JP2004533043A - 分散コンピュ−タシステムのオペレーション方法 - Google Patents

分散コンピュ−タシステムのオペレーション方法 Download PDF

Info

Publication number
JP2004533043A
JP2004533043A JP2002578131A JP2002578131A JP2004533043A JP 2004533043 A JP2004533043 A JP 2004533043A JP 2002578131 A JP2002578131 A JP 2002578131A JP 2002578131 A JP2002578131 A JP 2002578131A JP 2004533043 A JP2004533043 A JP 2004533043A
Authority
JP
Japan
Prior art keywords
node
coordination
network node
nkn
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002578131A
Other languages
English (en)
Other versions
JP3973560B2 (ja
Inventor
ステファン・ポレドナ
Original Assignee
テェーテェーテック・コンピュータテクニック・アーゲー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テェーテェーテック・コンピュータテクニック・アーゲー filed Critical テェーテェーテック・コンピュータテクニック・アーゲー
Publication of JP2004533043A publication Critical patent/JP2004533043A/ja
Application granted granted Critical
Publication of JP3973560B2 publication Critical patent/JP3973560B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1482Generic software techniques for error detection or fault masking by means of middleware or OS functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • G06F11/1425Reconfiguring to eliminate the error by reconfiguration of node membership
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Computer And Data Communications (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)
  • Regulating Braking Force (AREA)

Abstract

ネットワークノード (NKN,NK 1〜NK6)を有する分散コンピュ−タシステム(SYS)のオペレーション方法であって、各ネットワークノード (NKN,NK 1〜NK6)は、少なくとも1つのノードコントローラ (STR,ST1 〜ST6)と、少なくとも1つのコミュニケーションコントローラ (KKK,KK 1〜KK6)とを有し、コミュニケーションコントローラ (KKK,KK 1〜KK6)は、少なくとも1つのコミュニケーションチャネル(BUS)に接続されており、プロビジョンが、コミュニケーションコントローラ (KK 1〜KK6)と、ネットワークノード (NKN,NK 1〜NK6)の間で交換されるメッセージを受信するために設けられたフォールトトレランスレイヤー (FTS,FT 1〜FT6)のためのネットワークノード (NKN,NK1〜NK6) のノードコントローラ (STR,ST1〜ST6) との間で行われ、フォールトトレランスレイヤー (FTS,FT 1〜FT6)は、少なくとも1つのネットワークノード (NKN,NK 1〜NK6)の状態に関して受信された情報に基づいて、コオーディネ−ションプロシージャを介して少なくとも1つのネットワークノード (NK 1〜NK6)の関数を決定し、そしてコオーディネ−ション値は、出力信号 (ASS,AS 1〜AS6)として利用可能であり、少なくとも1つのネットワークノード (NKN,NK 1〜NK6)が出力信号 (ASS,AS 1〜AS6)の関数としてトリガーされる前記方法。

