JP2000509585A - 安全性の微妙な用途に対するプロトコル - Google Patents
安全性の微妙な用途に対するプロトコルInfo
- Publication number
- JP2000509585A JP2000509585A JP9539535A JP53953597A JP2000509585A JP 2000509585 A JP2000509585 A JP 2000509585A JP 9539535 A JP9539535 A JP 9539535A JP 53953597 A JP53953597 A JP 53953597A JP 2000509585 A JP2000509585 A JP 2000509585A
- Authority
- JP
- Japan
- Prior art keywords
- station
- cycle
- protocol
- time
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
(57)【要約】
同期仲裁に基付いて安全性の微妙な用途に対するタイムスライス内において送信及び受信局の間においてメッセージを伝送するプロトコルが記載されており、それにより通信システム(通信加入者も含めて)内における妨害は、確実に検出される。そのためにタイムスライスは、それぞれ1つの局に周期的に一貫して確定的に割当てられる。タイムスライスは、それぞれメッセージを伝送するための時間的な転送ウインドウ、及び転送ウインドウに続くアクナレッジウインドウに分割され、その際、アクナレッジウインドウ内においてもっばら誤りを含んで受信され又はまったく受信されなかったメッセージの際に、受信局から異議信号(VETO−信号)が、妨害の表示として送出される。
Description
【発明の詳細な説明】
安全性の微妙な用途に対するプロトコル
しばしば通信システムは、その妨害可能性が正確には定義できない環境におい
て動作する。このことは、とりわけその妨害環境が定常的に変化する航空電子−
及び自動車電子−用途に当てはまる。今日利用される安全性の微妙ではない通信
システム[1]は、次の信頼性要求を満たしている:
・通信誤りは、発見できなければならない。
・加入者の故障は、通信システムを麻痺させてはいけない。
・送信機の通信の順序は、受信の際に維持されている。
・通信は、高い確率で適正時間で伝送される。
現在自動車には、安全性の微妙な個別役割を成し遂げかつ別の部品とも通信す
る部品が使用される。その際、通信は、安全性について微妙ではない。それに対
して研究の対象は、厳しい実時間条件において共通に複雑な安全性の微妙な役割
を果たすので、通信システム自体が安全性について微妙である部品である。この
ような用途は、現在のシステムによって一部分しか満たされていない拡張された
要求を通信システムに設定する:
・通信システムは、フェイル−オペレーショナルでなければならず、すなわち
起こり得るあらゆる妨害においてかつ起こり得るあらゆる故障の後に、その役割
を引続き果たさなければならない。すなわち冗長の通信路を支援しなければなら
ない。
・通信システムは、永久的な誤りを妨害の分散から確実に区別し、かつ欠陥の
ある部品−及びこのようなものだけ−を排除しなければならない。
・通信システムにおける変化(故障及び再始動)は、できるだけ迅速にかつネ
ットワーク全体に一貫してアプリケーションに通知しなければならない。
・メッセージ内において変造は、妨害の最大限に現われる期間までに認識しな
ければならない。
・重要なメッセージは、保証された時間内に伝送されなければならない。
・マルチキャストメッセージは、必要であり、かつ核として伝送しなければな
らない。異なったソースの所定のメッセージに対して、その地球規模の順序の維
持が保証されなければならない。
・安全性の証明は管理可能でなければならず、ここにおいて通信システムが、
個々の部品における安全性の機能を害することがあることは排除される。部品が
、共通に安全性の微妙な役割を処理する場合、すべての部品を含めて通信システ
ムに対する安全性証明を管理しなければならない。
信頼性−及び安全性要求の他に、経験は、通信システムに別の要求を課する:
・総合システム内に及びそのために局及び機能の容易な統合可能性は、おおい
に重要である。個々の局は、その際に容易に構成できなければならない。
・通信加入者のダイナミックな分離及び編入、及びネットワークの拡張可能性
は、同様に重要な特性である。
・未来を指向する通信システムは、ステップの発展に持ちこたえ、かつかつ引
続き発展できなければならない。さらに高い伝送速度に対して適するようにし、
かつ種々の物理的媒体で運転できるようにする。とくに冗長動作に対する考え得
るアプリケーションアーキテクチャは、妨げられず、又は全く阻止されてはいけ
ない。
・及び:通信システムは、望ましいコストでなければならない。
通信システムの“推進力”は、そのプロトコルである。この報告書は、自動車
の分野における非同期プロトコル、CAN[2]及びABUS[3]又は鉄道の
分野における同期したマスター管理されるTCN−プ
ロトコル(MVB及びWBT)[4]とは相違して、分散した限定して確定的な
同期仲裁に基付く発端を考慮するプロトコルを提示している。プロトコルは、前
記の要求を考慮しており、妨害に対してきわめて丈夫であり、かつ通信を維持す
るためにあらゆる可能性を捕えている。これは、分散した同期時間ベースを前提
としており、この時間ベースは、継続中のメッセージ[5]を介してかつ局所的
な時計[6]によって実現することができる。
航法において安全システムの網構成のために、初めてSAFEBus(ARI
NC659)[7]が使用され、そのプロトコルは、同様にTDMA−方式に基
付いている。しかしながらこのバスは、最大で42インチの長さに対してしか構
想されておらず、かつさらに自動車の局所的なネットワークに対して高価すぎる
。
提示されたプロトコルは、アプリケーションに対する所定のソフトウエア−ア
ーキテクチャを判例としない。これは、1つの通信路を利用する簡単な局から冗
長な通信路を利用するおおいに冗長な局までの組合せに対して開いている。主題
、誤り許容度及び安全性の他に、プロトコルの開発の際に、実現可能性、コスト
及び引続き発展のような観点は、おおいに考慮される。
安全性の微妙なシステムに対して、容易な検証のためにアプリケーションプロ
セスの静的な(プレ−ランタイム)スケジューリングは、有利である。これに近
い思想は、プロトコルとアプリケーションの同期化にあり、それにより時間制御
されたアーキテクチャが生じる。タイム・トリガード・アーキテクチャ(TTA
)において、分散して実現することができる地球規模の1つの時間クロックは、
すべてのシステム活動を制御し:アプリケーション機能及び通信を制御する。こ
のようなアーキテクチャにおける情報の流れは、次のように経過する:1つのメ
ッセージは、所定のタイムスライス内において製造され、次のタイムスライス内
において送信されかつ受信され、かつ次のタイムスライスの間に、受信
局において引続き処理される(デリバリ−ディレイ、最小、デリバリ−ジッタ=
0)。存在するプロトコル、及び同様に自動車における用途に対して考慮された
タイム・トリガード・プロトコルTTP[8]は、このような一貫して時間制御
されたアーキテクチャの一部であることができる。
一貫して時間制御されるアーキテクチャ及びその静的な活動割当ては、とくに
安全性証明の簡単化及び冗長な局の同期化に関して大きな利点を有する。しかし
ながらこれらは、対の問題も有する:
・例えば転送の際にメッセージが妨害され、又は失われると、新たな伝送のた
めに時間は残っていない。TTP−プロトコルは、このような場合に、当該の局
の分離を考慮している。
・その時間特性についてすべての部品は、全システムに同調されていなければ
ならないので、時間制御されたアーキテクチャが変化に富んだシステム又は製品
に適用され、かつ特殊製品に適用されないとき、コスト及び手間が問題になる。
異なった車両タイプに対しかつ異なった装備変形に対して同じ部品の異なった構
成が生じる。このことは、自動車の構成の際及び部品を後から組込みかつ交換す
る際に、構造のマネージメントを必要にする。
・航法及び宇宙飛行において、時間制御されるシステムが使用され、これらの
システムは、飛行段階の交代の際に、いわゆるモードチェンジが行なわれる。種
々のモードは、したがって種々の送信権利の承認は、システムを変化する状況に
合わせなければならないとき、時間制御されたシステムにおいて不可欠である。
それ故にモードチェンジは、あらかじめ設定されたプロトコルにおいて考慮され
ている。しかしながらモードチェンジの実行は、モードが大幅な制限を受け、か
つ任意のモードが許されていないときにも、一貫性−及び実時間の観点において
妨害の場合に大きな問題を引起こす。それ故にこれらは、妨害のない場合にのみ
実行することができる。加えてそれぞれの部品によってそれぞれのモー
ドは、それ自体種々のモードを必要としないときにも、一緒に負担しなければな
らない。このことは、それぞれの部品が、基本的にそれぞれのモードにおいてそ
の役割を果たさなければならないということを意味する。内部の時間的な経過は
、モードと一致しなければならない。
結論:プロトコルは、アプリケーションとの一般的な同期を強制しないように
するが、可能にするようにするので、アプリケーションの一部は、同時に時間制
御され、時間制御−プロトコル同期しかつ現象制御されて動作することができる
。時間制御されプロトコル同期もしたソフトウエア−アーキテクチャは、例えば
冗長な運転者局及び4つの車輪モジュール局からなる安全かつ高度に利用可能な
自動車−総合システムに対して有意義なことがある。別のすべての部分は、現象
制御されて動作することができる。モードチェンジは、したがって動作中におけ
る異なったタイムスライス承認へのジャンプは、通常の経過に属さないようにす
る。
<とくに本発明の課題は、通信システム(通信加入者も含めて)において妨害
が確実に検出される、同期仲裁に基付いて安全性の微妙な用途に対してタイムス
ライスにおいて送信及び受信局の間においてメッセージを伝送するためのプロト
コルを提供することにある。本発明によれば、この課題は、請求の範囲に特徴付
けられた特徴によって解決される。>
本発明によるプロトコルは、したがって安全性の微妙な用途に対するプロトコ
ルは、次に省略してPROSAとも称する。
プロトコルは、機能的に用途に関係なく動作し、かつ後者によってその経過に
おいて影響を受けることがない。それぞれの局は、単位時間あたりの伝送容量を
ある程度利用することができる。ここに位置限定された用途が、これらの限界内
において伝送出力を要求するかぎり、与えられた妨害条件において最大の伝送時
間を保証することができる。プロトコルの特殊構造は、用途に無関係のために必
要ない。プロトコルに関する局モジュールの下請け業者の協調は、同調した一義
的な局アドレス及
びアクセス情報の利用に限定される。
プロトコルは、TDMA−アクセス方法:タイム・ディヴィジョン・マルチプ
レックス・アクセスに基付いている。TDMA−方法において、時間はタイムス
ライスに分割され、これらのタイムスライスは、すべての局においてかなりの程
度まで同期して維持される。それぞれの局に、1つのTDMA−サイクルにおい
て少なくとも1つの自身のタイムスライスが静的に割当てられている。そのタイ
ムスライス内において局は、共通の通信媒体における排他的な送信権利を保有す
る。この方法は、我々の場合のように、通信加入者の数及びメッセージ長さがむ
しろわずかである場合に、能率的である。両方のパラメータが、経済的にひきあ
うことができなければならないハードウエアの伝送速度の他に、アクセス時間に
対する所定の要因である。
TDMAの大きな利点は、確定的なアクセスである。通信システムの総合的な
閉塞は、基本的条件により排除されている。誤りのない場合、それぞれの局には
、その認められた容量限界に注意すれば、そのメッセージを伝送するために最大
の期間を保証することができる。妨害及び故障の際にも、メッセージ伝送の際の
最大期間を保証するために、TDMA−方法をプロトコルに拡張しなければなら
ない。
トークン−バス−プロトコル[9]及びその変形のようなその他の同期プロト
コルは、TDMA−プロトコルとは相違して、誤りの場合に変化したアクセス時
間(問題:トークン損失及び−発生)を有し、又はトークン−リング−プロトコ
ル[10]のように、活性通信区間の満たすことが困難な要求を課する。
通信線路における伝送速度が高いほど、早く妨害が有効になる。自動車がさら
されかつ自動車自身における装置が発生する起こり得る妨害は、構造的に又はプ
ロトコルによって押さえ込まなければならない。ここにはまず、外部から侵入す
る又は内部スイッチ過程から出る確率的なバースト状の妨害もある。他方におい
て内部の又は近隣から到来する周期的
な妨害もあり、これらの妨害は、周期的なプロトコルの経過にとくに不都合な影
響を及ぼすことがある。このことは、例えば点火及び発電機による妨害であり、
これらの妨害の周期は、さらに回転速度に依存して変化する。このような妨害が
、時々しか起こらないとき、−かつこのことは、例えば妨害防止構成部分におけ
る製造誤り、老化誤り又は保守誤りによって起こることがある−、所定の回転速
度が、厳密に周期的なTDMA−プロトコルに致命的な作用を及ぼすことがある
。
次の境界条件が成立つ:
・通信システムのトポロジ:
ビット直列のバスが利用され、このバスの最大長さは、ほぼ100mであり、
かつこのバスは、冗長に存在することができる。バス線に一例えば(シールドさ
れた)2線線路−、個々の局の永久的なハードウエア−誤りによる通信トラフィ
ックの閉塞が排除されているように、トランシーバによって加入者が接続されて
いる。
・通信加入者への要求:
加入者は、誤り防止装置を有し、この誤り防止装置は、局自身の時間間隔の外
において送信の試みが阻止されることを保証する。局は、さらに特殊信号(VE
TO)を発生することができ、これらの特殊信号は、強力な妨害作用があっても
きわめて高い確率で認識される。VETO−信号は、その存在以外に、それ以上
の情報を伝達しないので、これらは、優性の信号レベルとして又は帰還された交
代信号として実現することができる。しかしながら信号は、受信機により妨害が
VETOと解釈されることが希にしか起こらないような特殊刻印を有するように
する。
・メッセージの長さ、単位時間あたりのメッセージ:
用途の必要なメッセージ長さは、予見的に数バイトと数10バイトの間にある
。将来のデータの集中する用途も、例えば道案内も、この通信システムを介して
動作できるようにする場合、高速度−ハードウエアの使用は避けられない。
・通信加入者の数:
車両における用途は、役割に応じて次のものを必要とする:
−極度に頻繁な周期的なバスアクセス、例えば制御バスシステム、
−頻繁な周期的なバスアクセス、例えばブレーキバスシステム、
−又はわずかな時間要求を有するあまり頻繁でない(周期的な)アクセス。
したがって加入者の必要なアクセス時間は、異なっており、かつもっとも厳し
い場合、予見的にほぼ1msにある。多かれ少なかれ厳しい実時間−転送条件を
必要とする局の最大の数は、前記の有効データ量及び現在慣用の伝送速度(1な
いし10MBit/s)において、ほぼ32に制限されている。それとともに、
それより低い実時間保証を必要とする別の局が、同じネットワーク内において動
作する。
・メッセージ転送の品質(転送期間、損失、重複、順序):
メッセージの転送期間は、保証される。メッセージの損失の際、アプリケーシ
ョンは、直接及び即座に通知される。メッセージの重複及び順序交換は排除され
ている。
・結合様式(同期、非同期)、通信関係(1対1、1対n):
メッセージは、システム一貫性(すべての局はコマンド−及び状態メッセージ
を同時に受信する)及びシステム拡張能力の理由により、放送により送信され、
このことは、結合オリエンテッドの動作様式を排除する。プロトコル−コントロ
ーラは、用途に関係なく動作し、すなわち用途メッセージは、同期して待ちで又
は非同期で待たずに、待ち行列を介して又はあらかじめ計画された時点に発送さ
れる。メッセージが存在しない場合、自身の必要性にしたがってプロトコル−コ
ントローラは行動する。
・環境からの妨害の種類及び頻度:
プロトコルは、時折バースト状に継続することがある頻繁な周期的にも生じる
伝送誤りを有する強力に妨害された環境において、確実に動作
するようにする。それ故に通信−ハードウエアの永久的な故障は認識され、かつ
当該の加入者は切離される。過渡的な妨害は、局の切離しには至らない。局は、
現在のプロトコルに再び編入される。
・通信システムによる環境への許容される妨害:
カプセル封入された局及びシールドされたバス線を利用する際、通信による環
境への妨害及び環境からの妨害は、大幅に減少することができる。そのためにプ
ロトコルは、処置を用いない。
次にまず本発明を、プロトコルへの短い手引きにおいて例によって説明する。
詳細な説明、プロトコル状態及び規則は、これに続く章において説明されている
。
TDMA−仲裁方法は、哲学、沈黙は同意の下に、通信プロトコルに拡張され
る。そのためにそれぞれの局のタイムスライスは、2つの時間間隔、転送ウイン
ドウ及びそれに続く短いアクナレッジウインドウに分割される。アクナレッジウ
インドウ内において“沈黙”されると、先行する送信は、受け入れられたとみな
される。
図1は、転送ウインドウに及びアクナレッジウインドウに分割されたタイムス
ライスを、妨害されていない動作における基本図として示している。
表面的な考察の際、アクナレッジウインドウの導入によって、わずかなビット
伝送時間しか続かないときにも、伝送容量が提供される。しかしながらその際、
それぞれの実際のプロトコル−コントローラは、送信を受信した後に、メッセー
