JP2015523613A - フェイルサイレント同期メッセージを生成するための方法及びマスタークロック - Google Patents
フェイルサイレント同期メッセージを生成するための方法及びマスタークロック Download PDFInfo
- Publication number
- JP2015523613A JP2015523613A JP2015504812A JP2015504812A JP2015523613A JP 2015523613 A JP2015523613 A JP 2015523613A JP 2015504812 A JP2015504812 A JP 2015504812A JP 2015504812 A JP2015504812 A JP 2015504812A JP 2015523613 A JP2015523613 A JP 2015523613A
- Authority
- JP
- Japan
- Prior art keywords
- signal
- synchronization message
- satellite
- reference clock
- central computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000000737 periodic effect Effects 0.000 claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 230000005684 electric field Effects 0.000 claims description 7
- 238000012937 correction Methods 0.000 claims description 5
- 230000007774 longterm Effects 0.000 claims description 3
- 230000006978 adaptation Effects 0.000 claims description 2
- 239000010453 quartz Substances 0.000 claims description 2
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N silicon dioxide Inorganic materials O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 claims description 2
- 230000004913 activation Effects 0.000 claims 1
- 238000004891 communication Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- JJWKPURADFRFRB-UHFFFAOYSA-N carbonyl sulfide Chemical compound O=C=S JJWKPURADFRFRB-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B1/00—Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
- H04B1/69—Spread spectrum techniques
- H04B1/707—Spread spectrum techniques using direct sequence modulation
- H04B1/7073—Synchronisation aspects
- H04B1/7087—Carrier synchronisation aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0641—Change of the master or reference, e.g. take-over or failure of the master
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0685—Clock or time synchronisation in a node; Intranode synchronisation
- H04J3/0688—Change of the master or reference, e.g. take-over or failure of the master
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0658—Clock or time synchronisation among packet nodes
- H04J3/0661—Clock or time synchronisation among packet nodes using timestamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Electric Clocks (AREA)
- Position Fixing By Use Of Radio Waves (AREA)
Abstract
本発明は、分散リアルタイムシステムにおいて、フェイルサイレント同期メッセージを生成する方法に関し、当該方法は、以下の機能ユニット、すなわち、航法衛星システムから時間信号(S−信号)を受信するための衛星受信機(110)、実際の時間信号(R−信号)を生成する精密参照クロック(130)、中央コンピューター(140)、モニター(120)、及び、コンフィギュレーションパラメーターを格納するためのデータブロック(210)を使用する。衛星受信機(110)は、定期的にS−信号を生成し、参照クロックは(130)は、定期的にR−信号を生成し、R−信号の公称周波数及び位相は、S−信号の周波数及び位相と一致し、公称と実際のR−信号との差を用いて、当該差を最小化する。衛星受信機(110)が障害状態にある場合は、中央コンピューター(140)によってコンフィギュレーションパラメーター(210)に従って生成されるべき定期的同期メッセージ(220)は、R−信号に基づいて生成され、モニター(120)は、同期メッセージに含まれる送信時間が実際の送信時間に合致するかどうか、及び、2つの連続する同期メッセージ(220)の間の間隔があらかじめ決められた許容間隔内にあるかどうか、をチェックする。これが当てはまらない場合、同期メッセージ(220)が誤ったものであると各受信機が認識できるように、同期メッセージ(220)を修正する。【選択図】図1
Description
本発明は、分散リアルタイムシステムにおいて、フェイルサイレント同期メッセージ(fail-silent synchronisation messages)を生成する方法に関する。
本発明は、さらに、そのような方法を実行するための装置に関する。
本発明は、コンピューター・テクノロジーの分野に属する。本発明は、TTイーサネットのSAE規格AS6802及びIEEE規格1588に適合する同期メッセージを、マスタークロックによって衛星信号から確実に生成する革新的な方法を提示するものである。
分散フォールトトレラントリアルタイムシステム(dispersed fault-tolerant real-time system)においては、複数のコンピューターが物理的プロセスを制御するが、すべてのコンピューターが、TAI規格(非特許文献3)に適合するフォールトトレラントの物理的タイムベースを有する場合に有利である。このような時間基準は、定期的な同期メッセージを受信することによって確立することができ、同期メッセージは、フォールトトレラントのマスタークロックによって送信される。同期メッセージは、そのデータフィールド内に、マスタークロックによる送信時の瞬間時刻を含んでいる。
Warner, J. et. al. GPS Spoofing Countermeasures, Los Alamos National Laboratory. URL: http://lewisperdue.com/DieByWire/GPS-Vulnerability-LosAlamos.pdf
Hofmann-Wellenhof, B. et al. GNSS - Global Navigation Satellite systems: GPS, GLONASS, Galileo, and more. Springer publishing house, 2007
Kopetz, H. Real-Time Systems, Design Principles for Distributed Embedded Applications. Springer publishing house. 2011.