Description

【技術分野】
【0001】
本発明は、ネットワークノードを有する分散コンピュ−タシステムのオペレーション方法であって、ネットワークノードの各々は、少なくとも1つのノードコントローラと少なくとも1つのコミュニケーションコントローラとを有する前記方法において、コミュニケーションコントローラは、相互に少なくとも1つのコミュニケーションチャネルを介して接続されており、プロビジョンは、コミュニケーションコントローラと、ネットワークノードの間で交換されるメッセージを受信するために設けられたフォールトトレランスレイヤーのためのネットワークノードのノードコントローラとの間で行われることを特徴とする前記方法に関する。
【背景技術】
【0002】
安全要請、利用性要請及びフォールトトレランス要請を有するコンピュ−タシステムに関して、 上記の要請を充足するために、代表的には冗長チャネルが使用され、これに関しては、クルーワアカデミー出版社から1997年に出版された、H.クロペッツ著の「リアルタイムシステム;分散埋設アプリケーションの設計原理」を参照されたい。これらの冗長チャネル及び構成部分は、代表的にはセンサからコンピュ−タノードを経てアクチュエータまで、リアルタイムアプリケーションで構成されねばならない。冗長チャネル及び冗長構成部分の使用は、非冗長システムに比して著しくコスト高を招く。
【0003】
いくつかのアプリケーションにおいては、アプリケーション特性のために、チャネル又は構成部分を完全に冗長なものとして構成する必要はない。そのわけは、代表的な乗合自動車は4つのブレーキホイールを有し、個々のホイールブレーキの故障は許容され得るからである。これに関連して、ブレーキはホイールロック又はブレーキが強くかけられ過ぎで故障を起こすことがないことが保証されねばならない。このような故障は、乗合自動車を不安定にする。
【0004】
構成部分のそのような制御されない故障に対するセーフガードを図るために、供される制御機構、いわゆるブレーキラインが、アクチュエータと各ネットワークノードとの間に使用される。
【0005】
ワイヤードブレーキアプリケーションのような高い信頼性システムに関しては、イベント駆動コミュニケーションプロトコル(即ち、CAN)とは対照的に、転送時間(潜在)におけるフォールトトレランス及び最小変動を提供するリアルタイム性能のコミュニケーションシステムが信頼を得つつある。TTP/C、例えば、そのようなタイムトリガードコミュニケーションシステムが既に市場に出回っておりかつデータの信頼のある転送に加えて、クロック同期及びメンバーシップのような一連の高いサービスを提供している。
【0006】
用語「メンバーシップ」は、この関係において、特定の瞬間ーメンバーシップ点における全てのノードに対するシステムの全てのノードのオペレーション状態(固有に作動すること又は欠陥のある作動をすること)についての調和した情報を送るサービスと理解される。メンバーシップ点と他のノードに対する調和したメンバーシップ情報が認識された瞬間との間の長さ及び間隔の変動とは、メンバーシップサービスのサービスパラメータの品質特徴である。良好なメンバーシップサービスは、1つのノードの関連した状態変化の瞬間と他の全てのノードが調和した方法でこの状態変化を学習する瞬間との間の小さい最大遅れ時間を有する。これに関連して、用語「調和した」は、同一の情報を受信する全てのネットワークノードと理解される。こうして、例えば、ネットワークノードに故障が1つ発生した場合に、全てのネットワークノードが同一の故障信号を受信する。
【0007】
ネットワークの各コミュニケーションコントローラにおけるメンバーシップサービスは、1つのビットが各転送ノードに割り当てられるメンバーシップベクトルを備える。このビットベクトルに「利用可能」と認められる送信機は、メンバーシップにおいて利用可能とみなされる。正確には、「メンバーシップベクトル」における1つのビットは、TTP/Cの関係におけるTMDA(時分割多重アクセス)の各々調和した時間スロットに順次静的に割り当てられている。
【0008】
TTP/Cの構成に見られるように、タイムトリガードアーキテクチャにおける本質的な安全の利点は、 コミュニケーションコントローラとノードコントローラ(処理ユニット)との間のコミュニケーションにおけるトリガー信号の排除である。この方法で、故障が広がり得ないことが保証されることができる。コミュニケーションコントローラとノードコントローラとの間のコミュニケーションにおけるトリガー信号の厳密な排除によって、公知のシステムにおいて、作動中の処理ユニット又はソフトウエアアプリケーションについて、欠陥のある処理ユニット又はソフトウエアアプリケーションの作用に影響を与える可能性がない。この事実は、処理ユニットの欠陥のある作用がシステム全体の安全を危険にする場合に、特に適切である。例えば、「ワイヤードブレーキ」システムにおいて、即ち、ブレーキが純粋に電子的に制御されるシステムにおいて、欠陥のあるソフトウエアアプリケーションは、残りのホイールコンピュ−タの遮断にもかかわらず、自動車全体の運転の制御が不可能になる得る自動車の4つのホイールの1つをブロックすることができる。しかし、制御パルスの一般的な転送は、システム全体の安全の危険源としても制御パルスを提供する。供される遮断ラインは資源需要の増大と追加の故障源の導入に繋がる。
【発明の開示】
【発明が解決しようとする課題】
【0009】
従って、本発明の課題は、引用された従来技術の欠点を克服することにある。
【課題を解決するための手段】
【0010】
この課題は、冒頭に記載された形式の方法を使用して、フォールトトレランスレイヤーが、少なくとも1つのネットワークノードの状態に関する受信情報に基づいて、コオーディネ−ションプロシージャを介して少なくとも1つのネットワークノードの関数を決定し、そしてコオーディネ−ション値は、出力信号として利用可能であり、少なくとも1つのネットワークノードが出力信号の関数として指令を受けることによって達成される。