ジをチェックし、アプリケーションに引渡し、かつ自身の次の送信を準備するた
めに、ある程度の時間を必要とすることが考えられる。したがっていくつかの機
能を並列処理することができるときにも、2つの送信の間に休止が与えられる。
プロトコル管理、引渡し及び準備は、プロトコル−コントローラを巧妙に計画し
た際に、アクナレッジウインドウの間に行なうことができる。
アクナレッジウインドウの利点は、アクナレッジウインドウの幅より
も短く作用する妨害が連続する2つの送信を破壊することを許容しない送信ウイ
ンドウの間のその位置にある。それ故にアクナレッジウインドウは、少なくとも
頻繁に現われる妨害の期間の程度に広くする。
沈黙は同意がその逆の意味を有し:局が妨害を発見したとき、この局は、アク
ナレッジウインドウ内に、VETO−信号の形の異議を挿入する。この信号は、
全システムにおける完全な一貫性の基礎である。送信した局又は送信を正しく受
信した局が、VETOを認識した場合−希な場合にVETOと誤って解釈される
妨害の侵入が問題になることがある−、これは、同様にすべての(冗長な)通信
チャネルにVETOを送信する。この確認は、すべての局がVETOを認識する
確率を高めるためにあてられ、これは、1チャネルの又は1チャネルが故障した
局を有するシステムにおいて一貫性を確保するためにも使われる。VETO−信
号の送信は、新しいタイムスライスに到達する直前に設定される。
妨害の後に、再構成サイクルが継続する。これは、正確な誤り原因の検出、及
び場合によっては故障した局の位置判定及び切離しのために使われる。サイクル
内において、特殊メッセージフレームが送信されるが(画像においてグレーの下
にある)、これらのメッセージフレームは、同様にアプリケーションメッセージ
を含んでいる。サイクル内における正しくない受信は、同様にVETOによって
マークされる。送信機の誤り(図2)、又はまだサイクルの間に減衰する妨害(
図3及び図4)が問題になるとき、フレーム内に含まれるアプリケーションメッ
セージは転送される。
再構成サイクルを終了するために、通常動作が再び受け入れられる。遅くとも
初めに妨害されたタイムスライスにおいて改めて送信した後に(図4:ノード0
のタイムスライス)、故障した局、又は送信−又は受信チャネルに永久的な誤り
を有する局の切離しが行なわれた。そのためにそれぞれの局は、局所的にシステ
ム状態ベクトルを管理し、このシステム状態ベクトル内にこの局は、継続的にパ
ートナ局の現在の状態を記
入する。このメンバーシップ情報は、アプリケーションにいつでも一貫して利用
することができる。
TDMA−サイクル内に、メッセージを発送するそれぞれの局は、その間にこ
の局が送信準備されている少なくとも1つのタイムスライスを有する。すべての
局を、同じ権利で処理しようとしないので、−前記の命題を真として−TDMA
−サイクル内において問題に合わせたタイムスライス承認が選択できる。かくし
てさらに短いアクセス時間を必要とし又はさらに多くの情報量を伝送しなければ
ならない局は、TDMA−サイクル内に2つ又はそれ以上のタイムスライスを所
有する。例として、自動車の基本システム(0、1の冗長な運転者局、2・・・
5の車輪モジュール)を優遇しかつ通信の後に別の局(6、7、8、9)が送信
する計算時間を考慮するタイムスライス承認を提示しておく:
・・・39101623457108452391016・・・
しかしながらタイムスライス承認は、通信システム内において地球規模でかつ
一貫して知られていなければならない。これは、以下において静的にあらかじめ
与えられたものと仮定する。きわめて長いバースト誤りが期待されるとき、複数
の局サイクルを総合サイクルにまとめることができる。それと同時に再構成サイ
クルが拡大され、この再構成サイクル内において持続する妨害は、個別妨害とし
て取扱われる。周期的な妨害が所定の局を定常的に妨害することを阻止するため
に、したがって切離しを開始するために、前記の部分サイクルにおける局の順序
が置き換えられている。通信の整合の思想を継続する場合、システム内において
複数の異なったTDMA−サイクルを利用することが望まれる。それによりサイ
クル交代(モード−チェンジ)の問題に到達する。サイクル交代を許容する場合
、バス・ガーディアンは、−これはプロトコル−コントローラに関係ないハード
ウエア−装置であり、このハードウエア−装置は局自身の時間間隔外の送信の試
みを阻止する−必然的に複雑になることをはっきり知るようにする。
サイクル情報は、一貫して利用者によって利用でき、かつこの時、静的に確定
する。PROSAにおけるサイクル交代は、別のすべての活性の局における新た
なサイクルが、そのアプリケーション−ソフトウエアによってエネーブルされた
とき、局のアプリケーションの要求において有効になり、かつそれ故にこれらの
サイクル交代は、VETOを挿入しない。新たなTDMA−サイクルは、現在の
サイクルの経過の後に始まる。
通信チャネルの閉塞による全通信システムの故障(単一誤り:短絡、切断、終
端抵抗接触不良)を排除するために、プロトコル−コントローラは、2つの通信
チャネルを有するようにする。通信チャネル(バス線及び/又はトランシーバ)
の永久的な故障の場合、冗長構成の際に、通信は完全に維持でき、かつ自動車は
、走行可能なままである。すべての部分が異常なしの場合、二重の伝送により妨
害が有効になるための確率は、(いくらか)低下している。しかしながらこのこ
とは、チャネルの突然の故障の際にも、妨害の際の動作が無条件で確保されてい
なければならないので、プロトコルに対してわずかしか影響を及ぼさないもので
ある。(可能ならば、自動車は、−場合によっては低い速度で−引続き走行でき
るようにする。)接続の局所的な分離及びバス線のその代わりの布設によって、
両方のチャネルに関する機械的又は用語的なコモン−モード−誤りは、かなりの
程度まで排除することができる。
決定:
a)1つの局は、通常の場合、両方のチャネルに同時にメッセージフレーム及
び場合によってはVETO−信号を送信する。メッセージの伝送は、1つの局が
、少なくとも1つの冗長なメッセージをどちらかの線から正しく受信したとき、
まず成功したとみなされる。それに続いて両方の線のうちの一方においてVET
O−信号が認識されると、一別の局は正しい受信をしなかった−、伝送は失敗し
たとみなされる。
b)冗長なバスの両方の線を動作させる局の同時の動作、及び(故障
によって引起こされて)一方の線だけを動作させるものは、許容される。
アプリケーションメッセージは、フレーム内に“フレームイン”して発送され
る。物理的な伝送の際に自己クロックするコードを利用して、送信におけるビッ
ト−スタッフィングは、送信の終了標識が不要の場合、中止することができる。
可変のメッセージ長さの際、インターフレーム−スペーシング(線上における休
止)により終了認識を保証するか、又はフレームの初めに長さ表示を一緒に送信
するが、この長さ表示を受信−ハードウエアが評価しなければならないかを選択
する。しかしながらそれにより、ビット−スタッフィングにおけるように、有効
情報成分は減少する。時間制御されるプロトコルにおいて、総合システムの“コ
ンパイル−時間”のためにすべてのメッセージの長さ及び送信時点がわかってい
るという事実も利用することができる。
可変のフレーム−長さの際、いずれの場合にも、プロトコル−コントローラ及
びすでに述べたバス監視器も複雑になるという欠点がある。もっとも簡単な方法
は、一定の長さのメッセージを送信することにあり、それによりすべてのタイム
スライスも同じ長さを有する。
PROSA−フレームは、次のフィールド及びプロトコル−フラッグからなる
:
|プレアンブル/スタート|F|EC|NS|G|M|I|x|y|メッセー
ジ|CRC|
| プロトコルバイト |
プレアンブル/スタートデリミタ:受信機の同期化のために使われる。
F フレーム−タイプ:通常−フレーム、リカバリ−フレーム。
E リカバリ−フレーム内のエラー−ビット:伝送誤りが生じたときにセット
。
N リカバリ−フレーム内のノー−フレーム:フレームが受信されなかったと
きセット。
C 通常−フレーム内のサイクル−番号:活性化したすべての局は、通常−フ
レーム内のC−フラッグを介して連続したタイムスライスに、現在のTDMA−
サイクルの番号(モード)を伝達する。シーケンスは、消去されたC−フラッグ
を有する通常−フレームによって制限されるセットされたC−フラッグを有する
通常−フレームの列からなる。セットされたC−フラッグを有するフレームの合
計は、サイクルの番号を与える。例:
C−フラッグ(N−フレーム・スライス)スライス=n、n+1、n+2・
・・:{・・・010・・・}*サイクル1
現在のサイクル番号の知識は、新しく始動する局を現在のプロトコル動作に統
合しようとするときに必要である。妨害は、伝達を無効にする。
S 通常−フレーム内のスライス−番号:局は、その通常−フレーム内におけ
るS−フラッグを介して定常的に、ちょうど送信を行なったタイムスライスの番
号、したがって暗黙のうちに−現在のサイクル番号の知識の下に−その自身の局
アドレスも伝達する。シーケンスは、消去されたS−フラッグを有する通常−フ
レームによって制限されるセットされたS−フラッグを有する通常−フレームの
列からなる。セットされたS−フラッグを有するフレームの合計は、タイムスラ
イスの番号を与える。例:
S−フラッグ(N−フレーム・スライス、サイクル)スライス=一定/サイ
クル=i、i+1、i+2・・・:{・・・010・・・}*スライス2
タイムスライス番号の知識は、新しく始動する局を現在のプロトコル動作に統
合しようとし、かつその自身のタイムスライスを判定しなければならないときに
必要である。妨害は、伝達を無効にする。
G グループ−局(C/S−フラッグを無視):1つのタイムスライスを分割
する局によってセット、又はサイクル交代の要求の後に現在
のサイクルの最後までにセット。
M メッセラジ−タイプ:アプリケーションメッセージ又はプロトコル−メッ
セージ(NULL、INT、RUN、CHANGECYCLE、INTEGRA
TE)。プロトコルメッセージは、初期設定、編入の間及び動作中に送信される
(アプリケーションメッセージがないとき、NULL)。
I 入力−誤り:送信局の通信チャネルの1つが永久的に故障し又は妨害され
ているときにセット。
x、y 任意(場合によってはプロトコル−バイトに関するパリティー)
メッセージ:
このフィールドは、異なった長さであることができるアプリケーションメッセ
ージを含む。時間制御されたアーキテクチャにおいて、発送者及びメッセージタ
イプは、タイムスライスによって一義的に確定されているので、アプリケーショ
ンは、メッセージ内におけるタイプ認識を省略することができる。プロトコルメ
ッセージの際、このフィールド内にタイプ、現在のサイクルの番号、サイクル内
の現在のタイムスライス、通信システムの局に導かれる状態ベクトル、及びサイ
クル情報に関するテスト合計が書込まれている。
CRC:
周期的冗長度チェックは、プロトコル−バイト及びメッセージフィールドをカ
バーする。これは、送信の際に発生され、かつ付加され、かつ受信の際に発生さ
れ、かつ比較される。確実な誤り認識を保証するために、CRCは、実際に(さ
らに頻繁に)現われる妨害の長さに相当する少なくとも1ビット−長さを有する
ようにする。
プロトコル−コントローラの接続方式は、図5に基本的に示されている。
利用者−CPUとプロトコル−コントローラとのメッセージ−、コマ
ンド−及び情報交換は、例えばデュアルポートRAM(DPR)を介して行なわ
れ、このデュアルポートRAMは、この時、2つの部分に分割されている。第1
の部分において利用者−CPUだけが、第2の部分においてプロトコル−コント
ローラだけが、書込の権利を有する。それ故にアプリケーションは、プロトコル
経過に介入することができない。
プロトコル−コントローラは、2つのトランシーバを直接接続するために、ネ
ットワーク側にそれぞれ2つの直列入力端子及び出力端子を有する。プロトコル
−コントローラは、実際に冗長なバス線が接続されているが、この意味において
プリセットにしたがって動作するかどうかの知識を持たない。1つのトランシー
バ及びバスだけが接続されており、又は一方のチャネルが故障している場合、こ
のことは、プロトコル経過については何も変更せず、妨害が有効になる確率だけ
が増加する。Veto−線が必要であり、又はVETOが特殊信号として送信−
線上に与えられるかどうかは、Veto−信号の実現に依存する。誤り公開の理
由により、VETOは、送信−線を介して一層良好に展開されるようにする。な
ぜなら動作中におけるVeto−装置の動作能力は、テストすることができない
からである。線は、−存在するならば−両方のトランシーバに至る。
プロトコル−コントローラは、図6に示した状態線図にしたがって動作する。
投入の後、かつ利用者ソフトウエアの要求において、プロトコル−コントロー
ラは、初期設定に入る。初期設定において別の通信加入者は、話しかけられ、か
つTDMA−サイクルが構成される。続いてプロトコル−コントローラは、通常
動作に変わり、又はアプリケーションによって望まれるとき、不活性動作に変わ
る。不活性、動作は、アプリケーションにメッセージの傍受を可能にするが;プ
ロトコル−コントローラは、送信の権利を持たない。すでに別の局のサイクルが
構成されたとき、プロトコル−コントローラは、初期設定から同期化及び編入の
状態を介し
て通常動作に変わる。不活性動作からも、アプリケーションの起動において編入
を介して、通常動作への変化を行なうことができる。伝送誤りは、プロトコル−
コントローラを通常動作から状態、再構成に移す。再構成サイクルは通過され、
ここにおいて永久的な誤りが存在するかどうかが確認される。プロトコル−コン
トローラは、このような誤りに該当するとき、不活性動作に変化する。誤り統計
学及び行なわれた自己テストにしたがって、改めて編入を試みることができ、又
は遮断することができる。
次の口頭の明細は、プロトコル−コントローラの構成のための説明及び規則を
含んでいる。規則は、一部タイムチャートによって補充され、これらのタイムチ
ャートは、規則に関する通信総合システムの結果として生じる特性を具体化して
いる。概念“局”は、“プロトコル−コントローラ”に対して同義語として利用
される。
次に一般的に有効な基本規則が説明されている:
規則1
それぞれの局は、この局を一義的に特徴付ける数値アドレス《i》、及びすべ
ての局によって一貫したサイクル情報を受取る。サイクル情報は、少なくとも1
つのTDMA−サイクルを含むが、通常複数のサイクルを含んでいる。1つのサ
イクルは、所定の局《i》に対応する一連のタイムスライスからなる。1つのサ
イクル内において、複数のタイムスライスが、局《i》に対応していてもよい。
現在のサイクル《c》における1つの局《i》は、オウナ(c,s)=iを有す
る番号《s》のすべてのタイムスライス内に、送信権利を有し;オウナ(c,s
)≠iの場合、この局は送信してはいけない。
規則2
局は、少なくとも2つの通信チャネル(トランシーバ)を有し、これらの通信
チャネルは、独立のバス線に接続されているので、総合システムは、1つのバス
の故障の際に引続き動作することができる(フェイル
−オペレーショナルを維持)。
規則3
タイムスライス内に受信機によりフレームが受信されなかった、又はフレーム
が正しく受信されなかった(フレーミングエラー、転送コードエラー、crcエ
ラー)とき、受信誤りが存在する。1つの正しいフレームの受信の際に、伝送は
、成功したとみなされる。受信誤りを認識した局は、次のアクナレッジウインド
ウ内に基本的にVETOを送信する。1つの局は、VETOの送信の際に基本的
に両方のチャネルを選択する。それにより冗長な接続の際、両方の線にVETO
が送信される。
規則4
アクナレッジウインドウ内にVETOを認識した(どちらのチャネルでも)1
つの局は、同様にアクナレッジウインドウの最後までに、両方のチャネルにVE
TOを送信する(正しいフレームを受信したときにも)。それにより単一チャネ
ルの及び1チャネルの故障した局との一貫性が保証される。アクナレッジウイン
ドウは、この理由により、VETO−信号の認識のための期間の少なくとも2倍
の大きさである(しかし少なくともさらに頻繁に起こる妨害のような大きさでも
ある。)。
規則5
それぞれの局は、システム状態ベクトルを導き、このシステム状態ベクトル内
において、すべての局の状態が、最後の状態に維持される。局は、ここにおいて
エクスクリュード又はインクリュードにセットされている。
規則6
一方のチャネルにおいて局が正しいメッセージを受信し、かつ他方のチャネル
においてインクリュードにセットされた局の半分より多くのものから正しいフレ
ームを受信しないと、この局は、チャネルをアンデファインドにセットする。バ
ス中断又は短絡の疑いがある。これは、(再び)局の半分りより多くのものをチ
ャネルにおいて正しく受信するとす
ぐに、チャネルをokにセットする。
規則7
一方のチャネルがアンデファインドにセットされているとき、プロトコルバイ
ト内にセットされたI−フラッグを有する自身のすべてのフレームが送信される
ので、すべての局に対して故障は明らかである。情報は、アプリケーションによ
って問合わせることができる。
規則8
プロトコル−コントローラは、そのタイムスライスに到達するとすぐに、アプ
リケーションメッセージを入手し、又はメッセージが存在しないと、タイプ、N
ULLのプロトコルメッセージを発生する。プロトコルメッセージは、現在のサ
イクルの番号、サイクル内の目下のタイムスライスの位置、現在のシステム状態
ベクトル及びサイクルにわたる適当なテスト合計を含んでいる。
規則9
正しく受信されたフレーム内にアプリケーションメッセージが含まれていると
