WO2013096986A2 - Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten - Google Patents

Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten Download PDF

Info

Publication number
WO2013096986A2
WO2013096986A2 PCT/AT2012/050208 AT2012050208W WO2013096986A2 WO 2013096986 A2 WO2013096986 A2 WO 2013096986A2 AT 2012050208 W AT2012050208 W AT 2012050208W WO 2013096986 A2 WO2013096986 A2 WO 2013096986A2
Authority
WO
WIPO (PCT)
Prior art keywords
component
components
computer system
message
time
Prior art date
Application number
PCT/AT2012/050208
Other languages
English (en)
French (fr)
Other versions
WO2013096986A3 (de
Inventor
Stefan Poledna
Original Assignee
Fts Computertechnik Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fts Computertechnik Gmbh filed Critical Fts Computertechnik Gmbh
Priority to EP12822954.9A priority Critical patent/EP2798495A2/de
Priority to US14/369,080 priority patent/US9407696B2/en
Publication of WO2013096986A2 publication Critical patent/WO2013096986A2/de
Publication of WO2013096986A3 publication Critical patent/WO2013096986A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/52Program synchronisation; Mutual exclusion, e.g. by means of semaphores

Definitions

  • the present invention is in the field of computer technology.
  • the invention relates to a method for timely aggregation of results of a plurality of periodically operating components of a distributed computer system, wherein the components communicate exclusively by means of messages via at least one communication system, and wherein each component has a global time with the precision P.
  • the invention relates to a distributed computer system, in particular for the timely combination of results of a plurality of periodic components, the computer system comprising a plurality of periodically operating components, wherein the components communicate exclusively by means of messages via at least one communication system, and wherein each component over a global time with the precision P features.
  • the invention also relates to a distributed computer architecture for the timely combination of the results of periodically operating components, in particular computer components.
  • the invention describes an innovative method with which a multiplicity of periodically operating components of a distributed real-time system can be embedded in a hierarchical structure and how the results of these components can be brought together in a timely manner by means of a time-controlled communication system.
  • a multiplicity of components-in the example of the aircraft-more than a hundred components-must work together to solve the tasks set.
  • the complexity of such a system can be reduced by embedding the components in a hierarchical structure, the communication between the components according to predetermined Timed rules, and the temporal behavior of the components and the communication is predictable.
  • the reduction in complexity is also required to predict system behavior after a fault has occurred in one of the components.
  • a safety-critical real-time system-as in the example of the aircraft-essential system functions must remain upright even after the failure of components.
  • This object is achieved by a method as mentioned above and a computer system mentioned in the introduction by assigning each component, preferably in a system design, uniquely to one of n hierarchical levels, and the durations of the periods of the components derived from the progression of the global time , within an integer multiple of each other, and within each longest period of the entire distributed computer system, the phase of transmission of each message is synchronized with the corresponding phase of reception of each transmitted message, even if the transmitting components and the receiving components are arranged on different hierarchical levels and spatially distributed.
  • the duration of the period of a component is an integer multiple of a smallest period and a component is uniquely assigned to a hierarchical level on the basis of the duration of its period.
  • the Components with the shortest period form the lowest hierarchical level, and the components with the longest period form the topmost hierarchical level.
  • the present invention thus discloses how to build a security-critical distributed real-time system to reduce complexity. Reducing complexity reduces software development and testing time and significantly reduces the cost of system development.
  • the present invention discloses how a safety-critical distributed real-time system can be constructed to reduce the cognitive effort required to understand the functions of the system.
  • the complexity of such a system can be reduced, in which the components are embedded in a hierarchical structure, the communication between the components proceeds according to predetermined rules, and the temporal behavior of the components and the communication is predictable. Reducing complexity reduces software development and testing time and significantly reduces the cost of system development.
  • time of the message transport by a time-controlled communication system is synchronized with the end of the period of the component sending a message.
  • a component of a higher hierarchical level to receive messages from a plurality of components of the subordinate hierarchy levels. It is of particular advantage that the behavior of a set of hierarchically arranged components, which forward information to the next higher hierarchical level and wherein the information flow forms an in-tree, is replaced or replaceable by a simulation system which determines the upward behavior of the root of the in-trees replaced.
  • the global time is synchronized with the temps atomique international (TAI) with an accuracy of A.
  • an excellent period of the series of possible periods has the duration of exactly one TAI second.
  • the messages received and sent by a component are distributed over a TTEthernet communication system.
  • the communication system is designed to be redundant.
  • each component forms a fault-containment unit.
  • a component produces either correct, no or recognizably false messages.
  • the global time is fault-tolerant.
  • a component is a restart unit which attempts to restart immediately after detecting an error. Furthermore, it can still be provided that a component receiving a message checks whether the content of the message corresponds to the dynamic input assurance provided for this message.
  • a result or result is only correct if it corresponds to the specification in the value range and in the time range. It therefore makes sense to understand the term component to mean a unit of software and hardware, since only such a unit has a defined behavior in the range of values and in the time domain.
  • This component notion includes both a physical component where the component is a physical hardware unit and a virtual component where a software module is executed in a hypervisor-provided partition of a larger hardware unit.
  • each component is a fault containment unit (FCU) in order to be able to restrict the immediate consequences of a fault cause of the specified fault class (eg, hardware or software) to a single component.
  • FCU fault containment unit
  • a subsequent error of a faulty component can propagate only across a faulty message across the component boundaries.
  • a message can be faulty in the time domain or in the value range.
  • TTEthernet [6] the timed communication system that forms an independent FCU can detect the time domain error and prevent the propagation of the error.
  • errors in the value range must be recognized by the component that receives the message. To do this, the message recipient must check that incoming messages match an input assertion.