【非特許文献1】
クルーワアカデミー出版社から1997年に出版された、H.クロペッツ著の「リアルタイムシステム;分散埋設アプリケーションの設計原理」
【0011】
フォールトトレランスレイヤーによって提供されるトリガー信号の導入によって、他のネットワークノードがフォールトアプリケーション又は処理ユニットに、安全設計による特殊な作用をさせかつシステム全体の特殊な故障態様が制御された方法で送信されることができる。フォールトトレランスレイヤーにおけるコオーディネ−ション機構を介して、フォールトネットワークノードが更にシステムの他のノードへ及ぼす影響が阻止されることができる。この方法で、個々の故障がシステム全体の故障に影響を及ぼさないことが保証されることができる。こうして、本発明は、信頼のあるコミュニケーションレイヤーの処理ユニットとアクチュエータの間の領域への拡幅を提供する。
【0012】
有利に、コオーディネ−ション値は、コミュニケーションコントローラの1つ又は複数のハードウエア出力に利用可能にされる。
【0013】
本発明の1つの態様によれば、コオーディネ−ション値は、コミュニケーションコントローラの少なくとも1つのピンのデジタル出力信号として利用可能にされることができる。
【0014】
問題のコミュニケーションコントローラのメンバーシップ情報は、有利にコオーディネ−ションプロシージャに組み入れられることができる。その結果、他のノードが評価メッセージを送信することを阻止する欠陥ノード形成が他のノードの時間スロットを占める欠陥ノードによるコオーディネ−ションに考慮されることができる。
【0015】
更に、フォールトトレランスレイヤーは、コミュニケーションコントローラと処理ユニットのデータ構造とはそれ自体無関係なデータ構造を、コオーディネ−ションアルゴリズムの選択及びコオーディネ−ションのために適用されるメッセージのために、使用することができる。
【0016】
追加の利点は、少なくとも1つのアクチュエータが出力信号の関数として好適な状態又は安全な状態にもたらされることによって達成されることができる。
【0017】
有利に、ネットワークノードの間のコミュニケーションは、TTO/Cプロトコルによるタイムトリガードベースで行われる。
【実施例】
【0018】
本発明を実施例と共に、図中に表された複数の実施例と関連させて以下に説明するが、これによって本発明の権利範囲が制限されるものではない。
【0019】
図1は、各々ノードコントローラST 1〜ST6と、コミュニケーションコントローラKK 1〜KK6とから構成されている6つのネットワークノードNK 1〜NK6を有する分散コンピュ−タシステムSYSの図式図を示し、コミュニケーションコントローラは、バスBUSを介して相互に接続されている。明細書中において、用語「ノードコントローラST 1〜ST6」は、トリガータスク、又は一般的な意味のタスクを実行するために装備され、適切なソフトウエアアプリケーションAP1〜AP6によってコンピュ−タシステムの領域内の特殊なネットワークノードNK 1〜NK6のために設計された処理ユニットRE1〜RE6と理解される。
【0020】
好ましくはネットワークノードNK 1〜NK6の間のコミュニケーションは、タイムトリガード転送プロトコル、例えば、TTP/Cプロトコルに従って行われる。TTP/Cプロトコルの概念については、例えば、ヨーロッパ特許146612を参照されたい。
【0021】
ネットワークノードNK 1〜NK6のいくつか又は全ては、他のネットワークノードNK 1〜NK6の作用又はオペレーション状態をモニタすることができ、その際モニタ作用は反復して行われる。こうして、あるノードをモニタするノード自体は、他のノードによってモニタされることができる。モニタの結果は、ネットワークノードNK 1〜NK6のコミュニケーションコントローラKK 1〜KK6の間の評価メッセージとしてバスBUSを介して交換される。
【0022】
ノードコントローラST 1〜ST6とコミュニケーションコントローラKK 1〜KK6との間にはフォールトトレランスレイヤーFT 1〜FT6が位置しており、フォールトトレランスレイヤーは、バスBUSを介して転送される評価メッセージを受信しかつネットワークノードの関数に関する個別の評価メッセージについてのコオーディネ−ションプロシージャを実行する。フォールトトレランスレイヤーの概念に関しては、例えば、「ニューヨークIEEEプレスの依存システム及びネットワーク(DSN200)についてG.Bauer及びH.Kopetzの著作によるタイムトリガードアーキテクチャにおける透明冗長の 5〜13頁」を参照のこと。実際に、フォールトトレランスレイヤーは、例えば、コミュニケーションコントローラKK 1〜KK6とノードコントローラST 1〜ST2との間に配置されて適切にプログラムされたマイクロプロセッサを使用することによって構成されることができる。フォールトトレランスレイヤーを形成するための他の可能性は、フォールトトレランスレイヤーをハードウエアユニットとしてコミュニケーションコントローラに設けることにある。
【0023】
次のアルゴリズムはコオーディネ−ションプロシージャの変形として考慮される。
・コオーディネ−ションに関連して、フォールトトレランスレイヤーFTによって使用される評価メッセージの数nに関して、 評価メッセージの数mは、結果(多数コオーディネ−ション)に導くために、n/2よりの大きくなければならない。
・又は、考慮される全ての評価メッセージは等しくなければならない(n=n)−一致
【0024】
コオーディネ−ション値は、記憶領域におけるネットワークノードのデジタル又はアナログ出力信号としてかつコミュニケーションコントローラKK 1〜KK6、例えば、コミュニケーションコントローラKK 1〜KK6のピンのハードウエア出力に利用されることができる。出力信号ASSの関数として、処理ユニットの再スタート又は緊急遮断が実行されることができ、及び/又はアクチュエータAKTが、下記のように、好適な又は安全な状態にもたらされることができる。
