AT512665A1 - Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem - Google Patents

Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem Download PDF

Info

Publication number
AT512665A1
AT512665A1 ATA342/2012A AT3422012A AT512665A1 AT 512665 A1 AT512665 A1 AT 512665A1 AT 3422012 A AT3422012 A AT 3422012A AT 512665 A1 AT512665 A1 AT 512665A1
Authority
AT
Austria
Prior art keywords
encapsulated
time
software
swfcu
communication controller
Prior art date
Application number
ATA342/2012A
Other languages
English (en)
Other versions
AT512665B1 (de
Original Assignee
Fts Computertechnik Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fts Computertechnik Gmbh filed Critical Fts Computertechnik Gmbh
Priority to ATA342/2012A priority Critical patent/AT512665B1/de
Priority to US14/379,728 priority patent/US20150039929A1/en
Priority to JP2015500711A priority patent/JP2015517140A/ja
Priority to CN201380012025.7A priority patent/CN104145248A/zh
Priority to EP13716172.5A priority patent/EP2801030A1/de
Priority to PCT/AT2013/050068 priority patent/WO2013138833A1/de
Publication of AT512665A1 publication Critical patent/AT512665A1/de
Application granted granted Critical
Publication of AT512665B1 publication Critical patent/AT512665B1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/004Error avoidance
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0712Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Hardware Redundancy (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Eingrenzung der Auswirkungen von Softwarefehlern in einem verteilten Echtzeitsystem in dem mehrere verteilte Anwendungssysteme gleichzeitig exekutiert werden, wobei jedes Anwendungssystem eine abgekapselte Software-Fault-Containment-Unit (SWFCU) bildet, wobei eine SWFCU die Software eines verteilten Anwendungssystems umfasst, die auf einem oder mehreren virtuellen Rechnerknoten und einem oder mehreren dedizierten Rechnerknoten (230, 233) exekutiert wird und die über einen oder mehrere abgekapselte virtuelle Kommunikationssysteme, wobei ein Kommunikationssystem aus den Kommunikationskontrollern (213, 223), den Vermittlungseinheiten (250) und den physikalischen Verbindungen (253, 256) besteht, Nachrichten austauschen, und wo die unmittelbaren Auswirkungen eines Softwarefehler einer SWFCU auf die SWFCUbeschränkt bleiben.

Description

1
Verfahren und Apparat zur Bildung von Software Fault-Containment Units (SWFCUs) in einem verteilten Echtzeitsystem.
Zitierte Literatur
Patente: [1] US Pat. 4,949,254. Shorter. Method to manage concurrent execution of a distributed application program by a host Computer and a large plurality of intelligent Workstations on an SNA network. Granted August 14,1990
Sonstige: [2] Klein, G. et al..(2009). Formal Verification of an OS Kemel. Proc. Of the ACM SIGOPS 22nd Symposium on Operating System Principles. ACM Press.
[3] Peripheral Component Interconnect (PCI) Standard, Wikipedia. Accessed March 3,2012.
[4] Kopetz, H. Real-Time Systems, Design Principles for Distributed Embedded Applications. Springer Verlag. 2011.
[5] SAE Standard von TTEthemet. URL: http://Standards.sae.org/as68Q2 [6] AR1NC 653P1 -3 Avionics Application Software Standard Interface, Part 1, Required Services: https://www.arinc.com/cf/store/cataIog detail,cfm?item id=1487.653P2-l Avionics Application Software Standard Interface, Part 2 - Extended Services: https://www.annc ,com/cf/store/catalog_detail.cfm?item_id=I072
Technisches Umfeld
Die vorliegende Erfindung liegt im Bereich der Computertechnik. Sie beschreibt ein innovatives Verfahren und die unterstützende Hardware, wie in einem verteilten Echtzeitcomputersystem Software Fault Containment Units (SWFCU) gebildet werden können, um die Folgen von auftretenden Softwarefehlem auf klar abgegrenzte Bereiche einzugrenzen.
Kurze Beschreibung der Erfindung
In vielen Echtzeitanwendungen müssen Aufgaben von unterschiedlicher Kritikalität durchgeführt werden. In einer federated Computer Architektur wird jede dieser Aufgaben auf einem verteilten Hardwaresystem mit dedizierten Rechnerknoten und einem eigenen Kommunikationssystemen gelöst, um zu verhindern, dass Fehler
Einreichkopie 20.3.2012 von einem System einer unteren Kritikalitätsklasse ein System einer höheren Kritikalitätsklasse beeinflussen können. Dieser Lösungsansatz führt zu einer Vielzahl von Rechnern, einem hohen Verkabelungsaufwand für die Kommunikation und damit zu hohen Kosten.
Die aufgrund der höheren Integrationsdichte zunehmende Leistungssteigerung der Rechnerhardware ermöglicht es—aus der Sicht der Performanz—viele Anwendungssysteme unterschiedlicher Kritikalität auf einem einzigen leistungsfähigen verteilten Computersystem zu integrieren. Dies ist jedoch nur machbar, wenn durch die Systemarchitektur und die zertifizierte Systemsoftware die Anwendungssoftware eines verteilten Anwendungssystems so abgekapselt werden kann, dass gewährleistet ist, dass ein beliebiger Softwarefehler in einem Anwendungssystem die Funktionalität eines anderen Anwendungssystems weder im Zeitbereich noch im Wertebereich beeinflussen kann.
Die vorliegende Erfindung legt ein neues Verfahren offen, wie eine räumliche und zeitliche Abkapselung eines verteilten Anwendungssystems innerhalb eines verteilten Computersystems realisiert werden kann, sodass auf einem einzigen verteilten Computersystem mehrere verteilte Anwendungssysteme von unterschiedlicher Kritikalität integriert werden können.
Wenn mehrere Anwendungssysteme auf einer verteilten Computerarchitektur realisiert werden, so ist es zweckmäßig, zwischen folgenden Arten von Rechnerknoten zu unterscheiden: Ein physikalischer Rechnerknoten ist ein Computer mit CPU, Speicher und Kommunikationsinterface, z.B. ein Personal Computer. Ein shared Rechnerknoten ist ein physikalischer Rechnerknoten, auf dem mehrere Anwendungssysteme realisiert sind, z,B. ein Personal Computer auf dem mittels eines Hypervisors oder eines entsprechenden partitionierten Betriebssystems, wie z.B. vom ARCINC 653 Standard definiert [6], mehrere virtuelle Maschinen installiert sind. Der Hypervisor kapselt die virtuellen Maschinen räumlich und zeitlich voneinander ab. Ein virtueller Rechnerknoten ist eine der virtuellen Maschinen eines shared Rechnerknotens einschließlich des dazugehörigen
Kommunikationskontrollers, der die Nachrichten der virtuellen Maschinen abkapselt. Ein dedizierter Rechnerknoten ist ein physikalischer Rechnerknoten (einschließlich des Kommunikationskontrollers) auf dem nur ein einziges Anwendungssystem realisiert ist.
Ein physikalisches Kommunikationssystem ermöglicht den Nachrichtentransport zwischen den Kommunikationskontrollem der physikalischen Rechnerknoten. Ein physikalisches Kommunikationssystem besteht aus den in den Rechnern installierten Kommunikationskontrollem, den physikalischen Leitungen und den Vermittlungseinheiten. Auf einem physikalischen Kommunikationssystem können mittels Zeitsteuerung eine Anzahl von Partitions, d.s. virtuelle
Kommunikationssysteme, eingerichtet werden. Eine Partition ist aktiv, wenn sie Nachrichten versendet. Wenn mehrere Partitions gleichzeitig aktiv sind, so regelt das physikalische Kommunikationssystem welche Nachrichten welcher Partitions auf den physikalischen Leitungen versendet werden.
Eine Partition ist abgekapselt, wenn die zeitlichen Garantien in Bezug auf das Kommunikationsverhalten einer Partition von dem Verhalten der anderen gleichzeitig aktiven Partitions nicht beeinflusst werden kann. Abgekapselte Partitions sind vorhanden, wenn das physikalisches Kommunikationssystem als zeitgesteuertes Kommunikationssystem realisiert ist. Da in einem zeitgesteuerten
Einreichkopie 20.3.2012
Kommunikationssystem die periodischen Zeitschlitze zur Übertragung der Daten und damit die Bandbreiten a priori den einzelnen Teilnehmern zugeordnet werden, ist eine wechselseitige zeitliche Beeinflussung der auf einem physikalischen Kommunikationssystem eingerichteten Partitions ausgeschlossen.
Nachrichten werden vordefinierten so genannten virtual links zugeordnet, wobei virtual link <identifier> den Namen des virtual links angibt. Virtual links haben genau einen vordefinierten Sender und eine vordefinierte Gruppe an Empfängern. Nachrichten können entweder time-triggered, rate-constrained, oder nach dem best-effort Prinzip übertragen werden. Time-triggered bedeutet, dass die Nachrichten zu vordefinierten Zeitpunkten anhand einer synchronisierten Zeitbasis versendet werden. Rate-constrained bedeutet, dass zwischen zwei Nachrichten eines virtual links ein vordefinierter Mindestabstand eingehalten wird. Best-effort bedeutet, dass die Übertragung von Nachrichten nicht garantiert wird [4],
In einer Partition können Nachrichten von einem oder mehreren virtual links gesendet werden. Entsprechend der Art der Kommunikation der Nachrichten sprechen wir von time-triggered Partition, rate-constrained Partition, oder best-effort Partition. Außerdem sind Partitions möglich, die Nachrichten nach unterschiedlichen Prinzipien verschicken; solche Partitions werden mixed Partitions genannt. Im folgenden wird ein identifizierter Kommunikationskanal im Kommunikationssystem wie folgt benannt: virtual link <identifier>, wobei <identifier> den Namen des virtual links angibt. In einer Partition können mehrere virtual links gleichzeitig aktiv sein.
Ein physikalisches Kommunikationssystem, das als zeitgesteuertes Kommunikationssystem realisiert ist und in dem eine oder mehrere rate-constrained Partitions und/oder best-effort Partitions und/oder mixed Partitions aktiv sind, weist nicht jeder einzelnen Nachricht der rate-constrained/best-effort /mixed Partition einen Zeitschlitz zu, sondern nur einen Zeitschlitz für die Summe aller Nachrichten der entsprechenden Partition. Damit wird gewährleistet dass sich Nachrichten unterschiedlicher Partitions zeitlich nicht beeinflussen können.
Im Bereich der Computerzuverlässigkeit hat der Begriff einer Fault-Containment IJnit (FCU) eine zentrale Bedeutung [4, S. 136]. Unter einer FCU wird eine abgekapselte Gesamtheit von Subsystemen verstanden, wobei die unmittelbaren Auswirkungen einer Fehlerursache in einem Subsystem der Gesamtheit auf die spezifizierte Gesamtheit eingegrenzt sind. Ein Anwendungssystem bildet eine solche Gesamtheit, die aus folgenden Subsystemen bestehen kann: (i) der Software die auf einem oder mehreren virtuelle Rechnerknoten abläuft, (ii) der Software die auf einem oder mehreren dedizierten Rechnerknoten abläuft und (iii) ein oder mehrere abgekapselte virtuelle Kommunikationssysteme, die den Nachrichtentransport zwischen den virtuellen und dedizierten Rechnerknoten des Anwendungssystems vornehmen. Wir bezeichnen eine abgekapselte Gesamtheit der Software eines Anwendungssystems, die auf einem oder mehreren virtuellen Rechnerknoten und einem oder mehreren dedizierten Rechnerknoten exekutiert wird, eine Software Fault-Containment Unit (SWFCU). Die unmittelbaren Auswirkungen eines Softwarefehler eines Subsystems einer SWFCU sind somit auf diese SWFCU eingegrenzt und können eine andere im verteilten Echtzeitsystem realisierte SWFCU weder im Wertebereich noch im Zeitbereich beeinflussen. Wenn in einem integrierten verteilten Echtzeitsystem jedes Anwendungssystem eine eigene verteilte
Einreichkopie 20.3.2012 SWFCU bildet, so kann die wechselseitige Beeinflussung der Anwendungssysteme durch Softwarefehler ausgeschlossen werden.
Zusammenfassung
Die vorliegende Erfindung legt ein innovatives Verfahren offen, wie in einem verteilten Echtzeitsystem verteilte Software-Fault-Containment Units (SWFCUs) gebildet werden können. Es wird vorgeschlagen, dass jedes der auf einem verteilten Echtzeitsystem realisierten Anwendungssysteme eine eigene SWFCU bildet. Somit wird gewährleistet, dass ein Softwarefehler in einer SWFCU die richtige Funktion der anderen SWFCUs nicht beeinflussen kann.
Kurze Beschreibung der Zeichnungen
Die vorliegende Erfindung wird an Hand der folgenden Zeichnungen genau erklärt.
Fig. 1 zeigt einen physikalischen Rechnerknoten auf dem drei virtuelle Rechnerknoten realisiert sind.
Fig. 2 zeigt ein SWFCU bestehend aus zwei virtuellen Rechnerknoten, einem virtuellen Kommunikationssystem und zwei dedizierten Rechnerknoten.
Beschreibung einer Realisierung
Das folgende konkrete Beispiel behandelt eine der vielen möglichen Realisierungen des neuen Verfahrens.
In Fig. 1 ist ein physikalischer Rechnerknoten dargestellt, auf dem drei virtuelle Maschinen 101,102, und 103 realisiert sind. Ein dedizierter Speicherbereich 111 der virtuellen Maschine 101 kann sowohl von der virtuellen Maschine 101 wie auch von dem Kommunikationskontroller 120 angesprochen werden. Dieser dedizierte Speicherbereich 111 ist der Endpunkt eines virtuellen Kommunikationskanals, der auf dem physikalischen Kommunikationskanal 130 realisiert ist. Auf dem physikalischen Kommunikationskanal 130 können durch Zeitsteuerung mehrere zeitlich abgekapselte virtuelle Kommunikationskanäle eingerichtet werden. Der KommunikationskontroUer 120 bildet die räumliche abgekapseltes Daten, die im Speicherbereich 111 liegen in eine zeitlich zugeordnete abgekapselte Nachricht ab (und umgekehrt). Der Kommunikationskontroller 120 stellt die drei abgekapselten Partitionen 111,112, und 113 zur Verfügung, wobei je eine Partition einer der drei durch den Hypervisor verwalteten Virtual Machines (VM) 101,102, und 103 exklusiv zugeordnet ist.
Die Speicherbereiche 111,112, und 113 die den virtuellen Maschinen 101,102, und 103 zugeordnet sind bilden die Endpunkte dieser virtuellen Kommunikationssysteme. Vor Systemstart müssen mittels der zertifizierten Systemsoftware (ZSW) die Parameter der virtuellen Maschinen 101, 102, und 103 und des physikalischen Kommunikationskontrollers 120 so gesetzt werden, dass die Software einer virtuellen Maschine keine Zugriffsrechte auf die Speicherbereiche der anderen virtuellen Maschine erhält, und dass zeitgesteuerten Nachrichten, die auf dem physikalischen Kommunikationskanal 130 transportiert werden, den entsprechenden Speicherbereichen 111,112, und 113 der virtuellen Maschinen 101, 102, und 103 zugeordnet werden. Die Methodik des Aufbaus von virtuellen Maschinen durch
Einreichkopie 20.3.2012
Hypervisor wurde bereits in [1] offengelegt. In der Zwischenzeit gibt es Methoden die es ermöglichen, die Korrektheit der Software eines Hypervisors formal nachzuweisen [2]. Die Schnittstelle des Kommunikationskontrollers 120 zur CPU und/oder Speichers des physikalischen Rechnerknoten kann entsprechend dem PCI Standard [3] ausgelegt sein. Die Schnittstelle des Kommunikationskontrollers 120 zum zeitgesteuerten Kommunikationssystem 130 kann entsprechend dem TTEthemet Standard [5] ausgelegt sein.
Fig. 2 zeigt ein verteiltes Echtzeitsystem bestehend aus zwei physikalischen Knotenrechnem 210 und 220, einer Vermittlungseinheit 250 und vier dedizierte Knotenrechner 230, 231, 232, und 233. In diesem Echtzeitsystem gibt es mehrere Software Fault-Containment Units (SWFCUs). Die stark umrandeten Teile von Fig. 1 bilden eine dieser SWFCUs. Diese ausgewählte SWFCU umfasst die virtuellen Maschine 211, den Kommunikationskontroller 213 und den dazwischen liegenden gemeinsamen Speicher 212, den Kommunikationskanal 251 zur Vermittlungseinheit 250, die virtuellen Maschine 221, den Kommunikationskontroller 223 und den dazwischen liegenden gemeinsamen Speicher 222, den Kommunikationskanal 252 zur Vermittlungseinheit 250, sowie den dedizierten Rechnerknoten 230 mit dem Sensor 215 und den dedizierten Rechnerknoten 233 mit dem Aktuator 216 einschließlich die entsprechenden Verbindungen 256 und 253 zur Vermittlungseinheit 250. Die beiden Hypervisor in den physikalischen Rechnerknoten 210 und 220, die Kommunikationskontroller 213 und 223 sowie das Kommunikationsprotokoll in der Vermittlungseinheit 250 verhindern dass ein Softwarefehler außerhalb dieser SWFCU die Funktionsweise dieser SWFCU beeinflussen kann. In der Vermittlungseinheit 250 kann das TTEthemet Protokoll [5] zur Abkapselung der Kommunikation dieser SWFCU eingesetzt werden. Dieses Protokoll unterstützt eine deterministische zeitgesteuerte Kommunikation, sowie eine rate-constrained Kommunikation und eine best effort ereignisgesteuerte Kommunikation. Alternativ kann auch ein anderes Protokoll, das die Kommunikationskanäle zeitlich abkapselt in der Vermittlungseinheit 250 eingesetzt werden.
Die Kommunikation zwischen unterschiedlichen SWFCUs die auf einem verteilten Echtzeitsystem realisiert sind, soll über Nachrichten erfolgen, wobei es von Vorteil ist, wenn diese Nachrichten von einem unabhängigen Monitor beobachtet werden können. Dies lässt sich erreichen, wenn die Vermittlungseinheit 250 eine Multicast Kommunikation unterstützt.
Einreichkopie 20.32012

