JP3953952B2 - エラー許容型分散コンピュータシステムでのエラー処理 - Google Patents
エラー許容型分散コンピュータシステムでのエラー処理 Download PDFInfo
- Publication number
- JP3953952B2 JP3953952B2 JP2002534977A JP2002534977A JP3953952B2 JP 3953952 B2 JP3953952 B2 JP 3953952B2 JP 2002534977 A JP2002534977 A JP 2002534977A JP 2002534977 A JP2002534977 A JP 2002534977A JP 3953952 B2 JP3953952 B2 JP 3953952B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- gua
- monitoring means
- error
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/805—Real-time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Hardware Redundancy (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
Description
【0001】
本発明は、通信チャンネルを通じて接続された複数のノード(結節)コンピュータを備えたエラー許容型分散コンピュータシステムにおけるエラー処理に関するものであり、それぞれのノードコンピュータは自律型の通信コントロールユニットを有しており、通信チャンネルへのアクセスは時分割多元接続法により行われ、ノードコンピュータからの出力情報が監視手段によりチェックされるものである。
【0002】
さらに、本発明は、少なくとも一つのデストリビュータユニットと通信チャンネルを介して相互に接続された複数のノードコンピュータを備えるエラー許容型分散コンピュータシステムに関するものであり、それぞれのノードコンピュータは独自の通信コントロールユニットを有しており、通信チャンネルへのアクセスは時分割多元接続法により行われ、ノードコンピュータの出力情報のチェックのために監視手段を備えているものである。
【0003】
安全性が非常に重要である技術的用途、言い換えれば一つのエラーが悲惨な状態を招きかねない用途では、エラー許容性のあるリアルタイムの分散コンピュータシステムの導入が増えている。
【0004】
複数のノードコンピュータと一つのリアルタイム通信システムで構成しており、エラー許容性のあるリアルタイムの分散コンピュータシステムにおいては、一つの個々のノードコンピュータにおけるブレークダウンが許容される必要がある。そのようなコンピュータ構成理念の核として、事前に予想して迅速確実に情報を入れ替えるために、許容性のあるリアルタイム通信システムがある。
【0005】
これらの要求を満足する通信プロトコルは、米国特許第5,694,542号に対応する欧州特許公開第0658257号に記載されている。このプロトコルは、“タイムトリガードプロトコル/C(TTP/C)”の名称で知られており、H. Kopetzの文献(1997)“Real-Time Systems, Design Principles for Distributed Embedded Applications; ISBN:0-7923-9894-7, Boston, Kluwer Academic Publishers”でも公開されている。それは、論理的に決められたタイムスライスを用いた公知の時分割多元接続法(TDMA: time-division multiple access)に基づいている。TTP/Cは、米国特許第4,866,606号で公開されているエラー許容性のある時間同期のための方法を用いている。
【0006】
TTP/Cが前提としているのは、通信システムが論理的な通信トポロジーを支持しており、ノードコンピュータが“フェールサイレンス”のダウン状態の挙動を示している、即ちノードコンピュータがデータ領域と時間領域で正しく機能しているか、それらが静かであるということである。時間領域でのエラー、言い換えれば所謂“バブリング・イディオット(babbling idiot)”エラーは、TTP/Cで“バス監視手段”と言われ、独立した時間ベースを有しておりノードコンピュータの時間挙動を絶えずチェックしている独立したエラー識別ユニットにより回避することができる。エラー許容性を実現するために、多数のフェールサイレントなコンピュータを一つのエラー許容性のあるユニット(FTU)にまとめ、通信システムのレプリカを作成する。FTUのノードコンピュータと通信システムのレプリカが機能している限り、FTUがタイミング良く時間領域とデータ領域で働く。
【0007】
通信の論理的な通信トポロジーは、分散型バスシステム、分散型リングシステム、あるいはノードコンピュータと2地点間接続している中央デストリビュータユニット(例えばスターカップラー)により、物理的に構築することができる。分散型バスシステムあるいは分散型リングシステムを構築すると、それぞれのノードコンピュータは独自のバス監視手段を持たねばならない。これに対して、中央デストリビュータユニットを用いると、全ての監視手段をこのデストリビュータユニットに内蔵することができ、全てのノードコンピュータの挙動を全体的に監視して、時間領域で規則正しい送信挙動を効果的に強制することができる。これは後に公開された国際公開第WO01/13230A1号に記載されている。
【0008】
分散コンピュータでは、不安定なシステム状態を招きかねないエラーは特に問題である。ここでは例として、自動車でのいわゆる“ブレーキバイワイヤ(brake-by-wire)”の適用例を挙げる。この例では、センターブレーキコンピュータが、ホイルのそばにある4つのホイルコンピュータにブレーキ情報を送る。ブレーキ情報を二つのホイルコンピュータが正しく受信し、別の二つのホイルコンピュータが情報を受信しないなら、不安定な状態が発生する。そして、自動車の同じ側にある二つのブレーキが効くと、その自動車はコントロール不能になりかねない。ここで記述した種類のエラーは、文献でビザンチン(Byzantine)エラーと呼ばれている(Kopetz文献P.60、P.133)。ビザンチンエラーを迅速に認識し正しく処理をすることは、情報科学の難しい問題の一つである。
【0009】
低いクラスのビザンチンエラーは、“軽い規格外れ(slightly-off-specification)”、略してSOSエラーにより構成される。SOSエラーは、アナログ技術とデジタル技術間の切れ目で発生することがある。前記の専門分野では、“デジタル信号”で論理信号が、“アナログ信号”で全ての物理信号が解釈される。この意味でここでも、アナログ技術とデジタル技術の区分が解釈される。データ伝達を実現するにあたって、規定された時間インターバルの間に、信号データ(例えば、規定された電圧許容インターバルからの電圧)により回路上にそれぞれの論理ビットを表すことができる。正常な送信側は、規定された許容インターバル内で、アナログ信号を発生させねばならない。それにより、全ての正常な受信側はこれらの信号を正しく解釈することが確実となる。そして、情報の送信側が(データ領域、時間領域、あるいはその両方で)規定されたインターバルのすぐ外側で信号を発生すると(軽い規格外れ)、幾つかの受信側が本信号を正しく解釈し、他方、別の受信側が信号を間違って解釈する場合がある。我々は、そのような通信情報をSOSエラーと呼ぶ。結果として、先にブレーキシステムを使って説明したビザンチンエラーが起きることがある。そのようなエラーは、欠陥のある電源供給、欠陥のある発振器、あるいは経年により弱くなった構成部品に原因があることがある。例えばビット系列を生み出すコンピュータの発振器に欠陥があるというようなエラー原因が、両方のチャンネルに起きると、二つの通信チャンネルへの情報送信でSOSエラーを避けることができない。