SAE Standard AS6802 von TT Ethernet. URL: http://standards.sae.org/as6802
IEEE 1588 Standard for a Precision Clock Synchronization Protocol for Network Measurement and Control Systems. URL: http://www.ieee1588.com/
TTイーサーネットのSAE規格AS6802(非特許文献4)及びIEEE規格1588(非特許文献5)に適合する確実な同期メッセージを生成するフォールトトレラントマスタークロックがどのように確立されるかについて説明しつつ、以下に一方法を述べる。
本明細書において用いられる用語を以下に説明する。イーサーネットメッセージは、ヘッダー、データフィールド、及び、冗長CRCフィールド(redundant CRC field)を含む。正しい「クローズド(closed)」メッセージにおいては、CRCフィールドは、メッセージの内容と一致する。一致するCRCフィールドが存在しない場合、メッセージは「オープン」である。メッセージのデータフィールドにおいて修正を行おうとする場合、まずそのメッセージをオープンしなければならない。メッセージがオープンされると、クローズドメッセージの中身がCRCフィールドと一致するかどうかがチェックされる。一致しない場合、当該メッセージは拒否される。オープンされたメッセージのデータフィールド内の修正を行った後、当該メッセージは再びクローズしなければならない。すなわち、このメッセージをさらに送信する前に、一致する新しいCRCフィールドを算出しなければならない。オープンされたメッセージにおいて修正を行った場合、修正中に発生する過渡障害(例えば自然宇宙放射によるSEU(シングルイベントアップセット: single event upset))が、メッセージ内に障害を引き起こす場合があり、この障害はメッセージをクローズした後も残る。
コンピューターの信頼性の分野では、「障害封じ込めユニット(fault-containment unit)」(FCU)が、重要な意義を持つ(非特許文献3、136ページ)。FCUは、分離されたサブシステムであり、1つの障害による直接の影響を、このサブシステム内にとどめるものであると理解されている。
リアルタイムクロックの質は、その精度によって決まる(非特許文献3)。2つのリアルタイムクロックを比較する場合、ステートの違いとタイミングレートの違いとを区別する。リアルタイムクロックのステートが定期的に基準クロックからずれる場合は、タイミングレートが異なることを意味し、これは、デジタルマイクロ/マクロチック変換ロジック(digital micro/macro tick transformation logic)によって修正することができる。
本発明の目的は、確実な同期メッセージ、特に、TTイーサーネットのSAE規格AS6802(非特許文献4)及びIEEE規格1588(非特許文献5)に適合する確実な同期メッセージを生成するための方法を提供することである。
当該目的は、本発明による方法によって達成される。当該方法は、以下の機能ユニット、すなわち、航法衛星システムから時間信号(S−信号)を受信するための衛星受信機、実際の時間信号(R−信号)を生成する精密参照クロック、中央コンピューター、モニター、及び、コンフィギュレーションパラメーターを格納するためのデータブロック、を使用し、衛星受信機は、定期的にS−信号を生成し、参照クロックは、定期的にR−信号を生成し、R−信号の公称周波数及び位相は、S−信号の周波数及び位相と一致し、公称R−信号と実際のR−信号との差を用いて、将来における差を最小化し、衛星受信機が正常状態にある場合、中央コンピューターによってコンフィギュレーションパラメーターに従って生成されるべき定期的同期メッセージは、S−信号に基づいて生成され、公称R−信号と実際のR−信号との差を用いて、(好ましくは短期的に)参照クロックのステート、及び、(好ましくは長期的に)参照クロックのタイミングレートを、S−信号に適合させ、衛星受信機がアノマリー状態にある場合、参照クロックのタイミングレートの適合化を中止し、衛星受信機が障害状態にある場合は、中央コンピューターによってコンフィギュレーションパラメーターに従って生成されるべき定期的同期メッセージは、R−信号に基づいて生成され、モニターは、同期メッセージに含まれる送信時間が実際の送信時間に合致するかどうか、及び、2つの連続する同期メッセージの間隔があらかじめ決められた許容間隔内にあるかどうか、をチェックし、これが当てはまらない場合、同期メッセージが誤ったものであると各受信機が認識できるように、同期メッセージを修正する。
本発明の核心は、マスタークロックが、3つの独立したタイムソースを有し、これらタイムソースが、代わる代わる、(1)衛星受信機からの定期的な時間信号、(2)ローカル参照クロックの定期的な時間信号、(3)独立モニターの定期的タイムソース、をチェックし提供する点にある。正常状態では、衛星受信機の時間信号が、定期的同期メッセージを形成するための基礎として、マスタークロックの中央コンピューターによって使用され、ローカル参照クロックのタイミングレートが、衛星受信機のタイミングレートに合わせられる。アノマリーが起こった場合、すなわち、例えば衛星信号の電界強度が正常範囲から外れた場合、参照クロックのタイミングレートの修正が行われる。中央コンピューターによって衛星信号の欠陥または障害が確認された場合、参照クロックが、定期的同期メッセージ生成の基礎となる。中央コンピューターに平行して、独立モニターが、各同期メッセージの内容、及び、連続する同期メッセージの間隔を、同期メッセージをオープンすることなくチェックし、これによって、同期メッセージをクローズする前に起こった障害を特定する。モニターによって障害が特定された場合は、同期メッセージの出力を中止するか、あるいは、当該同期メッセージが誤ったものであると受信機が認識できるように、当該同期メッセージを修正する。従って、統語的に正しい同期メッセージは内容についても正しい、という状態が高い確率で保証される。一システムにおいて2つの独立したマスタークロックを用いた場合、当該システムにおける1つのマスタークロックの故障は許容される。
本発明の重大な革新は、定期的なフェイルサイレントイーサネット適合同期メッセージを生成するためのマスタークロックを確立したことに関し、当該マスタークロックは、分散リアルタイムシステムに、GPSシステムによって規定されるような物理的時間を提供し、ハードウェアの故障またはセキュリティーアタックによる障害を特定し、そうした障害を一部において許容する。このような独立マスタークロックを2つまたはそれ以上使用することによって、フォールトトレラントな同期を確立することができる。
同期メッセージを生成するための先行技術文献(特許文献3及び4)に記載された方法は、マスタークロックのセキュリティー及びフォールトトレランスに関する問題については、詳述していない。