  • a fail-silent component will generally consist of two FCUs. In coordination with the error hypothesis, one of these two FCUs can be very simple, eg an independent watchdog which constantly monitors the function of the component and immediately triggers a restart after detecting an error. Since experience has shown that in most cases the cause of the error is transient, this restart will be successful in the majority of cases.
  • a fault-tolerant global time is introduced which can be accessed by all components of the system.
  • the construction of a fault-tolerant time with a known precision P and an accuracy A is described in detail in ([4], chapter 3). If all significant events occurring in the real-time system are sparse events (see [4], chapter 3), a consistent temporal order of these events can be established throughout the system.
  • Fig. 1 shows a number of components associated with four levels of abstraction
  • FIG. 1 shows a system with ten components 11-14, 21-23, 31, 32, 41 which exchange messages via a time-controlled communication system 50.
  • the timed communication system 50 is a priori, ie before use, announced when a component sends a message and how long the message may be maximum. This specification of the communication parameters can be done dynamically and is preferably, like all other parameters that can be changed dynamically, secured by cryptographic protocols.
  • the timed Communication system 50 is thus able to detect a time misconduct of a component. If the components are fail-silent, the timed communication system can detect all component errors.
  • a hierarchy of periodic components 11-14, 21-23, 31, 32, 41 is formed, wherein the duration of the period assigned to a component is an integer multiple of a smallest period.
  • the periods are determined by the progression of global time. We refer to the smallest period as base period.
  • the period of the entire distributed computer system results from the least common multiple (kgV) of the periods of all components. It is advantageous if the durations of the periods are a power of two of the smallest period. In this case, the least common multiple of the entire system corresponds to the longest period of a component. After the product kgV * base period, the temporal behavior of the entire distributed computer system is repeated.
  • the processing times of the components may be different. However, it must be ensured that the processing time of a component is shorter than the duration of the period assigned to that component, i. the difference between period duration and processing time, the laxity, must be positive.
  • This assignment of the components to the hierarchy levels 1, 2, 3, 4 is based on the logic of the given application. An example of such an assignment is shown in FIG. According to the logic of the illustrated application, the ten components 11-14, 21-23, 31, 32, 41 are assigned four hierarchy levels 1, 2, 3, 4. If e.g. If the kgV of the periods of these components has the value 30, the temporal behavior of the entire distributed computer system will repeat itself after 30 basic periods.
  • a component of a lower hierarchical level only communicates with a component of a higher hierarchical level.
  • the component 11 communicates with the Component 21 and the component 12 with the component 21, but not the component 11 with the component 12.
  • Such a direct communication between the components 11 and 12 should only in exceptional cases, if the application necessarily requires done.
  • the component 21 has three communication interfaces, two downwardly directed to the components 11, 12 and an upward to the component 31.
  • this in-tree can be replaced by a simulation system which simulates the environment observed by the nodes 11, 12, 21 at the communication interface between the components 21 to 31.
  • this architecture it is possible to replace parts of the real system for the purpose of testing by a simulation system. This significantly reduces the test effort required to commission large distributed systems.
  • a camera may be connected to the component 11 shown in FIG. 1 and a radar device for monitoring the environment may be connected to the component 12.
  • the component 21 performs a data fusion of the results of these two observations to identify the objects in the environment.
  • Component 31 decides which reactions to take on the basis of the observed objects.
  • the component 21 can be replaced by a simulation system in order to test the correct reactions of the entire system in the most diverse situations.
  • the communication system 50 may copy and send selected messages to an independent monitoring component.
  • a corresponding procedure for timely observation of the communication between components is disclosed in [2].
  • Figure 2 shows the timing of processing in a component and the Communication between components. According to the invention, it is assumed that all components operate periodically. The time is divided into periods, wherein within each period, the circle of Figure 2 is run in a clockwise direction. An event within a period is specified by the phase position, ie the phase of the event to the period origin. For example, in FIG. 2, the event 100, the period origin in FIG. 2, the phase 0 degrees, the event 120, the phase 90 degrees. The period origin (event 100) can be synchronized with the global time.
  • FIG. 2 describes the communication between the components 11, 21, 31 of FIG. 1, the period of component 31 being shown in FIG.
  • the component 11 begins processing, e.g. reading the sensors of the component 11.
  • the processing in the component 11 is completed and the timed communication system 50 is ready to transport the result of the component 11 in the form of a message to the component 21.
  • component 21 begins processing.
  • the processing is completed at time 130.
  • the timed communication system 50 is ready to transport the result of the component 21 in the form of a message to the component 31.
  • the phases of the processing in the components and the communication between the components are synchronized. According to Wikipedia [7], synchronization is understood as the temporal alignment of processes. Synchronization thus ensures that actions occur in a certain order or simultaneously; H. take place synchronously [7].
  • the schedules for processing the data in the components and for inter-component communication by a scheduler are such that, within each longest period of the entire distributed computer system, the phase of transmission of each message coincides with the receipt of each message sent is synchronized, ie that in each period the sending of a message takes place before the reception of this message.
  • This determination prevents a component of a previous period from being consumed by a component before it corresponding message of the current period was produced.
  • This type of synchronization must also be ensured if the sending component and the receiving component are arranged on different hierarchical levels and spatially distributed.
  • the realization of such a schedule calculated by a scheduler which fulfills the conditions set out above, can be realized with the TTEthernet system [6].
  • fault-tolerant clock synchronization, fault containment at the component level, or temporal fault detection in the time-triggered communication system can be substantially supported by hardware-implemented functions.
  • Such hardware support results in a reduction in power consumption and silicon area while increasing throughput.
  • the innovative method disclosed here reduces the complexity of safety-critical real-time systems, increases reliability, and significantly lowers the costs of system development, testing, and maintenance.

Abstract

Die Erfindung betrifft ein Verfahren zur zeitrichtigen Zusammenführung von Ergebnissen einer Vielzahl von periodisch arbeitenden Komponenten eines verteilten Computersystems, wobei die Komponenten ausschließlich mittels Nachrichten über mindestens ein Kommunikationssystem kommunizieren, und wobei jede Komponente über eine globale Zeit mit der Präzision P verfügt. Es ist vorgesehen, dass jede Komponente, vorzugsweise in einem Systementwurf, eindeutig einer von n Hierarchieebenen zugeordnet wird, und wobei die Dauern der Perioden der Komponenten, die vom Fortschreiten der globalen Zeit abgeleitet werden, in einem ganzzahligen Vielfachen zueinander stehen, und wobei innerhalb jeder längsten Periode des gesamten verteilten Computersystems die Phase des Sendens jeder Nachricht mit der entsprechenden Phase des Empfangs jeder gesendeten Nachricht synchronisiert ist, auch wenn die sendenden Komponenten und die empfangenden Komponenten auf unterschiedlichen Hierarchieebenen angeordnet und räumlich verteilt sind. Weiters betrifft die Erfindung ein Computersystem zum Durchführen eines solchen Verfahrens.

Description

VERFAHREN ZUR ZEITRICHTIGEN ZUSAMMENFÜHRUNG VON ERGEBNISSEN VON
PERIODISCH ARBEITENDEN EDV-KOMPONENTEN
Die vorliegende Erfindung liegt im Bereich der Computertechnik.
Konkret betrifft die Erfindung ein Verfahren zur zeitrichtigen Zusammenführung von Ergebnissen einer Vielzahl von periodisch arbeitenden Komponenten eines verteilten Computersystems, wobei die Komponenten ausschließlich mittels Nachrichten über mindestens ein Kommunikationssystem kommunizieren, und wobei jede Komponente über eine globale Zeit mit der Präzision P verfügt.
Weiters betrifft die Erfindung ein verteiltes Computersystem insbesondere zur zeitrichtigen Zusammenführung von Ergebnissen einer Vielzahl von periodisch arbeitenden Komponenten, das Computersystem umfassend eine Vielzahl von periodisch arbeitenden Komponenten, wobei die Komponenten ausschließlich mittels Nachrichten über mindestens ein Kommunikationssystem kommunizieren, und wobei jede Komponente über eine globale Zeit mit der Präzision P verfügt.
Außerdem betrifft die Erfindung noch eine verteilte Computer Architektur zur zeitrichtigen Zusammenführung der Ergebnisse periodisch arbeitender Komponenten, insbesondere EDV-Komponenten.
Die Erfindung beschreibt ein innovatives Verfahren, mit welchem eine Vielzahl von periodisch arbeitenden Komponenten eines verteilten Echtzeitsystems in eine hierarchische Struktur eingebettet werden können und wie die Ergebnisse dieser Komponenten mittels eines zeitgesteuerten Kommunikationssystems zeitrichtig zusammengeführt werden können.
In verteilten Echtzeitsystemen, z.B. in einem Flugzeug, muss eine Vielzahl von Komponenten— im Beispiel des Flugzeugs mehr als hundert Komponenten— zusammenwirken, um die gestellten Aufgaben zu lösen. Die Komplexität eines solchen Systems kann reduziert werden, indem die Komponenten in eine hierarchische Struktur eingebettet werden, die Kommunikation zwischen den Komponenten nach vorgegebenen Regeln zeitgesteuert abläuft, und das zeitliche Verhalten der Komponenten und der Kommunikation vorhersehbar ist.
Die Reduktion der Komplexität ist auch erforderlich, um das Systemverhalten nach Auftreten eines Fehlers in einer der Komponenten vorhersehen zu können. In einem sicherheitskritischen Echtzeitsystem— wie im Beispiel des Flugzeugs— müssen wesentliche Systemfunktionen auch nach dem Ausfall von Komponenten aufrecht bleiben.
Die besondere Rolle, die hierarchische Modellen beim Verstehen von komplexen Vorgängen leisten, wurde bereits von Simon [5] im Jahre 1962 ausführlich behandelt. Auch in [1] wird vorgeschlagen, ein großes System-of-Systems hierarchisch zu strukturieren.
Es ist eine Aufgabe der vorliegenden Erfindung, eine Verbindung von hierarchischer Systemstruktur mit synchronem Verhalten der Komponenten und systematischem Fault- Containment auf den verschiedenen Ebenen der Hierarchie zu schaffen.
Diese Aufgabe wird mit einem eingangs erwähnten Verfahren sowie einem eingangs erwähnten Computersystem dadurch gelöst, dass jede Komponente, vorzugsweise in einem Systementwurf, eindeutig einer von n Hierarchieebenen zugeordnet wird, und wobei die Dauern der Perioden der Komponenten, die vom Fortschreiten der globalen Zeit abgeleitet werden, in einem ganzzahligen Vielfachen zueinander stehen, und wobei innerhalb jeder längsten Periode des gesamten verteilten Computersystems die Phase des Sendens jeder Nachricht mit der entsprechenden Phase des Empfangs jeder gesendeten Nachricht synchronisiert ist, auch wenn die sendenden Komponenten und die empfangenden Komponenten auf unterschiedlichen Hierarchieebenen angeordnet und räumlich verteilt sind.
In der vorliegenden Erfindung wird vorgeschlagen, eine Hierarchie von periodisch arbeitenden Komponenten zu bilden, wobei die Dauer der Periode einer Komponente ein ganzzahliges Vielfaches einer kleinsten Periode ist und wobei eine Komponente auf der Basis der Dauer ihrer Periode eindeutig einer Hierarchieebene zugeteilt wird. Die Komponenten mit der kürzesten Periode bilden die unterste Hierarchieebene und die Komponenten mit der längsten Periode bilden die oberste Hierarchieebene.
Die vorliegende Erfindung legt somit offen, wie ein sicherheitskritisches verteiltes Echtzeitsystem aufgebaut werden kann, um die Komplexität zu reduzieren. Durch die Reduktion der Komplexität werden der Zeitaufwand für die Softwareentwicklung und das Testen herabgesetzt, sowie die Kosten für die Systementwicklung signifikant reduziert.
Die vorliegende Erfindung legt offen, wie ein sicherheitskritisches verteiltes Echtzeitsystem aufgebaut werden kann, um den kognitiven Aufwand, der erforderlich ist, um die Funktionen des Systems zu verstehen, zu reduzieren. Die Komplexität eines solchen Systems kann reduziert werden, in dem die Komponenten in eine hierarchische Struktur eingebettet werden, die Kommunikation zwischen den Komponenten nach vorgegebenen Regeln abläuft, und das zeitliche Verhalten der Komponenten und der Kommunikation vorhersehbar ist. Durch die Reduktion der Komplexität werden der Zeitaufwand für die Softwareentwicklung und das Testen herabgesetzt, sowie die Kosten für die Systementwicklung signifikant reduziert.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrnes uns des erfindungsgemäßen Computersystems sind in den Unteransprüchen beschrieben.
So ist es von Vorteil, wenn der Zeitpunkt des Nachrichtentransports durch ein zeitgesteuertes Kommunikationssystem mit dem Ende der Periode der eine Nachricht sendenden Komponente synchronisiert ist.
Günstig ist es, wenn eine Komponente einer Hierarchieebene nur mit einer Komponente einer höheren Hierarchieebene kommuniziert.
Außerdem ist es zweckmäßig, wenn eine Komponente einer höheren Hierarchieebene Nachrichten von einer Vielzahl von Komponenten der unterlagerten Hierarchieebenen empfängt. Von besonderem Vorteil ist es, dass das Verhalten einer Menge von hierarchisch angeordneten Komponenten, die Informationen an die nächsthöhere Hierarchieebene weiterleiten und wobei der Informationsfluss einen In-tree bildet, durch ein Simulationssystem ersetzt bzw. ersetzbar ist, welches das nach oben gerichtete Verhalten der Wurzel des In-trees ersetzt.
Zweckmäßigerweise ist vorgesehen, dass die globale Zeit mit der temps atomique international (TAI) mit einer Genauigkeit A synchronisiert ist.
Von Vorteil ist es, wenn die globale Zeit sparse ist.
Außerdem kann vorgesehen sein, dass eine ausgezeichnete Periode der Reihe von möglichen Perioden die Dauer von exakt einer TAI Sekunde hat.
Zweckmäßiger Weise ist vorgesehen, dass die von einer Komponente empfangenen und gesendeten Nachrichten über ein TTEthernet Kommunikationssystem verteilt werden.
Außerdem ist es von Vorteil, wenn das Kommunikationssystem redundant ausgelegt ist.
Außerdem ist es günstig, wenn die zumindest eine Komponente, vorzugsweise jede Komponente eine fault-containment unit bildet.
Außerdem kann vorgesehen sein, dass eine Komponente entweder richtige, keine oder erkennbar falsche Nachrichten produziert.
Vorzugsweise ist vorgesehen, dass die globale Zeit fehlertolerant ist.
Von Vorteil ist es, wenn die dynamische Veränderung von Parametern der Komponenten oder des Kommunikationssystem durch kryptographische Protokolle abgesichert ist.
Schließlich kann mit Vorteil noch vorgesehen sein, dass eine Komponente eine Wiederanlaufeinheit ist, die nach dem Erkennen eines Fehlers sofort den Wiederanlauf versucht. Des weiteren kann noch vorgesehen sein, dass eine Komponente, die eine Nachricht empfängt, überprüft, ob der Inhalt der Nachricht der für diese Nachricht vorgesehenen dynamischen Eingabe-Zusicherung entspricht.
Außerdem ist es von Vorteil, wenn das Verhalten der einzelnen Komponenten zeitrichtig beobachtet wird, ohne dabei das Zeitverhalten der Komponenten zu beeinflussen.
In der Echtzeitdatenverarbeitung ist ein Resultat bzw. Ergebnis nur richtig, wenn es im Wertebereich und im Zeitbereich der Spezifikation entspricht. Es ist deshalb sinnvoll, unter dem Begriff einer Komponente eine Einheit aus Software und Hardware zu verstehen, da nur eine solche Einheit ein definiertes Verhalten im Wertebereich und im Zeitbereich hat. Dieser Komponentenbegriff umfasst sowohl eine physikalische Komponente, wo die Komponente eine physikalische Hardwareeinheit ist, wie auch eine virtuelle Komponente, wo eine Softwaremodul in einer von einem Hypervisor zur Verfügung gestellten Partition einer größeren Hardwareeinheit ausgeführt wird.
Es ist vorteilhaft, wenn jede Komponente eine Fault-Containment-Unit (FCU) ist, um die unmittelbaren Folgen einer Fehlerursache der spezifizierten Fault Klasse (z.B., Hardware oder Software) auf eine einzige Komponente eingrenzen zu können. Wenn solche Komponenten ausschließlich mittels Nachrichten kommunizieren, so kann sich ein Folgefehler einer fehlerhaften Komponente nur über eine fehlerhafte Nachricht über die Komponentengrenzen hinweg ausbreiten. Eine Nachricht kann im Zeitbereich oder im Wertebereich fehlerhaft sein. Wenn ein zeitgesteuertes Kommunikationssystem, wie z.B. TTEthernet [6], eingesetzt wird, so kann das zeitgesteuerte Kommunikationssystem, das eine unabhängige FCU bildet, den Fehler im Zeitbereich erkennen und die Ausbreitung des Fehlers verhindern. Fehler im Wertebereich müssen im allgemeinen Fall von der Komponente, die die Nachricht empfängt, erkannt werden. Zu diesem Zweck muss der Nachrichtenempfänger überprüfen, ob eintreffende Nachrichten einer Eingabe- Zusicherung (input assertion) entsprechen. Es ist vorteilhaft, wenn diese Eingabe- Zusicherung dynamisch veränderbar ist, um die Eingangsüberprüfung dem sich zeitlich ändernden aktuellen Systemzustand anpassen zu können. Wenn eine Komponente ein fail-silent Verhalten aufweist, d.h. sie produziert entweder richtige, keine oder erkennbar falsche Nachrichten, so können alle Komponentenfehler im Zeitbereich durch das zeitgesteuerte Kommunikationssystem erkannt werden. Eine fail-silent Komponente wird im allgemeinen Fall aus zwei FCUs bestehen. In Abstimmung mit der Fehlerhypothese kann eine dieser beiden FCUs sehr einfach sein, z.B. ein unabhängiger Watchdog der die Funktion der Komponente laufend überwacht und nach dem Erkennen eines Fehlers sofort einen Wiederanlauf anstoßt. Da erfahrungsgemäß in der Mehrzahl der Fälle die Fehlerursache transient ist, wird dieser Wiederanlauf in der Mehrzahl der Fälle erfolgreich sein.
Da die technischen Prozesse, die von einem Echtzeitsystem kontrolliert werden, nach den Gesetzen der Physik ablaufen, spielt die physikalische Zeit in der Echtzeitdatenverarbeitung eine besondere Rolle. Erfindungsgemäß wird deshalb eine fehlertolerante globale Zeit eingeführt, auf die alle Komponenten des Systems zugreifen können. Der Aufbau einer fehlertoleranten Zeit mit einer bekannten Präzision P und einer Genauigkeit A ist in ([4], Kap. 3) genau beschrieben. Wenn alle signifikanten Ereignisse, die im Echtzeitsystem auftreten, sparse events sind (siehe [4], Kap. 3] so lässt sich im gesamten System eine konsistente zeitliche Ordnung dieser Ereignisse herstellen.
Die Erfindung wird im Folgenden an Hand der Zeichnung näher erläutert. In dieser zeigt
Fig. 1 ein Anzahl von Komponenten, die vier Abstraktionsebenen zugeordnet sind, und
Fig. 2 den Ablauf eines Verarbeitungszyklus in der periodischen Darstellung der Zeit.
Die folgende Beschreibung einer Realisierung stellt dabei nur eine von vielen Möglichkeiten zur technischen Umsetzung der Erfindung dar.
Figur 1 zeigt ein System mit zehn Komponenten 11-14, 21-23, 31, 32, 41, die über ein zeitgesteuertes Kommunikationssystem 50 Nachrichten austauschen. Dem zeitgesteuerten Kommunikationssystem 50 wird a priori, d.i. vor der Nutzung, bekannt gegeben, wann eine Komponente eine Nachricht sendet und wie lange die Nachricht maximal sein darf. Diese Vorgabe der Kommunikationsparameter kann dynamisch erfolgen und ist vorzugsweise, wie alle anderen Parameter, die dynamisch verändert werden können, durch kryptographische Protokolle abzusichern. Das zeitgesteuerte Kommunikationssystem 50 ist somit in der Lage, ein zeitliches Fehlverhalten einer Komponente zu erkennen. Wenn die Komponenten fail-silent sind, so kann das zeitgesteuerte Kommunikationssystem alle Komponentenfehler erkennen.
In dieser Erfindung wird im Systementwurf eine Hierarchie von periodisch arbeitenden Komponenten 11-14, 21-23, 31, 32, 41 gebildet, wobei die Dauer der einer Komponente zugewiesenen Periode ein ganzzahliges Vielfaches einer kleinsten Periode ist. Die Perioden werden vom Fortschreiten der globalen Zeit bestimmt. Wir bezeichnen die kleinste Periode als Basisperiode. Die Periode des gesamten verteilten Computersystems ergibt sich aus dem kleinsten gemeinsamen Vielfachen (kgV) der Perioden aller Komponenten. Es ist vorteilhaft, wenn die Dauern der Perioden eine Zweierpotenz der kleinsten Periode sind. In diesem Fall entspricht das kleinste gemeinsame Vielfache des Gesamtsystems der längsten Periode einer Komponente. Nach dem Produkt kgV*Basisperiode wiederholt sich das zeitliche Verhalten des gesamten verteilten Computer Systems..
In der vorliegenden Architektur können die Verarbeitungsdauern der Komponenten unterschiedlich lang sein. Es muss jedoch gewährleistet sein, dass die Verarbeitungsdauer einer Komponente kürzer ist als die Dauer der Periode, die dieser Komponente zugewiesen wurde, d.h. die Differenz zwischen Periodendauer und Verarbeitungsdauer, die Laxheit (laxity), muss positiv sein.
Diese Zuordnung der Komponenten zu den Hierarchieebenen 1, 2, 3, 4 erfolgt auf der Basis der Logik der gegebenen Applikation. Ein Beispiel einer solchen Zuordnung ist in der Figur 1 dargestellt. Entsprechend der Logik der dargestellten Applikation sind die zehn Komponenten 11-14, 21-23, 31, 32, 41 vier Hierarchieebenen 1, 2, 3, 4 zugeteilt. Wenn z.B. das kgV der Perioden dieser Komponenten den Wert 30 hat, so wird sich nach 30 Basisperioden das zeitliche Verhalten des gesamten verteilten Computersystems wiederholen.
Erfindungsgemäß ist es vorteilhaft, wenn eine Komponente einer unteren Hierarchieebene nur mit einer Komponente einer höheren Hierarchieebene kommuniziert. So kommunizieren z.B. in Figur 1 die Komponente 11 mit der Komponente 21 und die Komponente 12 mit der Komponente 21, nicht jedoch die Komponente 11 mit der Komponente 12. Eine solche direkte Kommunikation zwischen den Komponenten 11 und 12 soll nur in Ausnahmefällen, wenn es die Applikation unbedingt erfordert, erfolgen. Die Komponente 21 hat drei Kommunikationsinterfaces, zwei nach unten gerichtete zu den Komponenten 11, 12 und ein nach oben gerichtetes zur Komponente 31.
Wenn die Komponenten 11, 12 z.B. über Sensoren verfügen, mit denen sie ihre Umgebung beobachten können, so kann der Informationsfluss zwischen den Komponenten 11, 12, 21 durch einen In-tree beschrieben werden, wobei die Komponente 21 die Wurzel des In-trees bildet [3]. In diesem In-tree fließt die Information in Figur 1 von unten nach oben. Erfindungsgemäß kann dieser In-tree durch ein Simulationssystem ersetzt werden, das die von den Knoten 11, 12, 21 beobachtete Umgebung am Kommunikationsinterface zwischen den Komponenten 21 zu 31 simuliert. Somit ist es in dieser Architektur möglich, Teile des realen Systems zum Zwecke des Testens durch ein Simulationssystem zu ersetzen. Damit lässt sich der Testaufwand bei der Inbetriebnahme großer verteilter Systeme wesentlich senken.
Z.B. kann an die in Figur 1 angeführte Komponente 11 eine Kamera und an die Komponente 12 ein Radargerät zur Beobachtung der Umwelt angeschlossen sein. Die Komponente 21 führt eine Datenfusion der Ergebnisse dieser beiden Beobachtungen durch, um die Objekte in der Umwelt zu identifizieren. Die Komponente 31 entscheidet, welche Reaktionen aufgrund der beobachteten Objekte vorzunehmen sind. In der Testphase kann die Komponente 21 durch ein Simulationssystem ersetzt werden, um die richtigen Reaktionen des Gesamtsystems in den verschiedensten Situationen zu testen.
Um das Verhalten einer Komponente oder eines kompletten In-trees beobachten zu können, ohne das Zeitverhalten der Applikation zu beeinflussen, kann das Kommunikationssystem 50 ausgewählte Nachrichten kopieren und an eine unabhängige Beobachtungskomponente senden. Ein entsprechendes Verfahren zur zeitrichtigen Beobachtung der Kommunikation zwischen Komponenten ist in [2] offen gelegt.
Figur 2 zeigt den zeitlichen Ablauf der Verarbeitung in einer Komponente und der Kommunikation zwischen Komponenten. Erfindungsgemäß wird angenommen, dass alle Komponenten periodisch arbeiten. Die Zeit wird in Perioden eingeteilt, wobei innerhalb jeder Periode der Kreis von Figur 2 im Uhrzeigersinn durchlaufen wird. Ein Ereignis innerhalb einer Periode wird durch die Phasenlage, d.i. die Phase des Ereignisses zum Periodenursprung spezifiziert. Z.B. hat in Figur 2 das Ereignis 100, der Periodenursprung in Fig. 2, die Phase 0 Grad, das Ereignis 120 die Phase 90 Grad. Der Periodenursprung (das Ereignis 100) kann mit der globalen Zeit synchronisiert werden.
In Figur 2 wird die Kommunikation zwischen den Komponenten 11, 21, 31 von Figur 1 beschrieben, wobei in Figur 2 die Periode von Komponente 31 dargestellt ist. Wenn das periodische Ereignis 100 auftritt, so beginnt die Komponente 11 mit der Verarbeitung, z.B. dem Lesen der Sensoren der Komponente 11. Zum Zeitpunkt 110 ist die Verarbeitung in der Komponente 11 abgeschlossen und das zeitgesteuerte Kommunikationssystem 50 ist bereit, das Ergebnis der Komponente 11 in Form einer Nachricht an die Komponente 21 zu transportieren. Nach Ankunft der Nachricht bei der Komponente 21 zum Zeitpunkt 120 beginnt die Komponente 21 mit der Bearbeitung. Die Bearbeitung ist zum Zeitpunkt 130 abgeschlossen. Zu diesem Zeitpunkt 130 ist das zeitgesteuerte Kommunikationssystem 50 bereit, das Ergebnis der Komponente 21 in Form einer Nachricht zur Komponente 31 zu transportieren. Wie aus Figur 2 ersichtlich, sind erfindungsgemäß in der vorgeschlagenen Architektur die Phasen der Verarbeitung in den Komponenten und der Kommunikation zwischen den Komponenten synchronisiert. Laut Wikipedia [7] wird unter der Synchronisation das zeitliche Aufeinander- Abstimmen von Vorgängen verstanden. Synchronisation sorgt also dafür, dass Aktionen in einer bestimmten Reihenfolge oder gleichzeitig auftreten, d. h. synchron stattfinden [7] .
Erfindungsgemäß sind die Zeitpläne für die Verarbeitung der Daten in den Komponenten und für den Nachrichtenaustausch zwischen den Komponenten von einem Scheduler derart zu erstellen, dass innerhalb jeder längsten Periode des gesamten verteilten Computersystems die Phase des Sendens jeder Nachricht mit der entsprechenden Phase des Empfangs jeder gesendeten Nachricht synchronisiert ist, d.h., dass in jeder Periode das Senden einer Nachricht vor dem Empfang dieser Nachricht stattfindet. Durch diese Festlegung wird verhindert, dass eine Nachricht einer zeitlich vorangegangenen Periode von einer Komponente konsumiert wird, bevor die entsprechende Nachricht der laufenden Periode produziert wurde. Diese Art der Synchronisation muss auch gewährleistet sein wenn die sendende Komponente und die empfangende Komponente auf unterschiedlichen Hierarchieebenen angeordnet und räumlich verteilt sind. Die Realisierung eines solchen von einem Scheduler errechneten Zeitplans, der die vorab dargelegten Bedingungen erfüllt, lässt sich mit dem TTEthernet System [6] realisieren.
Es ist vorteilhaft, wenn ein Element dieser Reihe von Perioden exakt der physikalischen Sekunde entspricht, so dass die Aktionen von Systemen, die über keine gemeinsame interne Synchronisation verfügen, über die externe Zeit synchronisiert werden können.
In einer sicherheitsrelevanten Anwendung darf es keine Komponente geben, deren Ausfall zu einem fehlerhaften Verhalten oder zum Ausfall des Gesamtsystems führt. Es ist deshalb vorteilhaft, in sicherheitsrelevanten Anwendungen das Kommunikationssystem redundant auszulegen, so dass der Ausfall eines Teilsystems des Kommunikationssystems toleriert werden kann.
Die technische Entwicklung der Mikroelektronik ermöglicht es, viele der vorgestellten Verfahrensschritte in einem oder mehreren FPGA Chips oder direkt in ASICs zu realisieren. Zum Beispiel kann die fehlertolerante Uhrensynchronisation, das Fault- Containment auf der Ebene der Komponenten, oder die temporale Fehlererkennung im zeitgesteuerten Kommunikationssystem durch in Hardware realisierten Funktionen wesentlich unterstützt werden. Eine solche Hardwareunterstützung führt zu einer Reduzierung des Energieverbrauchs und der Siliziumfläche bei gleichzeitiger Erhöhung des Durchsatzes.
Zusammenfassend sei festgehalten, dass das hier offen gelegte innovative Verfahren die Komplexität von sicherheitskritischen Echtzeitsystemen herabsetzt, die Zuverlässigkeit erhöht und die Kosten für die Systementwicklung, das Testen und die Wartung signifikant senkt.
Zitierte Literatur [1] US 7,979,247 Butterfield, et al.. System, method and Computer program product for developing a system-of-systems architecture model. Granted July 12, 2011
[2] Österreichische Patentanmeldung A 1842/2011durch FTS Computertechnik GmbH vom 19.12.2011. Verfahren zur zeitrichtigen Beobachtung von TTEthernet Nachrichten.
[3] Wikipedia. Graphentheorie— Baum.
[4] Kopetz, H. Real-Time Systems, Design Principles for Distributed Embedded Applications. Springer Verlag. 2011.
[5] Simon, H.A. . Science of the Artificial. MIT Press. 1962.
[6] SAE Standard von TT Ethernet. URL: http:/ / standards.sae.org/ as6802
[7] Wikipedia. Sychronisation.

Claims

PATENTANSPRÜCHE
\. Verfahren zur zeitrichtigen Zusammenführung von Ergebnissen einer Vielzahl von periodisch arbeitenden Komponenten eines verteilten Computersystems, wobei die Komponenten ausschließlich mittels Nachrichten über mindestens ein Kommunikationssystem kommunizieren, und wobei jede Komponente über eine globale Zeit mit der Präzision P verfügt, dadurch gekennzeichnet, dass jede Komponente, vorzugsweise in einem Systementwurf, eindeutig einer von n Hierarchieebenen zugeordnet wird, und wobei die Dauern der Perioden der Komponenten, die vom Fortschreiten der globalen Zeit abgeleitet werden, in einem ganzzahligen Vielfachen zueinander stehen, und wobei innerhalb jeder längsten Periode des gesamten verteilten Computersystems die Phase des Sendens jeder Nachricht mit der entsprechenden Phase des Empfangs jeder gesendeten Nachricht synchronisiert ist, auch wenn die sendenden Komponenten und die empfangenden Komponenten auf unterschiedlichen Hierarchieebenen angeordnet und räumlich verteilt sind.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Zeitpunkt des Nachrichtentransports durch ein zeitgesteuertes Kommunikationssystem mit dem Ende der Periode der eine Nachricht sendenden Komponente synchronisiert ist.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass eine Komponente einer Hierarchieebene nur mit einer Komponente einer höheren Hierarchieebene kommuniziert.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass eine Komponente einer höheren Hierarchieebene Nachrichten von einer Vielzahl von Komponenten der unterlagerten Hierarchieebenen empfängt.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Verhalten einer Menge von hierarchisch angeordneten Komponenten, die Informationen an die nächsthöhere Hierarchieebene weiterleiten und wobei der Informationsfluss einen In-tree bildet, durch ein Simulationssystem ersetzt bzw. ersetzbar ist, welches das nach oben gerichtete Verhalten der Wurzel des In-trees ersetzt.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die globale Zeit mit der temps atomique international (TAI) mit einer Genauigkeit A synchronisiert ist.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die globale Zeit sparse ist.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass eine ausgezeichnete Periode der Reihe von möglichen Perioden die Dauer von exakt einer TAI Sekunde hat.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die von einer Komponente empfangenen und gesendeten Nachrichten über ein TTEthernet Kommunikationssystem verteilt werden.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass das Kommunikationssystem redundant ausgelegt ist.
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass zumindest eine Komponente, vorzugsweise jede Komponente eine fault-containment unit bildet.
12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass eine Komponente entweder richtige, keine oder erkennbar falsche Nachrichten produziert.
13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die globale Zeit fehlertolerant ist.
14. Verfahren nach der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass die dynamische Veränderung von Parametern der Komponenten oder des Kommunikationssystem durch kryptographische Protokolle abgesichert ist.
15. Verfahren nach einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass eine Komponente eine Wiederanlaufeinheit ist, die nach dem Erkennen eines Fehlers sofort den Wiederanlauf versucht.
16. Verfahren nach einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass eine Komponente, die eine Nachricht empfängt, überprüft, ob der Inhalt der Nachricht der für diese Nachricht vorgesehenen dynamischen Eingabe-Zusicherung entspricht.
17. Verfahren nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass das Verhalten der einzelnen Komponenten zeitrichtig beobachtet wird, ohne dabei das Zeitverhalten der Komponenten zu beeinflussen.
18. Verteilte Computer Architektur zur zeitrichtigen Zusammenführung der Ergebnisse periodisch arbeitender Komponenten, insbesondere EDV-Komponenten, dadurch gekennzeichnet, dass ein oder mehrere der in den Ansprüchen 1-17 offengelegten Verfahrensschritte in einer Computerhardware bestehend aus einer oder mehreren CPUs, FPGAs oder ASICs realisiert ist.
19. Verteiltes Computersystem umfassend eine Vielzahl von periodisch arbeitenden Komponenten, wobei die Komponenten ausschließlich mittels Nachrichten über mindestens ein Kommunikationssystem kommunizieren, und wobei jede Komponente über eine globale Zeit mit der Präzision P verfügt, dadurch gekennzeichnet, dass jede Komponente, vorzugsweise in einem Systementwurf, eindeutig einer von n Hierarchieebenen zugeordnet ist, und wobei die Dauern der Perioden der Komponenten, die vom Fortschreiten der globalen Zeit abgeleitet werden, in einem ganzzahligen Vielfachen zueinander stehen, und wobei innerhalb jeder längsten Periode des gesamten verteilten Computersystems die Phase des Sendens jeder Nachricht mit der entsprechenden Phase des Empfangs jeder gesendeten Nachricht synchronisiert ist, auch wenn die sendenden Komponenten und die empfangenden Komponenten auf unterschiedlichen Hierarchieebenen angeordnet und räumlich verteilt sind.
20. Computersystem nach Anspruch 19, dadurch gekennzeichnet, dass der Zeitpunkt des Nachrichtentransports durch ein zeitgesteuertes Kommunikationssystem mit dem Ende der Periode der eine Nachricht sendenden Komponente synchronisiert ist.
21. Computersystem nach Anspruch 19 oder 20, dadurch gekennzeichnet, dass eine Komponente einer Hierarchieebene nur mit einer Komponente einer höheren Hierarchieebene kommuniziert.
22. Computersystem nach einem der Ansprüche 19 bis 21, dadurch gekennzeichnet, dass eine Komponente einer höheren Hierarchieebene Nachrichten von einer Vielzahl von Komponenten der unterlagerten Hierarchieebenen empfängt.
23. Computersystem nach einem der Ansprüche 19 bis 22, dadurch gekennzeichnet, dass das Verhalten einer Menge von hierarchisch angeordneten Komponenten, die Informationen an die nächsthöhere Hierarchieebene weiterleiten und wobei der Informationsfluss einen In-tree bildet, durch ein Simulationssystem ersetzt bzw. ersetzbar ist, welches das nach oben gerichtete Verhalten der Wurzel des In-trees ersetzt.
24. Computersystem nach einem der Ansprüche 19 bis 23, dadurch gekennzeichnet, dass die globale Zeit mit der temps atomique international (TAI) mit einer Genauigkeit A synchronisiert ist.
25. Computersystem nach einem der Ansprüche 19 bis 24, dadurch gekennzeichnet, dass die globale Zeit sparse ist.
26. Computersystem nach einem der Ansprüche 19 bis 25, dadurch gekennzeichnet, dass eine ausgezeichnete Periode der Reihe von möglichen Perioden die Dauer von exakt einer TAI Sekunde hat.
27. Computersystem nach einem der Ansprüche 19 bis 26, dadurch gekennzeichnet, dass die von einer Komponente empfangenen und gesendeten Nachrichten über ein TTEthernet Kommunikationssystem verteilt werden.
28. Computersystem nach einem der Ansprüche 19 bis 27, dadurch gekennzeichnet, dass das Kommunikationssystem redundant ausgelegt ist.
29. Computersystem nach einem der Ansprüche 19 bis 28, dadurch gekennzeichnet, dass zumindest eine Komponente, vorzugsweise jede Komponente eine fault- containment unit bildet.
30. Computersystem nach einem der Ansprüche 19 bis 29, dadurch gekennzeichnet, dass eine Komponente entweder richtige, keine oder erkennbar falsche Nachrichten produziert.
31. Computersystem nach einem der Ansprüche 19 bis 30, dadurch gekennzeichnet, dass die globale Zeit fehlertolerant ist.
32. Computersystem nach der Ansprüche 19 bis 31, dadurch gekennzeichnet, dass die dynamische Veränderung von Parametern der Komponenten oder des Kommunikationssystem durch kryptographische Protokolle abgesichert ist.
33. Computersystem nach einem der Ansprüche 19 bis 32, dadurch gekennzeichnet, dass eine Komponente eine Wiederanlaufeinheit ist, die nach dem Erkennen eines Fehlers sofort den Wiederanlauf versucht.
34. Computersystem nach einem der Ansprüche 19 bis 33, dadurch gekennzeichnet, dass eine Komponente, die eine Nachricht empfängt, überprüft, ob der Inhalt der Nachricht der für diese Nachricht vorgesehenen dynamischen Eingabe-Zusicherung entspricht.
35. Computersystem nach einem der Ansprüche 19 bis 34, dadurch gekennzeichnet, dass das Verhalten der einzelnen Komponenten zeitrichtig beobachtet wird, ohne dabei das Zeitverhalten der Komponenten zu beeinflussen.
PCT/AT2012/050208 2011-12-27 2012-12-27 Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten WO2013096986A2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP12822954.9A EP2798495A2 (de) 2011-12-27 2012-12-27 Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten
US14/369,080 US9407696B2 (en) 2011-12-27 2012-12-27 Method for combining results of periodically operating EDP components at the correct time

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
AT18872011 2011-12-27
ATA1887/2011 2011-12-27

Publications (2)

Publication Number Publication Date
WO2013096986A2 true WO2013096986A2 (de) 2013-07-04
WO2013096986A3 WO2013096986A3 (de) 2014-05-08

Family

ID=47678423

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/AT2012/050208 WO2013096986A2 (de) 2011-12-27 2012-12-27 Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten

Country Status (3)

Country Link
US (1) US9407696B2 (de)
EP (1) EP2798495A2 (de)
WO (1) WO2013096986A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10019292B2 (en) 2015-12-02 2018-07-10 Fts Computertechnik Gmbh Method for executing a comprehensive real-time computer application by exchanging time-triggered messages among real-time software components

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014138765A1 (de) * 2013-03-14 2014-09-18 Fts Computertechnik Gmbh Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
EP3189436B1 (de) 2014-09-05 2018-07-18 FTS Computertechnik GmbH Computersystem und verfahren für sicherheitskritische anwendungen
US10671382B2 (en) 2015-06-25 2020-06-02 Tttech Auto Ag Device and method for integrating software components into a distributed time-controlled real-time system
US10585781B2 (en) 2015-06-25 2020-03-10 Tttech Auto Ag Method for debugging software components in a distributed, time-controlled real time system
AT519164A3 (de) * 2016-08-16 2018-10-15 Fts Computertechnik Gmbh Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage auf der Basis eines konsolidierten Umweltmodells

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979247B2 (en) 2004-09-07 2011-07-12 The Boeing Company System, method and computer program product for developing a system-of-systems architecture model

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6748451B2 (en) * 1998-05-26 2004-06-08 Dow Global Technologies Inc. Distributed computing environment using real-time scheduling logic and time deterministic architecture
KR100606083B1 (ko) * 2004-11-04 2006-07-31 삼성전자주식회사 광대역 무선 접속 통신 시스템에서 부채널 할당 시스템 및 방법
US8464065B2 (en) * 2007-06-11 2013-06-11 Fts Computertechnik Gmbh Procedure and architecture for the protection of real time data
US8761084B2 (en) * 2009-01-14 2014-06-24 Synapsense Corporation Apparatus and method for establishing data communication in a time-synchronized mesh wireless network during time synchronization failures

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979247B2 (en) 2004-09-07 2011-07-12 The Boeing Company System, method and computer program product for developing a system-of-systems architecture model

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KOPETZ, H.: "Real-Time Systems, Design Principles for Distributed Embedded Applications", 2011, SPRINGER VERLAG
SAE: "Time-Triggered Ethernet", 1 November 2011 (2011-11-01), Retrieved from the Internet <URL:http://standards.sae.org/as6802>
SIMON, H.A.: "Science of the Artificial.", 1962, MIT PRESS

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10019292B2 (en) 2015-12-02 2018-07-10 Fts Computertechnik Gmbh Method for executing a comprehensive real-time computer application by exchanging time-triggered messages among real-time software components

Also Published As

Publication number Publication date
EP2798495A2 (de) 2014-11-05
US20150046603A1 (en) 2015-02-12
US9407696B2 (en) 2016-08-02
WO2013096986A3 (de) 2014-05-08

Similar Documents

Publication Publication Date Title
WO2013096986A2 (de) Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten
EP2657797B1 (de) Verfahren zum Betreiben eines redundanten Automatisierungssystems
EP2067081B1 (de) Verfahren zum synchronisieren zweier steuereinrichtungen und redundant aufgebaute automatisierungsvorrichtung
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
WO2002001305A1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
EP2857913A1 (de) Redundantes Automatisierungssystem
EP3176696A1 (de) Verfahren zur realisierung und zum ausführen einer umfangreichen echtzeitcomputeranwendung
EP3049932A1 (de) Verfahren zum erkennen eines ausfalls eines constituent-systems in einem system-of-systems
EP3273352B1 (de) Computerisiertes system
EP2648100A1 (de) Vorrichtung zur Prozessorüberwachung und Automatisierungsgerät mit einer solchen Vorrichtung
DE102016014417B4 (de) Schaltung zur überwachung eines datenverarbeitungssystems
DE102017123911A1 (de) Verfahren und Vorrichtung zum Überwachen der Reaktionszeit einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102011082598A1 (de) Steueranordnung
WO2002071223A1 (de) Fehlertolerante rechneranordnung und verfahren zum betrieb einer derartigen anordnung
EP1399818B1 (de) Verfahren und vorrichtung zur kommunikation in einem fehlertoleranten verteilten computersystem
DE102016217762A1 (de) Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
DE102011004363B4 (de) Steuervorrichtung zum Steuern von Netzwerkteilnehmern, Verfahren zum Betreiben eines Computernetzwerks und Computernetzwerk
EP2592554B1 (de) Verfahren zur Optimierung der Wartezeit in replika-deterministischen Systemen
EP3529673B1 (de) Steuerung redundanter verarbeitungseinheiten
EP3314427A1 (de) Vorrichtung und verfahren zur integration von softwarekomponenten in ein verteiltes zeitgesteuertes echtzeitsystem
WO2002075992A2 (de) System und verfahren zur einführung von redundanzmechanismen in ein kommunikationssystem
EP3469484B1 (de) Datenübertragung zwischen signaltechnisch sicheren recheneinheiten
EP1287435A1 (de) Vorrichtung und verfahren zur synchronisation eines systems von gekoppelten datenverarbeitungsanlagen
EP1780923A1 (de) Übertragung von Datentelegrammen
DE102012001624B4 (de) Störungstolerantes Saftey-at-Work System

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12822954

Country of ref document: EP

Kind code of ref document: A2

WWE Wipo information: entry into national phase

Ref document number: 14369080

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 2012822954

Country of ref document: EP

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12822954

Country of ref document: EP

Kind code of ref document: A2