JP3973560B2 - 分散コンピュ−タシステムのオペレーション方法 - Google Patents

分散コンピュ−タシステムのオペレーション方法 Download PDF

Info

Publication number
JP3973560B2
JP3973560B2 JP2002578131A JP2002578131A JP3973560B2 JP 3973560 B2 JP3973560 B2 JP 3973560B2 JP 2002578131 A JP2002578131 A JP 2002578131A JP 2002578131 A JP2002578131 A JP 2002578131A JP 3973560 B2 JP3973560 B2 JP 3973560B2
Authority
JP
Japan
Prior art keywords
node
controller
communication
coordination
nkn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002578131A
Other languages
English (en)
Other versions
JP2004533043A (ja
Inventor
ステファン・ポレドナ
Original Assignee
テェーテェーテック・コンピュータテクニック・アーゲー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テェーテェーテック・コンピュータテクニック・アーゲー filed Critical テェーテェーテック・コンピュータテクニック・アーゲー
Publication of JP2004533043A publication Critical patent/JP2004533043A/ja
Application granted granted Critical
Publication of JP3973560B2 publication Critical patent/JP3973560B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1482Generic software techniques for error detection or fault masking by means of middleware or OS functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • G06F11/1425Reconfiguring to eliminate the error by reconfiguration of node membership
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Description

本発明は、ネットワークノードを有する分散コンピュ−タシステムのオペレーション方法であって、ネットワークノードの各々は、少なくとも1つのノードコントローラと少なくとも1つのコミュニケーションコントローラとを有する前記方法において、コミュニケーションコントローラは、相互に少なくとも1つのコミュニケーションチャネルを介して接続されており、プロビジョンは、コミュニケーションコントローラと、ネットワークノードの間で交換されるメッセージを受信するために設けられたフォールトトレランスレイヤーのためのネットワークノードのノードコントローラとの間で行われることを特徴とする前記方法に関する。
安全要請、利用性要請及びフォールトトレランス要請を有するコンピュ−タシステムに関して、 上記の要請を充足するために、代表的には冗長チャネルが使用され、これに関しては、クルーワアカデミー出版社から1997年に出版された、H.クロペッツ著の「リアルタイムシステム;分散埋設アプリケーションの設計原理」を参照されたい。これらの冗長チャネル及び構成部分は、代表的にはセンサからコンピュ−タノードを経てアクチュエータまで、リアルタイムアプリケーションで構成されねばならない。冗長チャネル及び冗長構成部分の使用は、非冗長システムに比して著しくコスト高を招く。
いくつかのアプリケーションにおいては、アプリケーション特性のために、チャネル又は構成部分を完全に冗長なものとして構成する必要はない。車両分野のワイヤーによるブレーキはその例である。そのわけは、代表的な乗合自動車は4つのブレーキホイールを有し、個々のホイールブレーキの故障は許容され得るからである。これに関連して、ブレーキはホイールロック又はブレーキが強くかけられ過ぎで故障を起こすことがないことが保証されねばならない。このような故障は、乗合自動車を不安定にする。
構成部分のそのような制御されない故障に対するセーフガードを図るために、供される制御機構、いわゆるブレーキラインが、アクチュエータと各ネットワークノードとの間に使用される。
ワイヤードブレーキアプリケーションのような高い信頼性システムに関しては、イベント駆動コミュニケーションプロトコル(即ち、CAN)とは対照的に、転送時間(潜在)におけるフォールトトレランス及び最小変動を提供するリアルタイム性能のコミュニケーションシステムが信頼を得つつある。TTP/C、例えば、そのようなタイムトリガードコミュニケーションシステムが既に市場に出回っておりかつデータの信頼のある転送に加えて、クロック同期及びメンバーシップのような一連の高いサービスを提供している。
用語「メンバーシップ」は、この関係において、特定の瞬間ーメンバーシップ点における全てのノードに対するシステムの全てのノードのオペレーション状態(固有に作動すること又は欠陥のある作動をすること)についての調和した情報を送るサービスと理解される。メンバーシップ点と他のノードに対する調和したメンバーシップ情報が認識された瞬間との間の長さ及び間隔の変動とは、メンバーシップサービスのサービスパラメータの品質特徴である。良好なメンバーシップサービスは、1つのノードの関連した状態変化の瞬間と他の全てのノードが調和した方法でこの状態変化を学習する瞬間との間の小さい最大遅れ時間を有する。これに関連して、用語「調和した」は、同一の情報を受信する全てのネットワークノードと理解される。こうして、例えば、ネットワークノードに故障が1つ発生した場合に、全てのネットワークノードが同一の故障信号を受信する。
ネットワークの各コミュニケーションコントローラにおけるメンバーシップサービスは、1つのビットが各転送ノードに割り当てられるメンバーシップベクトルを備える。このビットベクトルに「有効」と認められる送信機は、メンバーシップにおいて利用可能とみなされる。正確には、「メンバーシップベクトル」における1つのビットは、TTP/Cの関係におけるTMDA(時分割多重アクセス)の各々調和した時間スロットに順次静的に割り当てられている。
TTP/Cの構成に見られるように、タイムトリガードアーキテクチャにおける本質的な安全の利点は、 コミュニケーションコントローラとノードコントローラ(処理ユニット)との間のコミュニケーションにおけるトリガー信号の排除である。この方法で、故障が広がり得ないことが保証されることができる。コミュニケーションコントローラとノードコントローラとの間のコミュニケーションにおけるトリガー信号の厳密な排除によって、公知のシステムにおいて、作動中の処理ユニット又はソフトウエアアプリケーションについて、欠陥のある処理ユニット又はソフトウエアアプリケーションの作用に影響を与える可能性がない。この事実は、処理ユニットの欠陥のある作用がシステム全体の安全を危険にする場合に、特に適切である。例えば、「ワイヤードブレーキ」システムにおいて、即ち、ブレーキが純粋に電子的に制御されるシステムにおいて、欠陥のあるソフトウエアアプリケーションは、残りのホイールコンピュ−タの遮断にもかかわらず、自動車全体の運転の制御が不可能になる得る自動車の4つのホイールの1つをブロックすることができる。しかし、制御パルスの一般的な転送は、システム全体の安全の危険源としても制御パルスを提供する。供される遮断ラインは資源需要の増大と追加の故障源の導入に繋がる。
従って、本発明の課題は、引用された従来技術の欠点を克服することにある。
この課題は、冒頭に記載された形式の方法を使用して、フォールトトレランスレイヤーが、少なくとも1つのネットワークノードの状態に関して受信した情報に基づいて、コオーディネ−ションプロシージャを介して少なくとも1つのネットワークノードの機能を決定し、そしてコオーディネ−ションの結果が、出力信号として有効な場合、少なくとも1つのネットワークノードが出力信号の機能として指令を受けることによって達成される。
クルーワアカデミー出版社から1997年に出版された、H.クロペッツ著の「リアルタイムシステム;分散埋設アプリケーションの設計原理」
フォールトトレランスレイヤーによって提供されるトリガー信号の導入によって、他のネットワークノードがフォールトアプリケーション又は処理ユニットに、安全設計による特殊な作用をさせかつシステム全体の特殊な故障態様が制御された方法で送信されることができる。フォールトトレランスレイヤーにおけるコオーディネ−ション機構を介して、フォールトネットワークノードが更にシステムの他のノードへ及ぼす影響が阻止されることができる。この方法で、個々の故障がシステム全体の故障に影響を及ぼさないことが保証されることができる。こうして、本発明は、信頼のあるコミュニケーションレイヤーの処理ユニットとアクチュエータの間の領域への拡幅を提供する。
コオーディネ−ションの結果は、コミュニケーションコントローラの1つ又は複数のハードウエア出力に利用可能にされる。
本発明の1つの態様によれば、コオーディネ−ションの結果は、コミュニケーションコントローラの少なくとも1つのピンのデジタル出力信号として利用可能にされることができる。
問題のあるコミュニケーションコントローラのメンバーシップ情報は、有利にコオーディネ−ションプロシージャに組み入れられることができる。その結果、他のノードが評価メッセージを送信することを阻止する欠陥ノード形成が他のノードの時間スロットを占める欠陥ノードによるコオーディネ−ションに考慮されることができる。
更に、フォールトトレランスレイヤーは、コミュニケーションコントローラと処理ユニットのデータ構造とはそれ自体無関係なデータ構造を、コオーディネ−ションアルゴリズムの選択及びコオーディネ−ションのために適用されるメッセージのために、使用することができる。
追加の利点は、少なくとも1つのアクチュエータが出力信号の関数として好適な状態又は安全な状態にもたらされることによって達成されることができる。
有利に、ネットワークノードの間のコミュニケーションは、TTO/Cプロトコルによるタイムトリガードベースで行われる。
本発明を実施例と共に、図中に表された複数の実施例と関連させて以下に説明するが、これによって本発明の権利範囲が制限されるものではない。
図1は、各々ノードコントローラST 1〜ST6と、コミュニケーションコントローラKK 1〜KK6とから構成されている6つのネットワークノードNK 1〜NK6を有する分散コンピュ−タシステムSYSの図式図を示し、コミュニケーションコントローラは、バスBUSを介して相互に接続されている。明細書中において、用語「ノードコントローラST 1〜ST6」は、トリガータスク、又は一般的な意味のタスクを実行するために装備され、適切なソフトウエアアプリケーションAP1〜AP6によってコンピュ−タシステムの領域内の特殊なネットワークノードNK 1〜NK6のために設計された処理ユニットRE1〜RE6と理解される。
好ましくはネットワークノードNK 1〜NK6の間のコミュニケーションは、タイムトリガード転送プロトコル、例えば、TTP/Cプロトコルに従って行われる。TTP/Cプロトコルの概念については、例えば、ヨーロッパ特許146612を参照されたい。
ネットワークノードNK 1〜NK6のいくつか又は全ては、他のネットワークノードNK 1〜NK6の作用又はオペレーション状態をモニタすることができ、その際モニタ作用は反復して行われる。こうして、あるノードをモニタするノード自体は、他のノードによってモニタされることができる。モニタの結果は、ネットワークノードNK 1〜NK6のコミュニケーションコントローラKK 1〜KK6の間の評価メッセージとしてバスBUSを介して交換される。
ノードコントローラST 1〜ST6とコミュニケーションコントローラKK 1〜KK6との間にはフォールトトレランスレイヤーFT 1〜FT6が位置しており、フォールトトレランスレイヤーは、バスBUSを介して転送される評価メッセージを受信しかつネットワークノードの関数に関する個別の評価メッセージについてのコオーディネ−ションプロシージャを実行する。フォールトトレランスレイヤーの概念に関しては、例えば、「ニューヨークIEEEプレスの依存システム及びネットワーク(DSN200)についてG.Bauer及びH.Kopetzの著作によるタイムトリガードアーキテクチャにおける透明冗長の 5〜13頁」を参照のこと。実際に、フォールトトレランスレイヤーは、例えば、コミュニケーションコントローラKK 1〜KK6とノードコントローラST 1〜ST2との間に配置されて適切にプログラムされたマイクロプロセッサを使用することによって構成されることができる。フォールトトレランスレイヤーを形成するための他の可能性は、フォールトトレランスレイヤーをハードウエアユニットとしてコミュニケーションコントローラに設けることにある。
次のアルゴリズムはコオーディネ−ションプロシージャの変形として考慮される。
コオーディネ−ションに関連して、フォールトトレランスレイヤーFTによって使用される評価メッセージの数nに関して、 評価メッセージの数mは、結果(多数コオーディネ−ション)に導くために、n/2よりの大きくなければならない。
・又は、考慮される全ての評価メッセージは等しくなければならない(n=n)−一致
コオーディネ−ションの結果は、記憶領域におけるネットワークノードのデジタル又はアナログ出力信号としてかつコミュニケーションコントローラKK 1〜KK6、例えば、コミュニケーションコントローラKK 1〜KK6のピンのハードウエア出力に利用されることができる。出力信号ASSの関数として、処理ユニットの再スタート又は緊急遮断が実行されることができ、及び/又はアクチュエータAKTが、下記のように、好適な又は安全な状態にもたらされることができる。
図2によれば、ネットワークノードNKNは、ノードコントローラSTR(対応するソフトウエアアプリケーションを伴う処理ユニットREE),例えば、対応してプログラムされたCPU(中央処理ユニット)及びコミュニケーションコントローラKKKを有する。処理ユニットREEとコミュニケーションコントローラKKKとの間に、安全上の理由からインタフェースを介してトリガー信号の交換を行わないインタフェースCNIが位置しかつ前記フォールトトレランスレイヤーFTSが位置している。
コミュニケーションコントローラKKKは、バスBUSを介してネットワークノードとのコミュニケーションシーケンスを制御する。そのようにする場合、データは、データインタフェースCNIから読み出されかつ使用されるタイムトリガードコミュニケーションフローによって先に特定されたタイムスロットに転送される。同様に、処理ユニットREEのために受信されたメッセージは、データインタフェースCNIに蓄えられる。フォールトトレランスレイヤーFTSのタスクは、他のものとの間で、処理ユニットREEで実行されているソフトウエアアプリケーションAPLのためのデータインタフェースCNIに蓄えられたデータを、トリガーネットワークノードNWK又は要請に従ってアクチュエータに提供すること、及びフォールトトレランスレイヤーFTSと処理ユニットREEとの間に位置するデータインタフェースFT−CNIに蓄える。例えば、可変の冗長メッセージは、一緒に置かれ、値は変換され又は特殊な値は計算され、こうして、処理ユニットREEに蓄えられたソフトウエアアプリケーションAPLは、ルーチン作動及び複雑性を緩和される。ソフトウエアアプリケーションAPLは、結局、トリガーアクチュエータAKT,例えば、ブレーキアクチュエータのタスクを行わせる。
本発明によれば、既に先に述べたように、フォールトトレランスレイヤーFTSは、出力信号ASSとして有効ななコオーディネ−ションの結果を作成することができる。この出力信号ASSは、記憶領域、 例えば、インタフェースCNIの領域におけるネットワークノードにおいて利用可能にされることができる。
このデータインタフェースCNI及び/又はフォールトトレランスレイヤーFTSは、処理ユニットに接続され、その結果必要な場合には、出力信号ASSが処理ユニットREEに転送されることができ、出力信号ASSの予め設定可能な値でスイッチを遮断し又は再スタートするために、処理ユニットを装備することが可能である。こうして、ノードコントローラSTRの再スタート又は緊急遮断が、出力信号によって行われることができる。その上、データインタフェースCNI及び/又はフォールトトレランスレイヤーFTSはアクチュエータAKTに接続されることができ、その結果アクチュエータは、出力信号ASSの値によって好適な又は安全な状態にシフトされる。
既に先に述べたように、コオーディネ−ションプロシージャ自体のために、数個のバリエーションが原理的に想定できる。しかし、ここで本質的なことは、コミュニケーションコントローラKKKと処理ユニットREEとの間のフォールトトレランスレイヤーの存在であり、フォールトトレランスレイヤーは、処理ユニットREEとは無関係にコオーディネ−ションプロシージャを実行しかつコオーディネ−ションの結果を出力信号ASSとして有効とする。
フォールトトレランスレイヤーFTSの独立性を保証するために、フォールトトレランスレイヤーFTSは、コオーディネ−ションアルゴリズムの選択と、コミュニケーションコントローラKKKとノードコントローラSTRのデータ構造とは無関係なコオーディネ−ションのために採択された評価メッセージ用のデータ構造を有することができる。
好ましくは、本発明による方法によって、フォールトトレランスレイヤーにおいて、フォールトトレランスレイヤーFTSに割り当てられたノードNKNの関数が制御され、 この場合、このノードNKNの関数に関する出力信号ASSが制御される。コオーディネ−ションとしてリストアップされた他のノードの評価メッセージは、勿論ノードNKNの状態に関係する。
図3は、可能なワイヤードブレーキアーキテクチャの簡単化した図である。このアーキテクチャにおいて、ネットワークノードNK1、NK3,NK4,NK6は、ホイールの制御を行う。2つのネットワークノードNK2、NK5は、冗長的にブレーキペダル位置を検出する。ネットワークノードNK1〜NK6は、バスBUSを介して互いに接続されており、バスは、通常、全ての安全関連メッセージを冗長的に転送する2つのコミュニケーションチャネルから成り、かつコミュニケーションチャネルの各々は、TTP/Cコミュニケーションコントローラ、フォールトトレランスレイヤーFT1〜FT6及びノードコントローラST1〜ST6を有する。しかし、原則的に、相異なるタイムトリガードコミュニケーションプロトコルが、TTP/Cプロトコルの代わりに使用されることができる。本発明は、ノードコントローラST1〜ST6及びこれに接続されたアクチュエータの作用についての追加的制御を導入することを可能にし、その際システム全体の安全が縮減されることはない。
個々のフォールトを許容することができるために、ブレーキペダル位置を検出するために使用されるネットワークノードNK2、NK5は、余裕をもって設計されねばならない。代表的な乗合自動車は、4つのブレーキホイールを有するので、 個々のホイールブレーキの故障は許容される。従って、唯一のネットワークノードNK 1、NK3,NK4、NK6は,ブレーキコントローラのための各ホイールに位置する。
ホイール上の他の処理ユニットの作用を制御するソフトウエアアプリケーションは、ホイールノードの各処理ユニットで実行される。こうして、ノードコントローラST1〜ST6は、他のノードコントローラST1〜ST6をモニターすることができる。バスBUS及び自動車の運転状況について測定されたデータを介して送信された両メッセージは、これらの制御タスクのためのデータとして使用されることができる。他の処理ユニット又はネットワークノードNK1〜NK6の評価は、バスを介して評価メッセージNA1〜NA6として送信される。各コミュニケーションコントローラKK1〜KK6は、それから各コミュニケーションにおいて順次3つの他のホイールノードの評価メッセージNA1,NA3,NA4,NA6を受信しかつそれらをそのために割り当てられた特殊なデータインタフェースCNIに蓄える。各ネットワークノードの独立したフォールトトレランスレイヤーFT1〜FT6は、特殊なノードのローカルメッセージと共に,受信した評価メッセージNA1〜NA6からそのコオーディネ−ションの結果を作成することができかつ前記コオーディネ−ションの結果を特殊なネットワークノードNK1〜NK6内及び当該コミュニケーションコントローラKK1〜KK6のハードウエア出力の出力信号AS1〜AS6として有効にする。
既に先に述べたように、多数決又は一致は、基本のコオーディネ−ションプロシージャとして可能である。その上、メンバーシップ情報は、タイムトリガードコミュニケーションプロトコルがそのような配列を有するならば、コオーディネ−ションの結果に組み込まれることができる。TTP/Cは、コオーディネ−ションのために列挙されることができる分散メンバーシップサービスを提供する。メンバーシップ情報と関連することによって、コオーディネ−ションのために使用される変形が行われる。
・メンバーシップ情報のみの使用;
コオーディネ−ションプロシージャのための供されたメッセージ(評価メッセージ)の使用;
・供されるメッセージ及びメンバーシップ情報;
ネットワークノードNK1〜NK6が多数又は全部が一致し、処理ユニットの作用又はオペレーション中のソフトウエアアプリケーションが全システムの安全を危険にさらした場合には、このノードのフォールトトレランスレイヤーFT1〜FT6が相応した出力信号AS1〜AS6を発生する。
そのようなコオーディネ−ションの結果から引き出されるべきいかなる結果も、システムの先の配列において決定されねばならない。表示された実施例において、ソフトウエアアプリケーションの一時的な故障を直すために、ブレーキアクチュエータを安全な状態にもたらすこと及び欠陥処理ユニットの再スタートを行わせることの双方が、必要である。
どのコミュニケーションラウンドにおいても新たなコオーディネ−ションオペレーションが行われるので、接続されたアクチュエータの制御は、ネットワークノードの再積層が完成した後に、割り当てられたノードコントローラ又は処理ユニットに移送されることができる。
コオーディネ−ション値についての情報は特別のデータインタフェースCNI内で内部で利用可能でありかつコミュニケーションコントローラKK 1〜KK6から他のネットワークノードNK 1〜NK6に移送されるので、ネットワークノードは、状況に応じてブレーキ力を再配分することによって、故障状態に応答することができる。
コオーディネ−ションプロシージャのための独立のフォールトトレランスの導入は、タイムトリガードされたバスとデータインタフェースCNIとを超えて処理ユニットの反復制御の可能性を創造する。これは、特殊な故障態様に正しく応答することを可能にするために必要である。それにもかかわらず、この方法で個々の故障がシステム全体の安全を害さないことが保証されることができる。
本発明による分散コンピュ−タシステムのオペレーション方法におけるコオーディネ−ションプロシージャのための独立のフォールトトレランスの導入は、タイムトリガードされたバスとデータインタフェースCNIと介して処理ユニットの反復制御の可能性を創造する。これによって、特殊な故障態様に正しく応答し、しかも、コンピュ−タのオペレーションにおいて、個々の故障がシステム全体の安全を害さないことが保証されることができる。
タイムトリガードコミュニケーションを伴う分散コンピュ−タシステムを示す図である。 フォールトトレランスレイヤーを備えたネットワークノードの論理構造を示す図である。 ワイヤードブレーキ構造の単純化した図である。
符号の説明
AKT アクチュエータ
AK1 アクチュエータ
AK2 アクチュエータ
AK3 アクチュエータ
AK4 アクチュエータ
ASS 出力信号
AS1 出力信号
AS2 出力信号
AS3 出力信号
AS4 出力信号
AS5 出力信号
AS6 出力信号
BUS コミュニケーションチャネル
FTS フォールトトレランスレイヤー
FT1 フォールトトレランスレイヤー
FT2 フォールトトレランスレイヤー
FT3 フォールトトレランスレイヤー
FT4 フォールトトレランスレイヤー
FT5 フォールトトレランスレイヤー
FT6 フォールトトレランスレイヤー
KKK コミュニケーションコントローラ
KK1 コミュニケーションコントローラ
KK2 コミュニケーションコントローラ
KK3 コミュニケーションコントローラ
KK4 コミュニケーションコントローラ
KK5 コミュニケーションコントローラ
KK6 コミュニケーションコントローラ
NA1 評価メッセージ
NA2 評価メッセージ
NA3 評価メッセージ
NA4 評価メッセージ
NA5 評価メッセージ
NA6 評価メッセージ
NKN ネットワークノード
NK1 ネットワークノード
NK2 ネットワークノード
NK3 ネットワークノード
NK4 ネットワークノード
NK5 ネットワークノード
NK6 ネットワークノード
STR ノードコントローラ
ST1 ノードコントローラ
ST2 ノードコントローラ
ST3 ノードコントローラ
ST4 ノードコントローラ
ST5 ノードコントローラ
ST6 ノードコントローラ
SYS コンピュータシステム

Claims (10)

  1. ネットワークノード (NKN,NK 1〜NK6)を有する分散コンピュ−タシステム(SYS)のオペレーション方法であって、各ネットワークノード (NKN,NK 1〜NK6)は、少なくとも1つのノードコントローラ (STR,ST1 〜ST6)と、少なくとも1つのコミュニケーションコントローラ (KKK,KK 1〜KK6)とを有し、コミュニケーションコントローラ (KKK,KK 1〜KK6)は、少なくとも1つのコミュニケーションチャネル(BUS)に接続されており、フォールトトレランスレイヤー (FTS,FT 1〜FT6)に対する準備はネットワークノード(NKN,NK1〜NK6)のコミュニケーションコントローラ (KK 1〜KK6)とノードコントローラ (STR,ST1〜ST6)の間で行われ、前記フォールトトレランスレイヤー (FTS,FT 1〜FT6)はネットワークノード(NKN,NK1〜NK6)間で交換されるメッセージを受信するために配置され、 各フォールトトレランスレイヤー (FTS,FT 1〜FT6)は、受信した少なくとも1つのネットワークノード (NKN,NK 1〜NK6)の状態に関係する情報に基づいて、コオーデネーションプロシージャを介して少なくとも1つのネットワークノード (NK 1〜NK6)の機能を決定し、そのコオーディネーションの結果が出力信号 (ASS,AS 1〜AS6)として有効な場合、その出力信号 (ASS,AS 1〜AS6)の機能に応じて少なくとも1つのネットワークノード (NKN,NK 1〜NK6)は動作することを特徴とする前記方法。
  2. コオーディネーションの結果が、コミュニケーションコントローラ (KKK,KK 1〜KK6)の1つ又は複数のハードウエア出力に利用可能にされることを特徴とする請求項1に記載の方法。
  3. コオーディネーションの結果が、コミュニケーションコントローラ (KKK,KK 1〜KK6)の少なくとも1つのピンのデジタル出力信号として利用可能にされることを特徴とする請求項1又は2に記載の方法。
  4. 問題のあるコミュニケーションコントローラ (KKK,KK 1〜KK6)のメンバーシップ情報がコーオーデネーションプロシージャに含まれていることを特徴とする請求項1から3までのうちのいずれか 1つに記載の方法。
  5. フォールトトレランスレイヤー (FTS,FT 1〜FT6)が、コオーデネーションアルゴリズムの選択及び協調のためにリストアップされた評価メッセージ(NA1〜NA6)のために、コミュニケーションコントローラ (KKK,KK 1〜KK6)及びノードコントローラ (ST 1〜ST6)のデータ構造とはそれ自体無関係なデータ構造を使用することを特徴とする請求項1から3までのうちのいずれか 1つに記載の方法。
  6. コオーディネ−ションの結果が、記憶領域におけるネットワークノード内で利用可能にされることを特徴とする請求項1から4までのうちのいずれか 1つに記載の方法。
  7. 少なくとも1つのノードコントローラ (ST 1〜ST6)が、出力信号 (ASS,AS 1〜AS6)の機能として再スタートされることを特徴とする請求項1から5までのうちのいずれか 1つに記載の方法。
  8. ノードコントローラ (ST 1〜ST6)の緊急遮断が、出力信号 (ASS,AS 1〜AS6)の機能として行われることを特徴とする請求項1から6までのうちのいずれか 1つに記載の方法。
  9. 少なくとも1つのネットワークノード (NKN,NK 1〜NK6)が、ノードコントローラ (STR,ST 1〜ST6)に接続されたアクチュエータ (AKT,AK 1〜AK4) を有し、アクチュエータ (AKT,AK 1〜AK4)は、出力信号 (ASS,AS 1〜AS6)によって好適な状態又は安全な状態にもたらされることを特徴とする請求項1から7までのうちのいずれか 1つに記載の方法。
  10. ネットワークノード (NKN,NK 1〜NK6)の間のコミュニケーションが、TTP/Cプロトコルによるタイムトリガードベースで行われることを特徴とする請求項1から8までのうちのいずれか 1つに記載の方法。
JP2002578131A 2001-03-30 2002-03-27 分散コンピュ−タシステムのオペレーション方法 Expired - Lifetime JP3973560B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
AT5112001 2001-03-30
PCT/AT2002/000094 WO2002079972A2 (de) 2001-03-30 2002-03-27 Verfahren zum betrieb eines verteilten computersystems

Publications (2)

Publication Number Publication Date
JP2004533043A JP2004533043A (ja) 2004-10-28
JP3973560B2 true JP3973560B2 (ja) 2007-09-12

Family

ID=3675579

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002578131A Expired - Lifetime JP3973560B2 (ja) 2001-03-30 2002-03-27 分散コンピュ−タシステムのオペレーション方法

Country Status (6)

Country Link
US (1) US7023870B2 (ja)
EP (1) EP1374052B1 (ja)
JP (1) JP3973560B2 (ja)
AU (1) AU2002240697A1 (ja)
DE (1) DE50208001D1 (ja)
WO (1) WO2002079972A2 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8180882B2 (en) * 2004-07-22 2012-05-15 Tyco Electronics Subsea Communications Llc Distributed messaging system and method for sharing network status data
JP4871687B2 (ja) * 2005-10-03 2012-02-08 日立オートモティブシステムズ株式会社 車両制御システム
JP5303617B2 (ja) * 2005-10-03 2013-10-02 日立オートモティブシステムズ株式会社 車両制御システム
US7986700B2 (en) 2006-09-25 2011-07-26 Futurewei Technologies, Inc. Multiplexed data stream circuit architecture
US8494009B2 (en) * 2006-09-25 2013-07-23 Futurewei Technologies, Inc. Network clock synchronization timestamp
US7809027B2 (en) 2006-09-25 2010-10-05 Futurewei Technologies, Inc. Network clock synchronization floating window and window delineation
US8976796B2 (en) 2006-09-25 2015-03-10 Futurewei Technologies, Inc. Bandwidth reuse in multiplexed data stream
US8588209B2 (en) 2006-09-25 2013-11-19 Futurewei Technologies, Inc. Multi-network compatible data architecture
US8660152B2 (en) 2006-09-25 2014-02-25 Futurewei Technologies, Inc. Multi-frame network clock synchronization
US7961751B2 (en) * 2006-09-25 2011-06-14 Futurewei Technologies, Inc. Multiplexed data stream timeslot map
US8340101B2 (en) * 2006-09-25 2012-12-25 Futurewei Technologies, Inc. Multiplexed data stream payload format
US7675945B2 (en) * 2006-09-25 2010-03-09 Futurewei Technologies, Inc. Multi-component compatible data architecture
US7813271B2 (en) * 2006-09-25 2010-10-12 Futurewei Technologies, Inc. Aggregated link traffic protection
US8295310B2 (en) * 2006-09-25 2012-10-23 Futurewei Technologies, Inc. Inter-packet gap network clock synchronization
CN101578794B (zh) * 2007-01-26 2012-12-12 华为技术有限公司 数据通信装置及网络组件
US7876940B2 (en) * 2007-01-30 2011-01-25 International Business Machines Corporation Universal image processing
US8238624B2 (en) * 2007-01-30 2012-08-07 International Business Machines Corporation Hybrid medical image processing
JP4337884B2 (ja) * 2007-01-31 2009-09-30 株式会社日立製作所 インバータ制御装置
US8462369B2 (en) * 2007-04-23 2013-06-11 International Business Machines Corporation Hybrid image processing system for a single field of view having a plurality of inspection threads
US8331737B2 (en) * 2007-04-23 2012-12-11 International Business Machines Corporation Heterogeneous image processing system
US8326092B2 (en) * 2007-04-23 2012-12-04 International Business Machines Corporation Heterogeneous image processing system
US8675219B2 (en) * 2007-10-24 2014-03-18 International Business Machines Corporation High bandwidth image processing with run time library function offload via task distribution to special purpose engines
US9135073B2 (en) * 2007-11-15 2015-09-15 International Business Machines Corporation Server-processor hybrid system for processing data
US20090132582A1 (en) * 2007-11-15 2009-05-21 Kim Moon J Processor-server hybrid system for processing data
US20090150556A1 (en) * 2007-12-06 2009-06-11 Kim Moon J Memory to storage communication for hybrid systems
US9332074B2 (en) * 2007-12-06 2016-05-03 International Business Machines Corporation Memory to memory communication and storage for hybrid systems
US8229251B2 (en) * 2008-02-08 2012-07-24 International Business Machines Corporation Pre-processing optimization of an image processing system
US8379963B2 (en) * 2008-03-28 2013-02-19 International Business Machines Corporation Visual inspection system
EP2119612B1 (en) * 2008-05-16 2013-09-11 Hitachi, Ltd. Monitoring a status of nodes of a communication network
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
JP5651442B2 (ja) * 2010-11-29 2015-01-14 矢崎総業株式会社 動作支援装置、電子機器、電子制御装置、及び、制御システム
US10019292B2 (en) 2015-12-02 2018-07-10 Fts Computertechnik Gmbh Method for executing a comprehensive real-time computer application by exchanging time-triggered messages among real-time software components
US10481963B1 (en) * 2016-06-29 2019-11-19 Amazon Technologies, Inc. Load-balancing for achieving transaction fault tolerance

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0135499B1 (en) * 1983-02-09 1990-05-02 International Business Machines Corporation A method for achieving multiple processor agreement optimized for no faults
US5325518A (en) * 1991-04-02 1994-06-28 Carnegie Mellon University Adaptive distributed system and method for fault tolerance
DE19509558A1 (de) * 1995-03-16 1996-09-19 Abb Patent Gmbh Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
DE19753288A1 (de) * 1996-12-03 1998-06-04 Fts Computertechnik Gmbh Effizientes Quittungsverfahren in einem verteilten zeitgesteuerten Echtzeitsystem
US6092213A (en) * 1997-09-30 2000-07-18 Tandem Computers Incorporated Fault tolerant method of maintaining and distributing configuration information in a distributed processing system
GB2353113B (en) * 1999-08-11 2001-10-10 Sun Microsystems Inc Software fault tolerant computer system

Also Published As

Publication number Publication date
WO2002079972A2 (de) 2002-10-10
AU2002240697A1 (en) 2002-10-15
WO2002079972A3 (de) 2003-09-12
US7023870B2 (en) 2006-04-04
US20040062265A1 (en) 2004-04-01
DE50208001D1 (de) 2006-10-12
EP1374052A2 (de) 2004-01-02
EP1374052B1 (de) 2006-08-30
JP2004533043A (ja) 2004-10-28

Similar Documents

Publication Publication Date Title
JP3973560B2 (ja) 分散コンピュ−タシステムのオペレーション方法
JP4776374B2 (ja) 二重化監視制御システム、及び同システムの冗長化切替え方法
AU2002231167B2 (en) Method of "split-brain" prevention in computer cluster systems
US5542047A (en) Distributed network monitoring system for monitoring node and link status
US5978933A (en) Generic fault tolerant platform
JP4505763B2 (ja) ノードクラスタの管理
EP3285168B1 (en) Disaster tolerance method and apparatus in active-active cluster system
US20080301489A1 (en) Multi-agent hot-standby system and failover method for the same
EP0449964A4 (en) Distributed switching architecture for communication module redundancy
US20120254377A1 (en) Redundant Automation System
CA2616229A1 (en) Redundant systems management frameworks for network environments
CN111510398A (zh) 用于控制平面网络中的冗余连接的控制设备和方法
EP1497731B1 (en) A method and a system for ensuring a bus and a control server
JP2752914B2 (ja) 二重化監視制御システム
CN109491236B (zh) 用于运行高可用性的自动化系统的方法
JP2000357162A (ja) 分散サーバ構成におけるサーバ間のデータ同期方式
Pimentel et al. A fault management protocol for TTP/C
JP6653250B2 (ja) 計算機システム
JP2885583B2 (ja) 通信手順制御システム
JP2577474B2 (ja) 照合2重化プログラム制御方式
JP2000148709A (ja) マルチcpu構成システムおよびシステム再構成方法
WO2023007209A1 (en) Fault-tolerant distributed computing for vehicular systems
JPS6155699B2 (ja)
JPS5890202A (ja) プロセス制御装置
JPH02171801A (ja) 並列多重電子連動装置ならびにその切換方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070612

R150 Certificate of patent or registration of utility model

Ref document number: 3973560

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term