本発明は、分散リアルタイムシステムにおいて信頼できる物理的タイムベースを確立するために、TTイーサーネットのSAE規格AS6802及びIEEE規格1588に適合する同期メッセージを確実に生成するための、革新的な方法及び装置を開示する。本発明によれば、フェイルサイレントマスタークロックは、3つの障害封じ込めユニット、すなわち、衛星受信機、参照クロックを有する中央コンピューター、及び、専用クロックを有する独立モニター、によって構成されている。正常状態では、同期メッセージは、衛星受信機の時間信号に基づいて生成され、参照クロックのタイミングレートが、衛星信号のタイミングレートに合わせられる。加えて、定期的な同期メッセージの正確な時間間隔が、独立モニターによって監視される。モニターが障害を確認した場合、出力されるクローズ同期メッセージは、当該同期メッセージが誤ったものであると受信機が認識できるように、修正される。衛星受信機によって生成される時間信号に障害が起こった場合は、参照クロックの時間信号が、同期メッセージ生成の基礎として用いられる。一の分散リアルタイムシステムにおいて、第2のフェイルサイレントマスタークロックを用いた場合、2つのマスタークロックのうちの1つの完全な故障を許容することができる。
本発明による方法のより好適な実施形態は、以下に記載されており、これらは互いに追加、代用、または組み合わせることによって実施することができる。すなわち:
モニターは、起動後に、2つの連続する同期メッセージの間隔を測定する初期段階に入り、これに続く動作段階では、測定された間隔を用いて、2つの連続する同期メッセージ間の間隔異常を特定する。
中央コンピューターは、先行する期間中のシステム全体の動作状態及びアノマリーまたは障害が含まれるかどうかを判断するための診断メッセージを定期的に生成する。
コンフィギュレーションデータブロックに格納されたデータは、障害特定コードで保護されている。
コンフィギュレーションデータブロックに格納されたデータは、障害修正コードで保護されている。
コンフィギュレーションデータブロックに格納されたパラメーターは、外部入力装置と中央コンピューターとの物理的接続が存在する時にのみ変更することができる。
コンフィギュレーションデータブロックに格納されたパラメーターは、インターネットを介して、暗号で保護されたプロトコルで変更することができる。
衛星受信機は、衛星信号の電界強度を測定し中央コンピューターと通信することによって、衛星信号のアノマリーを特定することができる。
同期メッセージは、電子署名によって保護されている。
同期メッセージの統語的構造は、SAE規格AS6802に対応している。
同期メッセージの統語的構造は、IEEE規格1588に対応している。
S−信号は、GPSシステムによる衛星信号に基づいて生成される、及び/又は、S−信号は、ガリレオシステムによる衛星信号に基づいて生成される、及び/又は、S−信号は、GLANOSSシステムによる衛星信号に基づいて生成される。
衛星受信機の障害が終了した後は、参照クロックによって生成されたR−信号が、あらかじめ決められた最大タイミングレート差で、再び提供されたS−信号にガイドされることによって、障害期間中に蓄積されたR−信号とS−信号とのクロックステート差が解消される。
本発明は、導入部分で言及したタイプの装置、特に、本発明による方法を実行するためのマスタークロックによって実行されるであろう。
好ましくは、当該装置における参照クロックのR−信号は、温度補償クオーツに又は原子時計に由来する。
本発明を、以下の図面に基づいて、例を用いて説明する。
唯一の図であり、フェイルサイレントマスタークロックの内部構造を示す。
図1は、フェイルサイレントマスタークロック(fail-silent master clock)の構成図である。当該マスタークロックは、3つの障害封じ込めユニット(FCU: fault-containment unit)、すなわち、(1)衛星受信機110、(2)参照クロック130を有する中央コンピューター140、及び、(3)モニター120を含んで構成されている。マスタークロックの正確な機能を規定するパラメーターは、コンフィギュレーションデータブロック(configuration data block)210に格納されている。コンフィギュレーションデータブロック210に格納されているデータは、障害特定コード又は障害修正コードによって保護することができる。パラメーターは、入力装置とマスタークロックとの物理的接続によって、コンフィギュレーションデータブロック210にロードされており、これによってインターネットを介したセキュリティー攻撃を防ぐ。これに代えて、インターネットを介して、暗号で保護されたプロトコルを用いて、コンフィギュレーションデータブロックにロードすることもできる。
衛星受信機110は、定期的な時間信号、すなわちS−信号を、中央コンピューター140に送信する。これに平行して、独立参照クロック130が、定期的な時間信号、すなわちR−信号を中央コンピューター140に送信する。障害が無い状態では、S−信号と公称R−信号(nominal R-signal)とは、タイミングレート(timing rate)及び位相が同一となる。
参照クロックには、例えば温度補償発振器や原子時計などの精密なクロックが設けられている。この精密クロックによって生成された一次信号が、参照クロック130内のデジタルマイクロ/マクロチック変換部(micro/macro-tick tranformation unit)によってR−信号に変換され、これが中央コンピュータ140にインタフェースにて入力される。このデジタルマイクロ/マクロチック変換部は、中央コンピュータによってパラメータ化することができ、これによって、参照クロック130によるR−信号出力のステート(state)及びタイミングレート(timing rate)をデジタル化することができる。正常状態では、衛星受信機110からの時間信号、すなわちS−信号と、参照クロック130からの実際の時間信号、すなわちR−信号との差が、中央コンピュータ140によって測定され、参照クロック130からの実際のR−信号が公称R−信号(衛星受信機のS−信号によってあらかじめ規定されている)に適合するように、マイクロ/マクロチック変換部がパラメータ化される。この適合化は2つの方法で行われる。すなわち、短期的には、R−信号のステートが、S−信号のステートに合わされる。長期的には、R−信号のタイミングレートが、S−信号のタイミングレートに合わされる。このように、参照クロック130のタイミングレートを、衛星システムによってあらかじめ規定されたS−信号に合わせた結果、R−信号のドリフトの精度を、2桁まで改善することができる[非特許文献3、p.72]。