【0010】
続くエラーが更に被害を大きくする前に対策を取るために、出現するエラーをできるだけ早期に識別することが安全技術の基本である。引用しているTTP/Cプロトコル(欧州特許公開第0658257号)では、TDMAの最大2ラウンド以内にTTP/CプロトコルのいわゆるメンバーシップアルゴリズムによりSOSエラーを確実に識別することになっている。SOSエラーで代表的な問題となるのは、殆ど発生しない瞬間的なエラーであり、TTP/Cの現在使われているプロトタイプにおいて、殆ど発生しないクラスのSOSエラーが、非常に似た頻繁に起きるエラーのせいにされ、そのようなエラーとして処理されている。
【0011】
本発明の課題は、分散コンピュータシステムでのSOSクラスのエラーを適切な方法により許容できるようにすることである。
【0012】
最初に述べた種類の方法により本課題を解決しており、本発明によれば、独立して構成した監視手段が、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受信コンピュータが明らかに正しくないと識別できる情報に変換するように構成している。
【0013】
本課題は、前述した種類のエラー許容型分散コンピュータシステムによって解決しており、本発明によれば、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受入コンピュータが明らかに正しくないと識別できる情報に変換するように、独立して構成した監視手段を設けている。
【0014】
本発明によれば、高度に信頼性あるリアルタイムコンピュータ用途において、時間制御されたエラー許容型分散アーキテクチャでの“軽い規格外れ”(SOS)エラーのエラークラスでも許容できる。
【0015】
有利な実施形態では、全ての受信コンピュータが正しくないと識別できる不完全な情報を発生するために、コンピュータの通信コントロールユニットの送る情報開始が、監視手段には論理的に分かっている情報の開始時間領域内にあたっているか、そして、情報がこれらの時間領域の外にある場合に、それに相当する通信チャンネルが直ちに閉鎖するかどうかを、独立した各監視手段が独自の時間ベースを使ってチェックする。このようにすれば、損なわれているのは僅かだけであり、場合によっては受信側が間違って正しいと解釈する情報を避けることができる。
【0016】
監視手段は、関連するコード化規則を考慮し独自の時間ベースと独自の電源供給のもとで、時間領域とデータ領域で入力物理信号を再生修復すれば更に目的に適っている。そのように独立して再生修復できると、求められるシステムの安全性が本質的に向上する。
【0017】
本発明の別の実施形態では、情報を受信しない監視手段が正しいCRCで正しい長さの情報を生成しないようにしている。これによりシステムの安全性がさらに上昇する。
【0018】
開始時間ウインドウに基づく最適制御では、監視手段の開始時間ウインドウ(は、ノードコンピュータの開始時間ウインドウに対して、システム精度より大きな時間遅れて始まり、ノードコンピュータの開始時間ウインドウに対して、前記システム精度より大きな時間先んじて終了する。
【0019】
監視手段を少なくとも一つのデストリビュータユニットに内蔵し、デストリビュータユニットに独自の電源供給および独自のエラー許容型分散時計同期機能がある場合に、安全性の面だけでなく、システムを実現するコストに関しての追加の利点も得られる。
【0020】
更なる利点も含めて、本発明を図解した実施例を用いて詳細に説明する。
【0021】
図1には4台のノード(結節)コンピュータK1、K2、K3、K4を含むシステムを示しており、そこではそれぞれのコンピュータが交換可能なユニットを構成しており、2地点間接続チャンネルまたは通信チャンネルc11...c42を介して、同一の二つの中央デストリビュータユニットV1またはV2と接続している。ノードコンピュータの各出口とデストリビュータユニットの各入口の間には監視手段GUAがあり、それは独立して設けているか或いはデストリビュータユニットの中に内蔵していることもある。監視手段またはバス監視手段の基本的な機能はKopetz文献のP.173に説明されている。監視手段は、その機能を果たすために、コントローラの他にチャンネルを開閉するスイッチが必要である。デストリビュータユニットV1とV2の間にある二つの一方向通信チャンネルv21、v12は、中央デストリビュータユニットV1とV2とが相互に監視し情報交換できるようにする。同じくKopetz文献の例えばP.172〜177から分かるように、各ノードコンピュータK1...K4は、自律コントローラCONまたは通信コントローラを有しており、それは同一の通信チャンネル、例えばc11、c12と繋がっている。概略的に描いている接続ラインw1、w2は専用の通信チャンネルであり、デストリビュータユニットのパラメータとその機能が正しく働いていることを監視できるメンテ用コンピュータWACに繋がっている。
【0022】
図2は、通信コントローラCONと、分散コンピュータシステムにある別のノードコンピュータないしデストリビュータユニットに繋がる通信チャンネルc11、c12とを有するノードコンピュータK1を示している。ここでは、監視手段GUAを、通信チャンネルc11、c21用のバス監視手段として設けているが、図1に従い独立した二つの中央デストリビュータユニットV1、V2に内蔵することもできる。論理的に見て、三つのサブシステム、即ちノードコンピュータ+2つの監視手段が、“欠陥抑制ユニット”FCUと呼ばれる図2に示したユニットを構成している。記述したように、監視手段GUAが物理的に中央デストリビュータユニットまたはノードコンピュータに内蔵しているかどうかと、この構成は関係ない。
【0023】
図3に関していえば、そこには情報の開始のための開始時間ウインドウが示されている。同図では、ノードコンピュータないしそのコントローラの長さTCONを持つ開始時間ウインドウTCONと、監視手段の開始時間ウインドウTGUAとが区別されている。本発明では、監視手段の時間ウインドウTGUAがノードコンピュータの時間ウインドウTCONより短く、ウインドウTCONの中にある時間ウインドウTGUAとの間に間隔τ1ないしτ2を残しており、その間隔はシステム精度Pより大きい。精度についての概念は、例えばKopetz文献3.1.3章“Precision and Accuracy”P.49とP.50に説明されている。
【0024】
アクティブなサブシステム、例えばノードコンピュータK1のエラーを「非拘束アクティブ」であるということにする。さらに、パッシブなサブシステム、例えば監視手段または接続チャンネルc11またはc12のエラーを「非拘束パッシブ」であるということにする。但し、後者の場合、パッシブのサブシステムの構造により、そのサブシステム自体がアクティブなサブシステムからの入力なしで、受信側が構文上は正しい情報であると解釈するビット系列を生成できないことが確実であることを条件とする。情報が構文的に正しいとは、その情報が、CRCチェックでエラーを示さず、予想されるような正しい長さを有し、コード化規則に従っており、予想される時間間隔内に到着することをいう。
【0025】
正しいCRCをどのように生成するか(CRCを生み出すアルゴリズムをとらえられない)、および正しい情報はどれ位の長さでなければならないかについての情報をパッシブなサブシステムが持ち合わせていない場合、構文的に正しい情報が統計的に偶然のプロセス(トラブル)に基づいて生じる確率は無視できるほど小さい。
【0026】
欠陥抑制ユニットFCUは、下記仮定が満足されると、ノードコンピュータK1の非拘束アクティブエラーまたは両監視手段GUAの一方の非拘束パッシブエラーを、ビザンチン(Byzantine)エラーでないエラーに変換することができる。
(i) 正常なノードコンピュータK1が、両方のチャンネルc11とc12に構文的に正しい同じ情報を送る。さらに、
(ii) 正常な監視手段GUAが、ノードコンピュータK1のSOSエラー情報を構文的に正しい情報、または受信側が明らかに正しくないと識別する情報(非SOS情報)に変換する。さらに、
(iii) 情報を送る間に、最大一つのサブシステムに欠陥がある。
【0027】
エラーの仮定(iii)の理由により、三つの導入サブシステムK1、GUA、GUAの一つだけに欠陥がある可能性がある。ノードコンピュータK1にエラーがあるなら、両方の監視手段GUAとGUAには欠陥がなく、仮定(ii)に相当して非SOS情報を生成する。両方の監視手段GUAの一つに非拘束パッシブエラーがあるとすれば、ノードコンピュータK1は構文的に正しい情報を発生し、その構文的に正しい情報を両方の監視手段に伝達する(仮定i)。そして、正常な監視手段GUAは全ての受信側、即ちノードコンピュータに情報を適正に送信する。TTP/Cプロトコルの自己信頼原理と受信ロジックにより、この場合、全ての正常な受信側は正しい情報を選び出し、送信しているノードコンピュータを正常と判別する。SOSエラーを許容するために、TTP/Cプロトコルを変更する必要はない。
【0028】
任意の情報は、次の三つの理由によりSOSエラーがある可能性がある。
(i) 情報がデータ領域でSOSエラーを有している、および/または
(ii) 情報が時間領域で内部SOSエラーを有している(例えば、コード内のタイミングエラー)。および/または
(iii) 情報の伝達が、規定された送信インターバルのやや外側(図3参照)で始まる。
【0029】
正常な監視手段(GUA)は、これらのエラーの原因を以下のように非SOSエラーに変換する。
(i) 情報の出力データを、独立した電源供給を有する監視手段GUAにより生成する。
(ii) 情報のコードを、バス監視手段の独自の時間ベースを有する監視手段GUAにより再構成する。
(iii) 規定された時間インターバルTGUAの外側で送信が始まったことを認識すると直ぐに、監視手段はチャンネルを封鎖する。それにより、全ての受信側、即ちノードコンピュータは、大きく損なわれた情報を受信し、エラーがあることを認識する。
【0030】
情報送信時間の終了の直ぐ後に、監視手段GUAがチャンネルを封鎖することは、SOSエラーを避けるためには一般的に充分ではない。封鎖により軽く損なわれた情報がエラーのない監視手段GUAに対するSOSエラーの契機となる可能性を排除できないからである。両方の監視手段が同様に情報を軽く損なうと、SOSエラーがシステムレベルで発生する場合がある。
【0031】
本発明は記載した4つのノードコンピュータを含む実施形態に限定されるものではなく、任意に拡大できる。また、TTP/Cプロトコルだけでなく、別の時間制御のプロトコルでも利用できる。
【図面の簡単な説明】
【図1】 同一の二つの中央デストリビュータユニットを通じてお互いに接続した4つのノードコンピュータを含む分散コンピュータシステムの概略図である。
【図2】 一つのコンピュータと二つの監視手段で構成する欠陥抑制ユニットを示す図である。
【図3】 監視手段とノードコンピュータの開始時間ウインドウの位置関係を示す図である。
本発明は、通信チャンネルを通じて接続された複数のノード(結節)コンピュータを備えたエラー許容型分散コンピュータシステムにおけるエラー処理に関するものであり、それぞれのノードコンピュータは自律型の通信コントロールユニットを有しており、通信チャンネルへのアクセスは時分割多元接続法により行われ、ノードコンピュータからの出力情報が監視手段によりチェックされるものである。
【0002】
さらに、本発明は、少なくとも一つのデストリビュータユニットと通信チャンネルを介して相互に接続された複数のノードコンピュータを備えるエラー許容型分散コンピュータシステムに関するものであり、それぞれのノードコンピュータは独自の通信コントロールユニットを有しており、通信チャンネルへのアクセスは時分割多元接続法により行われ、ノードコンピュータの出力情報のチェックのために監視手段を備えているものである。
【0003】
安全性が非常に重要である技術的用途、言い換えれば一つのエラーが悲惨な状態を招きかねない用途では、エラー許容性のあるリアルタイムの分散コンピュータシステムの導入が増えている。
【0004】
複数のノードコンピュータと一つのリアルタイム通信システムで構成しており、エラー許容性のあるリアルタイムの分散コンピュータシステムにおいては、一つの個々のノードコンピュータにおけるブレークダウンが許容される必要がある。そのようなコンピュータ構成理念の核として、事前に予想して迅速確実に情報を入れ替えるために、許容性のあるリアルタイム通信システムがある。
【0005】
これらの要求を満足する通信プロトコルは、米国特許第5,694,542号に対応する欧州特許公開第0658257号に記載されている。このプロトコルは、“タイムトリガードプロトコル/C(TTP/C)”の名称で知られており、H. Kopetzの文献(1997)“Real-Time Systems, Design Principles for Distributed Embedded Applications; ISBN:0-7923-9894-7, Boston, Kluwer Academic Publishers”でも公開されている。それは、論理的に決められたタイムスライスを用いた公知の時分割多元接続法(TDMA: time-division multiple access)に基づいている。TTP/Cは、米国特許第4,866,606号で公開されているエラー許容性のある時間同期のための方法を用いている。
【0006】
TTP/Cが前提としているのは、通信システムが論理的な通信トポロジーを支持しており、ノードコンピュータが“フェールサイレンス”のダウン状態の挙動を示している、即ちノードコンピュータがデータ領域と時間領域で正しく機能しているか、それらが静かであるということである。時間領域でのエラー、言い換えれば所謂“バブリング・イディオット(babbling idiot)”エラーは、TTP/Cで“バス監視手段”と言われ、独立した時間ベースを有しておりノードコンピュータの時間挙動を絶えずチェックしている独立したエラー識別ユニットにより回避することができる。エラー許容性を実現するために、多数のフェールサイレントなコンピュータを一つのエラー許容性のあるユニット(FTU)にまとめ、通信システムのレプリカを作成する。FTUのノードコンピュータと通信システムのレプリカが機能している限り、FTUがタイミング良く時間領域とデータ領域で働く。
【0007】
通信の論理的な通信トポロジーは、分散型バスシステム、分散型リングシステム、あるいはノードコンピュータと2地点間接続している中央デストリビュータユニット(例えばスターカップラー)により、物理的に構築することができる。分散型バスシステムあるいは分散型リングシステムを構築すると、それぞれのノードコンピュータは独自のバス監視手段を持たねばならない。これに対して、中央デストリビュータユニットを用いると、全ての監視手段をこのデストリビュータユニットに内蔵することができ、全てのノードコンピュータの挙動を全体的に監視して、時間領域で規則正しい送信挙動を効果的に強制することができる。これは後に公開された国際公開第WO01/13230A1号に記載されている。
【0008】
分散コンピュータでは、不安定なシステム状態を招きかねないエラーは特に問題である。ここでは例として、自動車でのいわゆる“ブレーキバイワイヤ(brake-by-wire)”の適用例を挙げる。この例では、センターブレーキコンピュータが、ホイルのそばにある4つのホイルコンピュータにブレーキ情報を送る。ブレーキ情報を二つのホイルコンピュータが正しく受信し、別の二つのホイルコンピュータが情報を受信しないなら、不安定な状態が発生する。そして、自動車の同じ側にある二つのブレーキが効くと、その自動車はコントロール不能になりかねない。ここで記述した種類のエラーは、文献でビザンチン(Byzantine)エラーと呼ばれている(Kopetz文献P.60、P.133)。ビザンチンエラーを迅速に認識し正しく処理をすることは、情報科学の難しい問題の一つである。