Claims (10)

  1. 6
    ΦΙ ·*· · ·4
    Patentansprüche 1. Verfahren zur Eingrenzung der Auswirkungen von Softwarefehlem in einem verteilten Echtzeitsystem in dem mehrere verteilte Anwendungssysteme gleichzeitig exekutiert werden dadurch gekennzeichnet, dass jedes Anwendungssystem in eine abgekapselte Software-Fault-Containment-Unit (SWFCU) eingebettet wird, wobei eine SWFCU die Software eines verteilten Anwendungssystems umfasst, die auf einem oder mehreren virtuellen Rechnerknoten und einem oder mehreren dedizierten Rechnerknoten exekutiert wird und die über einen oder mehrere abgekapselte virtuelle Kommunikationssysteme Nachrichten austauscht, und wo die unmittelbaren Auswirkungen eines Softwarefehler einer SWFCU auf die SWFCU beschränkt bleiben.
  2. 2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass ein virtueller Rechnerknoten aus einer auf einem Computer durch einen Hypervisor verwalteten Virtual Machine (VM) und einer der VM exklusiv zugeordneten abgekapselten Partition eines Kommunikationskontrollers besteht.
  3. 3. Verfahren nach Anspruch 1 und 2 dadurch gekennzeichnet, dass der Kommunikationskontroller 120 die im Speicherbereich 111 räumlich abgekapselten Ausgangsdaten in eine zugeordnete zeitlich abgekapselte Nachricht umsetzt und den Inhalt einer eintreffenden zeitlich abgekapselten Nachricht in einen der Nachricht zugeordneten räumlich abgekapselten Speicherbereich legt.
  4. 4. Verfahren nach einem oder mehreren der Ansprüche l bis 3 dadurch gekennzeichnet, dass virtual link Identifier genutzt werden, um die Zuordnung zwischen zeitlich abgekapselten Nachrichten und zugeordneten abgekapselten Partitions eines Kommunikationskontrollers herzustellen.
  5. 5. Verfahren nach einem oder mehreren der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass in einem zeitgesteuerten Kommunikationssystem ein Zeitschlitz für die Summe aller Nachrichten (time-triggered, rate constrainted, best effort) einer mixed Partition vorgesehen wird.
  6. 6. Verfahren nach einem oder mehreren der Ansprüche 1 bis 5 dadurch gekennzeichnet, dass unterschiedliche SWFCUs ausschließlich über Nachrichten kommunizieren.
  7. 7. Verfahren nach einem oder mehreren der Ansprüche 1 bis 6 dadurch gekennzeichnet, dass die Nachrichten, die zwischen den SWFCUs ausgetauscht werden, von einer unabhängigen Monitorkomponente beobachtet werden können.
  8. 8. Kommunikationskontroller für einen physikalischen Rechnerknoten dadurch gekennzeichnet, dass der Kommunikationskontroller die im Speicherbereich einer virtuellen Maschine räumlich abgekapselten Ausgangsdaten in eine zugeordnete zeitlich abgekapselte Nachricht umsetzt und die in einer Einreichkopie 20.3.2012 zeitgesteuerten Nachricht eintreffenden Daten in einen zugeordneten räumlich abgekapselten Speicherbereich einer virtuellen Maschine ablegt.
  9. 9. Kommunikationskontroller für einen Personal Computer dadurch gekennzeichnet, dass der Kommunikationskontroller den PCI Schnittstellenstandard unterstützt und die in einer zeitgesteuerten Nachricht eintreffenden Daten in einem zugeordneten räumlich abgekapselten Speicherbereich einer virtuellen Maschine abgelegt werden.
  10. 10, Kommunikationskontroller für einen Personal Computer dadurch gekennzeichnet, dass der Kommunikationskontroller den TTEthemet Standard unterstützt. Einreichkopie 20.3.2012
ATA342/2012A 2012-03-20 2012-03-20 Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem AT512665B1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
ATA342/2012A AT512665B1 (de) 2012-03-20 2012-03-20 Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem
US14/379,728 US20150039929A1 (en) 2012-03-20 2013-03-19 Method and Apparatus for Forming Software Fault Containment Units (SWFCUS) in a Distributed Real-Time System
JP2015500711A JP2015517140A (ja) 2012-03-20 2013-03-19 分散リアルタイムシステムにおけるソフトウェア故障封じ込めユニット(SWFCUs)を形成するための方法および装置
CN201380012025.7A CN104145248A (zh) 2012-03-20 2013-03-19 用于在分布式实时系统形成软件故障包容单元的方法和设备
EP13716172.5A EP2801030A1 (de) 2012-03-20 2013-03-19 Verfahren und apparat zur bildung von software fault-containment units (swfcus) in einem verteilten echtzeitsystem
PCT/AT2013/050068 WO2013138833A1 (de) 2012-03-20 2013-03-19 Verfahren und apparat zur bildung von software fault-containment units (swfcus) in einem verteilten echtzeitsystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ATA342/2012A AT512665B1 (de) 2012-03-20 2012-03-20 Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem

Publications (2)

Publication Number Publication Date
AT512665A1 true AT512665A1 (de) 2013-10-15
AT512665B1 AT512665B1 (de) 2013-12-15

Family

ID=48095449

Family Applications (1)

Application Number Title Priority Date Filing Date
ATA342/2012A AT512665B1 (de) 2012-03-20 2012-03-20 Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem

Country Status (6)

Country Link
US (1) US20150039929A1 (de)
EP (1) EP2801030A1 (de)
JP (1) JP2015517140A (de)
CN (1) CN104145248A (de)
AT (1) AT512665B1 (de)
WO (1) WO2013138833A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3189436B1 (de) * 2014-09-05 2018-07-18 FTS Computertechnik GmbH Computersystem und verfahren für sicherheitskritische anwendungen
US10019292B2 (en) 2015-12-02 2018-07-10 Fts Computertechnik Gmbh Method for executing a comprehensive real-time computer application by exchanging time-triggered messages among real-time software components
US10324797B2 (en) 2016-02-26 2019-06-18 Tttech Auto Ag Fault-tolerant system architecture for the control of a physical system, in particular a machine or a motor vehicle
US11687400B2 (en) * 2018-12-12 2023-06-27 Insitu Inc., A Subsidiary Of The Boeing Company Method and system for controlling auxiliary systems of unmanned system
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994006080A1 (de) * 1992-09-04 1994-03-17 Fault Tolerant Systems Kommunikationskontrolleinheit und verfahren zur übermittlung von nachrichten
WO2011003121A1 (de) * 2009-07-09 2011-01-13 Fts Computertechnik Gmbh System-on-chip fehlererkennung

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6075938A (en) * 1997-06-10 2000-06-13 The Board Of Trustees Of The Leland Stanford Junior University Virtual machine monitors for scalable multiprocessors
AT408382B (de) * 2000-03-02 2001-11-26 Fts Computertechnik Gmbh Rechnerknotenarchitektur mit dediziertem middleware computer
AT410490B (de) * 2000-10-10 2003-05-26 Fts Computertechnik Gmbh Verfahren zur tolerierung von ''slightly-off- specification'' fehlern in einem verteilten fehlertoleranten echtzeitcomputersystem
US7134050B2 (en) * 2003-08-15 2006-11-07 Hewlett-Packard Development Company, L.P. Method and system for containing software faults
US8396934B2 (en) * 2007-04-11 2013-03-12 Tttech Computertechnik Aktiengesellschaft Communication method and apparatus for the efficient and reliable transmission of TT ethernet messages
JP5381194B2 (ja) * 2009-03-16 2014-01-08 富士通株式会社 通信プログラム、中継ノード、および通信方法
US8589947B2 (en) * 2010-05-11 2013-11-19 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for application fault containment
US8908675B2 (en) * 2012-01-13 2014-12-09 Honeywell International Inc. Virtual pairing for consistent data broadcast

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994006080A1 (de) * 1992-09-04 1994-03-17 Fault Tolerant Systems Kommunikationskontrolleinheit und verfahren zur übermittlung von nachrichten
WO2011003121A1 (de) * 2009-07-09 2011-01-13 Fts Computertechnik Gmbh System-on-chip fehlererkennung

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KOPETZ, Hermann. "Real-time systems. Design principles for distributed embedded applications". Springer Science+Business Media, LLC 2011, New York, Second Edition. *
OBERMAISSER, R. "Fault and error containment of gateways in distributed real-time systems". Journal of Software, AcademyPublisher, September 2009, Seiten 686 bis 695. *
OBERMAISSER, R. & PETI, P. "Detection of out-of-norm behaviors in event-triggered virtual networks". 5th IEEE International Conference on Industrial Informatics, Juli 2007, Wien, Seiten 971 bis 976. *