衛星受信機110は、航法衛星システム[非特許文献2]、例えば、GPSシステム、GLONASSシステム、または、将来はガリレオシステムから、ナビゲーション信号を受信し、これらの信号の電界強度を監視する。このように電界強度を監視することによって、例えばGPS−信号などの衛星信号に対するあらゆるセキュリティー攻撃を発見することができる。障害が無い状態では、GPS信号の電界強度は、通常の範囲内である。この通常範囲は、長期にわたって、発生する電界強度を測定することによって決定される。これらの電界強度が意図せず急激に変化し、通常範囲外となった場合は、セキュリティ攻撃を意味する。原則として、衛星信号に対する2つのタイプのセキュリティー攻撃、すなわち、ブロッキング(blocking)とスプーフィング(spoofing)とを区別することができる[非特許文献1]。ブロッキングの場合には、GPS信号が妨害され、衛星受信機が統語的に正しい(syntactically correct)メッセージを受信できないようになる。ブロッキング攻撃は、信号が実際に消滅するため、衛星受信機によって容易に特定することができる。スプーフィングの場合は、受信機を混乱させるために、統語的に正しい偽造信号が生成される。この偽造スプーフィング信号が本物のGPS信号にオーバーラップするため、スプーフィング信号の電界強度は、通常範囲から外れるはずである。通常電界強度と、スプーフィングによる明確に特定される障害状態との間には、中間領域が存在し、当該中間領域は、アノマリー(anomaly)と呼ばれる。アノマリーが特定されるとすぐに、参照クロックのタイミングレート補正を中止し、これによって、参照クロックのクロックタイミングレートが偽の衛星信号に誤って適合化されるのを防止する。
障害が無い状態においては、中央コンピューター140は、衛星受信機110からのS−信号に基づいて、定期的にイーサネット対応同期メッセージ220を生成する。この同期メッセージは、TTイーサーネットのSAE規格AS6802又はIEEE規格1588に適合するものである。このメッセージのパラメーター(周波数及び位相)は、コンフィギュレーションデータブロック210から取得される。必要であれば、この同期メッセージを電子署名[非特許文献3]によって保護することによって、メッセージの真正性を保証することができる。中央コンピュータ140は、CRC多項式の算出及び付加によってクローズ同期メッセージ(closed synchronisation message)220を作成し、正確に当該メッセージに含まれる送信時刻に、指定された受信機に当該メッセージを送信する。
衛星受信機110と中央コンピューター120とのインターフェイスにおいてS−信号が消滅した場合、あるいは、衛星信号に対するスプーフィング攻撃が中央コンピューターによって判定された場合、中央コンピューター140は、参照クロック130からのR−信号に基づいて、同期メッセージ220を生成する。正しいS−信号が再び入手可能になるとすぐに、中央コンピューターは、R−信号とS−信号とのステートの違いを判定し、マイクロ/マクロチック変換部のパラメーターによって、R−信号が再びS−信号に合致するまで、参照クロック130のタイミングレートを変更する。ここで、衛星信号のタイミングレートに対する参照クロックのタイミングレートの偏差が、コンフィギュレーションデータブロック220に格納された所定の最大偏差を、超えないようにする。R−信号のステートがS−信号のステートに到達するとすぐに、中央コンピューター140は、S−信号に基づく同期メッセージを再び生成する
正常動作では、出力される(outbound)クローズド同期メッセージ220は、モニター120によってカットスルー方式(cut through method)でチェックされる。ここで、2つの連続する同期メッセージ220の時間間隔がモニター120のクロックにより測定され、同期メッセージの内容がチェックされる。2つの連続する同期メッセージ220の時間間隔が、あらかじめ決められた許容間隔外である場合、あるいは、内容の障害が特定された場合、出力されるクローズド同期メッセージ220は修正される。この修正は、例えば、送信プロセスを早期に中断した結果、例えば、同期メッセージ220を受け取る各受信機が、当該同期メッセージを誤ったものであると認識することができるように、行われる。モニターは、さらに、障害の理由をと共に障害メッセージを中央コンピュータ140に送信する。
上記許容間隔は、2つの連続する同期メッセージ220の許容できる間隔を規定するものであり、モニター120によって一定量の同期メッセージの間隔を測定することによって、マスタークロックの初期化段階において決定される。これに代えて、この許容間隔の長さは、コンフィギュレーションデータブロック210内で指定してもよい。
中央コンピュータ140は、定期的に(その期間は、コンフィギュレーションデータブロック210で定められている)、指定された診断用コンピュータに診断メッセージを送信する。衛星信号の測定電界強度、実際のR−信号のタイミングレート及びステートの差、最終期間中に発生した障害メッセージ、などのすべての重要なパラメータは、この診断メッセージによって、診断用コンピュータに伝達される。
本発明の核心は、マスタークロックが、3つの独立したタイムソースを有し、これらタイムソースが、代わる代わる、(1)衛星受信機からの定期的な時間信号、(2)ローカル参照クロックの定期的な時間信号、(3)独立モニターの定期的タイムソース、をチェックし提供する点にある。正常状態では、衛星受信機の時間信号が、定期的同期メッセージを形成するための基礎として、マスタークロックの中央コンピューターによって使用され、ローカル参照クロックのタイミングレートが、衛星受信機のタイミングレートに合わせられる。アノマリーが起こった場合、すなわち、例えば衛星信号の電界強度が正常範囲から外れた場合、参照クロックのタイミングレートの修正が行われなくなる。中央コンピューターによって衛星信号の欠陥または障害が確認された場合、参照クロックが、定期的同期メッセージ生成の基礎となる。中央コンピューターに平行して、独立モニターが、各同期メッセージの内容、及び、連続する同期メッセージの間隔を、同期メッセージをオープンすることなくチェックし、これによって、同期メッセージをクローズする前に起こった障害を特定する。モニターによって障害が特定された場合は、同期メッセージの出力を中止するか、あるいは、当該同期メッセージが誤ったものであると受信機が認識できるように、当該同期メッセージを修正する。従って、統語的に正しい同期メッセージは内容についても正しい、という状態が高い確率で保証される。一システムにおいて2つの独立したマスタークロックを用いた場合、当該システムにおける1つのマスタークロックの故障は許容される。
Claims (18)
- 分散リアルタイムシステムにおいて、フェイルサイレント同期メッセージを生成する方法であって、