【0025】
図2によれば、ネットワークノードNKNは、ノードコントローラSTR(対応するソフトウエアアプリケーションを伴う処理ユニットREE),例えば、対応してプログラムされたCPU(中央処理ユニット)及びコミュニケーションコントローラKKKを有する。処理ユニットREEとコミュニケーションコントローラKKKとの間に、安全上の理由からインタフェースを介してトリガー信号の交換を行わないインタフェースCNIが位置しかつ前記フォールトトレランスレイヤーFTSが位置している。
【0026】
コミュニケーションコントローラKKKは、バスBUSを介してネットワークノードとのコミュニケーションシーケンスを制御する。そのようにする場合、データは、データインタフェースCNIから読み出されかつ使用されるタイムトリガードコミュニケーションフローによって先に特定されたタイムスロットに転送される。同様に、処理ユニットREEのために受信されたメッセージは、データインタフェースCNIに蓄えられる。フォールトトレランスレイヤーFTSのタスクは、他のものとの間で、処理ユニットREEで実行されているソフトウエアアプリケーションAPLのためのデータインタフェースCNIに蓄えられたデータを、トリガーネットワークノードNWK又は要請に従ってアクチュエータに提供すること、及びフォールトトレランスレイヤーFTSと処理ユニットREEとの間に位置するデータインタフェースFT−CNIに蓄える。例えば、可変の冗長メッセージは、一緒に置かれ、値は変換され又は特殊な値は計算され、こうして、処理ユニットREEに蓄えられたソフトウエアアプリケーションAPLは、ルーチン作動及び複雑性を緩和される。ソフトウエアアプリケーションAPLは、結局、トリガーアクチュエータAKT,例えば、ブレーキアクチュエータのタスクを行わせる。
【0027】
本発明によれば、既に先に述べたように、フォールトトレランスレイヤーFTSは、出力信号ASSとして利用可能なコオーディネ−ション値を作成することができる。この出力信号ASSは、記憶領域、 例えば、インタフェースCNIの領域におけるネットワークノードにおいて利用可能にされることができる。
【0028】
このデータインタフェースCNI及び/又はフォールトトレランスレイヤーFTSは、処理ユニットに接続され、その結果必要な場合には、出力信号ASSが処理ユニットREEに転送されることができ、出力信号ASSの予め設定可能な値でスイッチを遮断し又は再スタートするために、処理ユニットを装備することが可能である。こうして、ノードコントローラSTRの再スタート又は緊急遮断が、出力信号によって行われることができる。その上、データインタフェースCNI及び/又はフォールトトレランスレイヤーFTSはアクチュエータAKTに接続されることができ、その結果アクチュエータは、出力信号ASSの値によって好適な又は安全な状態にシフトされる。
【0029】
既に先に述べたように、コオーディネ−ションプロシージャ自体のために、数個のバリエーションが原理的に想定できる。しかし、ここで本質的なことは、コミュニケーションコントローラKKKと処理ユニットREEとの間のフォールトトレランスレイヤーの存在であり、フォールトトレランスレイヤーは、処理ユニットREEとは無関係にコオーディネ−ションプロシージャを実行しかつコオーディネ−ション値を出力信号ASSとして利用可能とする。
【0030】
フォールトトレランスレイヤーFTSの独立性を保証するために、フォールトトレランスレイヤーFTSは、コオーディネ−ションアルゴリズムの選択と、コミュニケーションコントローラKKKとノードコントローラSTRのデータ構造とは無関係なコオーディネ−ションのために採択された評価メッセージ用のデータ構造を有することができる。
【0031】
好ましくは、本発明による方法によって、フォールトトレランスレイヤーにおいて、フォールトトレランスレイヤーFTSに割り当てられたノードNKNの関数が制御され、 この場合、このノードNKNの関数に関する出力信号ASSが制御される。コオーディネ−ションとしてリストアップされた他のノードの評価メッセージは、勿論ノードNKNの状態に関係する。
【0032】
図3は、可能なワイヤードブレーキアーキテクチャの簡単化した図である。このアーキテクチャにおいて、ネットワークノードNK1、NK3,NK4,NK6は、ホイールの制御を行う。2つのネットワークノードNK2、NK5は、冗長的にブレーキペダル位置を検出する。ネットワークノードNK1〜NK6は、バスBUSを介して互いに接続されており、バスは、通常、全ての安全関連メッセージを冗長的に転送する2つのコミュニケーションチャネルから成り、かつコミュニケーションチャネルの各々は、TTP/Cコミュニケーションコントローラ、フォールトトレランスレイヤーFT1〜FT6及びノードコントローラST1〜ST6を有する。しかし、原則的に、相異なるタイムトリガードコミュニケーションプロトコルが、TTP/Cプロトコルの代わりに使用されることができる。本発明は、ノードコントローラST1〜ST6及びこれに接続されたアクチュエータの作用についての追加的制御を導入することを可能にし、その際システム全体の安全が縮減されることはない。
【0033】
個々のフォールトを許容することができるために、ブレーキペダル位置を検出するために使用されるネットワークノードNK2、NK5は、余裕をもって設計されねばならない。代表的な乗合自動車は、4つのブレーキホイールを有するので、 個々のホイールブレーキの故障は許容される。従って、唯一のネットワークノードNK 1、NK3,NK4、NK6は,ブレーキコントローラのための各ホイールに位置する。
【0034】