き、これらのアプリケーションメッセージは、アプリケーションがこのことを望
めば、VETOによって転送が無効になったときにも、アクナレッジウインドウ
の経過の後に引渡される(RECV_VETOMSG)。プロトコルメッセージ
も、望まれる場合、引渡される(RECV_PROTMSG)。
規則10
2つの正しいフレームが受信され、かつ一方のチャネルがアンデファインドに
セットされており、okにセットされた入力端子のメッセージが評価され、かつ
アプリケーションにより1つのメッセージだけが望まれるとき、後者は転送され
る。このことは、認識されていない伝送誤りの確率が増加しているので、行なわ
れる。
次の処置は、システムにおける一貫性の確率にとって尺度になる。
規則11
VETO−信号(及びそのハードウエア)は、強力な妨害作用を受けても、高
い確率で認識されるように構成される。その際、認識−ハードウエアが、個々の
妨害をVETOと解釈し、かつ通知することは許され、このことは、この時、規
則4にしたがって地球規模で公表される。VETO−信号が、起こり得る妨害に
よって認識されないことは許されない。
規則12
VETOは、動作中に別個の認識装置をチェックすることはできないので、受
信ハードウエアによって認識される。さらにそれにより、(単一チャネル)局が
、フレームを正しく受信するが、次のVETO−信号が、認識しない場合は、き
わめてありそうもなく、かつもっばら過渡的な誤りによって引起こされることが
ある。永久的な誤りは、両方の機能−フレームの受信及びVeto−認識を妨害
する。
通常動作において、次のプロトコル規則が当てはまる:
規則13
通常動作において、活性化したすべての局からその時間ウインドウ内において
通常−フレーム(N)が送信される。(規則8も参照。)活性化したすべての受
信機が、インクリュードとマークされた送信機の時間フレーム内に、(少なくと
も)1つの通常フレームを正しく受信するかぎり、通常動作は存在する。図7は
、妨害のない動作におけるプロトコルの経過を示している。
規則14
エクスクリュードにセットされた局のアクナレッジウインドウ内において規則
3にしたがって、VETOが送信される。この場合、すべての局によって通常動
作が継続される。図8は、不活性の局におけるプロトコルの経過を示している。
規則15
インクリュードにセットされた局は、プロトコル−バイト内のサイク
ル−フラッグを介して、目下のサイクルの番号を継続的に伝達する。第1の局は
、サイクル−フラッグ内の0によって始まり、それから後続のものは、サイクル
の番号に到達するまで、頻繁に順に1を送信する。その後、次の局は、再び0等
を送信し、規則26a(相手)も参照されたい。通常動作から離れる際、かつプ
ロトコルメッセージの送信の後に、第1の妨害されていない通常−フレーム(こ
れは論理的にサイクル−フラッグ内の0を含む)によって再び始動するまで、機
構はリセットされる。
規則16
局は、その1つ又は複数のタイムスライス内において通常−フレーム内のスラ
イス−フラッグを介して、目下のタイムスライスの番号(したがって暗黙のうち
その局アドレス)を伝送する。この局は、スライス−フラッグ内の0によって始
まり、かつその後、タイムスライスの番号に到達するまで、頻繁に同じタイムス
ライス内において1を送信する。その後、これは、最初から始まる。相手:規則
26b。通常動作から離れる際、かつプロトコルメッセージの送信の後に、局の
第1の妨害されていない通常−フレームによって再び始動するまで、機構はリセ
ットされる。
状態、通常動作において送信されるインクリュードにセットされた送信機のフ
レームが、少なくとも1つの受信機によって妨害されてしか又は全く受信されな
かったとき、すべての局は、再構成サイクルを通過する。このような妨害に対し
て、次の原因が考慮される:
1、妨害の侵入、
2、全体的に故障した局、
3、1つ(又は複数)の故障した受信チャネルを有する1つ(又は複数)の局
、
4、故障した送信チャネルを有する局、
5、全故障を有する局の形及び/又は故障した受信チャネルを有する
局の形で生じる1つ(又は複数)のバス線の切断又は短絡。
再構成は、永久的な妨害の原因を除去するようにするが、過渡的な妨害の場合
に、局を誤って切離さないようにする。場合1ないし4において、一義的な原因
発見が可能であり、すなわち局を切離すかどうか及びどの局を切離すかの判定は
、一義的にかつ正しく行なうことができる。必要な実時間条件の下に、このよう
な正しい判定は、−1つであるときに−場合5において保証することができない
。しかし冗長のバス線を利用しかつ保守する(規則7にしたがってプロトコル内
に統合された表示に反応して)ことによって、場合5に対する発生確率をゼロに
することは可能である。
再構成サイクルにおいて、もっばらリカバリ−フレームが送信され、これらの
リカバリ−フレームは、そのエラー−フラッグ内に、原因発見のために必要な情
報の一部を含んでいる。再構成のために3つの局変数が重要である:
−リカバリ−フレーム内のエラー−フラッグを介して、局は別のすべての局に
、初めに妨害を受けた送信機の両方のフレームを正しくなく受信し又は全く受信
しなかったかどうかを通知する。
−変数、リカバリワンOKにおいて、局は、再構成サイクルにおいて、別の局
から少なくとも1つのフレームを正しく受信したかどうかに気付く。
−変数、アザーディスターブドにおいて、局は、少なくとも1つの別の局が初
めに妨害された送信機の(同様に)両方のフレームを正しくなく受信したかどう
かに気付く。
局は、再構成サイクルの終了後に、その判定を行なう。判定には、再構成サイ
クルに続いて改めて送信する初めに妨害を受けた送信機のフレームを妨害を受け
て受信した受信機が関与する。これらから、どの送信機からも正しいフレームを
受信しなかった又は送信機の繰返し妨害されたフレームの唯一のものとして捕え
られた局が切離される。判定に関与
する別のすべての受信機は、VETO−信号の送出によって、初めに妨害された
送信機のオフを信号通知する。
規則17
局のアクナレッジウインドウ内にVETOが送信され、この局がシステム状態
ベクトルにおいてインクリュードにセットされていることを、通常動作における
局が確認すると、この局は、続いて再構成サイクルを実行する。(再構成サイク
ルにおいて基本的にサイクル交代−及び統合メッセージは送信されない。)
a1 再構成サイクルの初めに、前の送信の際に伝送誤りを確認したすべての
受信機は、その変数を次のように設定する:
−リカバリー−フレーム内のエラー−フラッグ=TRUE(R1−フレーム)
、
−レシーブワンOK=FALSCH、
−アザーディスターブド=FALSCH。
a2 正しい通常フレームを受信した受信機は、その変数をつぎのようにセッ
トする:
−リカバリー−フレーム内のエラー−フラッグ=FALSCH(R0−フレー
ム)、
−レシーブワンOK=TRUE、
−アザーディスターブド=TRUE。
b1 インクリュードにセットされたすべての受信機は、再構成サイクルにお
いてその1つ/複数のタイムスライス内に、前にセットされたエラー−フラッグ
を含むリカバリ−フレームを送信する(規則8及び9も参照)。初めに妨害され
た送信機は、サイクル内に複数のタイムスライスを有するとき、通常−フレーム
(N)を送信する。サイクル内に伝送誤りに気付いた局は、(規則3に取り決め
たように)VETOを送信するので、アプリケーションにメッセージを送出する
際に、地球規模の見解が保証されている。
b2 1つのフレームの正しい受信の際、−VETOによって無効にされるか
どうかはどうでもよい−受信機は、その変数を次のようにセットする:
−レシーブワンOK=TRUE(別の局のフレームは正しく受信された)、か
つリカバリ−フレーム内におけるエラー−フラッグがTRUEにセットされてい
るとき、
−アザーディスターブド=TRUE(別の局は、初めに妨害されている)。
c 再構成サイクルにおいて、規則17b1にしたがって送信された初めに妨
害された送信機の通常フレーム(N)が、無効にならないと、直接即座に再び通
常動作が有効である。この場合は、図9に示されている。
d サイクルの最後に、再び初めに妨害された送信機は、通常−フレーム(N
)を送信する。
e 規則17dにしたがって送信されたN−フレームの受信の後に、受信機が
伝送誤りを確認すると、この受信機は、その変数を評価し:
e1 変数レシーブワンOKがFALSCHであるとき、受信機は、別の局
のフレームを正しく受信できず、かつ規則18にしたがって沈黙のまま切離され
る。
e2 変数レシーブワンOKがTRUEであり、かつ変数アザーディスター
ブドがFALSCHであったとき、受信機は、送信機から正しいメッセージを受
取らなかった唯一の加入者である。この受信機は、アクナレッジウインドウを待
機する。別の局からVETOが発生されたとき、受信機は、誤りカウンタを増加
する。定義すべき値を上回らない場合、受信機は、活性動作のままである。そう
でない場合、かつVETOが発生されない場合、この受信機は、規則18にした
がって切離される。
e3 変数レシーブワンOKがTRUEであり、かつ変数アザーデ
ィスターブドがTRUEであるとき、VETOを含む送信は無効にされ、それに
より送信機は、規則19にしたがって切離される。
規則18
受信機の切離し:両方の場合、規則17e1又は17e2、受信機は、アプリ
ケーションへのメッセージ(INTR_EXCLUDED)を中止し、かつ直接
不活性動作に至る。図10は、永久的に故障した受信機におけるプロトコル経過
を示している。
規則19
送信機の切離し:規則17e3による無効の場合、送信機は、網全体において
一貫して切離される。活性のすべての局は、送信機自身も、システム状態ベクト
ルにおける妨害者をエクスクリュードとマークする。送信機の切離しは、アプリ
ケーションに告知される(INTR_SYSCHANGE)。送信機は、不活性
動作に至る(INTR_EXCLUDED)。次のタイムスライスにおいて、通
常動作が継続する。図11は、永久的に故障した送信機におけるプロトコル経過
を示している。
注意:再構成サイクルを越えて持続しない妨害の際、当該の送信機及びすべて
の受信機は、活性のままである。妨害が、再構成サイクルを越えて持続するとき
、少なくとも1つの局は活性のままであり、送信機又は部分妨害の際に少なくと
も1つの受信機は活性のままである。
注意:規則17cは、局の所望の分散の際に、サイクル内において、妨害がそ
れほど急速ではなく、かつそれぞれのタイムスライスに出会うとき、周期的な妨
害による切離しを避けるために適している、図12参照。
局が、初期設定を求められるとき、次の場合が考慮される:
−すでにTDMA−サイクルが動作している:
局は、状態、編入に変化する。
−局は、第1のINIT−フレームを送信することによって、TDMA−サイ
クルを構成するように試みる。
その際、次の場合が区別される:
−別の局も、TDMA−サイクルを構成するように試みる。
−別の局は応答しない(伝送誤り、衝突、局が活性でない)。
−別の局は、試みを受け入れる。
初期設定には、図13に示された大ざっばな状態線図が基になる。
規則20
初期設定の初めに、プロトコル−コントローラによってサイクル0がロードさ
れる。ここにおいてあらかじめ与えられたサイクル内に挙げられたそれぞれの局
は、ここにおいて送信の権利を有する少なくとも1つのタイムスライスを有する
ようにする。
a 局が、アプリケーションから初期設定を要求されるとき、この局は、すべ
ての局の共通のスタートを可能にするようにする確定すべき時間間隔を1つのフ
レームについて待つ。時間間隔は、局の初期設定の際の種々の動作時間を補償す
るような長さに選択するようにする。これは、動作しているシステムを妨害しな
いために、サイクル期間よりも長くなければならない。
b1 待っている局が、前記の時間内に、タイプ、INIT−プロトコルメッ
セージのものではない正しいフレームを受取ると、この局は、状態、編入に変わ
る。
b2 局が、前記の時間間隔の経過後に、フレームを受取らなかったとき、こ
の局は、自身のイニシャルINIT−メッセージを送信する。後者は、サイクル
番号=0、スタートタイムスライス、すなわち送信機の送信権利が存在するサイ
クル内の自身の第1のタイムスライス、イニシャルシステム状態ベクトル、及び
サイクル情報に関するテスト合計を含んでいる。イニシャル状態ベクトル内にお
いて、すべての局のビットは、エクスクリュードにセットされている。
b3 局が、
<サイクル期間+2*スタートタイムスライス*タイムスライス期
間>
によって決まる期間内にそのINIT−メッセージにおいて、別の局のフレー
ムを受取らないと、この局は、改めてそのイニシャルINIT−メッセージを送
信する。この過程は、繰返される。繰返しの数は、なお確定しなければならない
。
b4 この時点にフレームが妨害を受けて受信されると、VETOは送信され
ず、かつ改めて規則b3にしたがって処理される。その際、前記の待時間が改め
てセットされる。
b5 外部の正しいINIT−メッセージを受取った後に、含まれたテスト合
計は、自身のものと比較される。これらが一致すると、タイムスライスは、含ま
れたタイムスライス番号によって同期化され、かつプロトコル時計がスタートさ
れる。タイムスライスは、スタートタイムスライスとして記憶される。
c1 続いてINIT−メッセージが正しく受信される度ごとに、含まれたテ
スト合計及びタイムスライス番号は、自身のものと比較される。相違する場合、
局自身がすでにインクリュードにセットされているとき、フレームは無効になる
。そうでない場合、含まれたシステム状態ベクトルが取出され、かつ局所的に書
換えて記憶される。妨害された又は無効にされたフレームは無視される。タイプ
、INITのものではないフレームの正しい受信の際、プロトコルは、状態、編
入に至る。
c2 局がそのタイムスライスに達するが、局所的な(最後に記憶された)シ
ステム状態ベクトル内に、なおエクスクリュードが特徴付けられており、又はス
タートタイムスライスにまだ改めて到達していないと、この局は、そのINIT
−プロトコルメッセージ内に状態ベクトルをコピーし、ここにおいてその状態ビ
ットをインクリュードにセットし、かつフレームを送信する。
c3 局が、そのタイムスライス内においてすでにインクリュードにセットさ
れおり、かつタイムスライスに到達し、又はこれを越えている
とき、この局は、タイプ、RUNのプロトコルメッセージを送信し、かつ無効に
なっていないとき、通常動作(確定したサイクル、タイムスライス0)に至る。
通常動作の受け入れは、アプリケーションに告知される。
d 無効にされないタイプ、RUNのプロトコルメッセージを受信したすべて
の局は、システム状態ベクトル内におけるそのビットがインクリュードにセット
されており、かつ自身のメッセージが有効に受信されたとき、同様に通常動作に
切換える。そうでない場合、これらの局は、状態、編入に至る。通常動作の受け
入れは、アプリケーションに告知される。
スタート過程は、図14及び15に示されている。
アプリケーションは、プロトコル−コントローラを不活性動作にスタートし、
又は切換えることができる。不活性動作は、再構成の最後に規則18又は規則1
9にしたがって切離しが行なわれるとき、自動的に受け入れられる。次の規則は
、不活性動作に関する:
規則21
不活性動作において、メッセージ及びVRTO−信号は送信されない。別の局
のメッセージは、規則9にしたがってアプリケーションに引渡される。
規則22
通常動作における局は、規則18、19及び33を介して又は明白にアプリケ
ーションにより不活性動作に切換えることができる。不活性動作は、即座に有効
になる。局が不活性動作に達すると、この局は、自ら局所的状態ベクトルにおい
てエクスクリュードにセットされる。
規則23
不活性な局だけから正しくなく受信されかつそれ故に無効にされないメッセー
ジは、失われる。当該の局は、同期に至る。アプリケーションは、エラーメッセ
ージを受取る。
規則24
アプリケーションは、局が現在のサイクルにおいて自身のタイムスライスを有
する場合、不活性動作から編入を介して通常動作への交代を引起こす。この要求
に先立って、規則18にしたがってプロトコル−制御された切離しが行なわれて
いると、これは、決定可能な期間《t》の間妨害されないフレームを受信し、か
つ前の時間単位《T》あたりの自身の切離しの回数が所定の閾値を越えない(《
t》及び《T》をなお確定しなければならない)ときにだけ、状態交代を実行す
る。
次の規則は、同期に関する:
規則25
同期している局は、メッセージ及びVETO−信号を送信しない。
規則26
局は、まずプロトコル同期していないとき、現在のサイクル及び現在のタイム
スライスの番号を知らされなければならない。さらに局は、現在のシステム状態
を判定しなければならない。局が、この規則の実行においてシステム状態を受取
ると、直接規則27が有効である。
a 現在のサイクルの番号(モード)の決定:そのために局は、無効にされな
いすべての通常−フレームのサイクル−フラッグを評価する。この局が、無効に
されない妨害されたフレームを、又はリカバリ−フレームを受取ると、この局は
、新たに評価を開始しなければならない。シーケンスは、サイクル−フラッグ内
の第1の0(開始標識)によって始まり、かつ第2の0(終了標識)が認識され
たとき、完全になる。サイクルの番号は、サイクル−フラッグ内に1を有する直
接連続した通常−フレームの合計から得られる。
b タイムスライスの決定:自身の静的なサイクル情報を、まずシステムによ
り一貫していると仮定すると、観察する局は、現在のサイクル内の個々のタイム
スライスを検査し、かつアプリケーションメッセージを含むこの中において送信
される通常−フレームのスライス−フラッグ
を評価することができる。シーケンスは、観察されたタイムスライスが妨害され
ていないときに、したがって続いて通常−フレームが送信されるときに有効であ
る。第1の完結した0(開始標識)ないし0(終了標識)の−シーケンスは、ス
ライス−フラッグ内に1を有するタイムスライスの直接連続する通常−フレーム
の合計から得られるタイムスライスの番号を知らせる。タイムスライス番号によ
って、地球規模に一貫したサイクル情報のために局アドレスを推測することがで
きる。それによりサイクル内における1つ/複数の自身のタイムスライスが判定
されている。これらのタイムスライス(の1つ)内においてフレームが受信され
たとき、情報は一貫していない。局は、改めて同期に至り、又は試みのなお確定
すべき数に達した際に遮断する。
c システム状態の決定:局は、自身のシステム状態ベクトルにおいてすべて
の局をエクスクリュードにセットし、かつ妨害されないTDMA−サイクルにわ
たってメッセージ−生起を観察する(N−フレームだけが送信される)。その際
、これは、そのタイムスライスがVETOによって無効にならないすべての局を
インクリュードにセットする。規則26cは、規則26bと並列に実行すること
ができる。
規則27
同期段階においてプロトコル−メッセージ(NULL、CHCYCLE)を有
するフレームが正しく受信され、かつ無効にされない場合、含まれたテスト合計
は、自身のテスト合計と比較される。相違した(自身のサイクル情報とシステム
内におけるサイクル情報の偏差)場合、局は遮断される。そうでない場合、現在
のサイクル、現在のタイムスライス、状態ベクトル及び新しいサイクル番号は、
引受けられる。したがって同期は遮断されている。
次の規則は、局の編入の尺度になる。
図16は、編入を示している。
規則28
編入の状態における局は、基本的にVETO−信号を送信しない。
規則29
a 局が、直接不活性動作から到来したのではないとき、この局は、まず規則
26又は27にしたがって、現在のサイクル、そのタイムスライス及び現在のシ
ステム状態ベクトルを決定する。メッセージは、現在のタイムスライス及びサイ
クルがわかるとすぐに、規則9にしたがって、アプリケーションに転送される。
サイクル内に局が自身のタイムスライスを持たない場合、この局は、直接不活性
動作に至る。
b 局が、規則27よってプロトコル同期になると(又は状態、編入になると
)、この局は、その次の第1のタイムスライスにおいて、規則8にしたがってア
プリケーション−又はNULL−メッセージを送信する。そうでない場合、この
局は、通常動作において継続するプロトコルが動作するとすぐに、タイプ、IN
TEGRATEのプロトコルメッセージを含むN−フレームを送信する。
c1 メッセージが無効にならないと、局は、統合されており、かつ直接通常
動作にある。この局は、すべての局からインクリュードにセットされ、かつアプ
リケーションは、メッセージ(INTR_SYSCHANGE)を受取る。
c2 そうでない場合、局は、不活性動作に至り、かつ規則26を受け入れる
。
規則30
別の局の通常動作においてインクリュードにセットされた局から、タイプ、I
NTEGRATEのプロトコルメッセージを含む通常−フレームが受信されると
、含まれたサイクル、タイムスライス、システム状態ベクトル及びサイクル情報
のテスト合計は、自身の値と比較される。相違する場合、メッセージは、VET
O−信号によって無効にされる。
規則31
編入における局が、TDMA−サイクルにわたってフレームを受信し
ないと、この局は初期設定に至る。
次にサイクル交代(モード−チェンジ)に関する規則を記載する。
規則32
通常動作においてインクリュードにセットされた局が、そのタイムスライスに
到達すると、この局は、これにアプリケーションから相応する要望があるとき、
タイプ、CHCYCLEのプロトコルメッセージを送信する。メッセージは、(
現在のプロトコル情報の他に)要求されたサイクルの番号を含んでいる。
規則33
通常動作において局が、タイプ、CHCYCLEのプロトコルメッセージを受
信すると、この局は、要求されたサイクルが自身のアプリケーションによりあら
かじめエネーブルされたかどうか(明白に又はANY_CYCLE)をチェック
する。
a そうでない場合、この局は、VETOを送信する。VETOを与えられた
CHCYCLE−メッセージは、一般に却下される。その後、通常のように(規
則17にしたがって)、再構成サイクルが実施されるので、改めてのサイクル交
代は、まず阻止される。
b CHCYCLE−メッセージがVETOによってアクナレッジされないと
、すべての局は、新しいサイクル番号を記憶し、かつ現在のサイクルの最後まで
に、セットされたG−フラッグを含むすべてのフレーム(C/S−フラッグは評
価されない)を送信する。新しいサイクルは、なおサイクルの最後までに、改め
てCHCYCLE−メッセージによって上位制御することができる。タイムスラ
イス0において要求が発送されると、すべての局の異議申立ての可能性が存在す
る。
c 現在のサイクルが終了した後、新しいサイクルが設定される。新しいサイ
クル内において送信の権利を持たない局は、エクスクリュードにセットされ、か
つ不活性動作に至る。前のサイクルにおいて送信の権利を持たずかつ今度参加し
た局は、この局が永久的に(規則19にした
がって多重に)切離されなかったとき、状態、編入に移される。
次の処置は、規則12による制限をカバーするために適している。これらは、
きわめて簡単に実行され、かつサイクル内においてシステム内の一貫性を再構成
するようにする。
規則34
局が、通常−フレームの正しい無効にならない伝送の後に、リカバリ−フレー
ムを受信すると、この局は通常動作に留まる。
規則35
再構成サイクルにある局が、初めに妨害された送信機ではない局から通常−フ
レームを受信すると、この局は、消去されたエラー−フラッグを含むリカバリ−
フレームのようにフレームを評価する。通常−フレームにおいてタイプ、CHC
YCLEのプロトコルメッセージが問題になるとき、タイムスライスは、VET
Oにより無効にされる。
文献
[1]SAE Handbook 第2巻、Parts and Compo
nents:
Class C Application Requirement/Sur
vey of known Protocols,第23.366頁以後、19
94
[2]ISO 11898:Road vehicles−Intercha
nge of digital information−Controlle
r area network(CAN)forhigh−speed com
munication、1993
[3]Telefunken Electronics:
Automotive Bit−serial Universal−int
erface System(ABUS)、8/1988
[4]IEC TC9 WG22:
Train Communication Network(1.
General Architecture,2.Real−Time pro
tocols,3.Multifunction Vehicle Bus,4
.Wire Train Bus)、Working Document 3/
1994
[5]H.Kopetz,W.Ochsenreiter:
Clock Synchronization in Distribute
d Real−Time System,
IEEE Transaction on Computers,第C−36
巻、第8号、8/1987
[6]H.Kopetz,W.Ochsenreiter:
Clock Synchronization UNIT(CSU)Data
sheet,
Reserch Report 22/89,Technische Uni
versitat Wien、11月、1989
[7]K.Hoyme,K.Driscoll:
SAFEBus(商標名)Honeywell System and Re
seach Center、
(Draft in ARINC 659,Boing 777)、IEEE
AES System Magazine、3/1993
[8]H.Kopetz,G.Grunsteidl:
TTP−A Time Triggered Protocol for A
utomotive Applications、
Technische Universitat Wien、10/1992
又は
The 23rd International Symposium on
Fault−Tolerant Computing、Toulouse 6
/1993
[9]ISO/IEC 8802−4、ANSI/IEEE Std
802.4:
Token−Passing Bus Access Method and
Physical Layer Specifications、1990
[10]IEEE Std 802.4:
Token Ring Access Mode and Physical
Layer Specifications、1989
[11]ISO/IEC 8802−3、ANSI/IEEE Std 80
2.3
Carrier Sense Multiple Access with
Collision Detection(CSMA/CD) Access
Method and Physical Layer Specificat
ions、1990
【手続補正書】特許法第184条の8第1項
【提出日】平成10年7月1日(1998.7.1)
【補正内容】
明細書
安全性の微妙な用途に対するプロトコル
しばしば通信システムは、その妨害可能性が正確には定義できない環境におい
て動作する。このことは、とりわけその妨害環境が定常的に変化する航空電子−
及び自動車電子−用途に当てはまる。今日利用される安全性の微妙ではない通信
システム[1]は、次の信頼性要求を満たしている:
・通信誤りは、発見できなければならない。
・加入者の故障は、通信システムを麻痺させてはいけない。
・送信機の通信の順序は、受信の際に維持されている。
・通信は、高い確率で適正時間で伝送される。
現在自動車には、安全性の微妙な個別役割を成し遂げかつ別の部品とも通信す
る部品が使用される。その際、通信は、安全性について微妙ではない。それに対
して研究の対象は、厳しい実時間条件において共通に複雑な安全性の微妙な役割
を果たすので、通信システム自体が安全性について微妙である部品である。この
ような用途は、現在のシステムによって一部分しか満たされていない拡張された
要求を通信システムに設定する:
・通信システムは、フェイル−オペレーショナルでなければならず、すなわち
起こり得るあらゆる妨害においてかつ起こり得るあらゆる故障の後に、その役割
を引続き果たさなければならない。すなわち冗長の通信路を支援しなければなら
ない。
・通信システムは、永久的な誤りを妨害の分散から確実に区別し、かつ欠陥の
ある部品−及びこのようなものだけ−を排除しなければならない。
・通信システムにおける変化(故障及び再始動)は、できるだけ迅速にかつネ
ットワーク全体に一貫してアプリケーションに通知しなければならない。
・メッセージ内において変造は、妨害の最大限に現われる期間までに認識しな
ければならない。
・重要なメッセージは、保証された時間内に伝送されなければならない。
・マルチキャストメッセージは、必要であり、かつ核として伝送しなければな
らない。異なったソースの所定のメッセージに対して、その地球規模の順序の維
持が保証されなければならない。
・安全性の証明は管理可能でなければならず、ここにおいて通信システムが、
個々の部品における安全性の機能を害することがあることは排除される。部品が
、共通に安全性の微妙な役割を処理する場合、すべての部品を含めて通信システ
ムに対する安全性証明を管理しなければならない。
信頼性−及び安全性要求の他に、経験は、通信システムに別の要求を課する:
・総合システム内に及びそのために局及び機能の容易な統合可能性は、おおい
に重要である。個々の局は、その際に容易に構成できなければならない。
・通信加入者のダイナミックな分離及び編入、及びネットワークの拡張可能性
は、同様に重要な特性である。
・未来を指向する通信システムは、ステップの発展に持ちこたえ、かつかつ引
続き発展できなければならない。さらに高い伝送速度に対して適するようにし、
かつ種々の物理的媒体で運転できるようにする。とくに冗長動作に対する考え得
るアプリケーションアーキテクチャは、妨げられず、又は全く阻止されてはいけ
ない。
・及び:通信システムは、望ましいコストでなければならない。
通信システムの“推進力”は、そのプロトコルである。プロトコルは、そのア
クセス方法に関して大ざっぱに2つのクラスに分類され:同期及び非同期に分類
される。
非同期アクセス方法は、平均して短いアクセス時間を有するが、このアクセス
時間は、保証することができない(又は所定の通信にしか保証することができな
い)。自動車の分野に対して開発されたもっともよく知られた非同期仲裁を有す
るプロトコルは、CAN[2]及びABUS[3]である。
同期アクセス方法は、一層良好にアクセスを保証することができる。これらは
、3つの異なった基本方式にしたがって動作し:マスタ/スレーブ、トークンア
クセス、及び時分割多重アクセス(TDMA)にしたがって動作する:
・軍用航空機−及び軍用車両の分野のために構想されたMIL−規格−プロト
コル 1553B[12]のような簡単なマスタ/スレーブ−プロトコルは、そ
のマスタの動作能力を頼りにし、かつその誤りの場合に崩壊する。別のマルチ−
マスタ−プロトコルにおいて、マスタ−特性は、誤りの場合にも、ネットワーク
内の別の局に移行するが、その際、メッセージ流は、中断されており、かつ確定
的ではない。
・例えばトークン−バス−プロトコル[9]のようなトークン−方式によるプ
ロトコル、及びその変形は、誤りの場合に、同様に厳密には確定的でなく(トー
クン−損失の認識の際の時間の問題及び新しい発生の際の同調)、又はこれらは
、トークン−リング−プロトコル[10]のように、活性通信区間に満たすこと
が困難なかつ高価な要求を課す。
・TDMA−ベースのプロトコルは、誤りの場合にも確定的に動作するように
構成することができる。
規格化されたプロトコルは、しばしば前記の基本方式からなる組合せである。
例えば鉄道の分野において、TCN−プロトコル[4]MVB及びWBTがあ
る。これらは、交代する中央マスタ−コントロールを含むが、その他の点におい
てはTDMA−方式にしたがって動作する。動作中に加入者にタイムスライスを
ダイナミックに割当てる非確定的なTDMA
−プロトコルは、米国特許第4161786号明細書[14]によるプロトコル
である。航法のために構想されたプロトコルARINC629(MTDB)[1
3]は、局所的な時計によって管理されるTDMA−プロトコルであるが、これ
は、衝突を避けるためにバスを監視し、かつすべての加入者がその時間限界に注
意するときにだけ、確定的に動作する。プロトコルARINC659(SAFE
bus)[7]は、厳密なTDMA−仲裁を考慮している。これは、同様に航法
における安全システムに対して構想されたが、手間のかかるかつ高価な物理的な
実現を要求し、かつバックプレーン−バス(42インチ)として空間的に分散し
たアプリケーションに対して短すぎる。
この報告書は、純粋な、分散されたかつ厳密に確定的なTDMA−仲裁に基付
く発端を基礎とするプロトコルを提示している。プロトコルは、前記の要求を考
慮しており、短い、長く継続するかつ周期的でもある妨害に対してきわめて丈夫
であり、かつ通信を維持するためにあらゆる代替可能性を捕えている。これは、
分散した同期時間ベースを前提としており、この時間ベースは、継続中のメッセ
ージ[5]を介してかつ局所的な時計[6]によって実現することができる。プ
ロトコルは、アプリケーションに対する所定のソフトウエア−アーキテクチャを
判例としない。これは、厳しい実時間要求にまでのわずかなものと冗長な安全性
の微妙な局から微妙でない簡単な局までの組合せに対して開いている。主題、誤
り許容度及び安全性の他に、プロトコルの開発の際に、実現可能性、コスト及び
引続き発展のような観点は、おおいに考慮される。
安全性の微妙なシステムに対して、容易な検証のためにアプリケーションプロ
セスの静的な(プレ−ランタイム)スケジューリングは、有利である。これに近
い思想は、プロトコルとアプリケーションの同期化にあり、それにより時間制御
されたアーキテクチャが生じる。このようなタイム・トリガード・アーキテクチ
ャ(TTA)において、分散して実現することができる地球規模の1つの時間ク
ロックは、すべてのシステ
ム活動を制御し:アプリケーション機能及び通信を制御する。このようなアーキ
テクチャにおける情報の流れは、次のように経過する:1つのメッセージは、所
定のタイムスライス内において製造され、次のタイムスライス内において送信さ
れかつ受信され、かつ次のタイムスライスの間に、受信局において引続き処理さ
れる(デリバリ−ディレイ、最小、デリバリ−ジッタ=0)。存在するプロトコ
ル、及び同様に自動車における用途に対して考慮されたタイム・トリガード・プ
ロトコルTTP[8]は、このような一貫して時間制御されたアーキテクチャの
一部であることができる。
一貫して時間制御されるアーキテクチャ及びその静的な活動割当ては、とくに
安全性証明の簡単化及び冗長な局の同期化に関して大きな利点を有する。しかし
ながらこれらは、対の問題も有する:
・例えば転送の際にメッセージが妨害され、又は失われると、新たな伝送のた
めに時間は残っていない。TTP−プロトコルは、このような場合に、当該の局
の分離を考慮している。
・その時間特性についてすべての部品は、全システムに同調されていなければ
ならないので、時間制御されたアーキテクチャが変化に富んだシステム又は製品
に適用され、かつ特殊製品に適用されないとき、コスト及び手間が問題になる。
異なった車両タイプに対しかつ異なった装備変形に対して同じ部品の異なった構
成が生じる。このことは、自動車の構成の際及び部品を後から組込みかつ交換す
る際に、構造のマネージメントを必要にする。
・航法及び宇宙飛行において、時間制御されるシステムが使用され、これらの
システムは、飛行段階の交代の際に、いわゆるモードチェンジが行なわれる。種
々のモードは、したがって種々の送信権利の承認は、システムを変化する状況に
合わせなければならないとき、時間制御されたシステムにおいて不可欠である。
それ故にモードチェンジは、あらかじめ設定されたプロトコルにおいて考慮され
ている。しかしながらモー
ドチェンジの実行は、モードが大幅な制限を受け、かつ任意のモードが許されて
いないときにも、一貫性−及び実時間の観点において妨害の場合に大きな問題を
引起こす。それ故にこれらは、妨害のない場合にのみ実行することができる。加
えてそれぞれの部品によってそれぞれのモードは、それ自体種々のモードを必要
としないときにも、一緒に負担しなければならない。このことは、それぞれの部
品が、基本的にそれぞれのモードにおいてその役割を果たさなければならないと
いうことを意味する。内部の時間的な経過は、モードと一致しなければならない
。
結論:プロトコルは、アプリケーションとの一般的な同期を強制しないように
するが、可能にするようにするので、アプリケーションの一部は、同時に時間制
御され、時間制御−プロトコル同期しかつ現象制御されて動作することができる
。時間制御されプロトコル同期もしたソフトウエア−アーキテクチャは、例えば
冗長な運転者局及び4つの車輪モジュール局からなる安全かつ高度に利用可能な
自動車−総合システムに対して有意義なことがある。別のすべての部分は、現象
制御されて動作することができる。モードチェンジは、したがって動作中におけ
る異なったタイムスライス承認へのジャンプは、通常の経過に属さないようにす
る。
<とくに本発明の課題は、通信システムにおいて妨害が確実かつ一貫して認識
され、妨害された通信加入者が確実かつ一貫して検出され、かつ切離される、地
球規模のタイムスライス承認に基付いて安全性の微妙な用途に対して送信及び受
信局の間においてメッセージを伝送するためのプロトコルを提供することにある
。本発明によれば、この課題は、請求の範囲第1項に特徴付けられた特徴によっ
て解決される。>
プロトコルは、機能的に用途に関係なく動作し、かつ後者によってその経過に
おいて影響を受けることがない。それぞれの局は、単位時間あたりの伝送容量を
ある程度利用することができる。ここに位置限定された用途が、これらの限界内
において伝送出力を要求するかぎり、与えら
れた妨害条件において最大の伝送時間を保証することができる。プロトコルの特
殊構造は、用途に無関係のために必要ない。プロトコルに関する局モジュールの
下請け業者の協調は、同調した一義的な局アドレス及びアクセス情報の利用に限
定される。
プロトコルは、TDMA−アクセス方法(タイム・ディヴィジョン・マルチプ
レックス・アクセス)に基付いている。TDMA−方法において、時間はタイム
スライスに分割され、これらのタイムスライスは、すべての局においてかなりの
程度まで同期して維持される。それぞれの局に、1つのTDMA−サイクルにお
いて少なくとも1つの自身のタイムスライスが静的に割当てられている。そのタ
イムスライス内において局は、共通の通信媒体における排他的な送信権利を保有
する。この方法は、我々の場合のように、通信加入者の数及びメッセージ長さが
むしろわずかである場合に、能率的である。両方のパラメータが、経済的にひき
あうことができなければならないハードウエアの伝送速度の他に、アクセス時間
に対する所定の要因である。
TDMAの大きな利点は、確定的なアクセスである。通信システムの総合的な
閉塞は、基本的条件により排除されている。誤りのない場合、それぞれの局には
、その認められた容量限界に注意すれば、そのメッセージを伝送するために最大
の期間を保証することができる。妨害及び故障の際にも、メッセージ伝送の際の
最大期間を保証するために、TDMA−方法をプロトコルに拡張しなければなら
ない。
通信線路における伝送速度が高いほど、早く妨害が有効になる。自動車がさら
されかつ自動車自身における装置が発生する起こり得る妨害は、構造的に又はプ
ロトコルによって押さえ込まなければならない。ここにはまず、外部から侵入す
る又は内部スイッチ過程から出る確率的なバースト状の妨害もある。他方におい
て内部の又は近隣から到来する周期的な妨害もあり、これらの妨害は、周期的な
プロトコルの経過にとくに不都合な影響を及ぼすことがある。このことは、例え
ば点火及び発電機に
よる妨害であり、これらの妨害の周期は、さらに回転速度に依存して変化する。
このような妨害が、時々しか起こらないとき、−かつこのことは、例えば妨害防
止構成部分における製造誤り、老化誤り又は保守誤りによって起こることがある
−、所定の回転速度が、厳密に周期的なTDMA−プロトコルに致命的な作用を
及ぼすことがある。
次の境界条件が成立つ:
・通信システムのトポロジ:
ビット直列のバスが利用され、このバスの最大長さは、ほぼ100mであり、
かつこのバスは、冗長に存在することができる。バス線に一例えば(シールドさ
れた)2線線路−、個々の局の永久的なハードウエア−誤りによる通信トラフィッ
クの閉塞が排除されているように、トランシーバによって加入者が接続されてい
る。
・通信加入者への要求:
加入者は、誤り防止装置を有し、この誤り防止装置は、局自身の時間間隔の外
において送信の試みが阻止されることを保証する。局は、さらに特殊信号(VE
TO)を発生することができ、これらの特殊信号は、強力な妨害作用があっても
きわめて高い確率で認識される。VETO−信号は、その存在以外に、それ以上
の情報を伝達しないので、これらは、優性の信号レベルとして又は帰還された交
代信号として実現することができる。しかしながら信号は、受信機により妨害が
VETOと解釈されることが希にしか起こらないような特殊刻印を有するように
する。
・メッセージの長さ、単位時間あたりのメッセージ:
用途の必要なメッセージ長さは、予見的に数バイトと数10バイトの間にある。
将来のデータの集中する用途も、例えば道案内も、この通信システムを介して動
作できるようにする場合、高速度−ハードウエアの使用は避けられない。
・通信加入者の数:
車両における用途は、役割に応じて次のものを必要とする:
−極度に頻繁な周期的なバスアクセス、例えば制御バスシステム、
−頻繁な周期的なバスアクセス、例えばブレーキバスシステム、
−又はわずかな時間要求を有するあまり頻繁でない(周期的な)アクセス。
したがって加入者の必要なアクセス時間は、異なっており、かつもっとも厳し
い場合、予見的にほぼ1msにある。多かれ少なかれ厳しい実時間一転送条件を
必要とする局の最大の数は、前記の有効データ量及び現在慣用の伝送速度(1な
いし10MBit/s)において、ほぼ32に制限されている。それとともに、
それより低い実時間保証を必要とする別の局が、同じネットワーク内において動
作する。
・メッセージ転送の品質(転送期間、損失、重複、順序):
メッセージの転送期間は、保証される。メッセージの損失の際、アプリケーシ
ョンは、直接及び即座に通知される。メッセージの重複及び順序交換は排除され
ている。
・結合様式(同期、非同期)、通信関係(1対1、1対n):
メッセージは、システム一貫性(すべての局はコマンド−及び状態メッセージ
を同時に受信する)及びシステム拡張能力の理由により、放送により送信され、
このことは、結合オリエンテッドの動作様式を排除する。プロトコル−コントロ
ーラは、用途に関係なく動作し、すなわち用途メッセージは、同期して待ちで又
は非同期で待たずに、待ち行列を介して又はあらかじめ計画された時点に発送さ
れる。メッセージが存在しない場合、自身の必要性にしたがってプロトコル−コ
ントローラは行動する。
・環境からの妨害の種類及び頻度:
プロトコルは、時折バースト状に継続することがある頻繁な周期的にも生じる
伝送誤りを有する強力に妨害された環境において、確実に動作するようにする。
それ故に通信−ハードウエアの永久的な故障は認識され、かつ当該の加入者は切
離される。過渡的な妨害は、局の切離しには
至らない。局は、現在のプロトコルに再び編入される。
・通信システムによる環境への許容される妨害:
カプセル封入された局及びシールドされたバス線を利用する際、通信による環
境への妨害及び環境からの妨害は、大幅に減少することができる。そのためにプ
ロトコルは、処置を用いない。
次にまず本発明を、プロトコルへの短い手引きにおいて例によって説明する。
詳細な説明、プロトコル状態及び規則は、これに続く章において説明されている
。
TDMA−仲裁方法は、哲学、沈黙は同意の下に、通信プロトコルに拡張され
る。そのためにそれぞれの局のタイムスライスは、2つの時間間隔、転送ウイン
ドウ及びそれに続く短いアクナレッジウインドウに分割される。アクナレッジウ
インドウ内において“沈黙”されると、先行する送信は、受け入れられたとみな
される。
図1は、転送ウインドウに及びアクナレッジウインドウに分割されたタイムス
ライスを、妨害されていない動作における基本図として示している。
表面的な考察の際、アクナレッジウインドウの導入によって、わずかなビット
伝送時間しか続かないときにも、伝送容量が提供される。しかしながらその際、
それぞれの実際のプロトコル−コントローラは、送信を受信した後に、メッセー
ジをチェックし、アプリケーションに引渡し、かつ自身の次の送信を準備するた
めに、ある程度の時間を必要とすることが考えられる。したがっていくつかの機
能を並列処理することができるときにも、2つの送信の間に休止が与えられる。
プロトコル管理、引渡し及び準備は、プロトコル−コントローラを巧妙に計画し
た際に、アクナレッジウインドウの間に行なうことができる。
アクナレッジウインドウの利点は、アクナレッジウインドウの幅よりも短く作
用する妨害が連続する2つの送信を破壊することを許容しない送信ウインドウの
間のその位置にある。それ故にアクナレッジウインド
ウは、少なくとも頻繁に現われる妨害の期間の程度に広くする。
沈黙は同意がその逆の意味を有し:局が妨害を発見したとき、この局は、アク
ナレッジウインドウ内に、VETO−信号の形の異議を挿入する。この信号は、
全システムにおける完全な一貫性の基礎である。送信した局又は送信を正しく受
信した局が、VETOを認識した場合−希な場合にVETOと誤って解釈される
妨害の侵入が問題になることがある−、これは、同様にすべての(冗長な)通信
チャネルにVETOを送信する。この確認は、すべての局がVETOを認識する
確率を高めるためにあてられ、これは、1チャネルの又は1チャネルが故障した
局を有するシステムにおいて一貫性を確保するためにも使われる。VETO−信
号の送信は、新しいタイムスライスに到達する直前に設定される。
妨害の後に、再構成サイクルが継続する。これは、正確な誤り原因の検出、及
び場合によっては故障した局の位置判定及び切離しのために使われる。サイクル
内において、特殊メッセージフレームが送信されるが(画像においてグレーの下
にある)、これらのメッセージフレームは、同様にアプリケーションメッセージ
を含んでいる。サイクル内における正しくない受信は、同様にVETOによって
マークされる。送信機の誤り(図2)、又はまだサイクルの間に減衰する妨害(
図3及び図4)が問題になるとき、送信内に含まれるアプリケーションメッセー
ジは転送される。
再構成サイクルを終了するために、通常動作が再び受け入れられる。遅くとも
初めに妨害されたタイムスライスにおいて改めて送信した後に(図4:ノード0
のタイムスライス)、故障した局、又は送信−又は受信チャネルに永久的な誤り
を有する局の切離しが行なわれた。そのためにそれぞれの局は、局所的にシステ
ム状態ベクトルを管理し、このシステム状態ベクトル内にこの局は、継続的にパ
ートナ局の現在の状態を記入する。このメンバーシップ情報は、アプリケーショ
ンにいつでも一貫して利用することができる。
TDMA−サイクル内に、メッセージを発送するそれぞれの局は、その間にこ
の局が送信準備されている少なくとも1つのタイムスライスを有する。すべての
局を、同じ権利で処理しようとしないので、−前記の命題を真として−TDMA
−サイクル内において問題に合わせたタイムスライス承認が選択できる。かくし
てさらに短いアクセス時間を必要とし又はさらに多くの情報量を伝送しなければ
ならない局は、TDMA−サイクル内に2つ又はそれ以上のタイムスライスを所
有する。例として、自動車の基本システム(0、1の冗長な運転者局、2・・・
5の車輪モジュール)を優遇しかつ通信の後に別の局(6、7、8、9)が送信
する計算時間を考慮するタイムスライス承認を提示しておく:
・・・39101623457108452391016・・・
しかしながらタイムスライス承認は、通信システム内において地球規模でかつ
一貫して知られていなければならない。これは、以下において静的にあらかじめ
与えられたものと仮定する。きわめて長いバースト誤りが期待されるとき、複数
の局サイクルを総合サイクルにまとめることができる。それと同時に再構成サイ
クルが拡大され、この再構成サイクル内において持続する妨害は、個別妨害とし
て取扱われる。周期的な妨害が所定の局を定常的に妨害することを阻止するため
に、したがって切離しを開始するために、前記の部分サイクルにおける局の順序
が置き換えられている。通信の整合の思想を継続する場合、システム内において
複数の異なったTDMA−サイクルを利用することが望まれる。それによりサイ
クル交代(モード−チェンジ)の問題に到達する。サイクル交代を許容する場合
、バス監視器(バス・ガーディアン)は、−これはプロトコル−コントローラに
関係ないハードウエア−装置であり、このハードウエア一装置は局自身の時間間
隔外の送信の試みを阻止するー必然的に複雑になることをはっきりと知るように
する。
サイクル情報は、一貫して利用者によって利用でき、かつこの時、静的に確定
する。サイクル交代は、別のすべての活性の局における新たな
サイクルが、そのアプリケーション−ソフトウエアによって可能化されたとき、
局のアプリケーションの要求において有効になり、かつそれ故にこれらのサイク
ル交代は、VETOを挿入しない。新たなTDMA−サイクルは、現在のサイク
ルの経過の後に始まる。
通信チャネルの閉塞による全通信システムの故障(単一誤り:短絡、切断、終
端抵抗接触不良)を排除するために、プロトコル−コントローラは、2つの通信
チャネルを有するようにする。通信チャネル(バス線及び/又はトランシーバ)
の永久的な故障の場合、冗長構成の際に、通信は完全に維持でき、かつ自動車は
、走行可能なままである。すべての部分が異常なしの場合、二重の伝送により妨
害が有効になるための確率は、(いくらか)低下している。しかしながらこのこ
とは、チャネルの突然の故障の際にも、妨害の際の動作が無条件で確保されてい
なければならないので、プロトコルに対してわずかしか影響を及ぼさないもので
ある。(可能ならば、自動車は、−場合によっては低い速度で−引続き走行でき
るようにする。)接続の局所的な分離及びバス線のその代わりの布設によって、
両方のチャネルに関する機械的又は用語的なコモン−モード−誤りは、かなりの
程度まで排除することができる。
決定:
a)1つの局は、通常の場合、両方のチャネルに同時にメッセージフレーム及
び場合によってはVETO−信号を送信する。メッセージの伝送は、1つの局が
、少なくとも1つの冗長なメッセージをどちらかの線から正しく受信したとき、
まず成功したとみなされる。それに続いて両方の線のうちの一方においてVET
O−信号が認識されると、−別の局は正しい受信をしなかった−、伝送は失敗し
たとみなされる。
b)冗長なバスの両方の線を動作させる局の同時の動作、及び(故障によって
引起こされて)一方の線だけを動作させるものは、許容される。
物理的な伝送の際に自己クロックするコードを利用して、送信におけ
る変化ビットの挿入(ビット−スタッフィング)は、送信の終了標識が不要の場
合、中止することができる。可変のメッセージ長さの際、線上における休止(イ
ンターフレーム−スペーシング)により終了認識を保証するか、又は送信の初め
に長さ表示を一緒に送信するが、この長さ表示を受信−ハードウエアが評価しな
ければならないかを選択する。しかしながらそれにより、ビット−スタッフィン
グにおけるように、有効情報成分は減少する。時間制御されるプロトコルにおい
て、総合システムの“コンパイル−時間”のためにすべてのメッセージの長さ及
び送信時点がわかっているという事実も利用することができる。
可変のメッセージ時間の際、いずれの場合にも、プロトコル−コントローラ及
びすでに述べたバス監視器も複雑になるという欠点がある。もっとも簡単な方法
は、一定の長さのメッセージを送信することにあり、それによりすべてのタイム
スライスも同じ長さを有する。
メッセージフレーム−以下フレームと称する−は、次のフィールドからなる:
|プレアンブル/スタート|F|EC|NS|G|M|I|x|y|メッセー
ジ|CRC|
| プロトコルバイト |
プレアンブル/スタートデリミタ:受信機の同期化のために使われる。
F フレーム−タイプ:通常−フレーム、リカバリ−フレーム。
E リカバリ−フレーム内のエラー−ビット:伝送誤りが生じたときにセット
。
N リカバリ−フレーム内のノー−フレーム:フレームが受信されなかったと
きセット。
C 通常−フレーム内のサイクル−番号:活性化したすべての局は、通常−フ
レーム内のサイクル−ビットを介して連続したタイムスライスに、現在のTDM
A−サイクルの番号(モード)を伝達する。シーケン
スは、消去されたサイクル−ビットを有する通常−フレームによって制限される
セットされたサイクル−ビットを有する通常−フレームの列からなる。セットさ
れたサイクル−ビットを有するフレームの合計は、サイクルの番号を与える。例
:
サイクルビット(N−フレーム・スライス)スライス=n,n+1、n+2
・・・:{・・・010・・・}*サイクル1
現在のサイクル番号の知識は、新しく始動する局を現在のプロトコル動作に統
合しようとするときに必要である。妨害は、伝達を無効にする。
S 通常−フレーム内のスライス−番号:局は、その通常−フレーム内におけ
るスライス−ビットを介して定常的に、ちょうど送信を行なったタイムスライス
の番号、したがって暗黙のうちに−現在のサイクル番号の知識の下に−その自身
の局アドレスも伝達する。シーケンスは、消去されたスライス−ビットを有する
通常−フレームによって制限されるセットされたスライス−ビットを有する通常
−フレームの列からなる。セットされたスライス−ビットを有するフレームの合
計は、タイムスライスの番号を与える。例:
スライスビット(N−フレーム・スライス、サイクル)スライス=一定/サ
イクル=i、i+1、i+2・・・:{・・・010・・・}*スライス2
タイムスライス番号の知識は、新しく始動する局を現在のプロトコル動作に統
合しようとし、かつその自身のタイムスライスを判定しなければならないときに
必要である。妨害は、伝達を無効にする。
G グループ−局(サイクル/スライス−ビットを無視):1つのタイムスラ
イスを分割する局によってセット、又はサイクル交代の要求の後に現在のサイク
ルの最後までにセット。
M メッセラジ−タイプ:アプリケーションメッセージ又はプロトコル−メッ
セージ(NULL、INT、RUN、CHANGECYCL
E、INTEGRATE)。プロトコルメッセージは、初期設定、編入の間及び
動作中に送信される(アプリケーションメッセージがないとき、NULL)。
I 入力−誤り:送信局の通信チャネルの1つが永久的に故障し又は妨害され
ているときにセット。
x、y 任意(場合によってはプロトコル−バイトに関するパリティー)
メッセージ:
このフィールドは、異なった長さであることができるアプリケーションメッセ
ージを含む。時間制御されたアーキテクチャにおいて、発送者及びメッセージタ
イプは、タイムスライスによって一義的に確定されているので、アプリケーショ
ンは、メッセージ内におけるタイプ認識を省略することができる。プロトコルメ
ッセージの際、このフィールド内にタイプ、現在のサイクルの番号、サイクル内
の現在のタイムスライス、通信システムの局に導かれる状態ベクトル、及びサイ
クル情報に関するテスト合計が書込まれている。
CRC:
周期的冗長度チェックは、プロトコル−バイト及びメッセージフィールドをカ
バーする。これは、送信の際に発生され、かつ付加され、かつ受信の際に発生さ
れ、かつ比較される。確実な誤り認識を保証するために、CRCは、実際に(さ
らに頻繁に)現われる妨害の長さに相当する少なくとも1ビット−長さを有する
ようにする。
プロトコル−コントローラの接続方式は、図5に基本的に示されている。
利用者−CPUとプロトコル−コントローラとのメッセージ−、コマンド−及
び情報交換は、例えばデュアルポートRAM(DPR)を介して行なわれ、この
デュアルポートRAMは、この時、2つの部分に分割されている。第1の部分に
おいて利用者−CPUだけが、第2の部分に
おいてプロトコル−コントローラだけが、書込の権利を有する。それ故にアプリ
ケーションは、プロトコル経過に介入することができない。
プロトコル−コントローラは、2つのトランシーバを直接接続するために、ネ
ットワーク側にそれぞれ2つの直列入力端子及び出力端子を有する。プロトコル
−コントローラは、実際に冗長なバス線が接続されているが、この意味において
プリセットにしたがって動作するかどうかの知識を持たない。1つのトランシー
バ及びバスだけが接続されており、又は一方のチャネルが故障している場合、こ
のことは、プロトコル経過については何も変更せず、妨害が有効になる確率だけ
が増加する。Veto−線が必要であり、又はVETOが特殊信号として送信−
線上に与えられるかどうかは、Veto−信号の実現に依存する。誤り公開の理
由により、VETOは、送信−線を介して一層良好に展開されるようにする。な
ぜなら動作中におけるVeto−装置の動作能力は、テストすることができない
からである。線は、−存在するならば−両方のトランシーバに至る。
プロトコル−コントローラは、図6に示した状態線図にしたがって動作する。
投入の後、かつ利用者ソフトウエアの要求において、プロトコル−コントロー
ラは、初期設定に入る。初期設定において別の通信加入者は、話しかけられ、か
つTDMA−サイクルが構成される。続いてプロトコル−コントローラは、通常
動作に変わり、又はアプリケーションによって望まれるとき、不活性動作に変わ
る。不活性動作は、アプリケーションにメッセージの傍受を可能にするが;プロ
トコル−コントローラは、送信の権利を持たない。すでに別の局のサイクルが構
成されたとき、プロトコル−コントローラは、初期設定から同期化及び編入の状
態を介して通常動作に変わる。不活性動作からも、アプリケーションの起動にお
いて編入を介して、通常動作への変化を行なうことができる。伝送誤りは、プロ
トコル−コントローラを通常動作から状態、再構成に移す。再
構成サイクルは通過され、ここにおいて永久的な誤りが存在するかどうかが確認
される。プロトコル−コントローラは、このような誤りに該当するとき、不活性
動作に変化する。誤り統計学及び行なわれた自己テストにしたがって、改めて編
入を試みることができ、又は遮断することができる。
次の口頭の明細は、プロトコル−コントローラの構成のための説明及び規則を
含んでいる。規則は、一部タイムチャートによって補充され、これらのタイムチ
ャートは、規則に関する通信総合システムの結果として生じる特性を具体化して
いる。概念“局”は、“プロトコル−コントローラ”に対して同義語として利用
される。
次に一般的に有効な基本規則が説明されている:
規則1
それぞれの局は、この局を一義的に特徴付ける数値アドレス《i》、及びすべ
ての局によって一貫したサイクル情報を受取る。サイクル情報は、少なくとも1
つのTDMA−サイクルを含むが、通常複数のサイクルを含んでいる。1つのサ
イクルは、所定の局《i》に対応する一連のタイムスライスからなる。1つのサ
イクル内において、複数のタイムスライスが、局《i》に対応していてもよい。
現在のサイクル《c》における1つの局《i》は、オウナ(c,s)=iを有す
る番号《s》のすべてのタイムスライス内に、送信権利を有し;オウナ(c,s
)≠iの場合、この局は送信してはいけない。
規則2
局は、少なくとも2つの通信チャネル(トランシーバ)を有し、これらの通信
チャネルは、独立のバス線に接続されているので、総合システムは、1つのバス
の故障の際に引続き動作することができる(フェイル−オペレーショナルを維持
)。
規則3
タイムスライス内に受信機によりフレームが受信されなかった、又は
フレームが正しく受信されなかった(フレーミングエラー、転送コードエラー、
crcエラー)とき、伝送誤りが存在する。1つの正しいフレームの受信の際に
、伝送は、成功したとみなされる。
伝送誤りを認識した局は、次のアクナレッジウインドウ内に基本的にVETO
を送信する。1つの局は、VETOの送信の際に基本的に両方のチャネルを選択
する。それにより冗長な接続の際、両方の線にVETOが送信される。
規則4
アクナレッジウインドウ内にVETOを認識した(どちらのチャネルでも)1
つの局は、同様にアクナレッジウインドウの最後までに、両方のチャネルにVE
TOを送信する(正しいフレームを受信したときにも)。それにより単一チャネ
ルの及び1チャネルの故障した局との一貫性が保証される。アクナレッジウイン
ドウは、この理由により、VETO−信号の認識のための期間の少なくとも2倍
の大きさである(しかし少なくともさらに頻繁に起こる妨害のような大きさでも
ある。)。
規則5
それぞれの局は、システム状態ベクトルを導き、このシステム状態ベクトル内
において、すべての局の状態が、最後の状態に維持される。局は、ここにおいて
エクスクリュード又はインクリュードにセットされている。
規則6
一方チャネルにおいて局が正しいメッセージを受信し、かつ他方のチャネルに
おいてインクリュードにセットされた局の半分より多くのものから正しいフレー
ムを受信しないと、この局は、チャネルをアンデファインドにセットする。バス
中断又は短絡の疑いがある。これは、(再び)局の半分より多くのものをチャネ
ルにおいて正しく受信するとすぐに、チャネルをokにセットする。
規則7
一方のチャネルがアンデファインドにセットされているとき、プロトコルバイ
ト内にセットされた入力−エラー−ビットを有する自身のすべてのフレームが送
信されるので、すべての局に対して故障は明らかである。情報は、アプリケーシ
ョンによって問合わせることができる。
規則8
プロトコル−コントローラは、そのタイムスライスに到達するとすぐに、アプ
リケーションメッセージを入手し、又はメッセージが存在しないと、タイプ、N
ULLのプロトコルメッセージを発生する。プロトコルメッセージは、現在のサ
イクルの番号、サイクル内の目下のタイムスライスの位置、現在のシステム状態
ベクトル及びサイクルにわたる適当なテスト合計を含んでいる。
規則9
正しく受信されたフレーム内にアプリケーションメッセージが含まれていると
き、これらのアプリケーションメッセージは、アプリケーションがこのことを望
めば、VETOによって転送が無効になったときにも、アクナレッジウインドウ
の経過の後に引渡される(RECV_VETOMSG)。プロトコルメッセージ
も、望まれる場合、引渡される(RECV_PROTMSG)。
規則10
2つの正しいフレームが受信され、かつ一方のチャネルがアンデファインドに
セットされており、okにセットされた入力端子のメッセージが評価され、かつ
アプリケーションにより1つのメッセージだけが望まれるとき、後者は転送され
る。このことは、認識されていない伝送誤りの確率が増加しているので、行なわ
れる。
次の処置は、システムにおける一貫性の確率にとって尺度になる。
規則11
VETO−信号(及びそのハードウエア)は、強力な妨害作用を受けても、高
い確率で認識されるように構成される。その際、認識−ハード
ウエアが、個々の妨害をVETOと解釈し、かつ通知することは許され、このこ
とは、この時、規則4にしたがって地球規模で公表される。VETO−信号が、
起こり得る妨害によって認識されないことは許されない。
規則12
VETOは、動作中に別個の認識装置をチェックすることはできないので、受
信ハードウエアによって認識される。さらにそれにより、(単一チャネル)局が
、フレームを正しく受信するが、次のVETO−信号が、認識しない場合は、き
わめてありそうもなく、かつもっばら過渡的な誤りによって引起こされることが
ある。永久的な誤りは、両方の機能−フレームの受信及びVeto−認識を妨害
する。
通常動作において、次のプロトコル規則が当てはまる:
規則13
通常動作において、活性化したすべての局からその時間ウインドウ内において
通常−フレーム(N)が送信される。(規則8も参照。)活性化したすべての受
信機が、インクリュードとマークされた送信機の時間フレーム内に、(少なくと
も)1つの通常フレームを正しく受信するかぎり、通常動作は存在する。図7は
、妨害のない動作におけるプロトコルの経過を示している。
規則14
エクスクリュードにセットされた局のアクナレッジウインドウ内において規則
3にしたがって、VETOが送信される。この場合、すべての局によって通常動
作が継続される。図8は、不活性の局におけるプロトコルの経過を示している。
規則15
インクリュードにセットされた局は、プロトコル−バイト内のサイクル−ビッ
トを介して、目下のサイクルの番号を継続的に伝達する。第1の局は、サイクル
−ピット内の0によって始まり、それから後続のもの
は、サイクルの番号に到達するまで、頻繁に順に1を送信する。その後、次の局
は、再び0等を送信し、規則26a(相手)も参照されたい。通常動作から離れ
る際、かつプロトコルメッセージの送信の後に、第1の妨害されていない通常−
フレーム(これは論理的にサイクル−ビット内の0を含む)によって再び始動す
るまで、機構はリセットされる。
規則16
局は、その1つ又は複数のタイムスライス内において通常−フレーム内のスラ
イス−ビットを介して、目下のタイムスライスの番号(したがって暗黙のうちそ
の局アドレス)を伝送する。この局は、スライス−ビット内の0によって始まり
、かつその後、タイムスライスの番号に到達するまで、頻繁に同じタイムスライ
ス内において1を送信する。その後、これは、最初から始まる。相手:規則26
b。通常動作から離れる際、かつプロトコルメッセージの送信の後に、局の第1
の妨害されていない通常−フレームにより再び始動するまで、機構はリセットさ
れる。
状態、通常動作において送信されるインクリュードにセットされた送信機のフ
レームが、少なくとも1つの受信機によって妨害されてしか又は全く受信されな
かったとき、すべての局は、再構成サイクルを通過する。このような妨害に対し
て、次の原因が考慮される:
1、妨害の侵入、
2、全体的に故障した局、
3、1つ(又は複数)の故障した受信チャネルを有する1つ(又は複数)の局
、
4、故障した送信チャネルを有する局、
5、全故障を有する局の形及び/又は故障した受信チャネルを有する局の形で
生じる1つ(又は複数)のバス線の切断又は短絡。
再構成は、永久的な妨害の原因を除去するようにするが、過渡的な妨害の場合
に、局を誤って切離さないようにする。場合1ないし4において、一義的な原因
発見が可能であり、すなわち局を切離すかどうか及び
どの局を切離すかの判定は、一義的にかつ正しく行なうことができる。必要な実
時間条件の下に、このような正しい判定は、−1つであるときに−場合5におい
て保証することができない。しかし冗長のバス線を利用しかつ保守する(規則7
にしたがってプロトコル内に統合された表示に反応して)ことによって、場合5
に対する発生確率をゼロにすることは可能である。
再構成サイクルにおいて、もっばらリカバリ−フレームが送信され、これらの
リカバリ−フレームは、そのエラー−ビット内に、原因発見のために必要な情報
の一部を含んでいる。再構成のために3つの局変数が重要である:
−リカバリ−フレーム内のエラー−ビットを介して、局は別のすべての局に、
初めに妨害を受けた送信機の両方のフレームを正しくなく受信し又は全く受信し
なかったかどうかを通知する。
−変数、リカバリワンOKにおいて、局は、再構成サイクルにおいて、別の局
から少なくとも1つのフレームを正しく受信したかどうかに気付く。
−変数、アザーディスターブドにおいて、局は、少なくとも1つの別の局が初
めに妨害された送信機の(同様に)両方のフレームを正しくなく受信したかどう
かに気付く。
局は、再構成サイクルの終了後に、その判定を行なう。判定には、再構成サイ
クルに続いて改めて送信する初めに妨害を受けた送信機のフレームを妨害を受け
て受信した受信機が関与する。これらから、どの送信機からも正しいフレームを
受信しなかった又は送信機の繰返し妨害されたフレームの唯一のものとして捕え
られた局が切離される。判定に関与する別のすべての受信機は、VETO−信号
の送出によって、初めに妨害された送信機のオフを信号通知する。
規則17
局のアクナレッジウインドウ内にVETOが送信され、この局がシス
テム状態ベクトルにおいてインクリュードにセットされていることを、通常動作
における局が確認すると、この局は、続いて再構成サイクルを実行する。(再構
成サイクルにおいて基本的にサイクル交代−及び統合メッセージは送信されない
。)
a1 再構成サイクルの初めに、前の送信の際に伝送誤りを確認したすべての
受信機は、その変数を次のように設定する:
−エラー=WAHR、
−レシーブワンOK=FALSCH、
−アザーディスターブド=FALSCH。
a2 正しい通常フレームを受信した受信機は、その変数をつぎのようにセッ
トする:
−エラー=FALSCH、
−レシーブワンOK=WAHR、
−アザーディスターブド=WAHR。
b1 インクリュードにセットされたすべての受信機は、再構成サイクルにお
いてその1つ/複数のタイムスライス内に、エラービット内の前にセットされた
エラー−変数の値を含むリカバリ−フレームを送信する(規則8及び9も参照)
。初めに妨害された送信機は、サイクル内に複数のタイムスライスを有するとき
、通常−フレーム(N)を送信する。サイクル内に伝送誤りに気付いた局は、(
規則3に取り決めたように)VETOを送信するので、アプリケーションにメッ
セージを送出する際に、地球規模の見解が保証されている。
b2 1つのフレームの正しい受信の際、−VETOによって無効にされるか
どうかはどうでもよい−受信機は、その変数を次のようにセットする:
−レシーブワンOK=WAHR(別の局のフレームは正しく受信された)、か
つリカバリ−フレーム内におけるエラー−ビットがWAHRにセットされている
とき、
−アザーディスターブド=WAHR(別の局は、初めに妨害されている)。
c 再構成サイクルにおいて、規則17b1にしたがって送信された初めに妨
害された送信機の通常フレーム(N)が、無効にならないと、直接即座に再び通
常動作が有効である。この場合は、図9に示されている。
d サイクルの最後に、再び初めに妨害された送信機は通常−フレーム(N)
を送信する。
e 規則17dにしたがって送信されたN−フレームの受信の後に、受信機が
伝送誤りを確認すると、この受信機は、その変数を評価し:
e1 変数レシーブワンOKがFALSCHであるとき、受信機は、別の局
のフレームを正しく受信できず、かつ規則18にしたがって沈黙のまま切離され
る。
e2 変数レシーブワンOKがWAHRであり、かつ変数アザーディスター