前記方法は、以下の機能ユニット、すなわち、航法衛星システムから時間信号(S−信号)を受信するための衛星受信機(110)、実際の時間信号(R−信号)を生成する精密参照クロック(130)、中央コンピューター(140)、モニター(120)、及び、コンフィギュレーションパラメーターを格納するためのデータブロック(210)、を使用し、前記衛星受信機(110)は、定期的にS−信号を生成し、前記参照クロックは(130)は、定期的にR−信号を生成し、前記R−信号の公称周波数及び位相は、前記S−信号の周波数及び位相と一致し、前記公称のR−信号と実際のR−信号との差を用いて、将来における差を最小化し、前記衛星受信機(110)が正常状態にある場合、前記中央コンピューター(140)によってコンフィギュレーションパラメーター(210)に従って生成されるべき定期的同期メッセージ(220)は、S−信号に基づいて生成され、前記公称と実際のR−信号との差を用いて、(好ましくは短期的に)参照クロック(130)のステート、及び、(好ましくは長期的に)参照クロックのタイミングレートを、S−信号に適合させ、前記衛星受信機(110)がアノマリー状態にある場合、前記参照クロック(120)のタイミングレートの適合化を中止し、前記衛星受信機(110)が障害状態にある場合は、前記中央コンピューター(140)によってコンフィギュレーションパラメーター(210)に従って生成されるべき定期的同期メッセージ(220)は、R−信号に基づいて生成され、前記モニター(120)は、前記同期メッセージに含まれる送信時間が実際の送信時間に合致するかどうか、及び、2つの連続する同期メッセージ(220)の間の間隔があらかじめ決められた許容間隔内にあるかどうか、をチェックし、これが当てはまらない場合、前記同期メッセージ(220)が誤ったものであると各受信機が認識できるように、前記同期メッセージ(220)を修正する、方法。 - 前記モニター(120)は、起動後に、2つの連続する同期メッセージ(220)の間隔を測定する初期段階に入り、これに続く動作段階では、測定された間隔を用いて、2つの連続する同期メッセージ(220)間の間隔異常を特定する、請求項1に記載の方法。
- 前記中央コンピューター(140)は、先行する期間中のシステム全体の動作状態及びアノマリーまたは障害が含まれるかどうかを判断するための診断メッセージを定期的に生成する、請求項1に記載の方法。
- 前記コンフィギュレーションデータブロック(210)に格納されたデータは、障害特定コードで保護されている、請求項1〜3のいずれか1つに記載の方法。
- 前記コンフィギュレーションデータブロック(210)に格納されたデータは、障害修正コードで保護されている、請求項1〜4のいずれか1つに記載の方法。
- 前記コンフィギュレーションデータブロック(210)に格納されたパラメーターは、外部入力装置と中央コンピューター(140)との物理的接続が存在する時にのみ変更することができる、請求項1〜5のいずれか1つに記載の方法。
- 前記コンフィギュレーションデータブロック(210)に格納されたパラメーターは、インターネットを介して、暗号で保護されたプロトコルで変更することができる、請求項1〜6のいずれか1つに記載の方法。
- 前記衛星受信機(110)は、衛星信号の電界強度を測定し中央コンピューター(140)と通信することによって、衛星信号のアノマリーを特定することができる、請求項1〜7のいずれか1つに記載の方法。
- 前記同期メッセージ(220)は、電子署名によって保護されている、請求項1〜8のいずれか1つに記載の方法。
- 前記同期メッセージ(220)の統語的構造は、SAE規格AS6802に対応している、請求項1〜9のいずれか1つに記載の方法。
- 前記同期メッセージ(220)の統語的構造は、IEEE規格1588に対応している、請求項1〜10のいずれか1つに記載の方法。
- 前記S−信号は、GPSシステムによる衛星信号に基づいて生成される、請求項1〜11のいずれか1つに記載の方法。
- 前記S−信号は、ガリレオシステムによる衛星信号に基づいて生成される、請求項1〜12のいずれか1つに記載の方法。
- 前記S−信号は、GLONASSシステムによる衛星信号に基づいて生成される、請求項1〜13のいずれか1つに記載の方法。
- 前記衛星受信機(110)の障害が終了した後は、前記参照クロック(130)によって生成されたR−信号が、あらかじめ決められた最大タイミングレート差で、再び提供されたS−信号にガイドされることによって、障害期間中に蓄積されたR−信号とS−信号とのクロックステート差が解消される、請求項1〜14のいずれか1つに記載の方法。
- 請求項1〜15のいずれか1つによる方法を実行するための装置。
- 前記参照クロック(130)のR−信号は、温度補償クオーツに由来している、請求項16に記載の装置。
- 前記参照クロック(130)のR−信号は、原子時計に由来している、請求項16に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ATA432/2012A AT512743A1 (de) | 2012-04-11 | 2012-04-11 | Verfahren und Masterclock zur Erstellung von fail-silent Synchronisationsnachrichten |
| ATA432/2012 | 2012-04-11 | ||
| PCT/AT2013/050083 WO2013152378A1 (de) | 2012-04-11 | 2013-04-09 | Verfahren und masterclock zur erstellung von fail-silent synchronisationsnachrichten |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015523613A true JP2015523613A (ja) | 2015-08-13 |
| JP6113829B2 JP6113829B2 (ja) | 2017-04-12 |
Family
ID=48470670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015504812A Active JP6113829B2 (ja) | 2012-04-11 | 2013-04-09 | フェイルサイレント同期メッセージを生成するための方法及びマスタークロック |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9130661B2 (ja) |
| EP (1) | EP2803154B1 (ja) |
| JP (1) | JP6113829B2 (ja) |
| CN (1) | CN104365042A (ja) |
| AT (1) | AT512743A1 (ja) |
| WO (1) | WO2013152378A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10241858B2 (en) | 2014-09-05 | 2019-03-26 | Tttech Computertechnik Ag | Computer system and method for safety-critical applications |