Also Published As

Publication number Publication date
WO2013138833A1 (de) 2013-09-26
AT512665B1 (de) 2013-12-15
CN104145248A (zh) 2014-11-12
EP2801030A1 (de) 2014-11-12
JP2015517140A (ja) 2015-06-18
US20150039929A1 (en) 2015-02-05

Similar Documents

Publication Publication Date Title
DE102012212511B4 (de) Betriebsverfahren eines Datenverarbeitungssystems, Datenverarbeitungsvorrichtung und Computerprogrammprodukt zum Bereitstellen einer Checkpoint-basierten Hochverfügbarkeit mit Netzwerkpaketpufferung in der Hardware
DE112013003180B4 (de) Verfahren, Zonenserver und Speichermedium zum Verwalten von Server-Hardware-Ressourcen in einer Cloud-Datenzentrum-Umgebung
DE112013000506B4 (de) Verwaltungsprotokoll für verteilte Strukturen
DE112012002404B4 (de) Konfiguration und Management virtueller Netzwerke
DE112011102443T5 (de) Server-Verwaltung unter Verwendung eines Baseboard Management Controllers zum Aufbau eines Drahtlosnetzwerks
DE112011101705T5 (de) Migrieren virtueller Maschinen zwischen vernetzten Servern nach Erkennung der Verschlechterung der Funktion der Netzwerkverbindung
AT512665B1 (de) Verfahren und Apparat zur Bildung von Software Fault Containment Units in einem verteilten Echtzeitsystem
DE102018129112A1 (de) Systemdecoder für Trainingsbeschleuniger
DE102008030587A1 (de) Verfahren und Vorrichtung zur Erhöhung der Effizienz der Interrupt-Lieferung zur Laufzeit in einem Netzwerksystem
DE102018202432A1 (de) Strukturunterstützung für die Dienstgüte
EP3843332A1 (de) Verfahren zur überwachung von datenverkehr in einem kommunikationsnetz und zugriffssteuerungssystem
DE102013209306A1 (de) Bereitstellen von Echtzeit-Interrupts über Ethernet
DE102013209934B4 (de) Starten oder Stoppen virtueller Server in angemessener Reihenfolge
DE112014004208T5 (de) Integrationsverfahren und -System
DE112016005840T5 (de) Drahtloses kommunikationsgerät, drahtloses kommunikationsverfahren und programm für drahtlose kommunikation
DE112022003383T5 (de) Hierarchisches verbindungsnetzwerk auf ringgrundlage für symmetrische mehrprozessoren
DE112013002241B4 (de) Bestimmen einer Netzwerkadresse für verwaltete Einheiten
DE112012005663B4 (de) Vorrichtung, Verfahren und System zur Zuweisung von Prozesen oder Threads an Agenten
DE102012218945B4 (de) Zugriffssteuerung in einer hybriden Umgebung
DE112012005046B4 (de) Koordinieren von Schreiboperationsabfolgen in einem Datenspeichersystem
DE102016008158B4 (de) System und steuerverfahren
DE112018002049T5 (de) Verfahren zum erkennen entfernt angeordneter knoten und zum überprüfen sowie verbinden von übertragungskanälen
EP3061213A1 (de) Verfahren zur übertragung von nachrichten in einem computernetzwerk sowie computernetzwerk
DE102008020589A1 (de) Kommunikationssystem
EP3167593B1 (de) Vorrichtung, verfahren und computerprogrammprodukt zur sicheren datenkommunikation

Legal Events

Date Code Title Description
PC Change of the owner

Owner name: TTTECH COMPUTERTECHNIK AG, AT

Effective date: 20180926

MM01 Lapse because of not paying annual fees

Effective date: 20240320