【0009】
低いクラスのビザンチンエラーは、“軽い規格外れ(slightly-off-specification)”、略してSOSエラーにより構成される。SOSエラーは、アナログ技術とデジタル技術間の切れ目で発生することがある。前記の専門分野では、“デジタル信号”で論理信号が、“アナログ信号”で全ての物理信号が解釈される。この意味でここでも、アナログ技術とデジタル技術の区分が解釈される。データ伝達を実現するにあたって、規定された時間インターバルの間に、信号データ(例えば、規定された電圧許容インターバルからの電圧)により回路上にそれぞれの論理ビットを表すことができる。正常な送信側は、規定された許容インターバル内で、アナログ信号を発生させねばならない。それにより、全ての正常な受信側はこれらの信号を正しく解釈することが確実となる。そして、情報の送信側が(データ領域、時間領域、あるいはその両方で)規定されたインターバルのすぐ外側で信号を発生すると(軽い規格外れ)、幾つかの受信側が本信号を正しく解釈し、他方、別の受信側が信号を間違って解釈する場合がある。我々は、そのような通信情報をSOSエラーと呼ぶ。結果として、先にブレーキシステムを使って説明したビザンチンエラーが起きることがある。そのようなエラーは、欠陥のある電源供給、欠陥のある発振器、あるいは経年により弱くなった構成部品に原因があることがある。例えばビット系列を生み出すコンピュータの発振器に欠陥があるというようなエラー原因が、両方のチャンネルに起きると、二つの通信チャンネルへの情報送信でSOSエラーを避けることができない。
【0010】
続くエラーが更に被害を大きくする前に対策を取るために、出現するエラーをできるだけ早期に識別することが安全技術の基本である。引用しているTTP/Cプロトコル(欧州特許公開第0658257号)では、TDMAの最大2ラウンド以内にTTP/CプロトコルのいわゆるメンバーシップアルゴリズムによりSOSエラーを確実に識別することになっている。SOSエラーで代表的な問題となるのは、殆ど発生しない瞬間的なエラーであり、TTP/Cの現在使われているプロトタイプにおいて、殆ど発生しないクラスのSOSエラーが、非常に似た頻繁に起きるエラーのせいにされ、そのようなエラーとして処理されている。
【0011】
本発明の課題は、分散コンピュータシステムでのSOSクラスのエラーを適切な方法により許容できるようにすることである。
【0012】
最初に述べた種類の方法により本課題を解決しており、本発明によれば、独立して構成した監視手段が、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受信コンピュータが明らかに正しくないと識別できる情報に変換するように構成している。
【0013】
本課題は、前述した種類のエラー許容型分散コンピュータシステムによって解決しており、本発明によれば、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受入コンピュータが明らかに正しくないと識別できる情報に変換するように、独立して構成した監視手段を設けている。
【0014】
本発明によれば、高度に信頼性あるリアルタイムコンピュータ用途において、時間制御されたエラー許容型分散アーキテクチャでの“軽い規格外れ”(SOS)エラーのエラークラスでも許容できる。
【0015】
有利な実施形態では、全ての受信コンピュータが正しくないと識別できる不完全な情報を発生するために、コンピュータの通信コントロールユニットの送る情報開始が、監視手段には論理的に分かっている情報の開始時間領域内にあたっているか、そして、情報がこれらの時間領域の外にある場合に、それに相当する通信チャンネルが直ちに閉鎖するかどうかを、独立した各監視手段が独自の時間ベースを使ってチェックする。このようにすれば、損なわれているのは僅かだけであり、場合によっては受信側が間違って正しいと解釈する情報を避けることができる。
【0016】
監視手段は、関連するコード化規則を考慮し独自の時間ベースと独自の電源供給のもとで、時間領域とデータ領域で入力物理信号を再生修復すれば更に目的に適っている。そのように独立して再生修復できると、求められるシステムの安全性が本質的に向上する。
【0017】
本発明の別の実施形態では、情報を受信しない監視手段が正しいCRCで正しい長さの情報を生成しないようにしている。これによりシステムの安全性がさらに上昇する。
【0018】
開始時間ウインドウに基づく最適制御では、監視手段の開始時間ウインドウ(は、ノードコンピュータの開始時間ウインドウに対して、システム精度より大きな時間遅れて始まり、ノードコンピュータの開始時間ウインドウに対して、前記システム精度より大きな時間先んじて終了する。
【0019】
監視手段を少なくとも一つのデストリビュータユニットに内蔵し、デストリビュータユニットに独自の電源供給および独自のエラー許容型分散時計同期機能がある場合に、安全性の面だけでなく、システムを実現するコストに関しての追加の利点も得られる。
【0020】
更なる利点も含めて、本発明を図解した実施例を用いて詳細に説明する。
【0021】
図1には4台のノード(結節)コンピュータK1、K2、K3、K4を含むシステムを示しており、そこではそれぞれのコンピュータが交換可能なユニットを構成しており、2地点間接続チャンネルまたは通信チャンネルc11...c42を介して、同一の二つの中央デストリビュータユニットV1またはV2と接続している。ノードコンピュータの各出口とデストリビュータユニットの各入口の間には監視手段GUAがあり、それは独立して設けているか或いはデストリビュータユニットの中に内蔵していることもある。監視手段またはバス監視手段の基本的な機能はKopetz文献のP.173に説明されている。監視手段は、その機能を果たすために、コントローラの他にチャンネルを開閉するスイッチが必要である。デストリビュータユニットV1とV2の間にある二つの一方向通信チャンネルv21、v12は、中央デストリビュータユニットV1とV2とが相互に監視し情報交換できるようにする。同じくKopetz文献の例えばP.172〜177から分かるように、各ノードコンピュータK1...K4は、自律コントローラCONまたは通信コントローラを有しており、それは同一の通信チャンネル、例えばc11、c12と繋がっている。概略的に描いている接続ラインw1、w2は専用の通信チャンネルであり、デストリビュータユニットのパラメータとその機能が正しく働いていることを監視できるメンテ用コンピュータWACに繋がっている。
【0022】
図2は、通信コントローラCONと、分散コンピュータシステムにある別のノードコンピュータないしデストリビュータユニットに繋がる通信チャンネルc11、c12とを有するノードコンピュータK1を示している。ここでは、監視手段GUAを、通信チャンネルc11、c21用のバス監視手段として設けているが、図1に従い独立した二つの中央デストリビュータユニットV1、V2に内蔵することもできる。論理的に見て、三つのサブシステム、即ちノードコンピュータ+2つの監視手段が、“欠陥抑制ユニット”FCUと呼ばれる図2に示したユニットを構成している。記述したように、監視手段GUAが物理的に中央デストリビュータユニットまたはノードコンピュータに内蔵しているかどうかと、この構成は関係ない。
【0023】
図3に関していえば、そこには情報の開始のための開始時間ウインドウが示されている。同図では、ノードコンピュータないしそのコントローラの長さTCONを持つ開始時間ウインドウTCONと、監視手段の開始時間ウインドウTGUAとが区別されている。本発明では、監視手段の時間ウインドウTGUAがノードコンピュータの時間ウインドウTCONより短く、ウインドウTCONの中にある時間ウインドウTGUAとの間に間隔τ1ないしτ2を残しており、その間隔はシステム精度Pより大きい。精度についての概念は、例えばKopetz文献3.1.3章“Precision and Accuracy”P.49とP.50に説明されている。
【0024】
アクティブなサブシステム、例えばノードコンピュータK1のエラーを「非拘束アクティブ」であるということにする。さらに、パッシブなサブシステム、例えば監視手段または接続チャンネルc11またはc12のエラーを「非拘束パッシブ」であるということにする。但し、後者の場合、パッシブのサブシステムの構造により、そのサブシステム自体がアクティブなサブシステムからの入力なしで、受信側が構文上は正しい情報であると解釈するビット系列を生成できないことが確実であることを条件とする。情報が構文的に正しいとは、その情報が、CRCチェックでエラーを示さず、予想されるような正しい長さを有し、コード化規則に従っており、予想される時間間隔内に到着することをいう。
【0025】
正しいCRCをどのように生成するか(CRCを生み出すアルゴリズムをとらえられない)、および正しい情報はどれ位の長さでなければならないかについての情報をパッシブなサブシステムが持ち合わせていない場合、構文的に正しい情報が統計的に偶然のプロセス(トラブル)に基づいて生じる確率は無視できるほど小さい。
【0026】
欠陥抑制ユニットFCUは、下記仮定が満足されると、ノードコンピュータK1の非拘束アクティブエラーまたは両監視手段GUAの一方の非拘束パッシブエラーを、ビザンチン(Byzantine)エラーでないエラーに変換することができる。
(i) 正常なノードコンピュータK1が、両方のチャンネルc11とc12に構文的に正しい同じ情報を送る。さらに、
(ii) 正常な監視手段GUAが、ノードコンピュータK1のSOSエラー情報を構文的に正しい情報、または受信側が明らかに正しくないと識別する情報(非SOS情報)に変換する。さらに、
(iii) 情報を送る間に、最大一つのサブシステムに欠陥がある。
【0027】
エラーの仮定(iii)の理由により、三つの導入サブシステムK1、GUA、GUAの一つだけに欠陥がある可能性がある。ノードコンピュータK1にエラーがあるなら、両方の監視手段GUAとGUAには欠陥がなく、仮定(ii)に相当して非SOS情報を生成する。両方の監視手段GUAの一つに非拘束パッシブエラーがあるとすれば、ノードコンピュータK1は構文的に正しい情報を発生し、その構文的に正しい情報を両方の監視手段に伝達する(仮定i)。そして、正常な監視手段GUAは全ての受信側、即ちノードコンピュータに情報を適正に送信する。TTP/Cプロトコルの自己信頼原理と受信ロジックにより、この場合、全ての正常な受信側は正しい情報を選び出し、送信しているノードコンピュータを正常と判別する。SOSエラーを許容するために、TTP/Cプロトコルを変更する必要はない。
【0028】
任意の情報は、次の三つの理由によりSOSエラーがある可能性がある。
(i) 情報がデータ領域でSOSエラーを有している、および/または
(ii) 情報が時間領域で内部SOSエラーを有している(例えば、コード内のタイミングエラー)。および/または
(iii) 情報の伝達が、規定された送信インターバルのやや外側(図3参照)で始まる。
【0029】
正常な監視手段(GUA)は、これらのエラーの原因を以下のように非SOSエラーに変換する。
(i) 情報の出力データを、独立した電源供給を有する監視手段GUAにより生成する。
(ii) 情報のコードを、バス監視手段の独自の時間ベースを有する監視手段GUAにより再構成する。
(iii) 規定された時間インターバルTGUAの外側で送信が始まったことを認識すると直ぐに、監視手段はチャンネルを封鎖する。それにより、全ての受信側、即ちノードコンピュータは、大きく損なわれた情報を受信し、エラーがあることを認識する。
【0030】
情報送信時間の終了の直ぐ後に、監視手段GUAがチャンネルを封鎖することは、SOSエラーを避けるためには一般的に充分ではない。封鎖により軽く損なわれた情報がエラーのない監視手段GUAに対するSOSエラーの契機となる可能性を排除できないからである。両方の監視手段が同様に情報を軽く損なうと、SOSエラーがシステムレベルで発生する場合がある。
【0031】
本発明は記載した4つのノードコンピュータを含む実施形態に限定されるものではなく、任意に拡大できる。また、TTP/Cプロトコルだけでなく、別の時間制御のプロトコルでも利用できる。
【図面の簡単な説明】
【図1】 同一の二つの中央デストリビュータユニットを通じてお互いに接続した4つのノードコンピュータを含む分散コンピュータシステムの概略図である。
【図2】 一つのコンピュータと二つの監視手段で構成する欠陥抑制ユニットを示す図である。
【図3】 監視手段とノードコンピュータの開始時間ウインドウの位置関係を示す図である。
Claims (11)
- 通信チャンネル(c11...c42)を通じて接続された複数のノードコンピュータ(K1...K4)を備え、各ノードコンピュータは自立型の通信コントロールユニット(CON)を有しており、通信チャンネルへのアクセスは時分割多元接続法により行われ、ノードコンピュータからの出力情報が監視手段(GUA)によりチェックされるように構成されたエラー許容型分散コンピュータシステムにおけるエラー処理方法であって、
独立して構成した監視手段(GUA)が、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受信側ノードコンピュータ(K1...K4)が明らかに正しくないと識別できる情報に変換することを特徴とする、エラー処理方法。 - 全ての受信側ノードコンピュータが正しくないと識別できる不完全な情報を発生するために、ノードコンピュータ(K1...K4)の通信コントロールユニット(CON)の送る情報開始が、監視手段(GUA)には論理的に分かっている情報の開始時間ウインドウ(TGUA)内にあたっているか、そして、情報がこれらの時間ウインドウの外にある場合に、それに相当する通信チャンネル(c11...c42)が直ちに閉鎖するかどうかを、独立した各監視手段(GUA)が独自の時間ベースを使ってチェックすることを特徴とする、請求項1に記載の方法。
- 監視手段(GUA)は、関連するコード化規則を考慮し独自の時間ベースと独自の電源供給を用いて、時間領域とデータ領域で入力物理信号を再生修復することを特徴とする、請求項1または2に記載の方法。
- 情報を受信しない監視手段(GUA)が正しいCRCで正しい長さの情報を生成しないことを特徴とする、請求項1〜3のいずれか1項に記載の方法。
- 監視手段(GUA)の開始時間ウインドウ(TGUA)は、ノードコンピュータ(K1...K4)の開始時間ウインドウ(TCON)に対して、システム精度(P)より大きな時間遅れて始まり、ノードコンピュータの開始時間ウインドウに対して、前記システム精度より大きな時間先んじて終了することを特徴とする、請求項2から4のいずれか1項に記載の方法。
- 少なくとも一つのデストリビュータユニット(V1、V2)と通信チャンネル(c11...c42)を介して相互に接続されている複数のノードコンピュータ(K1...K4)を備えており、各ノードコンピュータは自律型の通信コントロールユニット(CON)を有しており、通信チャンネル(c11...c42)へのアクセスは時分割多元接続法により行われ、ノードコンピュータの出力情報のチェックのために監視手段(GUA)を設けているエラー許容型分散コンピュータシステムであって、
独立して構成した監視手段(GUA)が、SOS(“軽い規格外れ”)エラーのある情報を、正しい情報、あるいは全ての受信側ノードコンピュータ(K1...K4)が明らかに正しくないと識別できる情報に変換するように構成されていることを特徴とする、エラー許容型分散コンピュータシステム。 - 監視手段(GUA)は独自の時間ベースを有し、全ての受信側ノードコンピュータが正しくないと識別できる不完全な情報を発生するために、ノードコンピュータ(K1...K4)の通信コントロールユニット(CON)の送る情報開始が、監視手段(GUA)には論理的に分かっている情報の開始時間領域(TGUA)内にあたっているか、そして、その情報がこれらの時間領域の外にある場合に、それに相当する通信チャンネル(c11...c42)が直ちに閉鎖するかどうかをチェックするように構成されていることを特徴とする、請求項6に記載のコンピュータシステム。
- 該監視手段(GUA)は、関連するコード化規則を考慮し独自の時間ベースと独自の電源供給を用いて、時間領域とデータ領域で入力物理信号を再生修復するように構成されていることを特徴とする、請求項6または7に記載のコンピュータシステム。
- 監視手段(GUA)は、情報を受信しないとき、正しいCRCと正しい長さを持つ情報を生成しないように構成されていることを特徴とする、請求項6〜8のいずれか1項に記載のコンピュータシステム。
- ノードコンピュータ(K1...K4)の開始時間ウインドウ(TCON)の始まりは、監視手段(GUA)の該開始時間ウインドウ(TGUA)の始まりに対して、システム精度(P)より大きな時間分だけ前にあり、監視手段の開始時間ウインドウの終わりは、ノードコンピュータの開始時間ウインドウの終わりに対して、システム精度より大きな時間分だけ前にあることを特徴とする、請求項7〜9のいずれか1項に記載のコンピュータシステム。
- 監視手段(GUA)が少なくとも一つのデストリビュータユニット(V1、V2)に内蔵されており、デストリビュータユニットが独自の電源供給および独自のエラー許容型分散時計同期機能を有していることを特徴とする、請求項6〜10のいずれか1項に記載のコンピュータシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AT0172300A AT410490B (de) | 2000-10-10 | 2000-10-10 | Verfahren zur tolerierung von ''slightly-off- specification'' fehlern in einem verteilten fehlertoleranten echtzeitcomputersystem |
| PCT/AT2001/000322 WO2002031656A2 (de) | 2000-10-10 | 2001-10-08 | Behandeln von fehlern in einem fehlertoleranten verteilten computersystem |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004511056A JP2004511056A (ja) | 2004-04-08 |
| JP3953952B2 true JP3953952B2 (ja) | 2007-08-08 |
Family
ID=3688740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002534977A Expired - Lifetime JP3953952B2 (ja) | 2000-10-10 | 2001-10-08 | エラー許容型分散コンピュータシステムでのエラー処理 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7124316B2 (ja) |
| EP (1) | EP1325414B1 (ja) |
| JP (1) | JP3953952B2 (ja) |
| KR (1) | KR100848853B1 (ja) |
| AT (2) | AT410490B (ja) |
| AU (1) | AU2001291467A1 (ja) |
| DE (1) | DE50102075D1 (ja) |
| WO (1) | WO2002031656A2 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10065115A1 (de) * | 2000-12-28 | 2002-07-04 | Bosch Gmbh Robert | Verfahren und Kommunikationssystem zum Datenaustausch zwischen mehreren über ein Bussystem miteinander in Verbindung stehenden Teilnehmern |
| DE10144070A1 (de) * | 2001-09-07 | 2003-03-27 | Philips Corp Intellectual Pty | Kommunikationsnetzwerk und Verfahren zur Steuerung des Kommunikationsnetzwerks |
| DE10148325A1 (de) * | 2001-09-29 | 2003-04-17 | Daimler Chrysler Ag | Buswächtereinheit |
| DE10206875A1 (de) * | 2002-02-18 | 2003-08-28 | Philips Intellectual Property | Verfahren und Schaltungsanordnung zum Überwachen und Verwalten des Datenverkehrs in einem Kommunikationssystem mit mehreren Kommunikationsknoten |
| EP1376356A1 (en) | 2002-06-26 | 2004-01-02 | Fujitsu Siemens Computers, LLC | Error reporting network in multiprocessor computer |
| DE10262035B4 (de) * | 2002-10-29 | 2006-03-23 | Oasis Silicon Systems Ag | Intelligenter Netzwerk Interface Controller |
| EP1622794A1 (en) * | 2003-05-06 | 2006-02-08 | Philips Intellectual Property & Standards GmbH | Timeslot sharing over different cycles in tdma bus |
| GB2404827A (en) * | 2003-08-05 | 2005-02-09 | Motorola Inc | Fault containment at non-faulty processing nodes in TDMA networks |
| US7907628B2 (en) * | 2003-11-19 | 2011-03-15 | Honeywell International Inc. | Priority based arbitration for TDMA schedule enforcement in a multi-channel system |
| US20050172167A1 (en) * | 2003-11-19 | 2005-08-04 | Honeywell International Inc. | Communication fault containment via indirect detection |
| WO2005053244A2 (en) * | 2003-11-19 | 2005-06-09 | Honeywell International Inc. | Simplified time synchronization for a centralized guardian in a tdma star network |
| US8301885B2 (en) | 2006-01-27 | 2012-10-30 | Fts Computertechnik Gmbh | Time-controlled secure communication |
| US8255732B2 (en) * | 2008-05-28 | 2012-08-28 | The United States Of America, As Represented By The Administrator Of The National Aeronautics And Space Administration | Self-stabilizing byzantine-fault-tolerant clock synchronization system and method |
| DE102009030204A1 (de) * | 2009-06-24 | 2010-12-30 | Audi Ag | Sternkoppler für ein Bussystem, Bussystem mit einem solchen Sternkoppler sowie Verfahren zum Austauschen von Signalen in einem Bussystem |
| US9575859B2 (en) | 2012-02-22 | 2017-02-21 | Fts Computertechnik Gmbh | Method for fault recognition in a system of systems |
| AT512665B1 (de) * | 2012-03-20 | 2013-12-15 | Fts Computertechnik Gmbh | Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem |
| WO2016033629A2 (de) | 2014-09-05 | 2016-03-10 | Fts Computertechnik Gmbh | Computersystem und verfahren für sicherheitskritische anwendungen |
| EP3201774B1 (de) | 2014-10-01 | 2019-02-20 | TTTech Computertechnik AG | Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit |
| US10025344B2 (en) | 2015-04-21 | 2018-07-17 | The United States Of America As Represented By The Administrator Of Nasa | Self-stabilizing distributed symmetric-fault tolerant synchronization protocol |
| EP3388944A1 (de) * | 2017-04-13 | 2018-10-17 | TTTech Computertechnik AG | Verfahren zur fehlererkennung in einem betriebssystem |
| DE102022116307A1 (de) | 2022-06-30 | 2024-01-04 | Zf Cv Systems Global Gmbh | Fahrzeugnetzwerk zur Datenkommunikation zwischen Komponenten eines Fahrzeugs sowie System und Fahrzeug damit und Verfahren dafür |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AT382253B (de) * | 1984-06-22 | 1987-02-10 | Austria Mikrosysteme Int | Lose gekoppeltes verteiltes computersystem |
| EP0658257B1 (de) * | 1992-09-04 | 1996-12-18 | Fault Tolerant Systems | Kommunikationskontrolleinheit und verfahren zur übermittlung von nachrichten |
| US5537549A (en) * | 1993-04-28 | 1996-07-16 | Allen-Bradley Company, Inc. | Communication network with time coordinated station activity by time slot and periodic interval number |
| FI96733C (fi) * | 1993-06-18 | 1996-08-12 | Nokia Telecommunications Oy | Tilaajaverkkojärjestely tilaajien liittämiseksi yleiseen puhelinverkkoon |
| US5403778A (en) | 1994-01-06 | 1995-04-04 | Texas Instruments Incorporated | Limited metal reaction for contact cleaning and improved metal-to-metal antifuse contact cleaning method |
| US5694542A (en) * | 1995-11-24 | 1997-12-02 | Fault Tolerant Systems Fts-Computertechnik Ges.M.B. | Time-triggered communication control unit and communication method |
| DE19620137C2 (de) * | 1996-05-07 | 2000-08-24 | Daimler Chrysler Ag | Protokoll für sicherheitskritische Anwendungen |
| US6467003B1 (en) * | 1997-01-21 | 2002-10-15 | Honeywell International, Inc. | Fault tolerant data communication network |
| US6574211B2 (en) * | 1997-11-03 | 2003-06-03 | Qualcomm Incorporated | Method and apparatus for high rate packet data transmission |
| US6763032B1 (en) * | 1999-02-12 | 2004-07-13 | Broadcom Corporation | Cable modem system with sample and packet synchronization |
| AT407582B (de) * | 1999-08-13 | 2001-04-25 | Fts Computertechnik Gmbh | Nachrichtenverteilereinheit mit integriertem guardian zur verhinderung von ''babbling idiot'' fehlern |
| KR100434459B1 (ko) * | 2000-06-27 | 2004-06-05 | 삼성전자주식회사 | 이동통신 시스템에서 패킷의 전송 제어방법 및 장치 |
| US7512109B2 (en) * | 2000-09-29 | 2009-03-31 | Intel Corporation | Slot structure for radio communications system |
-
2000
- 2000-10-10 AT AT0172300A patent/AT410490B/de not_active IP Right Cessation
-
2001
- 2001-10-08 KR KR1020037005029A patent/KR100848853B1/ko not_active IP Right Cessation
- 2001-10-08 WO PCT/AT2001/000322 patent/WO2002031656A2/de active IP Right Grant
- 2001-10-08 JP JP2002534977A patent/JP3953952B2/ja not_active Expired - Lifetime
- 2001-10-08 US US10/398,560 patent/US7124316B2/en not_active Expired - Lifetime
- 2001-10-08 AT AT01971468T patent/ATE265063T1/de active
- 2001-10-08 DE DE50102075T patent/DE50102075D1/de not_active Expired - Lifetime
- 2001-10-08 AU AU2001291467A patent/AU2001291467A1/en not_active Abandoned
- 2001-10-08 EP EP01971468A patent/EP1325414B1/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| DE50102075D1 (de) | 2004-05-27 |
| EP1325414B1 (de) | 2004-04-21 |
| JP2004511056A (ja) | 2004-04-08 |
| KR20030048430A (ko) | 2003-06-19 |
| ATA17232000A (de) | 2002-09-15 |
| EP1325414A2 (de) | 2003-07-09 |
| WO2002031656A2 (de) | 2002-04-18 |
| WO2002031656A3 (de) | 2002-07-25 |
| US7124316B2 (en) | 2006-10-17 |
| AU2001291467A1 (en) | 2002-04-22 |
| KR100848853B1 (ko) | 2008-07-29 |
| US20040030949A1 (en) | 2004-02-12 |
| AT410490B (de) | 2003-05-26 |
| ATE265063T1 (de) | 2004-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3953952B2 (ja) | エラー許容型分散コンピュータシステムでのエラー処理 | |
| US7586953B2 (en) | Method for monitoring a communication media access schedule of a communication controller of a communication system | |
| JP4099332B2 (ja) | 分散型コンピュータ・システムおよびこのシステムのディストリビュータ・ユニットにおける耐故障性能を向上させる方法 | |
| CA1254638A (en) | Reconfigurable high-speed integrated local network | |
| US10025651B2 (en) | FlexRay network runtime error detection and containment | |
| EP1355456A1 (en) | FlexRay communication protocol | |
| Ademaj et al. | Evaluation of fault handling of the time-triggered architecture with bus and star topology | |
| US7873739B2 (en) | Voting mechanism for transmission schedule enforcement | |
| US7474625B2 (en) | Time-triggered communication system and method for the synchronized start of a dual-channel network | |
| Kopetz et al. | Tolerating arbitrary node failures in the time-triggered architecture | |
| CN111301488B (zh) | 一种冗余结构轨道电路读取器 | |
| Shaheen et al. | A comparison of emerging time-triggered protocols for automotive X-by-wire control networks | |
| Kopetz | Fault management in the time triggered protocol (TTP) | |
| US20050172167A1 (en) | Communication fault containment via indirect detection | |
| CN117284352A (zh) | 轨道交通数据的表决系统 | |
| Stoeger et al. | Improving Availability of Time-Triggered Networks: The TTA StarCoupler | |
| NAVET et al. | Optimal Replica Allocation for TTP/C Based Systems | |
| Barranco et al. | Boosting robustness in CAN systems with new star topologies: CANcentrate and ReCANcentrate | |
| Alkalai et al. | Fault-tolerant communication channel structures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040914 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070329 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070410 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070425 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3953952 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120511 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130511 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140511 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |