FR2924553A1 - Procede pour ameliorer l'integrite de moyens de communication - Google Patents
Procede pour ameliorer l'integrite de moyens de communication Download PDFInfo
- Publication number
- FR2924553A1 FR2924553A1 FR0708461A FR0708461A FR2924553A1 FR 2924553 A1 FR2924553 A1 FR 2924553A1 FR 0708461 A FR0708461 A FR 0708461A FR 0708461 A FR0708461 A FR 0708461A FR 2924553 A1 FR2924553 A1 FR 2924553A1
- Authority
- FR
- France
- Prior art keywords
- frames
- switch
- data
- frame
- errors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 28
- 230000005540 biological transmission Effects 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 13
- 238000001514 detection method Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 9
- 206010009944 Colon cancer Diseases 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 5
- 230000009897 systematic effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000011282 treatment Methods 0.000 description 2
- RZVHIXYEVGDQDX-UHFFFAOYSA-N 9,10-anthraquinone Chemical compound C1=CC=C2C(=O)C3=CC=CC=C3C(=O)C2=C1 RZVHIXYEVGDQDX-UHFFFAOYSA-N 0.000 description 1
- 108700010388 MIBs Proteins 0.000 description 1
- 208000003028 Stuttering Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000002161 passivation Methods 0.000 description 1
- 230000001575 pathological effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012419 revalidation Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 208000027765 speech disease Diseases 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/20—Arrangements for detecting or preventing errors in the information received using signal quality detector
Abstract
L'invention permet de garantir une intégrité des données traitées par un commutateur meilleure que 10<-9> trames erronées non détectées par heure de vol. Pour ce faire, des règles d'invalidation des ports sont incluses dans le programme de gestion du commutateur. Ces règles font référence à un nombre maximal absolu de trames erronées admissible, à un taux maximal relatif de trames erronées admissibles et à un nombre minimum de trames erronées constituant un seuil de significativité. Les erreurs aléatoires sont détectées au niveau de chaque trame grâce à l'insertion d'un CRC et les situations d'erreurs déterministes ou dépendant de la donnée susceptibles de tromper systématiquement le contrôle du CRC sont rendues aléatoires au moyen d'un index de trames.
Description
PROCEDE POUR AMELIORER L'INTEGRITE DE MOYENS DE COMMUNICATION
L'invention s'applique au domaine des communications sur des réseaux où une haute intégrité des données doit être garantie. Plus spécifiquement, l'invention s'applique particulièrement aux commutateurs de réseaux de transmission de données critiques pour des applications de gestion du vol d'un aéronef. II est classique dans un tel contexte d'associer à chaque trame de données transmise un code de contrôle dit CRC (Cyclic Redundancy Cycle ou Contrôle de redondance cyclique), généralement de 32 bits, et de vérifier à l'autre bout du canal de transmission que ce code est préservé. Le problème posé par cette technique connue est que la probabilité de détection d'une erreur de transmission sur le canal, fonction de la longueur du CRC, est malgré tout de 1/232. Même en effectuant une confirmation de la transmission par une redondance du canal, la probabilité de non détection reste de 10-6 par heure dans le cas d'un Ethernet à 100Mbs ou d'un bus AFDX (Avionics Full DupleX switched Ethernet). Cette valeur est généralement supérieure à celle requise pour la transmission de données critiques pour le vol ; c'est à dire toute donnée dont la valeur erronée est susceptible d'engager un scénario classé comme catastrophique car pouvant conduire à la perte de l'aéronef et de ses passagers. Des données telles que : altitude, vitesse, variables intervenant dans les commande de vol, quantité, flux ou température de carburant, etc...sont par exemple des informations qui, sous certaines conditions dépendant du système avion qui les utilisent, peuvent induire des réponses inappropriées du système pouvant conduire à de tels scenarios. Les normes de certifications des aéronefs utilisés en transport commercial exigent de démontrer que la probabilité d'occurrence des scenarios catastrophiques est inférieure à 10-9 par heure de vol. Les réseaux de communication embarqués faisant communiquer plusieurs de ces systèmes, sont amenés à véhiculer des flux d'informations prenant part à une quantité significative de tels scénarios. Pour les avions modernes dans lesquels de tels réseaux de communication sont utilisés il est admis de considérer le réseau de communication comme un système à part entière et de lui allouer des performances intrinsèques en terme d'intégrité des données véhiculées. Généralement, on convient de fixer le taux maximal de données erronées non détectées à une valeur également de 10"9 par heure de vol pour rendre un tel système de communication apte à véhiculer des informations critiques. Généralement, pour des raisons de disponibilité il est connu de dupliquer le réseau de communication et de rechercher un comportement de chaque réseau consistant à invalider les trames ou les flux de donnée erronés détectés voire le réseau lui même, en se reposant sur le second réseau redondant. On peut donc songer à invalider le canal de communication responsable du dépassement d'un seuil d'erreurs (ce qui suppose de détecter et de comptabiliser les erreurs) mais on ne peut démontrer que des erreurs se reproduisant de manière systématique pour des données particulières seraient détectées. Dans la suite, on appellera erreurs systématiques ou déterministes les erreurs affectant de façon statique une donnée elle même statique de telle façon que la non détection par le CRC lorsqu'elle se produit, se reproduit indéfiniment aussi longtemps que la donnée reste inchangée. La réglementation impose également qu'un scénario catastrophique ne doit pas résulter d'un événement unique (une panne simple) quelle que soit la probabilité associée. On voit alors que bien que sa probabilité soit infime, une telle erreur systématique ne peut pas être tolérée dans la mesure où elle peut aisément résulter d'une panne simple. La présente invention résout ce problème en prévoyant un moyen d'assurer la détection de telles erreurs systématiques sur des données. A cet effet l'invention divulgue un commutateur de réseau de communication de trames de données sur des canaux de communication, ledit commutateur comprenant une base de données et des règles de gestion du trafic du commutateur, lesdites trames comprenant chacune un index et un code de contrôle de trame, caractérisé en ce qu'au moins une des règles de gestion du trafic permet l'invalidation d'un canal de communication par comparaison avec des seuils de compteurs d'erreurs de transmission détectées stockés dans la base de données. Avantageusement, lesdites erreurs de transmission détectées comprennent les erreurs déterministes sur les données. Avantageusement, lesdits seuils comprennent au moins un nombre absolu d'erreurs.
Avantageusemeni:, ledit nombre absolu d'erreurs est fixé à une valeur de l'ordre de 1138 trames ethernet par seconde lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde. Avantageusemeni:, lesdits seuils comprennent au moins un taux relatif 5 d'erreur. Avantageusement, ledit taux relatif d'erreur est fixé à une valeur de l'ordre de 1% des trames lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde. Avantageusement, lesdits seuils comprennent au moins un nombre minimum 1 o de trames rejetées. Avantageusement, ledit nombre minimum de trames rejetées est fixé à une valeur de l'ordre de 2274 trames ethernet par seconde lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde. L'invention divulgue également un procédé de détection et de traitement des 15 défaillances d'un commutateur de réseau de communication de trames de données sur des canaux de communication, ledit procédé comprenant une étape de génération d'un index de trame, une étape d'insertion d'un code de contrôle de trame et une étape d'invalidation d'un canal de transmission, caractérisé en ce que l'invalidation résulte de la comparaison avec des seuils 20 d'erreurs de transmission détectées. L'invention présente en outre l'avantage d'être particulièrement bien adaptée aux communications AFDX utilisées dans les aéronefs et décrites dans la norme ARINC (Aeronautical Radio Inc.) 664. Elle permet en particulier de démontrer le niveau d'intégrité des données critiques requise par les 25 organismes de certification. L'invention sera mieux comprise et ses différentes caractéristiques et avantages ressortiront de la description qui suit de plusieurs exemples de réalisation et de ses figures annexées dont : - La figure 1 représente l'architecture d'un commutateur de réseau de 30 communication d'un type permettant la mise en oeuvre de l'invention ; - La figure 2 représente la structure d'une trame de données permettant la mise en oeuvre de l'invention ; La figure 3 représente l'organigramme des traitements selon l'invention. 35 Plusieurs architectures sont possibles pour les communications sur les réseaux de données utilisées par les applications avioniques. En particulier, le nombre de cornmutateurs (ou switchs) peut varier de quelques unités à près d'une vingtaine. Il est encore plus important de pouvoir démontrer la préservation de l'intégrité des données sur une architecture à nombre de switchs réduits, c'est-à-dire où la probabilité qu'une défaillance entrainant une erreur sur une donnée critique et soit également à l'origine d'une seconde erreur fatale est nécessairement plus élevée. L'invention sera encore plus utile dans ce type d'architecture.
Chaque commutateur 10 comprend notamment les fonctions illustrées sur la figure 1, à titre d'exemple uniquement, d'autres architectures étant tout à fait possibles pour réaliser l'invention. Un module Switch comprend un moteur de commutation ou switch engine et un calculateur de contrôle. Le moteur de commutation est une machine effectuant le routage des paquets (ou trames) entrants vers les ports de sortie. Ce routage est fait en fonction d'un champ de bits de la trame ethernet IEEE 802.3 qui est le champ adresse de destination MAC (Medium Access Control). Le calculateur de contrôle réalise notamment les fonctions suivantes sous la supervision d'un logiciel: configuration du moteur de commutation lors de la phase d'initialisation ; constitution de la base de données 20A (généralement désignée sous le terme de Management Information Base ou MIB) propre au commutateur et consultable par un gestionnaire de réseau (non représenté) au travers du protocole SNMP (Simple Network Management Protocol) ; réponses aux consultations du gestionnaire de réseau non représenté conformément au protocole SNMP. Ce processeur est également en charge des tâches de surveillance du switch (fonction monitoring, 20B). Pour toutes ces tâches, le processeur accède à la configuration du switch engine via un bus de contrôle dédié (par exemple un bus PCI) au travers duquel il peut : consulter les ressources internes du switch (registres ou compteurs dédiés au monitoring), configurer le switch lors de la phase d'initialisation ou réparer les éléments de configuration éventuellement détériorés en phase opérationnelle, valider ou invalider des ports/canaux en intervenant sur des registres de contrôle internes au switch engine ou à travers le moteur de commutation sur les composants d'interface physique ((D) grâce à une ligne de dialogue série (Management Data Input/Output ou MDIO) incluse dans l'interface avec ces composants. La fonction routage est ici évoquée pour décrire le contexte et ne fait en aucun cas partie de l'invention qui peut tout aussi bien s'appliquer à un terminal, dispositif dans lequel la fonction routage d'un commutateur est absente. En fonction de ces champs et de tables de configuration prédéfinies et chargées par le calculateur de contrôle lors d'une phase d'initialisation, le moteur de commutation sait sur quels ports de sortie router chaque trame entrante. Dans le cas particulier d'un switch AFDX, il effectue également et préalablement au routage, toutes sortes de contrôles de cohérence. C'est le cas en particulier de la fonction de régulation de trames (ou frame policing ) visant à garantir et le cas échéant à limiter la bande passante associée à chacun des liens virtuels (Virtual links ou VL) correspondant à des flux de donnée calibrés entre systèmes en supprimant les trames qui se situeraient en violation du budget de bande passante alloué au flux considéré. Cette fonction frame policing est également paramétrée par des tables de configuration chargées par le calculateur de contrôle lors d'une phase d'initialisation.
Pour les besoins de constitution de la MIB, il est usuel que les dispositifs d'interface numérique ou couches MAC associées à chacun des ports bidirectionnels du commutateur, disposent d'une batterie de compteurs dimensionnés de manière à accumuler sur une durée faible (typiquement la seconde) le nombre d'événements ou les variables quantitatives associées au débit d'information traité qui seront acquises avec une période du même ordre par le gestionnaire constituant la MIB. Une liste non exhaustive du type de grandeurs ainsi recueillies est donnée ci après à titre d'exemple : - nombre de trames ethernet transmises sans erreurs par un port donné - nombre de trames ethernet reçues sans erreur par un port donné - nombre d'octets transmis via les trames sans erreurs -nombre d'octets reçus via les trames sans erreurs - nombres d'erreurs ayant entrainé l'abandon de la transmission d'une trame - nombre d'erreurs de CRC ayant entrainé l'abandon d'une trame en réception nombre d'erreurs de longueur ayant entrainé l'abandon d'une trame en réception On remarque qu'en disposant de l'ensemble des inforrnations issues des MIB de l'ensemble des noeuds et terminaux du réseau c'est à dire notamment pour l'ensemble des ports de l'ensemble des switches d'un réseau, le gestionnaire de réseau peut ainsi constituer une MIB de niveau réseau et établir une cartographie des débits échangés dans chaque sens de chaque lien inter-switch ainsi que des situations pathologiques liées éventuellement à un nombre anormal d'erreurs reportées en provenance d'une région du réseau (lien entre deux switchs, tous liens d'un switch avec ses voisins, liens de plusieurs switchs ....)
Les données recueillies par le gestionnaire de la MIB locale au switch peuvent avantageusement être utilisées à des fins de prise de sanction immédiate au niveau du switch lui même en vue de l'amélioration de l'intégrité des données transmises. Une telle sanction peut être notamment l'invalidation d'un port imposant par exemple la cessation totale des flux de données transitant: par ce port. Une des causes d'invalidation est la détection d'un flux anormalement élevé de données non intègres. Classiquement, une trame corrompue est détectée grâce à un code de contrôle inséré dans chaque trame. Conformément à la norme IEEE 802.3 applicable à la fois aux commutateurs Ethernet et aux commutateurs AFDX, ce code de contrôle est du type CRC (Cyclic Redundancy Cycle ou Contrôle de redondance cyclique).
La figure 2 montre la structure d'une trame selon la norme comprenant un CRC 40. Chaque trame comprend un en-tête appelé préambule ou preamble dans la norme et constitué d'une succession minimale de 1 et de 0 alternés permettant à l'horloge locale de se synchroniser sur le signal modulé en provenance de l'émetteur distant. Ce préambule est suivi d'un start of frame ou signal de début de trame qui introduit la partie utile de la trame qui le suit immédiatement et sur laquelle porte le calcul du CRC. Viennent ensuite l'adresse MAC de destination, les données, un numéro de séquence SN 30 et le CRC 40. Le CRC utilisé pour contrôler les communications sur un réseau Ethernet ou sur un réseau AFDX est un CRC à 32 bits ou CRC- 32. Le principe de l'utilisation du CRC-32 est le suivant : le nombre binaire constitué par la trame est divisé par un polynome de degré 32 du type x32 + X26+X23+X22+X16+X12+x11 +x10+X8+X7+X5+X4+x2+X+ 1. Le reste de cette division constitue le CRC-32 et est accolé à la trame. On vérifie à l'autre bout du canal ou en sortie de switch que le CRC reçu est valide. Cette technique est particulièrement efficace puisque toute trame affectée d'un train de bits erronés de longueur inférieure à celle du CRC-32 est détectée avec certitude et que la probabilité qu'une trame affectée d'une erreur de taille supérieure à celle du CRC-32 ne soit pas détectée n'est que de 1/232 ou 2,3283*10-10 (si les bits erronés sont répartis sur la totalité de la trame et non confinés dans un train de 32 bits consécutifs au sens de la transmission ethernet 802.3 soit 8 demi-octets ou nibbles de 4 bits consécutifs). La taille du train de bits erronés est caractérisée par la différence entre les rangs du dernier et du premier nibble erroné de la trame dans 'l'ordre de prise en compte des nibbles dans le calcul du CRC. Cet ordre est également celui de leur transmission sur le medium physique. Dans le cas d'une liaison filaire AFDX fonctionnant à saturation, 148810 trames peuvent être reçues chaque seconde et si toutes sont erronées de manière aléatoire, le taux de trames erronées susceptibles de contourner la barrière du CRC est alors de 0,125 par heure (récurrence d'erreur de 8 heures) alors que l'utilisation du réseau dans un aéronef pour véhiculer des données critiques conduit à rechercher une probabilité inférieure à 10-9 par heure pour un événement susceptible d'avoir une conséquence catastrophique. Il est toutefois courant de pallier cette faiblesse en ayant recours à la convention qu'une donnée erronée unique ne peut pas entraîner de conséquence catastrophique. Ceci est aisément réalisable en procédant à une confirmation sur au moins deux cycles de calcul à partir de nouvelles données. Toutefois même si la confirmation a lieu dans un laps de temps de 100rns, la densité de l'événement plus d'une trame erronée à CRC correct reçue dans le laps de temps correspondant est de l'ordre 10-6 par heure ce qui est insuffisant pour être utilisé comme seul argument en vue de la certification d'un système critique.
Pour garantir une intégrité des données traitées par le commutateur meilleure de trois ordres de grandeurs que celle procurée par le CRC, il est 35 proposé d'invalider un port à partir du moment où il génère un taux d'erreur supérieur à des seuils prédéterminés. Pour établir la démonstration que l'établissement d'un seuil permet de traiter tout type d'erreur, on classifie les défaillances du matériel susceptibles de produire une transmission de donnée erronée associée néanmoins à un CRC correct selon deux catégories. On examine d'abord, les défaillances dont l'expression, indépendante de la donnée transmise, se traduit par un aléa sur la transmission et par conséquent une augmentation sensible du taux d'erreur (bit error rate ou BER). Ce taux d'erreur dégrade significativement la proportion de trames correctes et par corollaire crée un taux de trames erronées significatif auquel est associé inévitablement un taux de trames erronées non détecté 232 fois plus faible. Il suffit alors de détecter l'apparition d'un taux de trames erronées supérieur à un seuil d'acceptabilité pour invalider le canal de réception et réduire très rapidement à néant le risque associé à une donnée erronée. Dans les systèmes critiques, il faut alors démontrer que cette détection permet d'invalider le port avant que des conséquences catastrophiques aient pu se propager. Supposons qu'il soit possible de détecter une telle dérive et d'invalider le port dans la seconde de son apparition ; on réduit ainsi le temps de risque à 1 seconde (au lieu du temps du vol) ce qui permet aisément d'apporter les 3 ordres de grandeur manquants à l'ébauche de démonstration précédente. Il faut ensuite traiter le cas des défaillances n'introduisant pas d'aléas dans la transmission et susceptibles de se reproduire systématiquement et donc à l'identique dès lors que leurs conditions d'apparition sont réunies. Ces défaillances sont assimilables à un canal de perturbation potentiellement indépendant de la donnée mais qui associé à une famille de trames particulières produit systématiquement un CRC correct en dépit de l'altération de la donnée. Pour juguler cette menace il est suggéré de rajouter un champ variable de longueur inférieure à la taille du CRC et assujetti à changer systématiquement à chaque trame transmise du flux de données considéré (ce champ variable peut par exemple être généré par un compteur). Cet artifice, en modifiant la donnée et par conséquent le CRC associé de manière systématique, évite les situations dans lesquelles une donnée inchangée serait toujours altérée de la même manière et de façon non détectée. II permet ainsi d'éviter de prendre en défaut les mécanismes de confirmation, et facilite la détection de la perturbation par la détection du flux de trames erronées décrit plus haut, même en cas de transmission récurrente de la même donnée utile. La mise en oeuvre du procédé décrit ci-dessus est particulièrement adaptée aux communications AFDX utilisées dans les aéronefs et décrites par la norme ARINC 664. Dans ce protocole de communication bâti en s'appuyant sur la norme ethernet (IEEE 802.3), les flux de données sont séparés en VL (Virtual Link), chaque VL disposant d'une adresse dédiée caractérisée par un champ MAC destination unique. De plus, un champ variable de 8 bits, le numéro de séquence ou Sequence Number (SN) 30 associé au VL est assujetti à évoluer pour chaque trame transmise du VL considéré. Ce champ a été initialement introduit en addition aux champs spécifiés par I'IEEE 802.3 pour permettre la gestion de la redondance réseau par le terminal ainsi que la détection des modes de défaillance tels que la modification de la séquencialité des trames à l'intérieur d'un flux donné ( frame re-ordering ) et le bégaiement ( babbling ) qui sont des modes de panne usuels et redoutés des commutateurs de données. Ce champ supplémentaire répond également parfaitement aux besoins de démonstration d'intégrité selon le procédé de l'invention. Dans la mesure où le SN, qui est un élément de la trame, est pris en compte pour le calcul du CRC, des erreurs déterministes sur les données, telles que par exemple un ou plusieurs bits collés, seront en réalité détectés par le CRC qui sera nécessairement non conforme bien que les données soient identiques, puisque les données ont des SN différents. Ainsi, les deux types d 'erreurs sont pris en compte par le dispositif et le procédé selon l'invention : d'une part, dans la mesure où le seuil d'erreur conduisant à l'invalidation d'un port est fixé à un niveau approprié, il est possible de démontrer que le taux de défaillance sera nécessairement inférieur à 10-9 pour des erreurs aléatoires. Dans la mesure où la statistique de défaillance du CRC-32 prend également en compte les erreurs déterministes qui ne peuvent leurrer un CRC-32 calculé sur une trame comprenant un numéro de séquence, les deux catégories d'erreurs sont prises en compte par l'invention.
