DE102021111950A1 - Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm - Google Patents

Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm Download PDF

Info

Publication number
DE102021111950A1
DE102021111950A1 DE102021111950.2A DE102021111950A DE102021111950A1 DE 102021111950 A1 DE102021111950 A1 DE 102021111950A1 DE 102021111950 A DE102021111950 A DE 102021111950A DE 102021111950 A1 DE102021111950 A1 DE 102021111950A1
Authority
DE
Germany
Prior art keywords
computer system
resource
resource manager
communication
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021111950.2A
Other languages
English (en)
Inventor
Adam Kostrzewa
Rolf Ernst
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technische Univ Braunschweig Koerperschaft Des Oeffentlichen Rechts
Technische Universitaet Braunschweig Koerperschaft Des Oeffentlichen Rechts
Original Assignee
Technische Univ Braunschweig Koerperschaft Des Oeffentlichen Rechts
Technische Universitaet Braunschweig Koerperschaft Des Oeffentlichen Rechts
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technische Univ Braunschweig Koerperschaft Des Oeffentlichen Rechts, Technische Universitaet Braunschweig Koerperschaft Des Oeffentlichen Rechts filed Critical Technische Univ Braunschweig Koerperschaft Des Oeffentlichen Rechts
Priority to DE102021111950.2A priority Critical patent/DE102021111950A1/de
Priority to EP22727862.9A priority patent/EP4335100A1/de
Priority to PCT/EP2022/062157 priority patent/WO2022234019A1/de
Publication of DE102021111950A1 publication Critical patent/DE102021111950A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0873Checking configuration conflicts between network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, das mehrere verteilte Teilnehmerstationen aufweist, wobei das Computersystem in Regionen hierarchisch gegliedert ist und jeweils einer Region eine oder mehrere Teilnehmerstationen zugeordnet sind, wobei die Teilnehmerstationen jeweils wenigstens einen Rechner, wenigstens eine Ressource des Computersystems, wenigstens einen Ressourcen-Manager, der zur Verwaltung der ihm zugeordneten Ressourcen des Computersystems eingerichtet ist, und wenigstens ein internes Kommunikationsmedium aufweisen, über das der wenigstens eine Rechner, die wenigstens eine Ressource und der wenigstens eine Ressourcen-Manager Teilnehmerstations-intern zur Durchführung einer Datenkommunikation gekoppelt sind, wobei die Teilnehmerstationen über wenigstens ein externes Kommunikationsmedium miteinander zur Durchführung einer Datenkommunikation gekoppelt sind, wobei an einem externen Kommunikationsmedium Ressourcen und/oder Ressourcen-Manager des Computersystems angekoppelt sein können. Die Erfindung betrifft außerdem ein Computersystem zur Ausführung eines solchen Verfahrens sowie ein Computerprogramm dafür.

Description

  • Die Erfindung betrifft ein Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, das mehrere verteilte Teilnehmerstationen aufweist, wobei das Computersystem in Regionen hierarchisch gegliedert ist und jeweils einer Region eine oder mehrere Teilnehmerstationen zugeordnet sind, wobei die Teilnehmerstationen jeweils wenigstens einen Rechner, wenigstens eine Ressource des Computersystems, wenigstens einen Ressourcen-Manager, der zur Verwaltung der ihm zugeordneten Ressourcen des Computersystems eingerichtet ist, und wenigstens ein internes Kommunikationsmedium aufweisen, über das der wenigstens eine Rechner, die wenigstens eine Ressource und der wenigstens eine Ressourcen-Manager Teilnehmerstations-intern zur Durchführung einer Datenkommunikation gekoppelt sind, wobei die Teilnehmerstationen über wenigstens ein externes Kommunikationsmedium miteinander zur Durchführung einer Datenkommunikation gekoppelt sind, wobei an einem externen Kommunikationsmedium Ressourcen und/oder Ressourcen-Manager des Computersystems angekoppelt sein können. Die Erfindung betrifft außerdem ein Computersystem zur Ausführung eines solchen Verfahrens sowie ein Computerprogramm dafür.
  • Beispiele für solche verteilten Computersysteme sind vernetze Computersysteme, z.B. Multicore ECUs, innerhalb eines Fahrzeuges oder Gebäudes, oder über Datenverbindungen vernetzte Fahrzeuge, deren jeweilige lokale Computersysteme miteinander kommunizieren, oder sonstige Computernetze, wie z.B. das Internet. Beim erstgenannten Beispiel eines Fahrzeugs und dessen internen, vernetzten Systemen kann es sich z.B. um eine ECU (ECU - Electronic Control Unit, d.h. elektronisches Steuergerät) mit Multicore Computersystem mit internem Bus oder Netzwerk und Ressourcen-Manager handeln. Mehrere dieser ECUs sind dann z.B. über ein Netzwerk (Ethernet, ggf. mit eigenem Ressourcen-Manager) miteinander verbunden. Der Begriff der Teilnehmerstation ist dabei im weitesten Sinne zu verstehen. Eine Teilnehmerstation kann z.B. ein lokaler Computer oder ein Computersystem sein, z.B. auch ein Mehrprozessor-Computersystem, wie es aus dem eingangs genannten Stand der Technik bekannt ist. Teilnehmerstationen können insbesondere busbasierte Computersysteme und Router-basierte Computersysteme, auch gemischt, sein
  • Aus der WO 2018/202446 A1 ist bereits ein Verfahren, Computersystem und Computerprogramm bekannt, bei dem ein System verteilter Ressourcen-Manager zum Einsatz kommt.
  • Der Erfindung liegt die Aufgabe zugrunde, ein weiter verbessertes Verfahren, Computersystem und Computerprogramm anzugeben.
  • Diese Aufgabe wird bei einem Verfahren der eingangs genannten Art dadurch gelöst, dass in jeder Region einem Ressourcen-Manager die Funktion eines Supervisors zugewiesen ist, der die sonstigen Ressourcen-Manager seiner Region und die ihm in der Hierarchie untergeordneten Supervisoren beaufsichtigt, Entscheidungen über deren Anfragen trifft und Konflikte zwischen Anfragen löst, wobei eine gewünschte Ende-zu-Ende-Kommunikationsverbindung zwischen einem Anfrager, der auf eine gewünschte Ressource zugreifen will, und der gewünschten Ressource durch den Supervisor der Region des Anfragers bei Bedarf kooperativ mit anderen beteiligten Supervisoren und/oder sonstigen Ressourcen-Managern geplant und dann hergestellt wird.
  • Hierdurch wird ein noch universeller einsetzbarer und breiterer Ansatz für ein Ressourcenmanagement in komplexen Computersystemen angegeben, insbesondere für verteilte Echtzeit-Systeme. Die Erfindung eignet sich beispielsweise für die Ressourcenverwaltung in Connected Car-Anwendungen oder sonstige Anwendungen, bei denen die Kommunikation über sich im Betrieb des Computersystems verändernde Kommunikationsverbindungen erfolgt, z.B. über Drahtlos-Kommunikationsverbindungen wie WLAN und zelluläre Netzwerke.
  • Die Erfindung berücksichtigt insbesondere die Besonderheiten von rechnergesteuerten Anwendungen in Fahrzeugsystemen, die für die Weiterführung der jeweiligen Anwendung einen vollständigen Datensatz benötigen und nicht nur einzelne Datenpakete. Ein solcher Datensatz kann z.B. ein Frame eines Fahrzeugsensors sein, z.B. eines Videosensors, eines LIDAR-Sensors oder eines Radar-Sensors, oder ein Objekt des Betriebssystems, z.B. ROS, AUTOSAR, oder andere Kommunikations-Datensätze, wie z.B. DDS oder SOME/IP. Solche Datensätze sind häufig mehrere Tausend Kilobyte groß, oder sogar im Bereich von Megabyte bei hochauflösenden Sensoren für das automatisierte Fahren. Solche Datenmengen werden bei den üblichen Kommunikationsverbindungen in der Regel paketweise übertragen, wobei durchaus eine Vielzahl von Paketen auftreten kann. Um eine kontinuierliche Durchführung der Abläufe im Computersystem, d.h. der Abläufe der einzelnen Systemkomponenten, sicherzustellen, ermöglicht die Erfindung die Sicherstellung von Quality of Service Anforderungen für die Übertragung des vollständigen Datensatzes in definierten Zeiträumen.
  • Dies wird beim erfindungsgemäßen Verfahren durch die hierarchische Gliederung der Ressourcen-Manager gewährleistet, bei der einem Ressourcen-Manager die Funktion eines Supervisors zugewiesen ist, der die übrigen Ressourcen-Manager beaufsichtigt. Zudem wird beim erfindungsgemäßen Verfahren bei der Herstellung von Kommunikationsverbindungen oder für andere Abläufe im Computersystem eine mehrschrittige Verfahrensweise vorgeschlagen, bei der es erst eine Planungsphase, in der die Abläufe geplant werden, und dann eine Durchführungsphase für die Durchführung der Abläufe gibt. In der Planungsphase können Worst Case Sezenarien bezüglich der sich im Betrieb des Computersystems verändernden Kommunikationsverbindungen berücksichtigt werden.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass
    1. a) wenigstens ein Ressourcen-Manager prüft, bei Bedarf kooperativ mit anderen beteiligten Ressourcen-Managern, ob Abläufe im Computersystem eine Rekonfiguration wenigstens einer für die Abläufe erforderlichen Ressource erfordern,
    2. b) sofern eine Rekonfiguration erforderlich ist, erstellen die beteiligten Ressourcen-Manager vorab einen Ablaufplan für einen Übergang von einer Konfiguration auf eine andere Konfiguration der wenigstens einen für die Abläufe erforderlichen Ressource derart, dass zumindest die sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der gewünschten Ende-zu-Ende-Kommunikationsverbindung beibehalten werden.
  • Auf diese Weise kann ein automatisches Rekonfigurations-Management unter Nutzung der Ressourcen-Manager implementiert werden. Insbesondere bei Fahrzeug-Anwendungen ist im praktischen Betrieb davon auszugehen, dass durch äußere Ereignisse, wie z.B. Wechsel der Mobilfunk-Zelle, des Öfteren Konfigurationsänderungen erforderlich sind. Die hiermit verbundenen Rekonfigurationen können durch die Ressourcen-Manager in sicherer Weise durchgeführt werden, wobei auch hier die zuvor erwähnte Planungsphase durchgeführt wird. In der Planungsphase wird der Ablaufplan erstellt, der dann für die Durchführung der Rekonfiguration ausgeführt wird. Ein Anlass für eine Rekonfiguration kann z.B. die Degradation einer oder mehrerer Ressourcen des Computersystems sein, z.B. die Verringerung der Übertragungsbandbreite eines Kommunikationsmediums.
  • Vorteilhafter Weise hat jede Teilnehmerstation wenigstens einen Ressourcen-Manager. Dieser Ressourcen-Manager kann unterschiedliche Funktionen haben, so kann er beispielsweise Zugriffe innerhalb der Teilnehmerstation arbitrieren, jedoch ist dies kein zwingendes Erfordernis. Es ist auch möglich, dass ein Ressourcen-Manager zur Synchronisation von Zugriffen ein externes Kommunikationsmedium verwendet und die Kommunikation auf dem internen Kommunikationsmedium nicht synchronisiert wird.
  • Durch die Gliederung des Computersystems in Regionen und die hiermit verbundene Hierarchie zwischen den Ressourcen-Managern kann die Planung der Abläufe des Computersystems, insbesondere der Ende-zu-Ende-Kommunikationsverbindungen, kooperativ zwischen den Ressourcen-Managern in einzelne Steueraufgaben entflechtet werden, die von dem jeweiligen Ressourcen-Manager einer individuellen Region bearbeitet werden. Der Begriff der Region ist dabei nicht zwangsläufig im geographischen Sinne zu verstehen. Als Region wird im Sinne der Erfindung auch eine hinsichtlich der Funktion oder der technischen Zusammenhänge gebildete Region verstanden. Im Bereich von Connected Car-Anwendungen kann eine Region z.B. durch einen MSP-Server, ein WLAN-Netzwerk, ein zelluläres Netzwerk und ein Fahrzeugsystem jeweils gebildet werden. Innerhalb des Fahrzeugsystems kann ebenfalls eine Aufgliederung in mehrere Regionen vorgenommen werden.
  • Einer der Abläufe im Computersystem kann z.B. die Herstellung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung sein, oder deren zwangsweise Beendigung oder Anpassung, z.B. um die Beibehaltung von sicherheitskritischen und/oder kontinuierlichen Abläufen im Computersystem sicherzustellen. Nachfolgend sei ein Beispiel der Herstellung einer Ende-zu-Ende-Kommunikationsverbindung erläutert.
  • Das Verfahren beinhaltet folgende Verfahrensschritte:
    1. a) ein Anfrager, der auf eine gewünschte Ressource zugreifen will, die eine Ressource jenseits der Teilnehmerstation des Anfragers sein kann, sendet dem ihm zugeordneten Ressourcen-Manager oder einem anderen Ressourcen-Manager des Computersystems eine Parameter aufweisende Verbindungsanforderung zur Herstellung einer Ende-zu-Ende-Kommunikationsverbindung zwischen dem Anfrager und der gewünschten Ressource,
    2. b) der die Verbindungsanforderung empfangende Ressourcen-Manager prüft, bei Bedarf kooperativ mit anderen beteiligten Ressourcen-Managern, ob die gewünschte Ende-zu-Ende-Kommunikationsverbindung eine Rekonfiguration wenigstens einer für die gewünschte Ende-zu-Ende-Kommunikationsverbindung erforderlichen Ressource erfordert,
    3. c) sofern eine Rekonfiguration erforderlich ist, erstellen die beteiligten Ressourcen-Manager vorab einen Ablaufplan für einen Übergang von einer Konfiguration auf eine andere Konfiguration der wenigstens einen für die gewünschte Ende-zu-Ende-Kommunikationsverbindung erforderlichen Ressource derart ein, dass zumindest die sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der Verbindungsanforderung beibehalten werden,
    4. d) sofern die gewünschte Ende-zu-Ende-Kommunikationsverbindung zur gewünschten Ressource unter Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der Verbindungsanforderung hergestellt werden kann, wird die gewünschte Ressource durch den die gewünschte Ressource verwaltenden Ressourcen-Manager gemäß den Parametern der Verbindungsanforderung reserviert und dem Anfrager signalisiert, dass die gewünschte Ende-zu-Ende-Kommunikationsverbindung hergestellt werden kann,
    5. e) auf Anforderung des Anfragers stellen die beteiligten Ressourcen-Manager dann kooperativ die gewünschte Ende-zu-Ende- Kommunikationsverbindung gemäß der Reservierung oder zumindest eine Teil der Reservierung her,
    6. f) der Anfrager greift über die hergestellte Ende-zu-Ende-Kommunikationsverbindung auf die gewünschte Ressource zu.
  • Ein Anfrager kann z.B. ein Rechner des Computersystems, eine Applikation (Anwendung), ein Monitor, ein Hypervisor und/oder ein Client sein. Ein Anfrager kann somit durch Hardwarekomponenten, Softwarekomponenten, oder eine Kombination daraus gebildet sein. Als Monitor wird in diesem Zusammenhang ein Element des Computersystems verstanden, das zur Überwachung (Monitoring) von Hardwarekomponenten und/oder Softwarekomponenten des Computersystems eingerichtet ist. Über den Monitor können z.B. Fehlfunktionen im Computersystem detektiert werden. Ein Ressourcen-Manager kann dabei Monitoring-Informationen, d.h. Daten vom Monitor, für die Optimierung, Umschaltung und/oder Fehlersicherheit nutzen.
  • In dem Verfahren kann zudem vorgesehen sein, dass der die Verbindungsanforderung empfangende Ressourcen-Manager zumindest dann, wenn die Verbindungsanforderung als gewünschte Ressource eine Fremd-Ressource betrifft, die nicht von diesem Ressourcen-Manager verwaltet wird, Anfragen an andere Ressourcen-Manager des Computersystems sendet, um die gewünschte Ende-zu-Ende-Kommunikationsverbindung herzustellen.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass eine sichere Übergangssequenz für den Übergang von der einen Konfiguration auf die andere Konfiguration der wenigstens einen für die Abläufe erforderlichen Ressource bestimmt wird. Durch eine solche sichere Übergangssequenz kann die Beibehaltung der kontinuierlichen und/oder sicherheitskritischen Abläufe im Computersystem sichergestellt werden. Die sichere Übergangssequenz kann z.B. ein zuverlässiges Timing der Operationen der Rekonfiguration beinhalten, wobei die Latenzzeit der Nachrichtenübertragung und die Latenzzeit des Rekonfigurationsprozesses berücksichtigt werden. Die Übergangssequenz kann insbesondere in dem Sinne sicher gestaltet werden, dass durch die Übergangssequenz die Erhaltung der Übertragungskontinuität und der Dienstgüteanforderungen gewährleistet wird.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass in Kooperation von beteiligten Ressourcen-Managern, Endgeräten, Netzwerkkomponenten und Anwendungen eine vollständige oder teilweise Rücknahme von weniger wichtigen Anforderungen der Abläufe ausgehandelt wird, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen sicherzustellen. Beispielsweise kann eine vollständige oder teilweise Rücknahme von weniger wichtigen Anforderungen der Verbindungsanforderung ausgehandelt werden.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der Ablaufplan vor der Herstellung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung durch Kooperation der Supervisoren aller Regionen, die an der gewünschten Ende-zu-Ende-Kommunikationsverbindung beteiligt sind, festgelegt wird. Hierdurch kann bei der späteren Ausführung des Ablaufplans die kontinuierliche Beibehaltung zumindest der sicherheitskritischen Abläufe des Computersystems sichergestellt werden.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der Ablaufplan vor der Herstellung einer gewünschten Ende-zu-Ende- Kommunikationsverbindung durch Kooperation beteiligter Ressourcen-Manager mit einem oder mehreren Endgeräten, Netzwerkelementen und/oder Anwendungen auf diesen Endgeräten festgelegt wird.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der Ablaufplan den Einsatz dauerhafter und/oder vorübergehender Redundanz zumindest während des Übergangs von einer Konfiguration auf eine andere Konfiguration im Computersystem beinhaltet, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Abläufe im Computersystem sicherzustellen, insbesondere die Beibehaltung der kontinuierlichen Arbeit von sicherheitskritischen Anwendungen, die in dem Computersystem laufen, und/oder der sicherheitskritischen Kommunikationsverbindungen. Auf diese Weise kann der Einsatz von Redundanz auf ein Minimum begrenzt werden, sodass damit verbundene Kosten minimiert werden.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der Ablaufplan unter Berücksichtigung von permanenten und/oder transienten Fehlern, die während der Rekonfiguration auftreten können, erstellt wird. Auf diese Weise wird auch eine Sicherheit gegenüber solchen Federmöglichkeiten bei der Rekonfiguration und der anschließenden Ende-zu-Ende-Kommunikationsverbindung sichergestellt.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der Ablaufplan für den Fall, dass während der Ausführung der Konfigurations-Schritte der Rekonfiguration eine Kommunikationsverbindung abbricht oder eine an der Kommunikationsverbindung beteiligte Komponente ausfällt, beinhaltet, dass eine sichere Konfiguration eingenommen wird, bei der zumindest die sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der gewünschten Ende-zu-Ende-Kommunikationsverbindung beibehalten werden. Auf diese Weise berücksichtigt die Vorplanung, d.h. der Ablaufplan, auch solche unerwarteten Ereignisse, was z.B. für den kontinuierlichen Betrieb von autonomen Fahrzeugen von großer Bedeutung ist.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass die Rekonfiguration von wenigstens einem Ressourcen-Manager und/oder wenigstens einem Anfrager initiiert wird. So ist es insbesondere vorteilhaft möglich, dass eine Rekonfiguration von einem Ressourcen-Manager selbst initiiert wird, z.B. wenn der Ressourcen-Manager bei einer Überwachung der Datenübertragungen festgestellt wird, dass ein Übertragungs-Engpass droht.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass von wenigstens einem Ressourcen-Manager eine bereits hergestellte Ende-zu-Ende-Kommunikationsverbindung beendet oder angepasst wird, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Abläufe im Computersystem sicherzustellen. Auf diese Weise kann beispielsweise neu aufgetretenen Datenübertragungsanforderungen schnell eine entsprechende Übertragungsbandbreite bereitgestellt werden, wenn diese besonders sicherheitskritisch oder auch aus anderen Gründen hochpriorisiert sind.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass die Systemkomponenten des verteilten Computersystems auch dann autonom arbeiten können, wenn keine Verbindung zu einem Ressourcen-Manager besteht oder der Ressourcen-Manager dauerhaft ausfällt.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass die Parameter der Verbindungsanforderung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung einen, mehrere oder alle der folgenden Parameter umfassen:
    • - einen Zustand und/oder ein Muster früherer Ressourcenzugriffe einer oder mehrerer der Komponenten des Computersystems,
    • - eine elektrische Spannung und/oder eine Taktfrequenz, mit der eine oder mehrere der Komponenten des Computersystems betrieben werden,
    • - eine Temperatur einer oder mehrerer der Komponenten des Computersystems,
    • - eine Anzahl von Datenpaketen, die innerhalb eines festgelegten Zeitraums über ein internes und/oder externes Kommunikationsmedium übertragen wurden,
    • - Art, Umfang und/oder Zeitverhalten der gewünschten Ressource.
  • Die eingangs genannte Aufgabe wird außerdem gelöst durch ein Computersystem, das mehrere verteilte Teilnehmerstationen aufweist, wobei das Computersystem in Regionen hierarchisch gegliedert ist und jeweils einer Region eine oder mehrere Teilnehmerstationen zugeordnet sind, wobei die Teilnehmerstationen jeweils wenigstens einen Rechner, wenigstens eine Ressource des Computersystems, wenigstens einen Ressourcen-Manager, der zur Verwaltung der ihm zugeordneten Ressourcen des Computersystems eingerichtet ist, und wenigstens ein internes Kommunikationsmedium aufweisen, über das der wenigstens eine Rechner, die wenigstens eine Ressource und der wenigstens eine Ressourcen-Manager Teilnehmerstations-intern zur Durchführung einer Datenkommunikation gekoppelt sind, wobei die Teilnehmerstationen über wenigstens ein externes Kommunikationsmedium miteinander zur Durchführung einer Datenkommunikation gekoppelt sind, wobei an einem externen Kommunikationsmedium Ressourcen und/oder Ressourcen-Manager des Computersystems angekoppelt sein können, wobei in jeder Region einem Ressourcen-Manager die Funktion eines Supervisors zugewiesen ist, der die ihm in der Hierarchie untergeordneten Ressourcen-Manager beaufsichtigt, Entscheidungen über deren Anfragen trifft und Konflikte zwischen Anfragen löst, wobei das Computersystem zur Ausführung eines Verfahrens nach einem der vorhergehenden Ansprüche eingerichtet ist. Auch hierdurch können die zuvor erläuterten Vorteile realisiert werden.
  • Soweit ein Rechner erwähnt ist, kann dieser dazu eingerichtet sein, ein Computerprogramm, z.B. im Sinne von Software, auszuführen. Der Rechner kann als handelsüblicher Computer ausgebildet sein, z.B. als PC, Laptop, Notebook, Tablet oder Smartphone, oder als Mikroprozessor, Mikrocontroller oder FPGA, oder als Kombination aus solchen Elementen.
  • Als Ressourcen kann das Computersystem z.B. Speicher, Kommunikationsmedien, Ein- und Ausgabekanäle Sensoren und/oder Aktoren aufweisen.
  • Als Kommunikationsmedium kann das Computersystem z.B. einen Datenbus, ein Network on Chip (NoC), eine Drahtlos-Kommunikationsverbindung, z.B. WLAN, Bluetooth, zelluläres Netzwerk, aufweisen
  • Die eingangs genannte Aufgabe wird außerdem gelöst durch ein Computerprogramm mit Programmcodemitteln, eingerichtet zur Durchführung eines Verfahrens der zuvor erläuterten Art, wenn das Computerprogramm auf einem Rechner oder mehreren Rechnern des Computersystems ausgeführt wird. Auch hierdurch können die zuvor erläuterten Vorteile realisiert werden.
  • Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Verwendung von Zeichnungen näher erläutert.
  • Es zeigen
    • 1 eine kooperative Planung von Zugriffen in einer Connected Car-Anwendung,
    • 2 eine erste Variante einer Ablaufplanung,
    • 3 eine zweite Variante einer Ablaufplanung,
    • 4 eine Ablaufplanung unter Berücksichtigung von Latenzen,
    • 5 einen Protokollablauf einer Rekonfiguration,
    • 6 einen Wechsel der Kommunikationsverbindungen bei einem fahrenden Fahrzeug.
  • Die 1 zeigt eine typische Strukturierung von Kommunikationsverbindungen in einem Connected Car-Szenario. In der obersten Ebene ist eine Cloud 1 vorhanden, die über ein Firmennetzwerk 2 mit einem Edge Server 3 kommunikativ gekoppelt ist. Der Edge Server 3 ist über ein Zugangsnetzwerk 4 mit einem vernetzten Fahrzeug 5 kommunikativ gekoppelt. Das Fahrzeug 5 weist eine Vielzahl von Steuergeräten auf, die jeweilige Teilnehmerstationen 6 des Computersystems bilden. Erfindungsgemäß wird das Computersystem zur Sicherstellung der sicherheitskritischen Abläufe in diverse Regionen 7, 8, 9, 10, 11, 12 strukturiert, z.B. eine Cloud-Region 7, eine Edge-Region 8, eine Edge-Region 9, eine Fahrzeug-Region 10 und eine Fahrzeugregion 11, die weitere Unterregionen 12 haben kann, z.B. On-Chip (ECU)-Regionen. Das gesamte Computersystem ist damit in die diversen Regionen unterteilt. Jede Region hat einen zum Supervisor bestimmten Ressourcen-Manager. Jede Region kann weitere Ressourcen-Manager und/oder Unterregionen mit deren Ressourcen-Managern beinhalten. Die Hierarchie der Ressourcen-Manager beginnt in der untersten Ebene, z.B. bei dem On-Chip Ressourcen-Manager, und setzt sich fort durch das Fahrzeug-interne Netzwerk des Fahrzeugs 5, die Infrastruktur des Edge Server 3 bis hin zur obersten Ebene der Cloud 1, bzw. bis hin zum festinstallierten Telekommunikationsnetzwerk.
  • In den einzelnen Regionen und den einzelnen Ressourcen-Managern können jeweils eigene Regeln für die Verbindungen definiert sein. Diese Regeln berücksichtigen verschiedene Kommunikationseigenschaften, z.B. Objektgröße der Datensätze, Sicherheitsrelevanz und andere Bedingungen. Dies bedingt, dass jeweils ein Zielkonflikt dahingehend gelöst werden muss, ob eine Anwendung oder eine Kommunikation zugelassen werden kann oder nicht und welche Eigenschaften sie haben soll.
  • Beispielsweise kann durch die Regeln sichergestellt werden, dass nur Verbindungen und Änderungen der Verbindungen zugelassen werden, die die jeweils lokal vorgesehenen Regeln nicht verletzen, d.h. die Regeln in der jeweiligen Region. Ferner wird durch die Hierarchie zwischen den Ressourcen-Managern sichergestellt, dass nur zulässige Entscheidungen über jede Ende-zu-Ende-Kommunikationsverbindung getroffen werden.
  • Ressourcen-Manager von Regionen, die in der Hierarchie niedriger sind, fordern eine Ende-zu-Ende-Kommunikationsverbindung für Anwendungen an, die von ihnen überwacht werden. Beispielsweise können die Anwendungen Kommunikationsverbindungsanforderungen (Anfragen) an den zuständigen Ressourcen-Manager senden. Später synchronisiert der Ressourcen-Manager mit seinem Supervisor auf der höheren Ebene die Kommunikation, was dann iterativ wiederholt wird.
  • In jeder Region gibt es nur einen Supervisor, der die Entscheidungen über Konfliktlösungen zwischen Anwendungen trifft, die zu den Regionen gehören, sowie für Anfragen von anderen Ressourcen-Managern aus Regionen, die in der Hierarchie niedriger sind.
  • Jede Region ist dazu eingerichtet, autonom zu operieren, z.B. die Abläufe fortzuführen, wenn die Kommunikationsverbindung zur übergeordneten Region oder zu Regionen in niedrigeren Hierarchieebenen unterbrochen wird.
  • Auf diese Weise können die Erfordernisse der funktionalen Sicherheit, z.B. gemäß ISO 26262, zuverlässig erfüllt werden. Tritt eine Unterbrechung einer Kommunikationsverbindung, z.B. bei der drahtlosen Kommunikation, auf, dann ist das Computersystem, insbesondere auch das Teilsystem im Fahrzeug 5, dazu eingerichtet, in einen Fail-Safe-Betriebsmodus überzugehen. Das Gleiche gilt für den Fall einer unterbrochenen Verbindung von Komponenten innerhalb des Fahrzeugs, z.B. bei der Unterbrechung von Kommunikationsverbindungen zwischen den Steuergeräten 6. Hierdurch können sowohl der Fahrer als auch die Umgebung vor Gefahren geschützt werden. Im Fall von autonomen Fahrzeugen kann ein sicherer Betrieb ebenfalls in den Fehlerfällen sichergestellt werden („Fail-Operational“). Die gleichen sicheren Betriebsmodi können von den anderen Komponenten des Computersystems eingenommen werden, z.B. im Bereich der Edge-Infrastruktur.
  • Als Edge-Infrastruktur wird hierbei insbesondere der Teil der Infrastruktur verstanden, der sich in der Nähe der jeweiligen Position des Fahrzeugs 5 befindet und zur lokalen Kommunikation mit dem Fahrzeug eingerichtet ist. Befindet sich das Fahrzeug 5 beispielsweise an einer Verkehrswege-Kreuzung, so gelten die dort vorhandenen und mit dem Fahrzeug kommunizierenden Infrastruktur-Komponenten in diesem Fall als Edge-Infrastruktur.
  • Zur Herstellung einer Ende-zu-Ende-Kommunikationsverbindung können die zuvor erläuterten Regeln bezüglich der Reihenfolge der Kommunikationen angewandt werden. Beispielsweise kann der Ablauf der Verhandlungen für die Bereitstellung einer Ende-zu-Ende-Kommunikationsverbindung in der Region des Senders beginnen und sich dann stromabwärts zur Region des Empfängers fortsetzen. Selbstverständlich sind auch andere Strategien möglich.
  • Ende-zu-Ende-Kommunikationsverbindungen können durch Ressourcen-Manager auch blockiert oder angepasst werden, wobei dies nicht nur basierend auf Anforderungen der Anwendung erfolgen kann, sondern auch basierend auf Systemüberwachungsanforderungen. Dabei ist es vorteilhaft, eine solche nachträgliche Blockierung oder Anpassung von Kommunikationsverbindungen in einer Weise durchzuführen, dass die etablierte Hierarchie beibehalten wird und die Unterbrechung anderer kritischer Abläufe vermieden wird. Dies sei durch folgendes Beispiel veranschaulicht.
  • Wenn die Anforderungen einer Anwendung bezüglich unterschiedlichen Kommunikationseigenschaften, z.B. Objektgröße (entsprechend den eingangs erläuterten Datensätzen), Sicherheitsrelevanz oder andere Anforderungen nicht länger erfüllt werden können, z.B. aufgrund einer Beendigung der Verbindung, einer Verschlechterung der Verbindungsqualität z.B. bei der Drahtlos-Kommunikation, dann veranlassen die zuständigen Ressourcen-Manager Änderungen an der Kommunikationsverbindung, die vorrangig die kritischen Verbindungen in der Region schützen.
  • Sofern die Arbeit der sicherheitskritischen Verbindungen in der Region sichergestellt ist, beginnen die Ressourcen-Manager mit anderen Ressourcen-Managern in der Hierarchie zu kooperieren, um die Eigenschaften der Ende-zu-Ende-Kommunikationsverbindung wiederherzustellen, die Anforderungen erfüllt. Dieser Prozess kann iterativ in beiden Richtungen durch die Hierarchie durchgeführt werden, z.B. in Richtung der niedrigsten und der höchsten Hierarchiestufen simultan. Alternativ kann der Prozess nur in einer Richtung der Hierarchie durchgeführt werden, wenn diese Richtung vorab festgelegt ist, z.B. im Fall von Problemen mit einer Drahtlos-Verbindung.
  • Damit die Reaktionen schnell erfolgen, kann das lokale Verhalten, z.B. in jeder Region, vorab geplant werden. Hierzu kann die Zuverlässigkeit der Verbindungen festgestellt werden. Zudem kann eine Suche nach einer einplanbaren Alternative für unzuverlässige Verbindungen durchgeführt werden. Die jeweils höhere Hierarchiestufe wird über die Planung informiert und kann diese zur Bestimmung der Zuverlässigkeit einer Ende-zu-Ende-Kommunikationsverbindung nutzen und hieraus Garantien ableiten. Die Planung der Ende-zu-Ende-Kommunikationsverbindung berücksichtigt die möglichen Garantien. Die Netzwerkzugriffsparameter müssen an diese Garantien angepasst werden.
  • Anhand der 2 wird nun ein Beispiel beschrieben, das von der Struktur der Kommunikationsverbindungen zwischen der Cloud 1 und dem Fahrzeug 5 analog zur 1 ausgeht. Dabei ist in jeder Hierarchieebene für eine jeweilige Region ein Ressourcen-Manager RM1, RM2, RM3 zu einem Supervisor definiert. In der untersten Hierarchieebene ist der Ressourcen-Manager RM1 als Supervisor 13 definiert, in einer mittleren Hierarchieebene der Ressourcen-Manager RM2 als Supervisor 14 und in der höchsten Hierarchieebene der Ressourcen-Manager RM3 als Supervisor 15.
  • Der Supervisor 13 im Fahrzeug 5 synchronisiert in dieser untersten Hierarchieebene alle Steuergeräte (ECUs). Die jeweiligen Steuergeräte können auch eigene Ressourcen-Manager haben. Diese bilden dann Regionen, die noch niedriger in der Hierarchie angeordnet sind. Der Supervisor 13 im Fahrzeug 5 empfängt Anforderungen von Anfragern oder anderen Ressourcen-Managern aus niedrigeren Hierarchieebenen. Es ist auch möglich, dass in den niedrigeren Hierarchieebenen diverse Ressourcen-Manager vorhanden sind, z.B. indem das Fahrzeug-interne Netzwerk in eine Vielzahl von Unterregionen 12 unterteilt ist, wie anhand der 1 beschrieben. In diesem Fall gibt es in jeder Region bzw. Unterregion einen Ressourcen-Manager, der als Supervisor für diese Region fungiert und Konflikte auflöst.
  • Durch die Ressourcen-Manager bzw. die Supervisor 13, 14, 15 kann dann eine Kommunikationsverbindung 17 geplant und dann ausgeführt werden. Zudem kann bei besonderen Ereignissen, wie z.B. Verschlechterung der Kommunikationsgüte, eine Anpassung oder Unterbrechung der Kommunikationsverbindung durch einen oder mehrere Ressourcen-Manager durchgeführt werden. Auf diese Weise kann das Fahrzeug 5 autonom arbeiten, auch wenn die Verbindung mit dem Edge-Server 3 unterbrochen ist. Das Gleiche gilt für den Fall, dass eine oder mehrere Komponenten des Fahrzeugs ausfallen, z.B. ein Sensor.
  • Kann die Kommunikationsverbindung 17 hergestellt werden, dann verbindet sich das Fahrzeug 5 darüber mit der Edge-Infrastruktur, z.B. einem 5G Edge-Server, der dazu eingerichtet ist, an einer Straßenkreuzung drahtlose Kommunikationen mit allen dort befindlichen Fahrzeugen durchzuführen, die z.B. auf ein Signal einer Lichtzeichenanlage warten. Die Kreuzung wird in diesem Fall als Region 9 betrachtet. Der Supervisor 14 dieser Region 9 kann z.B. bestimmte Parameter für die Kommunikation festlegen, wie z.B. bestimmten Fahrzeugen 5 definierte Frequenzen zuordnen, z.B. aufgrund von Anforderungen aus dem Fahrzeug 5. Der Supervisor 14 kann die Verbindungen zwischen Fahrzeugen 5 und der Cloud 1 herstellen, wie nachfolgend noch detaillierter beschrieben wird. Der Supervisor 14 kann dabei autonom arbeiten, z.B. im Fall eines Fehlers der Verbindung zur Cloud 1 oder eines Fehlers der Verbindung zu einem bestimmten Fahrzeug 5.
  • Um die Kommunikationsverbindung 17 herzustellen, kann z.B. eine Anwendung, die in dem Fahrzeug 5 abläuft, folgendes ausführen:
    • Zunächst wird eine Anfrage an den Ressourcen-Manager der eigenen Region gesandt, z.B. zu dem Supervisor 13.
  • Der Supervisor 13 im Fahrzeug 5 wertet die Anforderung aus. Wenn die Anforderung ausführbar ist, rekonfiguriert der Ressourcen-Manager die entsprechenden Komponenten in seiner Region, d.h. das Fahrzeug-interne Netzwerk, um die neuen Kommunikationsanforderungen der Kommunikationsverbindung 17 zu erfüllen. Der Supervisor 13 kann Anforderungen im Rahmen der Anwendung an den in der Hierarchie nächstgelegenen Ressourcen-Manager senden, d.h. in diesem Fall an den Supervisor 14.
  • Im nächsten Schritt kann der Supervisor 14 die erforderlichen Ressourcen für die Kommunikationsverbindung 17 in seiner Region 9 zuordnen und entsprechend anpassen. Beispielsweise kann der Supervisor 14 als zuzuordnende Kommunikationsressourcen die Drahtlos-Frequenzen zuordnen. Der Supervisor 14 kann Konflikte im Fall von widersprüchlichen Anforderungen aus unterschiedlichen Fahrzeugen auflösen. Hierzu kann der Supervisor 14 Entscheidungen anhand einer Bewertung durchführen, wie kritisch die jeweilige Kommunikation und wie zuverlässig die jeweilige Drahtlos-Datenverbindung im Fall jedes einzelnen Fahrzeugs ist. Dabei kann der Supervisor 14 entscheiden, bestimmte weniger kritische Verbindungen zeitlich zu verschieben oder zu blockieren. Zudem kann der Supervisor 14 entscheiden, kritischen Verbindungen redundante Ressourcen zuzuordnen, z.B. zwei Frequenzen oder mehrere parallele Verbindungen eines WLAN- oder zellulären Netzwerks.
  • Hiernach oder parallel dazu kann der Supervisor 14 eine Verbindung mit dem in der Hierarchie übergeordneten Supervisor 15 in der Region der Cloud 1 herstellen, um die Planung für die Kommunikationsverbindung 17 abzuschließen. Dabei kann der Supervisor 14 bereits vom Fahrzeug 5 erhaltene Daten zwischenspeichern und diese in die Cloud 1 hochladen, auch dann, wenn das Fahrzeug 5 zu diesem Zeitpunkt bereits die Kreuzung verlassen hat.
  • Die Kommunikationsverbindung 17 wird aufgebaut, wenn der jeweils übergeordnete Supervisor in der Hierarchie eine Bestätigung an den ihm untergeordneten Supervisor abgegeben hat. Im Beispiel gemäß 2 bedeutet dies, dass der Supervisor 14 eine Bestätigung an den Supervisor 13 abgeben muss, und der Supervisor 15 eine Bestätigung an den Supervisor 14.
  • Um eine Kommunikationsverbindung zu beenden, kann der Anfrager, z.B. eine Anwendung, eine Anforderung an den für ihn zuständigen Ressourcen-Manager richten, d.h. den Ressourcen-Manager seiner Region, z.B. an den ihm zugeordneten Supervisor. Dieser Ressourcen-Manager wertet die Anforderung aus. Wenn die Anforderung gültig ist, rekonfiguriert der Ressourcen-Manager die erforderlichen Ressourcen in seiner Region, um die Anforderung zu erfüllen. Zudem sendet der Ressourcen-Manager eine Anforderung im Namen des Anfragers an den in der Hierarchie nächstgelegenen Ressourcen-Manager. Beispielsweise kann im Fall der 2 eine Anwendung im Fahrzeug 5 eine Beendigung der Kommunikationsverbindung 17 anfordern. Diese Anwendung sendet eine entsprechende Anfrage an den Supervisor 13. Der Supervisor 13 führt die Rekonfigurationen in seiner Region aus und sendet eine entsprechende Anforderung an den übergeordneten Supervisor 14. Diese Schritte werden in der Region des Supervisors 14 ebenfalls ausgeführt. Der Supervisor 14 rekonfiguriert die erforderlichen Ressourcen in seiner Region und sendet eine Anforderung an den übergeordneten Supervisor 15. Der Supervisor 15 führt die erforderlichen Rekonfigurationen in seiner Region durch und sendet eine Bestätigung an den in der Hierarchie darunter angeordneten Supervisor 14. Daraufhin sendet der Supervisor 14 eine Bestätigung an den Supervisor 13. Nun kann die Kommunikationsverbindung 17 beendet werden.
  • Als ein weiteres mögliches Szenario im Fall der 2 sei angenommen, dass eine drahtlose Kommunikationsverbindung (Funkverbindung) zwischen dem Fahrzeug 5 und der Edge-Infrastruktur 3 unterbrochen ist. Diese Unterbrechung wird von einem Ressourcen-Manager im Fahrzeug 5, z.B. vom Supervisor 13, erfasst. Auch ein zuständiger Ressourcen-Manager in der Edge-Infrastruktur 3, z.B. der Supervisor 14, erfasst die Unterbrechung. Der Ressourcen-Manager im Fahrzeug 5 stellt sicher, dass das Fahrzeug 5 in einem sicheren Zustand verbleibt. Der Ressourcen-Manager bereitet die erforderlichen Ressourcen für eine Rekonfiguration vor. Dabei stellt der Ressourcen-Manager so viele Ressourcen, wie z.B. Links und/oder Bandbreitenzuordnungen, soweit frei, wie es für kritische Kommunikationen erforderlich ist. Der Ressourcen-Manager informiert die im Fahrzeug 5 laufenden Anwendungen, sodass diese ihre Datenübertragungs-Einstellungen entsprechend anpassen können.
  • Der Supervisor 14 in der Edge-Infrastruktur definiert die zuvor durch die Kommunikationsverbindung gebundenen Ressourcen als frei und bereitet die notwendigen Ressourcen für eine Rekonfiguration vor. Beispielsweise kann der Supervisor 14 die für die zuvor durchgeführte Kommunikation reservierten Frequenzen als frei definieren. Zudem informiert der Supervisor 14 den ihm in der Hierarchie übergeordneten Supervisor 15 über die unterbrochene Verbindung, sodass auch dieser die erforderlichen Rekonfigurationen in seiner Region durchführen kann. Diese Information über die unterbrochene Verbindung wird in der Hierarchie der Supervisor fortgesetzt, bis der in der Hierarchie höchste Supervisor erreicht ist.
  • Anhand der 3 soll das Beispiel erläutert werden, dass eine Anwendung 16 im Fahrzeug 5 direkt eine Ende-zu-Ende-Kommunikationsverbindung 17 zur Cloud 1 anfordert. Diese Anforderung der Kommunikationsverbindung wird zunächst vom Supervisor 14 bearbeitet. Der Supervisor 14 ist, wie erwähnt, Teil der Edge-Infrastruktur 3. Der Supervisor 14 führt dann die weiteren Verhandlungen für die Erstellung der Kommunikationsverbindung 17 nicht mit der Anwendung 16, sondern mit dem übergeordneten Supervisor 15. Wenn die Kommunikationsverbindung 17 bereitsteht, informiert der Supervisor 14 die Anwendung 16 darüber, sodass diese die Kommunikationsverbindung 17 nutzen kann. Wenn die Kommunikationsverbindung beendet werden kann, informiert die Anwendung 16 den Supervisor 14. Der Supervisor 14 informiert hierüber den Supervisor 15. Sodann wird die Kommunikationsverbindung 17 beendet.
  • Anhand des Beispiels der 4 soll der Fall erläutert werden, dass das Rekonfigurieren des für die Kommunikation genutzten Netzwerks typischer Weise das Überführen des Netzwerks durch verschiedene Übergangszustände erfordert. In diesen Übergangszuständen sollen die beteiligten Ressourcen-Manager die laufende Kommunikation sicherstellen und ein Protokoll bereitstellen, durch das die Leistungsfähigkeit und Sicherheit anderer laufender Kommunikationen nicht unterbrochen wird.
  • Bei einer paketorientierten Datenübertragung kann die Rekonfiguration von Netzwerk-Knoten nicht unmittelbar durchgeführt werden, weil einmal in das Netzwerk eingebrachte Pakete in den Netzwerkpuffern verbleiben.
  • Die 4 zeigt eine typische paketorientierte Datenübertragung zwischen Teilnehmerstationen 22, 23, die an verschiedenen Orten angeordnet sein können. Im Netzwerk befinden sich mehrere Knoten 21, in denen Pakete jeweils empfangen, gepuffert und weiter übertragen werden. Vom zuständigen Ressourcen-Manager 20 wird nun eine Rekonfiguration des Netzwerks geplant und durchgeführt. Hierfür sendet der Ressourcen-Manager 20 Rekonfigurationsanforderungen über das Netzwerk an die Teilnehmerstationen 22, 23. Da die Strecke von dem Ressourcen-Manager 20 zur Teilnehmerstation 23 über eine größere Anzahl von Knoten 21 führt als zu zur Teilnehmerstation 22, erreichen die von dem Ressourcen-Manager 20 abgesandten Datenpakete der Rekonfigurationsanforderungen die Teilnehmerstationen 22, 23 zu unterschiedlichen Zeiten. Die Teilnehmerstation 23 erhält die Datenpakete mit einer Verzögerung T1, die Teilnehmerstation 22 mit einer Verzögerung T2. Dabei ist T1 > T2.
  • Wenn nun der Ressourcen-Manager 20 Rekonfigurationsbotschaften zur selben Zeit an die verschiedenen Teilnehmerstationen 22, 23 sendet, erhalten diese die Botschaften zu unterschiedlichen Zeiten. Daher könnte es ohne besondere Gegenmaßnahmen passieren, dass die Teilnehmerstation 22 mit der kürzeren Paketlaufzeit T2 schon früher aufgrund der Rekonfigurationsbotschaft eine geänderte Einstellung übernimmt und die Teilnehmerstation 23 noch eine Zeit lang mit der alten Konfiguration weiterläuft. Dies kann zu Datenverlusten und großen Latenzen führen. Mit dem erfindungsgemäßen Verfahren kann dieses Problem durch die entsprechende Ablaufplanung der Rekonfiguration gelöst werden. Durch die entsprechende Ablaufplanung wird der Unterschied in den Übertragungszeiten T1, T2 schon im Ablaufplan berücksichtigt und bei der Durchführung kompensiert. Insbesondere kann sichergestellt werden, dass beide Teilnehmerstationen 22, 23 zur selben Zeit auf eine neue Konfiguration übergehen.
  • Die mit einer bestimmten Datenrate eingespeisten Pakete z.B. im Modus 1 verbleiben in den Puffern der Knoten 21 für eine bestimmte Zeit, z.B. definiert durch die Übertragungslatenz und die Interferenzlatenz aufgrund von Interaktionen mit anderen Datenströmen. Dies kann auch dann passieren, wenn der Sender bereits rekonfiguriert ist und beginnt, die Datenpakete im unterschiedlichen Modus 2 zu senden.
  • Wenn der Knoten 21 eine Rekonfigurationsbotschaft erhält, ist ihm nicht bekannt, welche Art von Paketen sich in seinen Datenpuffern befindet, d.h. ob es sich um Modus 1 oder Modus 2 Datenpakete handelt. Im Ergebnis kann eine interne Rekonfiguration in den Knoten 21 zu einem Verlust an Datenpaketen führen, zu einer Veränderung von Prioritäten oder sonstigem unsicheren Verhalten, wie z.B. einem unkorrekten Weiterleiten der Datenpakete.
  • Ein sicherer Übergang von einem Modus auf einen anderen kann dadurch gewährleistet werden, dass der Datenverkehr in den Endknoten kontrolliert wird, z.B. durch Verringern, Erhöhen oder Blockieren, für die unterschiedlichen Übertragungsmodi. Beispielsweise können bestimmte Verbindungen blockiert werden, um Queues in den Switches zu leeren, um diese Switches zu rekonfigurieren, z.B. deren Portarbiter oder Queue Disciplines. Auf diese Weise können sichere Übergänge zwischen den Modi auch in Systemen mit allgemein erhältlichen Switches durchgeführt werden.
  • Durch die Ausführung dieser Aktionen in der richtigen Reihenfolge können folgende Effekte vermieden werden:
    • - Unzuverlässiges Verhalten von Übertragungen und Datenströmen, z.B. während der Rekonfiguration und im Hinblick auf alle übrigen laufenden Kommunikationen.
    • - Deadlocks oder Lifelocks während der Übergangsphase, z.B. unkorrekte Abläufe von Rekonfigurationen von Switches, die den Zugang zu bestimmten Pfaden blockieren können.
    • - Zudem können Unterbrechungen oder sonstige Störungen der Kommunikation mit dem Ressourcen-Manager vermieden werden.
  • Die Rekonfigurationsschritte müssen zu einer bestimmten Zeit durchgeführt werden, in der die Latenzen berücksichtigt sind, die den Rekonfigurationsprozess beeinflussen. Beispielsweise ist eine Latenz erforderlich, um sicherzustellen, dass der in einem Betriebsmodus eingespeiste Datenverkehr das Netzwerk verlassen hat. Es ist auch eine Latenz erforderlich, um bestimmte Netzwerkkomponenten zu rekonfigurieren, wie z.B. eine Switch-Rekonfigurationslatenz. Zudem sind die aufgrund der Weiterleitung der Rekonfigurationsbotschaften auftretenden Latenzen zu berücksichtigen.
  • Anhand der 5 wird ein Beispiel beschrieben, bei dem während einer protokollbasierten Rekonfiguration ein Fehler auftritt, wie z.B. der Ausfall einer Komponente, die rekonfiguriert werden soll, oder Botschaften die nicht ankommen, oder der Ausfall eines Ressourcen-Managers.
  • Dabei ist es vorteilhaft, wenn das System dazu eingerichtet ist, den Fehler zu isolieren und einen sicheren Zustand und/oder einen Fail-Operational-Zustand beizubehalten oder auf diesen zurückzugehen. Die 5 zeigt den zeitlichen Ablauf von Botschaften, die zwischen verschiedenen Komponenten des Computersystems ausgetauscht werden, in schematischer Darstellung. Die einzelnen Komponenten Cloud, Switch 1, NMU, SG1, SG2, SG3, SG4, GW sind im oberen Bereich der 5 angegeben. Die NMU bildet den Supervisor der Region. Die Zeitskala läuft dabei von der oberen gestrichelten Linie nach unten hin. Die mit dem Bezugszeichen 30 markierten Blöcke geben dabei die Verarbeitung einer Botschaft an, die mit dem Bezugszeichen 31 markierten Blöcke die Durchführung einer Rekonfiguration, und die mit dem Bezugszeichen 33 markierten Symbole einen Timeout. Das mit dem Bezugszeichen 32 markierte Symbol kennzeichnet das Auftreten eines Fehlers.
  • Zu einem Zeitpunkt 34 wird zunächst eine Anforderungsbotschaft (Anfrage) von der Cloud zu der NMU gesandt. Diese wird in der NMU verarbeitet. Von der NMU werden dann Rekonfigurationsbotschaften an Switch 1, GW und SG1 gesandt. Die gewünschten Rekonfigurationen werden in den Blöcken 31 durchgeführt. Nach Ablauf einer gewissen Wartezeit, d.h. dem Timeout 33, senden Switch 1 und SG1 jeweilige Bestätigungen an die NMU, die dort verarbeitet werden. Die NMU sendet dann Rekonfigurationsbotschaften an SG3 und SG4. In den Blöcken 31 führen SG3 und SG4 die gewünschte Rekonfiguration durch. Nach Ablauf einer Wartezeit (Timeout 33) bestätigen SG3 und SG4 die durchgeführte Rekonfiguration an die NMU (Zeitpunkt 35). Nun sendet die NMU Rekonfigurationsbotschaften an SG1, SG2 und GW. Nach Ablauf einer Wartezeit (Timeout 33) senden SG1, SG2 und GW eine Bestätigung über die durchgeführte Rekonfiguration an die NMU. Die NMU verarbeitet diese Bestätigungen und sendet ihrerseits eine Bestätigung an die Cloud (Zeitpunkt 36).
  • In der Phase zwischen den Zeitpunkten 34, 35 befindet sich das System in einem sicheren Moduswechsel. Ab dem Zeitpunkt 35 gilt dann für alle Netzwerkkomponenten die neue Konfiguration.
  • Es sei nun angenommen, dass die erste Rekonfigurationsbotschaft der NMU an GW aufgrund einer Störung 32 dort nicht ankommt oder verfälscht ist. Um solche Effekte durch eine einzelne Störung 32 zu kompensieren, kann in dem System auch das mehrfache Senden von solchen Botschaften vorgesehen sein, sowohl nacheinander über denselben Pfad und/oder nacheinander oder gleichzeitig über unterschiedliche Pfade. Auf diese Weise kann eine zeitliche und räumliche Redundanz realisiert werden.
  • Als weiteres Beispiel sei angenommen, dass die GW-Komponente während der Rekonfiguration ausfällt. Da die einzelnen Komponenten verpflichtet sind, eine Bestätigung über die durchgeführte Rekonfiguration an die NMU zu senden, kann die NMU einen solchen Ausfall anhand des Ausbleibens der Bestätigungsbotschaft erkennen.
  • Wenn die GW-Komponente ausfällt, kann die NMU das Netzwerk in den vorherigen Zustand zurückversetzen, z.B. durch Aussenden von Rekonfigurationsbotschaften für eine Änderung in die vorherige Konfiguration. Die NMU kann auch einen Ersatzkonfigurationsplan ausführen, um das Netzwerk in einen Fail-Safe oder einen Fail-Operational-Modus zu versetzen. Schließlich ist es möglich, dass die GW-Komponente vom Netzwerk isoliert wird, z.B. durch Blockieren von Verbindungen zur GW-Komponente in benachbarten Switches oder Routern.
  • Als weiteres Szenario sei der Fall betrachtet, dass der Ressourcen-Manager NMU ausfällt. Dies können die übrigen Netzwerkkomponenten beispielsweise dadurch erkennen, dass im Protokoll vorgesehen ist, dass der Ressourcen-Manager definierte Heartbeat-Botschaften aussenden muss. Bleiben diese Heartbeat-Botschaften aus, kann dies als Defekt des Ressourcen-Managers erkannt werden. Dann können sich die einzelnen Komponenten des Netzwerks in einen vordefinierten Fail-Safe oder einen Fail-Operational-Betriebszustand schalten.
  • Dementsprechend kann das System auch dann in einem sicheren Zustand betrieben werden, wenn kein Ressourcen-Manager vorhanden ist oder nicht in Betrieb ist.
  • Im Beispiel gemäß 6 wird der Fall betrachtet, dass ein Fahrzeug 5 seine Position verändert, was in der 6 anhand der Fahrzeugpositionen 5a, 5b, 5c dargestellt ist. Dabei verändert sich auch die jeweilige Netzanbindung des Fahrzeugs 5, d.h. in den Positionen 5a, 5b kann z.B. eine Verbindung zu einem zellulären Netzwerk 4a vorhanden sein, in der Position 5c zu einem WLAN 4b. Dabei können auch unterschiedliche Verbindungen zu verschiedenen Edge-Servern 3a, 3b hergestellt werden, die jeweils mit einem der Kommunikationsmedien 4a, 4b verbunden sind.
  • Anhand dieses Beispiels soll der Unterschied zwischen einer Rekonfiguration des Fahrzeug-internen Netzwerks und des Netzwerks außerhalb des Fahrzeugs 5 erläutert werden.
  • Bezüglich des Fahrzeug-internen Netzwerks sind viele Größen bekannt, z.B. die Anzahl der Knoten, ihre Anordnung und die laufenden Anwendungen, die verfügbaren Systemmodi, mögliche Variationen in der Anzahl der Knoten und die Anzahl und Details der Arbeit der laufenden Ressourcen-Manager. Daher ist es möglich, verschiedene genaue Szenarien/Strategien der Kooperation zwischen den Ressourcen-Managern innerhalb des Fahrzeugs vorab zu bestimmen.
  • Bezüglich des Fahrzeug-externen Netzwerks, wie in 6 beispielhaft erkennbar, sind die möglichen Veränderungen nicht vorab bestimmbar, da diese von der jeweils gefahrenen Route des Fahrzeugs abhängen. Es ist beispielsweise nicht möglich, vorab festzustellen, wie viele Fahrzeuge sich zu einer bestimmten Zeit an einer bestimmten Straßenkreuzung befinden und welche Anwendungen diese nutzen. Daher muss die ganze Infrastruktur skalierbar sein. Bei der Erfindung wird eine solche Skalierbarkeit dadurch geschaffen, dass eine Vielzahl von Ressourcen-Managern zum Einsatz kommt, die hierarchisch strukturiert sind, wobei in jeder Region ein Ressourcen-Manager als Supervisor bestimmt ist. Hierdurch kann ein definiertes Management der Ressourcen auch bei sich verändernden äußeren Netzwerkkonfigurationen sichergestellt werden.
  • Wie erwähnt, können Rekonfigurationen von Ressourcen auch von einem oder mehreren Ressourcen-Managern selbst initiiert werden. Die Rekonfigurationen müssen daher nicht von Applikationen initiiert werden. Dies hat in vielen Fällen Vorteile.
  • So kann der Ressourcen-Manager Daten von unterschiedlichen Sensoren im Netzwerk sammeln, z.B. von Monitoren, die die Leistung und/oder Temperatur erfassen, Monitoren in Netzwerkschnittstellen und -ports zur Erfassung des Datenübertragungsvolumens, sowie Detektoren zur Erfassung von Sicherheitsbedrohungen. Sind entsprechende Daten gesammelt, wertet der Ressourcen-Manager diese aus, bestimmt den Status des Netzwerks und passt die Konfiguration an.
  • Der Ressourcen-Manager kann Daten von Sensoren sammeln, die über transiente oder permanente Fehler von Netzwerkkomponenten, z.B. Verbindungen, Kabel, Ports, berichten, oder über Sicherheitsbedrohungen, wie z.B. Knoten, die zu viele Daten senden. Sind ausreichend Daten gesammelt, wertet der Ressourcen-Manager diese aus und führt eine Rekonfigurationsprozedur aus, sofern dies erforderlich ist. Bei einem fahrenden Fahrzeug kann sich z.B. der Abstand des Fahrzeugs zur nächstgelegenen Station eines zellulären Netzwerks verändern, wodurch sich die Anzahl von transienten Fehlern erhöhen kann. Der Ressourcen-Manager überwacht die verfügbare Bandbreite des zellulären Netzwerks und informiert und justiert die Sender.
  • Es ist auch möglich, dass der Ressourcen-Manager ein bestimmtes Zeitverhalten oder eine Reihenfolge von Datenübertragungen erzwingt. Beispielsweise kann ein Ressourcen-Manager Botschaften zu den Endknoten in einer Round-Robin-Weise senden. Wird eine solche Botschaft in einem Knoten empfangen, darf der Knoten das Netzwerk für eine definierte Zeitperiode und/oder mit definierten Quality of Service Parametern nutzen, wie z.B. Übertragungsrate, Paketrate, Datenvolumen und so weiter. In solchen Fällen müssen die Anwendungen dementsprechend keine Anforderungen oder Anfragen an den Ressourcen-Manager richten, sondern empfangen lediglich die Bestätigungen und Erlaubniserteilungen vom Ressourcen-Manager.
  • Weitere mögliche Kriterien, nach denen ein Ressourcen-Manager eine Rekonfiguration von Ressourcen einleiten kann, sind z.B.:
    • - Nach vorab durch das Design des Computersystems bestimmten Regeln und/oder Zeitkriterien.
    • - Die Rekonfiguration kann durch Daten von Endknoten und Sensoren getriggert werden.
    • - Die Rekonfiguration kann aus einer vorab beim Design des Computersystems bestimmten Menge vordefinierter Konfigurationen ausgewählt werden.
  • Wenn eine Rekonfiguration von einem Ressourcen-Manager veranlasst wird, kann dieser z.B. alle erforderlichen Ressourcen in seiner eigenen Region rekonfigurieren. Zusätzlich kann der Ressourcen-Manager andere Ressourcen-Manager hierüber informieren, die in der Hierarchie übergeordnet sind.
  • Dem Ressourcen-Manager, insbesondere dem Supervisor, kommt noch eine wichtige Rolle bei der Beendigung oder einer Anpassung einer Kommunikationsverbindung zu. Hierbei kann der Ressourcen-Manager beispielsweise häufig Anpassungen oder Blockierungen von laufenden Kommunikationsverbindungen durchführen, um neue Konfigurationsverbindungen mit höherer Sicherheitsstufe oder Priorität einzurichten, was permanent oder vorübergehend erfolgen kann, z.B. lediglich für die Dauer eines Rekonfigurationsprozesses. Dabei muss der Ressourcen-Manager sicherstellen, dass die Anpassung oder Blockierung von Kommunikationsverbindungen nicht zu sicherheitskritischen Zuständen führt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2018/202446 A1 [0003]

Claims (15)

  1. Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, das mehrere verteilte Teilnehmerstationen (22, 23) aufweist, wobei das Computersystem in Regionen (7, 8, 9, 10, 11, 12) hierarchisch gegliedert ist und jeweils einer Region (7, 8, 9, 10, 11, 12) eine oder mehrere Teilnehmerstationen (22, 23) zugeordnet sind, wobei die Teilnehmerstationen (22, 23) jeweils wenigstens einen Rechner, wenigstens eine Ressource des Computersystems, wenigstens einen Ressourcen-Manager (20), der zur Verwaltung der ihm zugeordneten Ressourcen des Computersystems eingerichtet ist, und wenigstens ein internes Kommunikationsmedium aufweisen, über das der wenigstens eine Rechner, die wenigstens eine Ressource und der wenigstens eine Ressourcen-Manager (20) Teilnehmerstations-intern zur Durchführung einer Datenkommunikation gekoppelt sind, wobei die Teilnehmerstationen (22, 23) über wenigstens ein externes Kommunikationsmedium miteinander zur Durchführung einer Datenkommunikation gekoppelt sind, wobei an einem externen Kommunikationsmedium Ressourcen und/oder Ressourcen-Manager (20) des Computersystems angekoppelt sein können, dadurch gekennzeichnet, dass in jeder Region (7, 8, 9, 10, 11, 12) einem Ressourcen-Manager (RM1, RM2, RM3) die Funktion eines Supervisors (13, 14, 15) zugewiesen ist, der die sonstigen Ressourcen-Manager (RM1, RM2, RM3) seiner Region (7, 8, 9, 10, 11, 12) und die ihm in der Hierarchie untergeordneten Supervisoren (13, 14, 15) beaufsichtigt, Entscheidungen über deren Anfragen trifft und Konflikte zwischen Anfragen löst, wobei eine gewünschte Ende-zu-Ende-Kommunikationsverbindung zwischen einem Anfrager, der auf eine gewünschte Ressource zugreifen will, und der gewünschten Ressource durch den Supervisor (13, 14, 15) der Region (7, 8, 9, 10, 11, 12) des Anfragers bei Bedarf kooperativ mit anderen beteiligten Supervisoren (13, 14, 15) und/oder sonstigen Ressourcen-Managern (RM1, RM2, RM3) geplant und dann hergestellt wird.
  2. Verfahren nach Anspruch 1, gekennzeichnet durch folgende Verfahrensschritte: a) wenigstens ein Ressourcen-Manager (20) prüft, bei Bedarf kooperativ mit anderen beteiligten Ressourcen-Managern (20), ob Abläufe im Computersystem eine Rekonfiguration wenigstens einer für die Abläufe erforderlichen Ressource erfordern, b) sofern eine Rekonfiguration erforderlich ist, erstellen die beteiligten Ressourcen-Manager (20) vorab einen Ablaufplan für einen Übergang von einer Konfiguration auf eine andere Konfiguration der wenigstens einen für die Abläufe erforderlichen Ressource derart, dass zumindest die sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der gewünschten Ende-zu-Ende-Kommunikationsverbindung beibehalten werden.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass eine sichere Übergangssequenz für den Übergang von der einen Konfiguration auf die andere Konfiguration der wenigstens einen für die Abläufe erforderlichen Ressource bestimmt wird.
  4. Verfahren nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass in Kooperation von beteiligten Ressourcen-Managern (20), Endgeräten, Netzwerkkomponenten und Anwendungen eine vollständige oder teilweise Rücknahme von weniger wichtigen Anforderungen der Abläufe ausgehandelt wird, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen sicherzustellen.
  5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass der Ablaufplan vor der Herstellung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung durch Kooperation der Supervisoren (13, 14, 15) aller Regionen (7, 8, 9, 10, 11, 12), die an der gewünschten Ende-zu-Ende-Kommunikationsverbindung beteiligt sind, festgelegt wird.
  6. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass der Ablaufplan vor der Herstellung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung durch Kooperation beteiligter Ressourcen-Manager (20) mit einem oder mehreren Endgeräten, Netzwerkelementen und/oder Anwendungen auf diesen Endgeräten festgelegt wird.
  7. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass der Ablaufplan den Einsatz dauerhafter und/oder vorübergehender Redundanz zumindest während des Übergangs von einer Konfiguration auf eine andere Konfiguration im Computersystem beinhaltet, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Abläufe im Computersystem sicherzustellen, insbesondere die Beibehaltung der kontinuierlichen Arbeit von sicherheitskritischen Anwendungen, die in dem Computersystem laufen, und/oder der sicherheitskritischen Kommunikationsverbindungen.
  8. Verfahren nach einem der Ansprüche 2 bis 7, dadurch gekennzeichnet, dass der Ablaufplan unter Berücksichtigung von permanenten und/oder transienten Fehlern, die während der Rekonfiguration auftreten können, erstellt wird.
  9. Verfahren nach einem der Ansprüche 2 bis 8, dadurch gekennzeichnet, dass der Ablaufplan für den Fall, dass während der Ausführung der Konfigurations-Schritte der Rekonfiguration eine Kommunikationsverbindung abbricht oder eine an der Kommunikationsverbindung beteiligte Komponente ausfällt, beinhaltet, dass eine sichere Konfiguration eingenommen wird, bei der zumindest die sicherheitskritischen und/oder kontinuierlichen Kommunikationsverbindungen der gewünschten Ende-zu-Ende-Kommunikationsverbindung beibehalten werden.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Rekonfiguration von wenigstens einem Ressourcen-Manager (20) und/oder wenigstens einem Anfrager initiiert wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass von wenigstens einem Ressourcen-Manager (20) eine bereits hergestellte Ende-zu-Ende-Kommunikationsverbindung beendet oder angepasst wird, um die Beibehaltung zumindest der sicherheitskritischen und/oder kontinuierlichen Abläufe im Computersystem sicherzustellen.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Anfrager ein Rechner des Computersystems, eine Applikation, ein Monitor, ein Hypervisor und/oder ein Client ist.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Parameter der Verbindungsanforderung einer gewünschten Ende-zu-Ende-Kommunikationsverbindung einen, mehrere oder alle der folgenden Parameter umfassen: - einen Zustand und/oder ein Muster früherer Ressourcenzugriffe einer oder mehrerer der Komponenten des Computersystems, - eine elektrische Spannung und/oder eine Taktfrequenz, mit der eine oder mehrere der Komponenten des Computersystems betrieben werden, - eine Temperatur einer oder mehrerer der Komponenten des Computersystems, - eine Anzahl von Datenpaketen, die innerhalb eines festgelegten Zeitraums über ein internes und/oder externes Kommunikationsmedium übertragen wurden, - Art, Umfang und/oder Zeitverhalten der gewünschten Ressource.
  14. Computersystem, das mehrere verteilte Teilnehmerstationen aufweist, wobei das Computersystem in Regionen (7, 8, 9, 10, 11, 12) hierarchisch gegliedert ist und jeweils einer Region (7, 8, 9, 10, 11, 12) eine oder mehrere Teilnehmerstationen (22, 23) zugeordnet sind, wobei die Teilnehmerstationen (22, 23) jeweils wenigstens einen Rechner, wenigstens eine Ressource des Computersystems, wenigstens einen Ressourcen-Manager (20), der zur Verwaltung der ihm zugeordneten Ressourcen des Computersystems eingerichtet ist, und wenigstens ein internes Kommunikationsmedium aufweisen, über das der wenigstens eine Rechner, die wenigstens eine Ressource und der wenigstens eine Ressourcen-Manager (20) Teilnehmerstations-intern zur Durchführung einer Datenkommunikation gekoppelt sind, wobei die Teilnehmerstationen (22, 23) über wenigstens ein externes Kommunikationsmedium miteinander zur Durchführung einer Datenkommunikation gekoppelt sind, wobei an einem externen Kommunikationsmedium Ressourcen und/oder Ressourcen-Manager (20) des Computersystems angekoppelt sein können, wobei in jeder Region (7, 8, 9, 10, 11, 12) einem Ressourcen-Manager (RM1, RM2, RM3) die Funktion eines Supervisors (13, 14, 15) zugewiesen ist, der die ihm in der Hierarchie untergeordneten Ressourcen-Manager (RM1, RM2, RM3) beaufsichtigt, Entscheidungen über deren Anfragen trifft und Konflikte zwischen Anfragen löst, dadurch gekennzeichnet, dass das Computersystem zur Ausführung eines Verfahrens nach einem der vorhergehenden Ansprüche eingerichtet ist.
  15. Computerprogramm mit Programmcodemitteln, eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 14, wenn das Computerprogramm auf einem Rechner oder mehreren Rechnern des Computersystems ausgeführt wird.
DE102021111950.2A 2021-05-07 2021-05-07 Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm Pending DE102021111950A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021111950.2A DE102021111950A1 (de) 2021-05-07 2021-05-07 Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm
EP22727862.9A EP4335100A1 (de) 2021-05-07 2022-05-05 Verfahren zur koordination des zugriffs auf ressourcen eines verteilten computersystems, computersystem und computerprogramm
PCT/EP2022/062157 WO2022234019A1 (de) 2021-05-07 2022-05-05 Verfahren zur koordination des zugriffs auf ressourcen eines verteilten computersystems, computersystem und computerprogramm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021111950.2A DE102021111950A1 (de) 2021-05-07 2021-05-07 Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm

Publications (1)

Publication Number Publication Date
DE102021111950A1 true DE102021111950A1 (de) 2022-11-10

Family

ID=81940683

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021111950.2A Pending DE102021111950A1 (de) 2021-05-07 2021-05-07 Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm

Country Status (3)

Country Link
EP (1) EP4335100A1 (de)
DE (1) DE102021111950A1 (de)
WO (1) WO2022234019A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018202446A1 (de) 2017-05-05 2018-11-08 Technische Universität Braunschweig Verfahren zur koordination des zugriffs auf eine ressource eines verteilten computersystems, computersystem und computerprogrramm
US20210011765A1 (en) 2020-09-22 2021-01-14 Kshitij Arun Doshi Adaptive limited-duration edge resource management
DE112020000054T5 (de) 2019-04-30 2021-03-11 Intel Corporation Ressourcen-, sicherheits- und dienstmanagement für mehrere entitäten in edge-computing-anwendungen

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017182086A1 (en) * 2016-04-21 2017-10-26 Telefonaktiebolaget Lm Ericsson (Publ) Management of network resources shared by multiple customers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018202446A1 (de) 2017-05-05 2018-11-08 Technische Universität Braunschweig Verfahren zur koordination des zugriffs auf eine ressource eines verteilten computersystems, computersystem und computerprogrramm
DE112020000054T5 (de) 2019-04-30 2021-03-11 Intel Corporation Ressourcen-, sicherheits- und dienstmanagement für mehrere entitäten in edge-computing-anwendungen
US20210011765A1 (en) 2020-09-22 2021-01-14 Kshitij Arun Doshi Adaptive limited-duration edge resource management

Also Published As

Publication number Publication date
EP4335100A1 (de) 2024-03-13
WO2022234019A1 (de) 2022-11-10

Similar Documents

Publication Publication Date Title
EP3522482B1 (de) Verfahren zur daten-kommunikation in einem industriellen netzwerk, steuerungsverfahren, vorrichtung, computerprogramm sowie computerlesbares medium
EP1566029B1 (de) Gateway-einheit zur verbindung von subnetzen in fahrzeugen
EP2559221B1 (de) Verfahren und vorrichtung zum austausch von daten sowie netzwerk
EP3547618B1 (de) Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit
DE102017214068B4 (de) Verfahren, Vorrichtung und Computerprogramm zur dynamischen Ressourcenzuweisung in einem Mehrprozessor-Computersystem
EP3158695A1 (de) Verfahren zum übertragen von daten, sowie zugehöriger netzknoten und zugehöriges netzwerk
EP3577871B1 (de) Verfahren und vorrichtung zur modularen lenkung eines avb-streams
EP3501140B1 (de) Verfahren zum betrieb eines mehrere kommunikationsgeräten umfassenden kommunikationsnetzes eines industriellen automatisierungssystems und steuerungseinheit
EP3485577B1 (de) Verfahren zum betreiben eines etcs (european train control system) -bahnfahrzeugs mit einer gsm-r-kommunikationsanordnung und etcs (european train control system) -bahnfahrzeug mit einer gsm-r-kommunikationsanordnung
EP2556651B1 (de) Verfahren und vorrichtung zum austausch von daten zwischen zwei geräten eines automatisierungsnetzwerks
DE102021111950A1 (de) Verfahren zur Koordination des Zugriffs auf Ressourcen eines verteilten Computersystems, Computersystem und Computerprogramm
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE102017109703B3 (de) Verfahren zur Koordination des Zugriffs auf eine Ressource eines verteilten Computersystems, Computersystem und Computerprogramm
DE112021000731T5 (de) Verfahren zum Aufbau eines vertrauenswürdigen softwaredefinierten Netzwerks auf Basis von Blockchain
DE102019208519A1 (de) Verfahren und Vorrichtung zum Anpassen einer Softwareanwendung
DE102020206872A1 (de) Computer-implementiertes Verfahren, Computerprogramm und Kommunikationseinrichtung für ein Fahrzeug
EP3454222A1 (de) Verfahren und automatisierungskomponente zur übertragung von steuerungsdaten in einer industriellen automatisierungsanordnung
WO2019063327A1 (de) Verfahren und vorrichtung zum aufbau eines kommunikationskanals zwischen einer ersten und einer zweiten einrichtung
DE102009036234B4 (de) Kommunikationsgerät zur Datenkommunikation in einem Industrienetzwerk, Industrienetzwerk und Verfahren zur Steuerung der Datenkommunikation in einem Industrienetzwerk
EP1629637B1 (de) Übertragung von nachrichten in einem verteilten, zeitgesteuerten echtzeitsystem
WO2018166593A1 (de) Verfahren zur bandbreitenreservierung und geeignetes netzelement
WO2018234375A1 (de) Verfahren zum verlagern von datenverarbeitungsanwendungen von einer ersten recheneinheit zu einer zweiten recheneinheit
EP1843527B1 (de) Kommunikationsverfahren
EP3896918A1 (de) Verfahren zum betrieb eines kommunikationssystems zur übermittlung zeitkritischer daten, domänen-steuerungseinrichtung und kommunikationssteuerungseinrichtung
DE102022205518A1 (de) Verfahren zum Konfigurieren von Dienstgütemengen in einem Netzwerk mit einem ersten Netzwerksegment und mehreren zweiten Netzwerksegmenten jeweils aufweisend mehrere Netzwerkteilnehmer

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R082 Change of representative

Representative=s name: MEISSNER BOLTE PATENTANWAELTE RECHTSANWAELTE P, DE