ホイール上の他の処理ユニットの作用を制御するソフトウエアアプリケーションは、ホイールノードの各処理ユニットで実行される。こうして、ノードコントローラST1〜ST6は、他のノードコントローラST1〜ST6をモニターすることができる。バスBUS及び自動車の運転状況について測定されたデータを介して送信された両メッセージは、これらの制御タスクのためのデータとして使用されることができる。他の処理ユニット又はネットワークノードNK1〜NK6の評価は、バスを介して評価メッセージNA1〜NA6として送信される。各コミュニケーションコントローラKK1〜KK6は、それから各コミュニケーションにおいて順次3つの他のホイールノードの評価メッセージNA1,NA3,NA4,NA6を受信しかつそれらをそのために割り当てられた特殊なデータインタフェースCNIに蓄える。各ネットワークノードの独立したフォールトトレランスレイヤーFT1〜FT6は、特殊なノードのローカルメッセージと共に,受信した評価メッセージNA1〜NA6からそのコオーディネ−ション値を作成することができかつ前記コオーディネ−ション値を特殊なネットワークノードNK1〜NK6内及び当該コミュニケーションコントローラKK1〜KK6のハードウエア出力の出力信号AS1〜AS6として利用可能にする。
【0035】
既に先に述べたように、多数決又は一致は、基本のコオーディネ−ションプロシージャとして可能である。その上、メンバーシップ情報は、タイムトリガードコミュニケーションプロトコルがそのような配列を有するならば、コオーディネ−ション値に組み込まれることができる。TTP/Cは、コオーディネ−ションのために列挙されることができる分散メンバーシップサービスを提供する。メンバーシップ情報と関連することによって、コオーディネ−ションのために使用される変形が行われる。
・メンバーシップ情報のみの使用;
・コオーディネ−ションプロシージャのための供されたメッセージ(評価メッセージ)の使用;
・供されるメッセージ及びメンバーシップ情報;
【0036】
ネットワークノードNK1〜NK6が多数又は全部が一致し、処理ユニットの作用又はオペレーション中のソフトウエアアプリケーションが全システムの安全を危険にさらした場合には、このノードのフォールトトレランスレイヤーFT1〜FT6が相応した出力信号AS1〜AS6を発生する。
【0037】
そのようなコオーディネ−ション値から引き出されるべきいかなる結果も、システムの先の配列において決定されねばならない。表示された実施例において、ソフトウエアアプリケーションの一時的な故障を直すために、ブレーキアクチュエータを安全な状態にもたらすこと及び欠陥処理ユニットの再スタートを行わせることの双方が、必要である。
【0038】
どのコミュニケーションラウンドにおいても新たなコオーディネ−ションオペレーションが行われるので、接続されたアクチュエータの制御は、ネットワークノードの再積層が完成した後に、割り当てられたノードコントローラ又は処理ユニットに移送されることができる。
【0039】
コオーディネ−ション値についての情報は特別のデータインタフェースCNI内で内部で利用可能でありかつコミュニケーションコントローラKK 1〜KK6から他のネットワークノードNK 1〜NK6に移送されるので、ネットワークノードは、状況に応じてブレーキ力を再配分することによって、故障状態に応答することができる。
【0040】
コオーディネ−ションプロシージャのための独立のフォールトトレランスの導入は、タイムトリガードされたバスとデータインタフェースCNIとを超えて処理ユニットの反復制御の可能性を創造する。これは、特殊な故障態様に正しく応答することを可能にするために必要である。それにもかかわらず、この方法で個々の故障がシステム全体の安全を害さないことが保証されることができる。
【産業上の利用可能性】
【0041】
本発明による分散コンピュ−タシステムのオペレーション方法におけるコオーディネ−ションプロシージャのための独立のフォールトトレランスの導入は、タイムトリガードされたバスとデータインタフェースCNIと介して処理ユニットの反復制御の可能性を創造する。これによって、特殊な故障態様に正しく応答し、しかも、コンピュ−タのオペレーションにおいて、個々の故障がシステム全体の安全を害さないことが保証されることができる。
【図面の簡単な説明】
【0042】
【図1】タイムトリガードコミュニケーションを伴う分散コンピュ−タシステムを示す図である。
【図2】フォールトトレランスレイヤーを備えたネットワークノードの論理構造を示す図である。
【図3】ワイヤードブレーキ構造の単純化した図である。
【符号の説明】
【0043】
AKT アクチュエータ
AK1 アクチュエータ
AK2 アクチュエータ
AK3 アクチュエータ
AK4 アクチュエータ
ASS 出力信号
AS1 出力信号
AS2 出力信号
AS3 出力信号
AS4 出力信号
AS5 出力信号
AS6 出力信号
BUS コミュニケーションチャネル
FTS フォールトトレランスレイヤー
FT1 フォールトトレランスレイヤー
FT2 フォールトトレランスレイヤー
FT3 フォールトトレランスレイヤー
FT4 フォールトトレランスレイヤー
FT5 フォールトトレランスレイヤー
FT6 フォールトトレランスレイヤー
KKK コミュニケーションコントローラ
KK1 コミュニケーションコントローラ
KK2 コミュニケーションコントローラ
KK3 コミュニケーションコントローラ
KK4 コミュニケーションコントローラ
KK5 コミュニケーションコントローラ
KK6 コミュニケーションコントローラ
NA1 評価メッセージ
NA2 評価メッセージ
NA3 評価メッセージ
NA4 評価メッセージ
NA5 評価メッセージ
NA6 評価メッセージ
NKN ネットワークノード
NK1 ネットワークノード
NK2 ネットワークノード
NK3 ネットワークノード
NK4 ネットワークノード
NK5 ネットワークノード
NK6 ネットワークノード
STR ノードコントローラ
ST1 ノードコントローラ
ST2 ノードコントローラ
ST3 ノードコントローラ
ST4 ノードコントローラ
ST5 ノードコントローラ
ST6 ノードコントローラ
SYS コンピュータシステム

