(yīng)的所監(jiān)聽到的數(shù)據(jù)。由此，尤其是可以禁止轉(zhuǎn)發(fā)不容許的或過時的通信。也可以實現(xiàn)：只有當已經(jīng)觀察到所屬的詢問消息20.1、20.2、20.3時，才轉(zhuǎn)發(fā)數(shù)據(jù)。

在這里所示出的實施例中，分析單元具有集成的報警單元24，所述報警單元24在對所監(jiān)聽到的數(shù)據(jù)的沒有成功的檢驗的情況下提供報警信號。該報警信號可以在分析單元13本身中被轉(zhuǎn)換、例如被轉(zhuǎn)換為在分析單元13的監(jiān)控報告中的記錄。但是，該報警信號也可以觸發(fā)錯誤通知，所述錯誤通知被發(fā)給診斷單元19。

診斷設(shè)備19可以例如同樣通過opcua詢問來對分析單元13提出詢問。這通常被稱作消息拉動（nachrichten-pull）。根據(jù)是否已經(jīng)觀察到合適的、滿足詢問配置文件17、17'的數(shù)據(jù)通信，提供相對應(yīng)的數(shù)據(jù)。在詢問配置文件17、17'受損的情況下，可以返回替代值或者錯誤。同樣，可以主動地通過分析單元13將數(shù)據(jù)提供給診斷單元19。這也被稱作推動模式（push-modus）。

為了對拉動機制進行輔助，分析單元13可以暫存來自第一網(wǎng)絡(luò)12的所監(jiān)聽到的數(shù)據(jù)?，F(xiàn)在，在圖3中依據(jù)分析單元13的放大圖來描述這一點。

所監(jiān)聽到的數(shù)據(jù)（這里例如為opcua通信記錄）例如可以被維持在本地數(shù)據(jù)存儲器22中。在此，例如每個詢問消息x、a、b連同詢問消息所指向的信息都被記錄在y列中。在z列中，存儲有在應(yīng)答消息中返回給詢問單元14的應(yīng)答消息或數(shù)據(jù)。在t(z)列中，登記有應(yīng)答消息的接收時間。被記錄在本地數(shù)據(jù)存儲器22中的詢問消息x、a、b在圖3的示出第一網(wǎng)絡(luò)11的右邊部分中從詢問單元14到設(shè)備16.1、16.2上作為詢問消息a、b、x來繪出。為了更好的概況，相對應(yīng)的應(yīng)答消息在沒有自己的附圖標記的情況下被繪出。所述應(yīng)答消息和/或也包括詢問消息通過在第一網(wǎng)絡(luò)12中的監(jiān)聽單元21例如從連接線路截取。

現(xiàn)在，在例如布置在第二網(wǎng)絡(luò)11中的分析單元13中，可以將這些實際上被實現(xiàn)的詢問消息和應(yīng)答消息與詢問配置文件17進行比較。同樣，可以通過對應(yīng)答消息的探測時間來確定：在詢問消息的發(fā)送時間點之后的預(yù)先給定的時間窗內(nèi)是否已經(jīng)接收到應(yīng)答消息。如果詢問消息與預(yù)先確定的詢問配置文件17、17'一致和/或如果在預(yù)先給定的時間間隔內(nèi)已經(jīng)接收到所屬的應(yīng)答消息，那么所述詢問消息和應(yīng)答消息例如通過診斷網(wǎng)絡(luò)15傳送給診斷設(shè)備19?？梢杂稍\斷設(shè)備19以探測的方式來詢問分析單元13的數(shù)據(jù)。但是，分析單元13也可以自主地將診斷數(shù)據(jù)例如在預(yù)先給定的時間間隔內(nèi)發(fā)送給診斷設(shè)備19。

所有被描述的和/或被繪出的特征都可以在本發(fā)明的范圍內(nèi)有利地彼此組合。本發(fā)明并不限于所描述的實施例。尤其是，本發(fā)明并不限于例如鐵路安全系統(tǒng)的被用作例子的診斷網(wǎng)絡(luò)，而是也可以被用在其它工業(yè)環(huán)境中。

在此，詢問單元14也可以被構(gòu)造為與監(jiān)聽單元、分析單元以及報警單元在物理上分離的單元。監(jiān)聽單元21同樣可以被構(gòu)造為在物理上分離的單元，要不然可以與分析單元13和報警單元24集成地來構(gòu)造。