ブドがFALSCHであったとき、受信機は、送信機から正しいメッセージを受
取らなかった唯一の加入者である。この受信機は、アクナレッジウインドウを待
機する。別の局からVETOが発生されたとき、受信機は、誤りカウンタを増加
する。定義すべき値を上回らない場合、受信機は、活性動作のままである。そう
でない場合、かつVETOが発生されない場合、この受信機は、規則18にした
がって切離される。
e3 変数レシーブワンOKがWAHRであり、かつ変数アザーディスター
ブドがWAHRであるとき、VETOを含む送信は無効にされ、それにより送信
機は、規則19にしたがって切離される。
規則18
受信機の切離し:両方の場合、規則17e1又は17e2、受信機は、アプリ
ケーションへのメッセージ(INTR_EXCLUDED)を中止し、かつ直接
不活性動作に至る。図10は、永久的に故障した受信機
におけるプロトコル経過を示している。
規則19
送信機の切離し:規則17e3による無効の場合、送信機は、網全体において
一貫して切離される。活性のすべての局は、送信機自身も、システム状態ベクト
ルにおける妨害者をエクスクリュードとマークする。送信機の切離しは、アプリ
ケーションに告知される(INTR_SYSCHANGE)。送信機は、不活性
動作に至る(INTR_EXCLUDED)。次のタイムスライスにおいて、通
常動作が継続する。図11は、永久的に故障した送信機におけるプロトコル経過
を示している。
注意:再構成サイクルを越えて持続しない妨害の際、当該の送信機及びすべて
の受信機は、活性のままである。妨害が、再構成サイクルを越えて持続するとき
、少なくとも1つの局は活性のままであり、送信機又は部分妨害の際に少なくと
も1つの受信機は活性のままである。
注意:規則17cは、局の所望の分散の際に、サイクル内において、妨害がそ
れほど急速ではなく、かつそれぞれのタイムスライスに出会うとき、周期的な妨
害による切離しを避けるために適している、図12参照。
局が、初期設定を求められるとき、次の場合が考慮される:
−すでにTDMA−サイクルが動作している:
局は、状態、編入に変化する。
−局は、第1のINIT−フレームを送信することによって、TDMA−サイ
クルを構成するように試みる。
その際、次の場合が区別される:
−別の局も、TDMA−サイクルを構成するように試みる。
−別の局は応答しない(伝送誤り、衝突、局が活性でない)。
−別の局は、試みを受け入れる。
初期設定には、図13に示された大ざっばな状態線図が基になる。
規則20
初期設定の初めに、プロトコル−コントローラによってサイクル0がロードさ
れる。ここにおいてあらかじめ与えられたサイクル内に挙げられたそれぞれの局
は、ここにおいて送信の権利を有する少なくとも1つのタイムスライスを有する
ようにする。
a 局が、アプリケーションから初期設定を要求されるとき、この局は、すべ
ての局の共通のスタートを可能にするようにする確定すべき時間間隔を1つのフ
レームについて待つ。時間間隔は、局の初期設定の際の種々の動作時間を補償す
るような長さに選択するようにする。これは、動作しているシステムを妨害しな
いために、サイクル期間よりも長くなければならない。
b1 待っている局が、前記の時間内に、タイプ、INIT−プロトコルメッ
セージのものではない正しいフレームを受取ると、この局は、状態、編入に変わ
る。
b2 局が、前記の時間間隔の経過後に、フレームを受取らなかったとき、こ
の局は、自身のイニシャルINIT−メッセージを送信する。後者は、サイクル
番号=0、スタートタイムスライス、すなわち送信機の送信権利が存在するサイ
クル内の自身の第1のタイムスライス、イニシャルシステム状態ベクトル、及び
サイクル情報に関するテスト合計を含んでいる。イニシャル状態ベクトル内にお
いて、すべての局のビットは、エクスクリュードにセットされている。
b3 局が、
<サイクル期間+2*スタートタイムスライス*タイムスライス期間>
によって決まる期間内にそのINIT−メッセージにおいて、別の局のフレー
ムを受取らないと、この局は、改めてそのイニシャルINIT−メッセージを送
信する。この過程は、繰返される。繰返しの数は、なお確定しなければならない
。
b4 この時点にフレームが妨害を受けて受信されると、VETOは
送信されず、かつ改めて規則b3にしたがって処理される。その際、前記の待時
間が改めてセットされる。
b5 外部の正しいINIT−メッセージを受取った後に、含まれたテスト合
計は、自身のものと比較される。これらが一致すると、タイムスライスは、含ま
れたタイムスライス番号によって同期化され、かつプロトコル時計がスタートさ
れる。タイムスライスは、スタートタイムスライスとして記憶される。
c1 続いてINIT−メッセージが正しく受信される度ごとに、含まれたテ
スト合計及びタイムスライス番号は、自身のものと比較される。相違する場合、
局自身がすでにインクリュードにセットされているとき、フレームは無効になる
。そうでない場合、含まれたシステム状態ベクトルが取出され、かつ局所的に書
換えて記憶される。妨害された又は無効にされたフレームは無視される。タイプ
、INITのものではないフレームの正しい受信の際、プロトコルは、状態、編
入に至る。
c2 局がそのタイムスライスに達するが、局所的な(最後に記憶された)シ
ステム状態ベクトル内に、なおエクスクリュードが特徴付けられており、又はス
タートタイムスライスにまだ改めて到達していないと、この局は、そのINIT
−プロトコルメッセージ内に状態ベクトルをコピーし、ここにおいてその状態ビ
ットをインクリュードにセットし、かつフレームを送信する。
c3 局が、そのタイムスライス内においてすでにインクリュードにセットさ
れおり、かつタイムスライスに到達し、又はこれを越えているとき、この局は、
タイプ、RUNのプロトコルメッセージを送信し、かつ無効になっていないとき
、通常動作(確定したサイクル、タイムスライス0)に至る。通常動作の受け入
れは、アプリケーションに告知される。
d 無効にされないタイプ、RUNのプロトコルメッセージを受信したすべて
の局は、システム状態ベクトル内におけるそのビットがインク
リュードにセットされており、かつ自身のメッセージが有効に受信されたとき、
同様に通常動作に切換える。そうでない場合、これらの局は、状態、編入に至る
。通常動作の受け入れは、アプリケーションに告知される。
スタート過程は、図14及び15に示されている。
アプリケーションは、プロトコル−コントローラを不活性動作にスタートし、
又は切換えることができる。不活性動作は、再構成の最後に規則18又は規則1
9にしたがって切離しが行なわれるとき、自動的に受け入れられる。次の規則は
、不活性動作に関する:
規則21
不活性動作において、メッセージ及びVRTO−信号は送信されない。別の局
のメッセージは、規則9にしたがってアプリケーションに引渡される。
規則22
通常動作における局は、規則18、19及び33を介して又は明白にアプリケ
ーションにより不活性動作に切換えることができる。不活性動作は、即座に有効
になる。局が不活性動作に達すると、この局は、自ら局所的状態ベクトルにおい
てエクスクリュードにセットされる。
規則23
不活性な局だけから正しくなく受信されかつそれ故に無効にされないメッセー
ジは、失われる。当該の局は、同期に至る。アプリケーションは、エラーメッセ
ージを受取る。
規則24
アプリケーションは、局が現在のサイクルにおいて自身のタイムスライスを有
する場合、不活性動作から編入を介して通常動作への交代を引起こす。この要求
に先立って、規則18にしたがってプロトコル−制御された切離しが行なわれて
いると、これは、決定可能な期間《t》の間妨害されないフレームを受信し、か
つ前の時間単位《T》あたりの自身
の切離しの回数が所定の閾値を越えない(《t》及び《T》をなお確定しなけれ
ばならない)ときにだけ、状態交代を実行する。
次の規則は、同期に関する:
規則25
同期している局は、メッセージ及びVETO−信号を送信しない。
規則26
局は、まずプロトコル同期していないとき、現在のサイクル及び現在のタイム
スライスの番号を知らされなければならない。さらに局は、現在のシステム状態
を判定しなければならない。局が、この規則の実行においてシステム状態を受取
ると、直接規則27が有効である。
a 現在のサイクルの番号(モード)の決定:そのために局は、無効にされな
いすべての通常−フレームのサイクルビットを評価する。この局が、無効にされ
ない妨害されたフレームを、又はリカバリ−フレームを受取ると、この局は、新
たに評価を開始しなければならない。シーケンスは、サイクル−ビット内の第1
の0(開始標識)によって始まり、かつ第2の0(終了標識)が認識されたとき
、完全になる。サイクルの番号は、サイクル−ビット内に1を有する直接連続し
た通常−フレームの合計から得られる。
b タイムスライスの決定:自身の静的なサイクル情報を、まずシステムによ
り一貫していると仮定すると、観察する局は、現在のサイクル内の個々のタイム
スライスを検査し、かつアプリケーションメッセージを含むこの中において送信
される通常−フレームのスライス−ビットを評価することができる。シーケンス
は、観察されたタイムスライスが妨害されていないときに、したがって続いて通
常−フレームが送信されるときに有効である。第1の完結した0(開始標識)な
いし0(終了標識)の−シーケンスは、スライス−ビット内に1を有するタイム
スライスの直接連続する通常−フレームの合計から得られるタイムスライスの番
号を知らせる。タイムスライス番号によって、地球規模に一貫したサイク
ル情報のために局アドレスを推測することができる。それによりサイクル内にお
ける1つ/複数の自身のタイムスライスが判定されている。これらのタイムスラ
イス(の1つ)内においてフレームが受信されたとき、情報は一貫していない。
局は、改めて同期に至り、又は試みのなお確定すべき数に達した際に遮断する。
c システム状態の決定:局は、自身のシステム状態ベクトルにおいてすべて
の局をエクスクリュードにセットし、かつ妨害されないTDMA−サイクルにわ
たってメッセージ−生起を観察する(N−フレームだけが送信される)。その際
、これは、そのタイムスライスがVETOによって無効にならないすべての局を
インクリュードにセットする。規則26cは、規則26bと並列に実行すること
ができる。
規則27
同期段階においてプロトコル−メッセージ(NULL、CHANGE−CYC
LE)を有するフレームが正しく受信され、かつ無効にされない場合、含まれた
テスト合計は、自身のテスト合計と比較される。相違した(自身のサイクル情報
とシステム内におけるサイクル情報の偏差)場合、局は遮断される。そうでない
場合、現在のサイクル、現在のタイムスライス、状態ベクトル及び新しいサイク
ル番号は、引受けられる。したがって同期は遮断されている。
次の規則は、局の編入の尺度になる。
図16は、編入を示している。
規則28
編入の状態における局は、基本的にVETO−信号を送信しない。
規則29
a 局が、直接不活性動作から到来したのではないとき、この局は、まず規則
26又は27にしたがって、現在のサイクル、そのタイムスライス及び現在のシ
ステム状態ベクトルを決定する。メッセージは、現在のタイムスライス及びサイ
クルがわかるとすぐに、規則9にしたがって、
アプリケーションに転送される。サイクル内に局が自身のタイムスライスを持た
ない場合、この局は、直接不活性動作に至る。
b 局が、規則27よってプロトコル同期になると(又は状態、編入になると
)、この局は、その次の第1のタイムスライスにおいて、規則8にしたがってア
プリケーション−又はNULL−メッセージを送信する。そうでない場合、この
局は、通常動作において継続するプロトコルが動作するとすぐに、タイプ、IN
TEGRATEのプロトコルメッセージを含むN−フレームを送信する。
c1 メッセージが無効にならないと、局は、統合されており、かつ直接通常
動作にある。この局は、すべての局からインクリュードにセットされ、かつアプ
リケーションは、メッセージ(INTR_SYSCHANGE)を受取る。
c2 そうでない場合、局は、不活性動作に至り、かつ規則26を受け入れる
。
規則30
別の局の通常動作においてインクリュードにセットされた局から、タイプ、I
NTEGRATEのプロトコルメッセージを含む通常−フレームが受信されると
、含まれたサイクル、タイムスライス、システム状態ベクトル及びサイクル情報
のテスト合計は、自身の値と比較される。相違する場合、メッセージは、VET
O−信号によって無効にされる。
規則31
編入における局が、TDMA−サイクルにわたってフレームを受信しないと、
この局は初期設定に至る。
次にサイクル交代(モード−チェンジ)に関する規則を記載する。
規則32
通常動作においてインクリュードにセットされた局が、そのタイムスライスに
到達すると、この局は、これにアプリケーションから相応する要望があるとき、
タイプ、CHANGECYCLEのプロトコルメッセ
ージを送信する。メッセージは、(現在のプロトコル情報の他に)要求されたサ
イクルの番号を含んでいる。
規則33
通常動作において局が、タイプ、CHANGECYCLEのプロトコルメッセ
ージを受信すると、この局は、要求されたサイクルが自身のアプリケーションに
よりあらかじめエネーブルされたかどうか(明白に又はANY_CYCLE)を
チェックする。
a そうでない場合、この局は、VETOを送信する。VETOを与えられた
CHANGECYCLE−メッセージは、一般に却下される。その後、通常のよ
うに(規則17にしたがって)、再構成サイクルが実施されるので、改めてのサ
イクル交代は、まず阻止される。
b CHANGECYCLE−メッセージがVETOによってアクナレッジさ
れないと、すべての局は、新しいサイクル番号を記憶し、かつ現在のサイクルの
最後までに、セットされたグループ局−ビットを含むすべてのフレーム(サイク
ル/スライス−ビットは評価されない)を送信する。新しいサイクルは、なおサ
イクルの最後までに、改めてCHANGECYCLE−メッセージによって上位
制御することができる。タイムスライス0において要求が発送されると、すべて
の局の異議申立ての可能性が存在する。
c 現在のサイクルが終了した後、新しいサイクルが設定される。新しいサイ
クル内において送信の権利を持たない局は、エクスクリュードにセットされ、か
つ不活性動作に至る。前のサイクルにおいて送信の権利を持たずかつ今度参加し
た局は、この局が永久的に(規則19にしたがって多重に)切離されなかったと
き、状態、編入に移される。
次の処置は、規則12による制限をカバーするために適している。これらは、
きわめて簡単に実行され、かつサイクル内においてシステム内の一貫性を再構成
するようにする。
規則34
が、通常−フレームの正しい無効にならない伝送の後に、リカバリ−フレームを
受信すると、この局は通常動作に留まる。
規則35
再構成サイクルにある局が、初めに妨害された送信機ではない局から通常−フ
レームを受信すると、この局は、消去されたエラー−ビットを含むリカバリ−フ
レームのようにフレームを評価する。通常−フレームにおいてタイプ、CHAN
GECYCLEのプロトコルメッセージが問題になるとき、タイムスライスは、
VETOにより無効にされる。
文献
[1]SAE Handbook 第2巻、Parts and Compo
nents:
Class C Application Requirement/Sur
vey of known Protocols、第23.366頁以後、19
94
[2]ISO 11898:Road vehicles−Intercha
nge of digital information−Controlle
r area network(CAN)for high−speed co
mmunication、1993
[3]Telefunken Electronics:
Automotive Bit−serial Universal−int
erface System(ABUS)、8/1988
[4]IEC TC9 WG22:
Train Communication Network(1.Gener
al Architecture,2.Real−Time protocol
s,3.Multifunction Vehicle Bus,4.Wire
Train Bus)、Working Document 3/1994
[5]H.Kopetz,W.Ochsenreiter:
Clock Synchronization in Distribute
d Real−Time System,
IEEE Transaction on Computers、第C−36
巻、第8号、8/1987
[6]H.Kopetz,W.Ochsenreiter:
Clock Synchronization UNIT (CSU)Dat
asheet,
Reserch Report 22/89,TechnischeUniv
ersitat Wien、11月、1989
[7]K.Hoyme,K.Driscoll:
SAFEBus(商標名)Honeywell System and Re
seach Center、
(Draft in ARINC 659,Boing 777)、IEEE
AES System Magazine、3/1993
[8]H.Kopetz,G.Grunsteidl:
TTP−A Time Triggered Protocol for A
utomotive Applications、
Technische Universitat Wien、10/1992
又は
The 23rd International Symposium on
Fault−Tolerant Computing、Toulouse 6
/1993
[9]ISO/IEC 8802−4、ANSI/IEEE Std802.
4:
Token−Passing Bus Access Method and
Physical Layer Specifications、1990
[10]IEEE Std 802.4:
Token Ring Access Mode and Physical
Layer Specifications、1989
[11]ISO/IEC 8802−3、ANSI/IEEE Std 80
2.3
Carrier Sense Multiple Access with
Collision Detection (CSMA/CD)Access
Method and Physical Layer Specificat
ions、1990
[12]MIL−STD−1553B:
Aircraft Internal Time Division Com
mando/Response Multiplex Data Bus、9/
1978
[13]ARINC 629−2 Multi−Transmitter D
ata Bus、Technical Description、
Aeronautical Radio INC、10/1991
[14]Hopkins他:米国特許第4161786号明細書
Digital Bus Communication System
請求の範囲
1、タイムスライスが、それぞれ1つの局に周期的に割当てられ、かつ地球規
模で一貫してシステム内のすべての局にあらかじめ与えられる、一貫して確定的
なタイムスライス承認に基付いて安全性の微妙な用途に対して送信及び受信局の
間においてメッセージを伝送するためのプロトコルにおいて、
タイムスライスが、それぞれメッセージを伝送するための時間的な転送ウイン
ドウ、及び転送ウインドウに続くアクナレッジウインドウに分割され、かつアク
ナレッジウインドウ内においてもっばら伝送誤りの際、すなわち誤りを含んで受
信され又はまったく受信されなかったメッセージの後に、当該の受信局からVE
TO−信号が送信され、
VETO−信号が、その存在以外に、別の何の情報内容も持たず、かつ優性の
信号として構成されており、それ故にこれらのVETO−信号が、妨害信号の存
在中においても、地球規模で一貫して高い確率で認識され、かつ
誤ってVETO−信号を認識した1つの局が、アクナレッジウインドウの最後
までに、VETOを送信するので、局所的にVETOとして誤って解釈された妨
害信号が、同様に高い確率で、地球規模で一貫したVETO−信号に変換される
ことを特徴とする、メッセージを伝送するためのプロトコル。
2、あらかじめ活性化した送信局(s)のアクナレッジウインドウ内において
VETO−信号を認識した後に、すべての局が、再構成サイクルを通過し、この
再構成サイクルが、伝送誤りの正確な原因の確認のために使われるので、続いて
パラメータ誤りが存在したとき、当該の局が、通信システムから除かれ、又は自
ら離れる
ことを特徴とする、請求項1に記載のプロトコル。
3、再構成サイクルの初めに、先行するタイムスライスにおいて自ら送信又は
正しい送信を受信しなかったすべての受信機が、その変数
−エラー=WAHR、
−レシーブワンOK=FALSCH、
−アザーディスターブド=FALSCH
をセットし、かつ
正しい送信を受信した受信機が、その変数
−エラー=FALSCH、
−レシーブワンOK=WAHR、
−アザーディスターブド=WAHR
をセットし、
活性化したすべての受信機が、再構成サイクルにおいてその1つ/複数のタイ
ムスライス内に、セットされた再構成ビット(r)及びあらかじめ変数エラー内
に記憶された誤りビット(f)内の値を含むそのメッセージを送信し、
このようなメッセージ(r)を正しく受信した際、受信機が、その変数
−レシーブワンOK=WAHRをセットし、すなわち別の局の送信を正しく受
信し、
かつメッセージ(r)内における誤りビット(f)がWAHRであるときに、
−アザーディスターブド=WAHRをセットし、すなわち別の局が初めに妨害
されており、
初めに妨害された送信機(s)が、サイクル内において別のタイムスライスを
有し、このタイムスライスが、VETOによって表わされないとき、すべての局
が、早期に通常動作に戻り、
再構成サイクルの最後に、再び初めに妨害された送信機(s)の送信ウインド
ウが経過しており、かつ受信機(e)が、改めて伝送誤りを確認したとき、後者
が、その変数を評価し、
変数レシーブワンOKがFALSCHであり、したがって受信機(e)
が、別の局の送信を正しく受信できなかったとき、この受信機が、自ら離れ、か
つすべての送信を中止し、
変数レシーブワンOKがWAHRであり、かつ変数アザーディスターブドがF
ALSCHであり、したがって受信機(e)が、送信機から正しい送信を受取ら
なかった唯一の加入者であったとき、この受信機が、アクナレッジウインドウを
待機し、かつ別の局からVETOが送信されなかったとき、この受信機が、自身
から離れ、かつすべての送信を中止し、
変数レシープワンOKがWAHRであり、かつ変数アザーディスターブドがW
AHRであるとき、受信機(e)が、VETO−信号の送信によりタイムスライ
スを妨害されたものとして表わし、それによりすべての加入者が、妨害された送
信機(s)を除き、かつそのタイムスライス内におけるその後の伝送命令を無視
する
ことを特徴とする、請求項2に記載のプロトコル。
4、その期間が通信サイクルを越えないバースト−妨害が、局の誤った切離し
を引起こさず、かつ
2つの部分サイクルが1つの通信サイクルにまとめられ、その際、部分サイク
ル内において、安全性の微妙な任務を知覚するそれぞれすべての局が、送信権利
を有するが、この送信権利が、部分サイクルの異なったタイムスライス内にある
とき、その個々の期間がアクナレッジウインドウよりも短い周期的な妨害も、局
の誤った切離しを引起こさない
ことを特徴とする、請求項3に記載のプロトコル。
Claims (1)
- 【特許請求の範囲】 1、同期仲裁に基付いて安全性の微妙な用途に対してタイムスライス内におい て送信及び受信局の間においてメッセージを伝送するためのプロトコルにおいて 、 タイムスライスが、それぞれ1つの受信局に周期的に一貫して確定的に割当て られ、 タイムスライスが、それぞれメッセージを伝送するための時間的な転送ウイン ドウ、及び転送ウインドウに続くアクナレッジウインドウに分割され、かつアク ナレッジウインドウ内においてもっばら誤りを含んで受信され又はまったく受信 されなかったメッセージの際に、受信局から妨害の表示として、異議信号(VE TO−信号)が送信される ことを特徴とする、メッセージを伝送するためのプロトコル。 2、伝送妨害の場合−VETO−信号の放射及び受信によって地球規模で一貫 してわかる−、あらかじめ活性化した送信局において、すべての局が、再構成サ イクルを通過し、この再構成サイクルが、伝送誤りの正確な原因の確認のために 使われるので、続いてパラメータ誤りが存在したとき、1つ(又は複数)の当該 の局が、通信システムから切離される ことを特徴とする、請求項1に記載のプロトコル。 3、再構成サイクルの初めに、先行する送信の際に伝送誤りを確認したすべて の受信機が、その変数 −エラー−フラッグ=TRUE、 −レシーブワンOK=FALSCH、 −アザーディスターブド=FALSCH をセットし、かつ 正しい通常フレームを受信した受信機が、その変数 −エラー=FALSCH、 −レシーブワンOK=TRUE、 −アザーディスターブド=TRUE をセットし、 活性化したすべての受信機が、再構成サイクルにおいてそのタイムスライス内 に、あらかじめセットされたエラー−フラッグを含むリカバリ−フレームを送信 し リカバリ−フレームを正しく受信した際、受信機が、その変数 −レシーブワンOK=TRUEをセットし(別の局のフレームを正しく受信し た)、 かつリカバリ−フレーム内のエラー−フラッグがTRUEにセットされている ときに、 −アザーディスターブド=TRUEをセットし(別の局が初めに妨害されてい る)、 初めに妨害された送信機が、サイクル内において別のタイムスライスを有し、 このタイムスライスが、無効にならないとき、すべての局が、早期に通常動作に 戻り、 サイクルの最後に、初めに妨害された送信機がそのフレームを送信したとき、 改めて伝送誤りを確認した送信機が、その変数を評価し、 変数レシーブワンOKがFALSCHであるとき(別の局のフレーム送信を正 しく受信できなかったとき)、この受信機が、自ら離れ、 変数レシーブワンOKがTRUEであり、かつ変数アザーディスターブドがF ALSCHであるとき(送信機から正しいメッセージを受取らなかった唯一の加 入者であったとき)、この受信機が、アクナレッジウインドウを待機し、かつ別 の局からVETOが発生されなかったとき、この受信機が、自身から離れ、 変数レシーブワンOKがTRUEであり、かつ変数アザーディスターブドがT RUEであるとき、受信機が、VETOにより送信を無効にし、それによりによ りすべての加入者が、妨害された送信機を切離す ことを特徴とする、請求項1又は2に記載のプロトコル。 4、その期間が通信サイクルを越えないバースト−妨害が、局の誤った切離し を引起こさず、かつ 2つの部分サイクルが1つの通信サイクルにまとめられ、その際、部分サイク ル内において、(安全性の微妙な)それぞれすべての局が、送信権利を有するが 、この送信権利が、部分サイクルの異なったタイムスライス内にあるとき、その 個々の期間がアクナレッジウインドウよりも短い周期的な妨害も、局の誤った切 離しを引起こさない ことを特徴とする、請求項1ないし3の1つに記載のプロトコル。 VETO−信号が、その存在以外に、別の何の情報内容も持たず、かつ優性の 信号として構成されており、それ故にこれらのVETO−信号が、妨害信号の存 在中においても、地球規模で一貫して高い確率で認識され、かつ 誤ってVETO−信号を認識した1つの局が、アクナレッジウインドウの最後 までに、VETOを送信するので、局所的にVETOとして誤って解釈された妨 害信号が、同様に高い確率で、地球規模で一貫したVETO−信号に変換される ことを特徴とする、メッセージを伝送するためのプロトコル。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19620137.3 | 1996-05-07 | ||
DE19620137A DE19620137C2 (de) | 1996-05-07 | 1996-05-07 | Protokoll für sicherheitskritische Anwendungen |
PCT/EP1997/002296 WO1997042733A1 (de) | 1996-05-07 | 1997-05-07 | Protokoll für sicherheitskritische anwendungen |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2000509585A true JP2000509585A (ja) | 2000-07-25 |
Family
ID=7794717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP9539535A Pending JP2000509585A (ja) | 1996-05-07 | 1997-05-07 | 安全性の微妙な用途に対するプロトコル |
Country Status (5)
Country | Link |
---|---|
US (1) | US6353615B1 (ja) |
EP (1) | EP0897626B1 (ja) |
JP (1) | JP2000509585A (ja) |
DE (2) | DE19620137C2 (ja) |
WO (1) | WO1997042733A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005522776A (ja) * | 2002-04-15 | 2005-07-28 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | バスシステムの監視機能の検査方法,その装置及びバスシステム |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19922497A1 (de) * | 1999-05-15 | 2000-11-16 | Moeller Gmbh | Datenübertragungsverfahren |
DE10000302B4 (de) | 2000-01-05 | 2011-08-11 | Robert Bosch GmbH, 70469 | Verfahren und Vorrichtung zum Austausch von Daten zwischen wenigstens zwei mit einem Bussystem verbundenen Teilnehmern |
FR2804227B1 (fr) * | 2000-01-24 | 2002-12-13 | Labinal | Ensemble de pilotage et/ou de controle d'organes fonctionnels d'un avion |
DE10029834A1 (de) | 2000-06-16 | 2002-01-03 | Infineon Technologies Ag | Verfahren zum Übertragen von Daten zwischen über einen Bus verbundenen Einrichtungen, und über einen Bus mit anderen Einrichtungen verbindbare Einrichtung |
EP1179908A1 (de) | 2000-08-10 | 2002-02-13 | Siemens Aktiengesellschaft | Kommunikationsverfahren |
AT410490B (de) * | 2000-10-10 | 2003-05-26 | Fts Computertechnik Gmbh | Verfahren zur tolerierung von ''slightly-off- specification'' fehlern in einem verteilten fehlertoleranten echtzeitcomputersystem |
DE10112695A1 (de) * | 2001-03-16 | 2002-09-19 | Philips Corp Intellectual Pty | TDMA-Kommunikationssystem |
WO2002097543A1 (fr) * | 2001-05-31 | 2002-12-05 | Omron Corporation | Unite securisee, systeme de commande, procede de concatenation de dispositifs de commande, procede de commande de systeme de commande, et procede de surveillance de systeme de commande |
US7369902B2 (en) * | 2001-05-31 | 2008-05-06 | Omron Corporation | Slave units and network system as well as slave unit processing method and device information collecting method |
JP3748078B2 (ja) * | 2001-06-22 | 2006-02-22 | オムロン株式会社 | 安全ネットワークシステム及び安全スレーブ |
DE10148325A1 (de) * | 2001-09-29 | 2003-04-17 | Daimler Chrysler Ag | Buswächtereinheit |
DE10151927A1 (de) * | 2001-10-20 | 2003-05-15 | Conti Temic Microelectronic | Verfahren zur Datenübertragung zwischen einer Zentraleinheit und einer Mehrzahl von Modulen mittels eines Datenprotokollrahmens |
DE10200201A1 (de) * | 2002-01-04 | 2003-07-24 | Daimler Chrysler Ag | Zyklusbasiertes zeitgesteuertes Kommunikationssystem |
US7443877B2 (en) | 2002-02-28 | 2008-10-28 | Siemens Aktiengesellschaft | Method for coding a sequence of data bits, in particular for transmission via an air interface |
WO2003081847A1 (de) * | 2002-03-22 | 2003-10-02 | Tttech Computertechnik Aktiengesellschaft | Verwendung von membership-free slots zur dynamischen bandbreitenvergabe |
US7907628B2 (en) * | 2003-11-19 | 2011-03-15 | Honeywell International Inc. | Priority based arbitration for TDMA schedule enforcement in a multi-channel system |
DE102004060459A1 (de) * | 2004-12-16 | 2006-07-06 | Bayerische Motoren Werke Ag | Datenbussystem für Kraftfahrzeuge und Verfahren zur Diagnose |
CN101133597A (zh) * | 2005-03-04 | 2008-02-27 | 皇家飞利浦电子股份有限公司 | 用于仲裁共享资源的电子设备和方法 |
DE102005023367A1 (de) * | 2005-05-20 | 2006-11-23 | Robert Bosch Gmbh | Zyklusbasiertes zeitgesteuertes Kommunikationssystem, Teilnehmer des Kommunikationssystems und Verfahren zur Datenübertragung zwischen Teilnehmern des Kommunikationssystems |
US7647500B2 (en) * | 2005-12-16 | 2010-01-12 | Microsoft Corporation | Synchronous validation and acknowledgment of electronic data interchange (EDI) |
EP2415242B1 (de) | 2009-04-03 | 2019-05-08 | Continental Teves AG & Co. OHG | Datensicherheit für die kommunikation mit gleichgestellten teilnehmern |
DE102011108102A1 (de) | 2011-07-20 | 2013-01-24 | Marantec Antriebs- Und Steuerungstechnik Gmbh & Co. Kg | Steuerungsverfahren für einen Torantrieb und Torantrieb |
DE102014018152A1 (de) * | 2014-12-10 | 2016-06-16 | Wilo Se | Verfahren zur Bestimmung der Signalqualität in einem CAN-Protokoll basierten Netzwerk |
CN104683441B (zh) * | 2015-01-09 | 2018-06-22 | 中国铁路总公司 | 一种轨道车辆网络系统的通信方法 |
CN113320567B (zh) * | 2021-06-04 | 2022-05-31 | 中车青岛四方车辆研究所有限公司 | 基于mvb的拓扑切换装置及切换方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4161786A (en) * | 1978-02-27 | 1979-07-17 | The Mitre Corporation | Digital bus communications system |
US4595907A (en) * | 1983-09-06 | 1986-06-17 | Rockwell International Corporation | PCM data translating apparatus |
JPH0831869B2 (ja) | 1987-02-23 | 1996-03-27 | 株式会社日立製作所 | データ伝送方法及びデータ伝送装置 |
-
1996
- 1996-05-07 DE DE19620137A patent/DE19620137C2/de not_active Expired - Fee Related
-
1997
- 1997-05-07 EP EP97922972A patent/EP0897626B1/de not_active Expired - Lifetime
- 1997-05-07 JP JP9539535A patent/JP2000509585A/ja active Pending
- 1997-05-07 US US09/180,471 patent/US6353615B1/en not_active Expired - Fee Related
- 1997-05-07 WO PCT/EP1997/002296 patent/WO1997042733A1/de active IP Right Grant
- 1997-05-07 DE DE59711300T patent/DE59711300D1/de not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005522776A (ja) * | 2002-04-15 | 2005-07-28 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | バスシステムの監視機能の検査方法,その装置及びバスシステム |
Also Published As
Publication number | Publication date |
---|---|
WO1997042733A1 (de) | 1997-11-13 |
US6353615B1 (en) | 2002-03-05 |
EP0897626A1 (de) | 1999-02-24 |
DE59711300D1 (de) | 2004-03-18 |
DE19620137A1 (de) | 1997-11-13 |
EP0897626B1 (de) | 2004-02-11 |
DE19620137C2 (de) | 2000-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2000509585A (ja) | 安全性の微妙な用途に対するプロトコル | |
US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
US10020958B2 (en) | Can fd | |
US8819327B2 (en) | Communication system having a can bus and a method for operating such a communication system | |
US7920587B2 (en) | Method for establishing a global time base in a time-controlled communications system and communications system | |
US6133846A (en) | Low cost redundant communications system | |
US9298529B2 (en) | Indicating internal transmitter errors in a controller area network (CAN) | |
JP2016504873A (ja) | プロトコル例外状態を利用したデータ伝送 | |
US20090262649A1 (en) | Bus guardian with improved channel monitoring | |
EP3599743B1 (en) | Method and device for communicating data frames on a multi-master bus | |
KR20190000514A (ko) | 차량 네트워크에서 진단 오류 방지를 위한 방법 및 장치 | |
EP2220827A1 (en) | Star network and method for preventing a repeatedly transmission of a control symbol in such a star network | |
EP1629636B1 (en) | Time-triggered communication system and method for the synchronized start of a dual-channel network | |
JP2016500503A (ja) | プロトコル例外状態を用いたデータ伝送プロトコル | |
JP2019075781A (ja) | データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 | |
US10541830B2 (en) | Serial communication system | |
Obermaisser | CAN emulation in a time-triggered environment | |
CN111169510A (zh) | 一种列车通信系统 | |
Srinivasan et al. | Real-time architecture analysis: a COTS perspective | |
Bertoluzzo et al. | Application protocols for safety-critical CAN-networked systems | |
EP4068721B1 (en) | Controller area network device | |
US20230028344A1 (en) | Method, equipment, communication program, on-board device having these equipments | |
JP2008022079A (ja) | 通信ネットワークシステム及び受信診断結果の通知方法 | |
Wang et al. | Design and quantitative evaluation of a novel FlexRay Bus Guardian | |
Fritz | Field buses (part 2): time triggered protocols |