Claims (10)

  1. ネットワークノード (NKN,NK 1〜NK6)を有する分散コンピュ−タシステム(SYS)のオペレーション方法であって、各ネットワークノード (NKN,NK 1〜NK6)は、少なくとも1つのノードコントローラ (STR,ST1 〜ST6)と、少なくとも1つのコミュニケーションコントローラ (KKK,KK 1〜KK6)とを有し、コミュニケーションコントローラ (KKK,KK 1〜KK6)は、少なくとも1つのコミュニケーションチャネル(BUS)に接続されており、プロビジョンが、コミュニケーションコントローラ (KK 1〜KK6)と、ネットワークノード (NKN,NK 1〜NK6)の間で交換されるメッセージを受信するために設けられたフォールトトレランスレイヤー (FTS,FT 1〜FT6)のためのネットワークノード (NKN,NK1〜NK6) のノードコントローラ (STR,ST1〜ST6) との間で行われる前記方法において、
    フォールトトレランスレイヤー (FTS,FT 1〜FT6)は、少なくとも1つのネットワークノード (NKN,NK 1〜NK6)の状態に関して受信した情報に基づいて、コオーディネ−ションプロシージャを介して少なくとも1つのネットワークノード (NK 1〜NK6)の関数を決定し、そしてコオーディネ−ション値は、出力信号 (ASS,AS 1〜AS6)として利用可能であり、少なくとも1つのネットワークノード (NKN,NK 1〜NK6)が出力信号 (ASS,AS 1〜AS6)の関数としてトリガーされることを特徴とする前記方法。
  2. コオーディネ−ション値が、コミュニケーションコントローラ (KKK,KK 1〜KK6)の1つ又は複数のハードウエア出力に利用可能にされることを特徴とする請求項1に記載の方法。
  3. コオーディネ−ション値が、コミュニケーションコントローラ (KKK,KK 1〜KK6)の少なくとも1つのピンのデジタル出力信号として利用可能にされることを特徴とする請求項1又は2に記載の方法。
  4. 問題のコミュニケーションコントローラ (KKK,KK 1〜KK6)のメンバーシップ情報がコオーディネ−ションプロシージャに含まれていることを特徴とする請求項1から3までのうちのいずれか 1つに記載の方法。
  5. フォールトトレランスレイヤー (FTS,FT 1〜FT6)が、コオーディネ−ションアルゴリズムの選択及びコオーディネ−ションのためにリストアップされた評価メッセージ(NA1〜NA6)のために、コミュニケーションコントローラ (KKK,KK 1〜KK6)及びノードコントローラ (ST 1〜ST6)のデータ構造とはそれ自体無関係なデータ構造を使用することを特徴とする請求項1から3までのうちのいずれか 1つに記載の方法。
  6. コオーディネ−ション値が、記憶領域におけるネットワークノード内で利用可能にされることを特徴とする請求項1から4までのうちのいずれか 1つに記載の方法。
  7. 少なくとも1つのノードコントローラ (ST 1〜ST6)が、出力信号 (ASS,AS 1〜AS6)の関数として再スタートされることを特徴とする請求項1から5までのうちのいずれか 1つに記載の方法。
  8. ノードコントローラ (ST 1〜ST6)の緊急遮断が、出力信号 (ASS,AS 1〜AS6)の関数として行われることを特徴とする請求項1から6までのうちのいずれか 1つに記載の方法。
  9. 少なくとも1つのネットワークノード (NKN,NK 1〜NK6)が、ノードコントローラ (STR,ST 1〜ST6)に接続されたアクチュエータ (AKT,AK 1〜AK4) を有し、アクチュエータ (AKT,AK 1〜AK4)は、出力信号 (ASS,AS 1〜AS6)によって好適な状態又は安全な状態にもたらされることを特徴とする請求項1から7までのうちのいずれか 1つに記載の方法。
  10. ネットワークノード (NKN,NK 1〜NK6)の間のコミュニケーションが、TTP/Cプロトコルによるタイムトリガードベースで行われることを特徴とする請求項1から8までのうちのいずれか 1つに記載の方法。
JP2002578131A 2001-03-30 2002-03-27 分散コンピュ−タシステムのオペレーション方法 Expired - Lifetime JP3973560B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
AT5112001 2001-03-30
PCT/AT2002/000094 WO2002079972A2 (de) 2001-03-30 2002-03-27 Verfahren zum betrieb eines verteilten computersystems

Publications (2)

Publication Number Publication Date
JP2004533043A true JP2004533043A (ja) 2004-10-28
JP3973560B2 JP3973560B2 (ja) 2007-09-12

Family

ID=3675579

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002578131A Expired - Lifetime JP3973560B2 (ja) 2001-03-30 2002-03-27 分散コンピュ−タシステムのオペレーション方法

Country Status (6)

Country Link
US (1) US7023870B2 (ja)
EP (1) EP1374052B1 (ja)
JP (1) JP3973560B2 (ja)
AU (1) AU2002240697A1 (ja)
DE (1) DE50208001D1 (ja)
WO (1) WO2002079972A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012025390A (ja) * 2005-10-03 2012-02-09 Hitachi Automotive Systems Ltd 車両制御システム

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8180882B2 (en) * 2004-07-22 2012-05-15 Tyco Electronics Subsea Communications Llc Distributed messaging system and method for sharing network status data
JP4871687B2 (ja) * 2005-10-03 2012-02-08 日立オートモティブシステムズ株式会社 車両制御システム
US8295310B2 (en) 2006-09-25 2012-10-23 Futurewei Technologies, Inc. Inter-packet gap network clock synchronization
US7961751B2 (en) * 2006-09-25 2011-06-14 Futurewei Technologies, Inc. Multiplexed data stream timeslot map
US8588209B2 (en) * 2006-09-25 2013-11-19 Futurewei Technologies, Inc. Multi-network compatible data architecture
US7809027B2 (en) * 2006-09-25 2010-10-05 Futurewei Technologies, Inc. Network clock synchronization floating window and window delineation
US8494009B2 (en) * 2006-09-25 2013-07-23 Futurewei Technologies, Inc. Network clock synchronization timestamp
US8340101B2 (en) 2006-09-25 2012-12-25 Futurewei Technologies, Inc. Multiplexed data stream payload format
US8976796B2 (en) 2006-09-25 2015-03-10 Futurewei Technologies, Inc. Bandwidth reuse in multiplexed data stream
US7675945B2 (en) * 2006-09-25 2010-03-09 Futurewei Technologies, Inc. Multi-component compatible data architecture
US8660152B2 (en) 2006-09-25 2014-02-25 Futurewei Technologies, Inc. Multi-frame network clock synchronization
US7813271B2 (en) * 2006-09-25 2010-10-12 Futurewei Technologies, Inc. Aggregated link traffic protection
US7986700B2 (en) 2006-09-25 2011-07-26 Futurewei Technologies, Inc. Multiplexed data stream circuit architecture
CN101578794B (zh) * 2007-01-26 2012-12-12 华为技术有限公司 数据通信装置及网络组件
US7876940B2 (en) * 2007-01-30 2011-01-25 International Business Machines Corporation Universal image processing
US8238624B2 (en) * 2007-01-30 2012-08-07 International Business Machines Corporation Hybrid medical image processing
JP4337884B2 (ja) * 2007-01-31 2009-09-30 株式会社日立製作所 インバータ制御装置
US8462369B2 (en) * 2007-04-23 2013-06-11 International Business Machines Corporation Hybrid image processing system for a single field of view having a plurality of inspection threads
US8331737B2 (en) * 2007-04-23 2012-12-11 International Business Machines Corporation Heterogeneous image processing system
US8326092B2 (en) * 2007-04-23 2012-12-04 International Business Machines Corporation Heterogeneous image processing system
US8675219B2 (en) * 2007-10-24 2014-03-18 International Business Machines Corporation High bandwidth image processing with run time library function offload via task distribution to special purpose engines
US9135073B2 (en) 2007-11-15 2015-09-15 International Business Machines Corporation Server-processor hybrid system for processing data
US20090132582A1 (en) * 2007-11-15 2009-05-21 Kim Moon J Processor-server hybrid system for processing data
US20090150556A1 (en) * 2007-12-06 2009-06-11 Kim Moon J Memory to storage communication for hybrid systems
US9332074B2 (en) * 2007-12-06 2016-05-03 International Business Machines Corporation Memory to memory communication and storage for hybrid systems
US8229251B2 (en) * 2008-02-08 2012-07-24 International Business Machines Corporation Pre-processing optimization of an image processing system
US8379963B2 (en) * 2008-03-28 2013-02-19 International Business Machines Corporation Visual inspection system
EP2119612B1 (en) * 2008-05-16 2013-09-11 Hitachi, Ltd. Monitoring a status of nodes of a communication network
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
JP5651442B2 (ja) * 2010-11-29 2015-01-14 矢崎総業株式会社 動作支援装置、電子機器、電子制御装置、及び、制御システム
US10019292B2 (en) 2015-12-02 2018-07-10 Fts Computertechnik Gmbh Method for executing a comprehensive real-time computer application by exchanging time-triggered messages among real-time software components
US10481963B1 (en) * 2016-06-29 2019-11-19 Amazon Technologies, Inc. Load-balancing for achieving transaction fault tolerance