| IL235356A (en) | 2014-10-27 | 2016-02-29 | Accubeat Ltd | A method and device for providing secure time synchronization from a satellite navigator system |
| DE102016104767B4 (de) * | 2016-03-15 | 2017-10-12 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage |
| EP3339906B1 (de) * | 2016-12-22 | 2023-03-29 | Toll Collect GmbH | Verfahren, system, vorrichtung und computerprogrammprodukt zur signalisierung einer drohenden mangelnden betriebsfähigkeit einer positionsbestimmungsvorrichtung, sowie gebührenerhebungssystem |
| CN107651220B (zh) * | 2017-09-08 | 2023-06-23 | 中国人民解放军战略支援部队航天工程大学 | 一种模块化卫星及规避空间碎片的方法 |
| CN109492220B (zh) * | 2018-10-30 | 2022-10-21 | 中国空间技术研究院 | 一种对卫星遥测参数位置信息自动检错的方法 |
| CN111726185B (zh) * | 2019-03-20 | 2022-10-04 | 北京米文动力科技有限公司 | 外部设备与本地计算设备的系统时钟的同步方法 |
| EP3902166B1 (de) * | 2020-04-21 | 2022-03-23 | TTTech Computertechnik Aktiengesellschaft | Fehlertoleranter zeitserver für ein echtzeitcomputersystem |
| CN114488770A (zh) * | 2022-01-13 | 2022-05-13 | 北京临近空间飞行器系统工程研究所 | 一种实现飞行器设备间动态时间同步的双冗余控制系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08265437A (ja) * | 1995-03-27 | 1996-10-11 | Nec Commun Syst Ltd | タイムスタンプ情報補正方式 |
| JPH1174885A (ja) * | 1997-09-01 | 1999-03-16 | Fujitsu Ltd | 伝送装置の同期メッセージ処理方法 |
| JP2000172660A (ja) * | 1998-10-29 | 2000-06-23 | Agilent Technol Inc | 分散型システム |
| JP2000224091A (ja) * | 1999-01-29 | 2000-08-11 | Nec Eng Ltd | 衛星通信装置及びその同期維持回路 |
| JP2006504205A (ja) * | 2002-10-29 | 2006-02-02 | エステーミクロエレクトロニクス ソシエテ アノニム | マイクロプロセッサのモニタ回路により伝送されるメッセージの時間的相関 |
| US20090034672A1 (en) * | 2007-04-17 | 2009-02-05 | Jae-Hun Cho | Method and apparatus for time synchronization using gps information in communication system |
| US20090168808A1 (en) * | 2007-04-04 | 2009-07-02 | Jae-Hun Cho | Apparatus and method for performing time synchronization using gps information in communication system |
| JP2010278546A (ja) * | 2009-05-26 | 2010-12-09 | Hitachi Ltd | 時刻同期網及び通信装置 |
| JP2011122983A (ja) * | 2009-12-11 | 2011-06-23 | Toshiba Corp | 時刻同期装置およびその時刻同期補正方法 |
| JP2011185731A (ja) * | 2010-03-08 | 2011-09-22 | Toshiba Corp | 時刻同期装置およびその時刻同期補正方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5694542A (en) | 1995-11-24 | 1997-12-02 | Fault Tolerant Systems Fts-Computertechnik Ges.M.B. | Time-triggered communication control unit and communication method |
| KR100241725B1 (ko) * | 1997-08-02 | 2000-02-01 | 윤종용 | 동기식 분산망 시스템의 클럭 동기유지 방법 및 그에 따른동기장치 |
| US6081229A (en) * | 1998-03-17 | 2000-06-27 | Qualcomm Incorporated | System and method for determining the position of a wireless CDMA transceiver |
| US6256507B1 (en) | 1998-08-31 | 2001-07-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Telecommunications network synchronization for data services |
| US6687752B1 (en) | 2000-03-01 | 2004-02-03 | Ezenial Inc. | Dynamic RTP/RTCP timestamp validation |
| AT411948B (de) | 2002-06-13 | 2004-07-26 | Fts Computertechnik Gmbh | Kommunikationsverfahren und apparat zur übertragung von zeitgesteuerten und ereignisgesteuerten ethernet nachrichten |