La figure 3 représente l'organigramme des traitements du procédé selon l'invention. On définit les variables et paramètres suivants : -Port_X_rejection_rate est le nombre de trames erronées détectées par seconde sur le port X ; Cette valeur est acquise périodiquement lors de la constitution de la MIB locale à partir des compteurs d'erreur de la couche MAC en réception du port considéré Port_X_acceptance_rate est le nombre de trames bonnes détectées par seconde sur le port X ; cette valeur est également une donnée extraite des compteurs de la couche MAC en réception du port Max_absolute_rejection_rate (en nombre de trames par seconde) est le seuil de taux de rejet conduisant à l'invalidation d'un port ; -Max_absolute_rejected_traffic est le taux de rejet (en pourcentage) conduisant à l'invalidation d'un port ; - Min_significant_rejected_traffic est le nombre de trames erronées minimal (pour éviter l'invalidation d'un port pour cause de concentration instantanée de courte durée de trames erronées de type distribution aléatoire des erreurs. Ce type d'événement correspond basiquement aux situations de foudroiement vis-à-vis desquelles le système doit être robuste). L'algorithme de détection des défaillances d'un port X est alors : Begin Port_X_rejected_traffic <= Port_X_rejected_traffic + Port_X_rejection_rate
if Port_X_rejection_rate > Max_absolute_rejection_rate => failure detection else if (Port_X_rejection_rate / Port_X_acceptance_rate ) > Max_absolute_rejection_ratio if Port_X_rejected_traffic > Min_significant_rejected_traffic => failure detection else => no action else Port_X_rejected_traffic <= 0 End Quand le seuil d'invalidation est dépassé sur le port X, une commande d'invalidation est envoyée au coeur de commutateur suer le réseau dédié interne. La variable booléenne de statut (port sain/port malsain) est passée au statut malsain. Le monitoring a pour but de détecter toute défaillance conduisant à dépasser un ratio significatif de trames rejetées. En fait, il peut y avoir plusieurs causes de rejet d'une trame. Pour chaque trame reçue par l'étage de réception, la couche MAC vérifie les points suivants : -présence d'une séquence en-tête/début de trame (preamble plus start of frame) minimale faisant suite à un espace inter-trames (Inter frame gap ou IFG) minimal ; - train de bits continu comportant un nombre entier d'octets (nombre pair de demi-octets) - train de bits continu avant IFG suivant comportant au moins 64 octets consécutifs - train de bits continu avant IFG suivant comportant au plus 1518 octets - CRC correct Chaque défaut constaté provoque le rejet de la trame en cours et l'incrémentation d'un compteur de défaut associé. Une couche MAC peut donc comporter jusqu'à 5 compteurs de défaut si l'on souhaite pouvoir différencier chacune des causes de défaut : - Rejet en raison d'une séquence en-tête/début de trame invalide après un IFG minimal ; - Rejet en raison d'un nombre impair de demi-octets après une séquence IFG minimal ù en-tête/début de trame valide ; - Rejet en raison d'un train continu de demi-octets inférieur à 64 octets après une séquence IFG minimal ù en-tête/début de trame valide ; - Rejet en raison d'un train continu de demi-octets supérieur à 1518 octets après une séquence IFG minimal ù en-tête/début de trame valide ; - Rejet en raison d'un CRC incorrect alors que tous les critères précédents sont corrects. Pour la mise en oeuvre de l'invention on s'intéresse au nombre de rejets c'est à dire à la somme de toutes les causes de rejet et donc au cumul de ces compteurs. La décision à prendre ne dépend pas des causes et s'appliquerait de façon identique avec une couche MAC ne dissociant pas les causes de rejet. Chaque couche MAC réception de chaque port d'entrée du switch comporte au moins un compteur accumulant les situations de rejet de trame. Chaque couche MAC réception de chaque port comporte également au moins un compteur accumulant le nombre de trames reçues correctes. La valeur des compteurs est accessible par la fonction monitoring exécutée par le processeur. Périodiquement, la fonction monitoring acquiert la valeur du ou des compteurs associés à la couche MAC. Cette acquisition est prise en compte par le monitoring et provoque également la remise à zéro du ou des compteurs de monitoring de la couche de réception MAC. La fonction monitoring effectue la somme du contenu des compteurs de rejet en cas de pluralité, acquiert le compteur de trames reçues et effectue le traitement aboutissant éventuellement à la sanction de passivation du port concerné. On remarque que ces compteurs étant automatiquement remis à zéro lors de leur acquisition, le simple fait d'en faire une acquisition périodique donne accès à une mesure de débit. La somme de tous les compteurs de rejet constituant la variable Port_X_rejection_rate. Le compteur de trames acceptées constituant la variable Port_X_acceptance_rate. Le mécanisme est basé sur l'hypothèse que pour les erreurs aléatoires indépendantes des données toute acceptation d'une trame corrompue due à une telle erreur sera associée à un taux de rejet de trames élevé au niveau de la couche MAC. Dans ce cas, la probabilité d'acceptation de quelques trames corrompues du même lien virtuel avant invalidation du port est très faible est décroit rapidement vers zéro. Pour réaliser l'invention sur un réseau fonctionnant à un débit théorique de 100 mégabits par seconde, on peut avantageusement fixer le seuil Max_absolute_rejection_rate à 1138 trames par seconde. Ce choix résulte des considérations suivantes. Si on définit E comme étant le taux de trames erronées (en nombre de trames par seconde) pour lequel l'espérance mathématique de l'événement plus d'une trame corrompue acceptée par seconde est supérieure ou égale à 10-9, on trouve E comme solution de l'équation du premier ordre 10-9 = 3600*(E*2-32)2, soit E = 2264 trames/s. Au-dessus de ce taux de trames corrompues, le seuil acceptable d'intégrité n'est pas garanti. Mais pour éviter une réduction de disponibilité du commutateur causée par des conditions atmosphériques défavorables comme par exemple un orage accompagné d'éclairs, le seuil doit être fixé à un niveau supérieur au nombre de trames corrompues dues à cette cause. Celui-ci est calculé selon la norme DO160 régissant la condition de test de qualification environnementale et notamment le foudroiement avec des trains d'impulsions électriques correspondant aux modèles de foudroiement d'une durée de 160 ps et comprenant 24 impulsions. On trouve 572 trames/s (160*24/6,72). Pour optimiser les gardes entre ces deux bornes, il est avantageux de choisir la moyenne harmonique de ces deux valeurs, soit (2264*572)12, ce qui conduit à la valeur recommandée de Max_absolute_rejection_rate fixée à 1138 trames/s. Un deuxième test est effectué en pourcentage du trafic pour se prémunir contre le cas où le trafic est trop faible pour aboutir au nombre de trames erronées critiques dans un intervalle de temps raisonnable. On fixera avantageusement ce taux à une valeur de 1% à partir du raisonnement suivant : la valeur maximale calculée de 2264 trames corrompues par seconde correspond à un taux de trames corrompues de 1,52% du débit de saturation de 148810 trames/s. La valeur choisie de 1138 trames corrompues par seconde correspond à un taux de trames corrompues de 0,76% sur la base de la même valeur de débit de saturation. La valeur de 1% se situe au milieu de la fourchette et est sensiblement plus élevée que le taux de corruption due à des causes environnementales (0,36%). La comparaison au paramètre Min_significant_rejected_traffic permet d'éviter l'invalidation d'un port dans le cas d'une concentration dans le temps d'un nombre élevé de trames corrompues. Pour fixer ce paramètre, on considère que le nombre de trames erronées correspondant ne doit pas être atteint en moins d'une seconde, sinon la comparaison à Max_absolute_rejection_rate aurait déclenché l'invalidation du port. Il doit donc être supérieur à deux fois cette valeur. Par sécurité, on prend la borne inférieure du domaine, soit 2*1137 = 2274 trames. Pour les défaillances dépendant des données, par exemple en cas de bits collés de rang fixe pour lesquels une donnée constante particulière pourrait constamment tromper le CRC, l'évolution du numéro de séquence associé au contrôle d'intégrité réalisé au niveau du contrôleur du terminal supprime complètement le risque d'acceptation de données identiques collées . En effet, deux trames contenant les mêmes données auront, du fait de l'intégration du SN dans le calcul, des CRC différents. De ce fait, les erreurs déterministes sont vues comme aléatoires et automatiquement prises en compte dans l'algorithme de détection et la décision d'invalider un port. Bien entendu, ces valeurs de paramètres sont données uniquement à titre d'exemple et d'autres valeurs pourraient être données aux paramètres sans sortir de la portée de la présente invention.
Claims (10)
- REVENDICATIONS1 Commutateur (10) de réseau de communication de trames de données sur des canaux de communication, ledit commutateur comprenant une base de données (20A) et des règles de gestion (20B) du trafic du commutateur, lesdites trames comprenant chacune un index (30) et un code de contrôle de trame (40) , caractérisé en ce qu'au moins une des règles de gestion du trafic permet l'invalidation d'un canal de communication par comparaison avec des seuils de compteurs d'erreurs de transmission détectées stockés dans la base de données.
- 2. Commutateur selon la revendication 1, caractérisé en ce que les erreurs de transmission détectées comprennent les erreurs 15 déterministes sur les données.
- 3. Commutateur selon la revendication 1, caractérisé en ce que lesdits seuils comprennent au moins un nombre absolu d'erreurs.
- 4. Commutateur selon la revendication 3, caractérisé en ce que ledit nombre absolu d'erreurs est fixé à une valeur de l'ordre de 1138 20 trames ethernet par seconde lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde.
- 5. Commutateur selon la revendication 1, caractérisé en ce que lesdits seuils comprennent au moins un taux relatif d'erreur.
- 6. Commutateur selon la revendication 5, caractérisé en ce que ledit taux 25 relatif d'erreur est fixé à une valeur de l'ordre de 1% des trames ethernet lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde.
- 7. Commutateur selon la revendication 1, caractérisé en ce que lesdits seuils comprennent au moins un nombre minimum de trames rejetées. 30
- 8. Commutateur selon la revendication 7, caractérisé en ce que ledit nombre minimum de trames rejetées est fixé à une valeur de l'ordre de 2274 trames ethernet lorsque le débit théorique du canal est de l'ordre de 100 mégabits par seconde.
- 9. Procédé de détection et de traitement des défaillances d'un 35 commutateur de réseau de communication de trames de données sur des canaux de communication, ledit procédé comprenant une étapede génération d'un index de trame, une étape d'insertion d'un code de contrôle de trame et une étape d'invalidation d'un canal de transmission, caractérisé en ce que l'invalidation résulte de la comparaison avec des seuils d'erreurs de transmission détectées.
- 10. Procédé selon la revendication 9 caractérisé en ce que les erreurs de transmission détectées comprennent les erreurs déterministes sur les données.10
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0708461A FR2924553B1 (fr) | 2007-12-04 | 2007-12-04 | Procede pour ameliorer l'integrite de moyens de communication |
| US12/328,193 US7971109B2 (en) | 2007-12-04 | 2008-12-04 | Method for improving the integrity of communication means |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0708461A FR2924553B1 (fr) | 2007-12-04 | 2007-12-04 | Procede pour ameliorer l'integrite de moyens de communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2924553A1 true FR2924553A1 (fr) | 2009-06-05 |
| FR2924553B1 FR2924553B1 (fr) | 2010-04-23 |
Family
ID=39712248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0708461A Active FR2924553B1 (fr) | 2007-12-04 | 2007-12-04 | Procede pour ameliorer l'integrite de moyens de communication |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7971109B2 (fr) |
| FR (1) | FR2924553B1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2957741A1 (fr) * | 2010-03-22 | 2011-09-23 | Peugeot Citroen Automobiles Sa | Procede et dispositif de gestion d'utilisation d'images video au moyen d'un compteur de validite |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2914519B1 (fr) * | 2007-03-26 | 2009-06-12 | Airbus France Sas | Procede de controle d'integrite des donnees dans un reseau afdx. |
| US8381080B2 (en) * | 2010-06-15 | 2013-02-19 | Lsi Corporation | Reducing a degree of a polynomial in a polynomial division calculation |
| US8693357B1 (en) * | 2010-09-20 | 2014-04-08 | Rockwell Collins, Inc. | Apparatus and method for testing equipment in a simulated AFDX network environment |
| CN103685144A (zh) * | 2012-08-31 | 2014-03-26 | 中兴通讯股份有限公司 | 一种媒体流传输方法及装置 |
| DE102013223704A1 (de) * | 2013-11-20 | 2015-05-21 | Bayerische Motoren Werke Aktiengesellschaft | Fahrzeug mit einem Ethernet-Bussystem und Verfahren zum Betreiben eines solchen Bussystems |
| FR3030126B1 (fr) * | 2014-12-10 | 2017-01-13 | Thales Sa | Systeme de transmission d'information avioniques |
| US10644976B2 (en) * | 2015-05-18 | 2020-05-05 | Denso Corporation | Relay apparatus |
| US9977888B2 (en) * | 2015-12-22 | 2018-05-22 | Intel Corporation | Privacy protected input-output port control |
| CN111770001A (zh) * | 2020-06-11 | 2020-10-13 | 中国民航大学 | 一种afdx总线传输特性的检测系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1994026052A1 (fr) * | 1993-04-29 | 1994-11-10 | Telefonaktiebolaget Lm Ericsson | Systeme de telecommunication et de communication de donnees |
| US5655068A (en) * | 1993-06-10 | 1997-08-05 | Adc Telecommunications, Inc. | Point-to-multipoint performance monitoring and failure isolation system |
| US20020194524A1 (en) * | 2001-06-15 | 2002-12-19 | Wiley Stephen A. | System and method for rapid fault isolation in a storage area network |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5271011A (en) * | 1992-03-16 | 1993-12-14 | Scientific-Atlanta, Inc. | Digital audio data muting system and method |
| US5329520A (en) * | 1992-07-17 | 1994-07-12 | Alcatel Network Systems, Inc. | High-speed facility protection in a digital telecommunications system |
| US6219389B1 (en) * | 1998-06-30 | 2001-04-17 | Motorola, Inc. | Receiver implemented decoding method of selectively processing channel state metrics to minimize power consumption and reduce computational complexity |
| US6308298B1 (en) * | 1998-11-16 | 2001-10-23 | Ecrix Corporation | Method of reacquiring clock synchronization on a non-tracking helical scan tape device |
| WO2003007515A2 (fr) * | 2001-07-10 | 2003-01-23 | Salira Optical Network Systems, Inc | Reseau optique passif ethernet a structure de tramage pour trafic ethernet passif et trafic multiplexe par repartition dans le temps, utilisant la synchronisation d'origine |
| US20030229844A1 (en) * | 2002-03-25 | 2003-12-11 | Akash Bansal | Graceful degradation of serial channels |
| DE10322735B3 (de) * | 2003-05-20 | 2004-12-16 | Infineon Technologies Ag | Qualifizierung und Selektion der Frequenzkanäle bei einem adaptiven Frequenzsprungverfahren mittels Feldstärkenmessung |
| JP2006033275A (ja) * | 2004-07-14 | 2006-02-02 | Fujitsu Ltd | ループフレーム検知装置およびループフレーム検知方法 |
| JP4573663B2 (ja) * | 2005-02-16 | 2010-11-04 | 富士通株式会社 | データ中継装置、データ中継方法、データ送受信装置およびデータ通信システム |
| US7747734B2 (en) * | 2006-03-29 | 2010-06-29 | International Business Machines Corporation | Apparatus, system, and method for error assessment over a communication link |
| ES2351352T3 (es) * | 2006-03-30 | 2011-02-03 | Finmeccanica - Società Per Azioni | Sistema para ampliar las radiocomunicaciones por satélite bidireccionales en túneles. |
| US7836352B2 (en) * | 2006-06-30 | 2010-11-16 | Intel Corporation | Method and apparatus for improving high availability in a PCI express link through predictive failure analysis |
| US8051338B2 (en) * | 2007-07-19 | 2011-11-01 | Cray Inc. | Inter-asic data transport using link control block manager |
-
2007
- 2007-12-04 FR FR0708461A patent/FR2924553B1/fr active Active
-
2008
- 2008-12-04 US US12/328,193 patent/US7971109B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1994026052A1 (fr) * | 1993-04-29 | 1994-11-10 | Telefonaktiebolaget Lm Ericsson | Systeme de telecommunication et de communication de donnees |
| US5655068A (en) * | 1993-06-10 | 1997-08-05 | Adc Telecommunications, Inc. | Point-to-multipoint performance monitoring and failure isolation system |
| US20020194524A1 (en) * | 2001-06-15 | 2002-12-19 | Wiley Stephen A. | System and method for rapid fault isolation in a storage area network |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2957741A1 (fr) * | 2010-03-22 | 2011-09-23 | Peugeot Citroen Automobiles Sa | Procede et dispositif de gestion d'utilisation d'images video au moyen d'un compteur de validite |
| WO2011117498A1 (fr) * | 2010-03-22 | 2011-09-29 | Peugeot Citroën Automobiles SA | Procédé et dispositif de gestion d'utilisation d'images vidéo au moyen d'un compteur de validité |
Also Published As
| Publication number | Publication date |
|---|---|
| US7971109B2 (en) | 2011-06-28 |
| FR2924553B1 (fr) | 2010-04-23 |
| US20090183038A1 (en) | 2009-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2924553A1 (fr) | Procede pour ameliorer l'integrite de moyens de communication | |
| US7889666B1 (en) | Scalable and robust troubleshooting framework for VPN backbones | |
| FR2851707A1 (fr) | Sonde de mesure de parametres de qualite de service pour un reseau de telecommunication | |
| WO2005122474A1 (fr) | Mesure de performance dans un reseau de transmission de paquets | |
| WO2010000965A2 (fr) | Procédé et dispositif de protection de l'intégrité de données transmises sur un réseau | |
| EP1743452A1 (fr) | Mesure de performance dans un reseau de transmission de paquets | |
| WO2017021129A1 (fr) | Procede de gestion de bande passante par un dispositif d'interconnexion de reseaux de communication | |
| FR3014622A1 (fr) | Architecture de transmission de donnees critiques dans des systemes avioniques | |
| FR3071688A1 (fr) | Procede de syncronisation d'un ensemble de dispositifs, programme d'ordinateur et systeme de syncronisation associes | |
| US11916765B2 (en) | Correlation score based commonness indication associated with a point anomaly pertinent to data pattern changes in a cloud-based application acceleration as a service environment | |
| FR3086134A1 (fr) | Procede de detection de sources illegitimes responsables d'une attaque distribuee par deni de service par inondation de lien et installation associee | |
| US11770328B2 (en) | Network including data integrity monitoring | |
| US7698730B2 (en) | Service detection | |
| EP3637645B1 (fr) | Dispositif électronique et procédé de réception de données via un réseau de communication redondé, système de communication et programme d'ordinateur associés | |
| FR2834409A1 (fr) | Systeme de gestion de reseaux de transport base sur l'analyse des tendances des donnees acquises sur le reseau | |
| EP2633651B1 (fr) | Procédé et dispositif de détection de la congestion d'un lien de transmission | |
| Yang et al. | BGP anomaly detection-a path-based apporach | |
| US20230396512A1 (en) | Advanced Machine Learning Techniques for Internet Outage Detection | |
| EP2773067B1 (fr) | Procédé de fiabilisation de la génération de messages d'alerte sur un réseau synchronisé de données | |
| FR3083659A1 (fr) | Identification de protocole d'un flux de donnees | |
| WO2023111064A1 (fr) | Reseau de communication avionique | |
| FR3030126A1 (fr) | Systeme de transmission d'information avioniques | |
| EP0998164B1 (fr) | Procédé de surveillance de pertes de paquets dans un système de communication | |
| EP4027619A1 (fr) | Système d extrémité pour un système de communication avionique et système de communication avionique associé | |
| EP3231137B1 (fr) | Réseau superposé pour reseau de communication connectant des centres de données d'un fournisseur de services en nuage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 9 |
|
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 17 |