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4569015A (en) * 1983-02-09 1986-02-04 International Business Machines Corporation Method for achieving multiple processor agreement optimized for no faults
US5325518A (en) * 1991-04-02 1994-06-28 Carnegie Mellon University Adaptive distributed system and method for fault tolerance
DE19509558A1 (de) * 1995-03-16 1996-09-19 Abb Patent Gmbh Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
DE19753288A1 (de) * 1996-12-03 1998-06-04 Fts Computertechnik Gmbh Effizientes Quittungsverfahren in einem verteilten zeitgesteuerten Echtzeitsystem
US6092213A (en) * 1997-09-30 2000-07-18 Tandem Computers Incorporated Fault tolerant method of maintaining and distributing configuration information in a distributed processing system
GB2353113B (en) * 1999-08-11 2001-10-10 Sun Microsystems Inc Software fault tolerant computer system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012025390A (ja) * 2005-10-03 2012-02-09 Hitachi Automotive Systems Ltd 車両制御システム

Also Published As

Publication number Publication date
US7023870B2 (en) 2006-04-04
WO2002079972A2 (de) 2002-10-10
JP3973560B2 (ja) 2007-09-12
DE50208001D1 (de) 2006-10-12
US20040062265A1 (en) 2004-04-01
EP1374052A2 (de) 2004-01-02
AU2002240697A1 (en) 2002-10-15
EP1374052B1 (de) 2006-08-30
WO2002079972A3 (de) 2003-09-12

Similar Documents

Publication Publication Date Title
JP2004533043A (ja) 分散コンピュ−タシステムのオペレーション方法
US7103000B1 (en) Method for coordinating network components
CN110750480B (zh) 一种双机热备系统
AU2002231167B2 (en) Method of "split-brain" prevention in computer cluster systems
EP3285168B1 (en) Disaster tolerance method and apparatus in active-active cluster system
JP4457184B2 (ja) ストレージシステムにおけるフェイルオーバー処理
EP2053780B1 (en) A distributed master and standby managing method and system based on the network element
US20070288585A1 (en) Cluster system
CN112181660A (zh) 一种基于服务器集群的高可用方法
US9231779B2 (en) Redundant automation system
JP5707355B2 (ja) ホットスタンバイ方式によるクライアントサーバシステム
US20060075085A1 (en) Method and a system for ensuring a bus and a control server
US11874786B2 (en) Automatic switching system and method for front end processor
KR20030048503A (ko) 이중화 서버 구조의 데이터 동기화를 위한 통신 시스템 및방법
JP3555047B2 (ja) 複合コンピュータシステム
WO2023007209A1 (en) Fault-tolerant distributed computing for vehicular systems
GB2345153A (en) Fault-tolerant microcontroller arrangement, eg for a vehicle braking system
CN109491236B (zh) 用于运行高可用性的自动化系统的方法
JPH05225161A (ja) ネットワーク監視方式
JP2006229512A (ja) サーバ切替方法,サーバ及びサーバ切替プログラム
Pimentel et al. A fault management protocol for TTP/C
JPH05304528A (ja) 多重化通信ノード
JP6653250B2 (ja) 計算機システム
KR20060105045A (ko) 공간적으로 분리된 스위칭 시스템들을 백업 스위칭하기위한 방법
JP2885583B2 (ja) 通信手順制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070612

R150 Certificate of patent or registration of utility model

Ref document number: 3973560

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term