| JP3993508B2 (ja) * | 2002-12-02 | 2007-10-17 | 株式会社エヌ・ティ・ティ・ドコモ | 無線アクセスネットワークシステム、無線通信方法、同期サーバ及びノード装置 |
| CN1759553A (zh) * | 2003-01-14 | 2006-04-12 | 霍尼韦尔国际公司 | 使通信网的系统时间和参考时钟同步的方法和装置 |
| US7443785B2 (en) * | 2004-03-17 | 2008-10-28 | Sony Ericsson Mobile Communications Ab | Selective error correction for ad hoc networks having multiple communication modes |
| CN100535824C (zh) * | 2004-09-23 | 2009-09-02 | 华为技术有限公司 | 提高卫星时间同步脉冲保持性能的方法 |
| EP1672505A3 (en) * | 2004-12-20 | 2012-07-04 | BWI Company Limited S.A. | Fail-silent node architecture |
| US8089991B2 (en) | 2006-09-06 | 2012-01-03 | Nxp B.V. | Network and method for clock synchronization of clusters in a time triggered network |
| US7800534B1 (en) | 2008-01-29 | 2010-09-21 | Sprint Spectrum L.P. | System and method for determining whether to allow a base station to perform a particular base station function |
| US8867520B2 (en) | 2008-03-07 | 2014-10-21 | Charles Nicholls | Using a network frequency reference to augment timing Synchronization in a wireless base station |
| US8018950B2 (en) | 2008-03-17 | 2011-09-13 | Wi-Lan, Inc. | Systems and methods for distributing GPS clock to communications devices |
| US8774230B2 (en) * | 2009-04-08 | 2014-07-08 | Qualcomm Incorporated | Conveying synchronization stratum information |
| US8660128B2 (en) * | 2009-04-15 | 2014-02-25 | Ibiquity Digital Corporation | Systems and methods for a multiport synchronous-asynchronous client for scheduling and delivering content for digital radio broadcast transmission |
| CN101650416B (zh) * | 2009-07-08 | 2013-06-12 | 无锡爱睿芯电子有限公司 | Gps接收方法和装置及时钟校正方法 |
| CN102291122A (zh) * | 2010-06-17 | 2011-12-21 | 中兴通讯股份有限公司 | 一种控制晶振输出时钟的方法及装置 |
| US8620552B2 (en) * | 2011-06-13 | 2013-12-31 | General Electric Company | Data communication system and method for communicating data in a vehicle |
| US8717963B2 (en) * | 2012-08-08 | 2014-05-06 | Gregory Hubert Piesinger | Synchronized wireless communication network method and apparatus |
-
2012
- 2012-04-11 AT ATA432/2012A patent/AT512743A1/de not_active Application Discontinuation
-
2013
- 2013-04-09 CN CN201380030537.6A patent/CN104365042A/zh active Pending
- 2013-04-09 JP JP2015504812A patent/JP6113829B2/ja active Active
- 2013-04-09 EP EP13724148.5A patent/EP2803154B1/de active Active
- 2013-04-09 US US14/391,161 patent/US9130661B2/en active Active
- 2013-04-09 WO PCT/AT2013/050083 patent/WO2013152378A1/de active Application Filing
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08265437A (ja) * | 1995-03-27 | 1996-10-11 | Nec Commun Syst Ltd | タイムスタンプ情報補正方式 |
| JPH1174885A (ja) * | 1997-09-01 | 1999-03-16 | Fujitsu Ltd | 伝送装置の同期メッセージ処理方法 |
| JP2000172660A (ja) * | 1998-10-29 | 2000-06-23 | Agilent Technol Inc | 分散型システム |
| JP2000224091A (ja) * | 1999-01-29 | 2000-08-11 | Nec Eng Ltd | 衛星通信装置及びその同期維持回路 |
| JP2006504205A (ja) * | 2002-10-29 | 2006-02-02 | エステーミクロエレクトロニクス ソシエテ アノニム | マイクロプロセッサのモニタ回路により伝送されるメッセージの時間的相関 |
| US20090168808A1 (en) * | 2007-04-04 | 2009-07-02 | Jae-Hun Cho | Apparatus and method for performing time synchronization using gps information in communication system |
| US20090034672A1 (en) * | 2007-04-17 | 2009-02-05 | Jae-Hun Cho | Method and apparatus for time synchronization using gps information in communication system |
| JP2010278546A (ja) * | 2009-05-26 | 2010-12-09 | Hitachi Ltd | 時刻同期網及び通信装置 |
| JP2011122983A (ja) * | 2009-12-11 | 2011-06-23 | Toshiba Corp | 時刻同期装置およびその時刻同期補正方法 |
| JP2011185731A (ja) * | 2010-03-08 | 2011-09-22 | Toshiba Corp | 時刻同期装置およびその時刻同期補正方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9130661B2 (en) | 2015-09-08 |
| AT512743A1 (de) | 2013-10-15 |
| EP2803154B1 (de) | 2020-08-12 |
| JP6113829B2 (ja) | 2017-04-12 |
| US20150098492A1 (en) | 2015-04-09 |
| CN104365042A (zh) | 2015-02-18 |
| EP2803154A1 (de) | 2014-11-19 |
| WO2013152378A1 (de) | 2013-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6113829B2 (ja) | フェイルサイレント同期メッセージを生成するための方法及びマスタークロック | |
| JP6167170B2 (ja) | 同期の信頼性のあるスイッチングのための方法及びスイッチングユニット | |
| EP2490357B1 (en) | A method of time synchronization of free running nodes in an avionics network | |
| US11251891B2 (en) | Method for identifying an incorrect time stamp of an ethernet message and control unit for a motor vehicle | |
| Kopetz | Fault containment and error detection in the time-triggered architecture | |
| US20100049717A1 (en) | Method and systems for sychronization of process control servers | |
| US9300422B2 (en) | Method for detecting a synchronization failure of a transparent clock and related protection schemes | |
| Moussa et al. | An extension to the precision time protocol (PTP) to enable the detection of cyber attacks | |
| US8464065B2 (en) | Procedure and architecture for the protection of real time data | |
| JP2010231310A (ja) | 時刻補正装置、時刻補正システム、時刻補正方法及びプログラム | |
| WO2006109723A1 (ja) | 時刻証明サーバ、基準時刻配信サーバ、時刻証明方法、基準時刻配信方法、時刻証明プログラム、及び通信プロトコルプログラム | |
| WO2009140707A1 (en) | Cross-domain soc architecture for dependable embedded applications | |
| Ademaj | Slightly-off-specification failures in the time-triggered architecture | |
| JP2010004321A (ja) | 時間同期システムおよび時間同期装置 | |
| US20230006751A1 (en) | Method for securing the time synchronization of an ethernet on-board network | |
| JP5925507B2 (ja) | データ照合装置、照合方法及びそれを用いた安全保安システム | |
| CN109791421A (zh) | 时间仲裁电路 | |
| Kopetz | Fault containment and error detection in TTP/C and FlexRay | |
| US20150220755A1 (en) | Solution for security, safe and time integrity communications in automotive environments | |
| Kopetz et al. | Dependability | |
| US20230359642A1 (en) | Method, devices and system for data exchange between a distributed database system and devices | |
| Paulitsch et al. | FlexRay in aerospace and safety-sensitive systems | |
| JP2014082599A (ja) | 通信装置、時刻制御方法、及びプログラム | |
| KR101501530B1 (ko) | 송수신 동기화 모듈의 오류 검출 시스템 및 그 방법 | |
| US20220200720A1 (en) | Communication system and communication method for one-way transmission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170221 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170315 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6113829 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |