基于时间触发的高可靠性实时系统架构

关概念、实现和评价都是围绕“可靠的全局时基效用性”这 一个核心进行的。总的看来，TTA 系统有如下特点：
(1)可预测性：由于采用确定的时间触发调度机制，因此计算时 延是可预测的；
(2)可测试性：自动按时间触发协议和调度在恰当的时刻对计算 结果进行自检；
(3)组 合 能 力 ：可 由 独 立 设 计 和 测 试 的 组 件 或 子 系 统 来 构 成 系 统 ； (4)复制决定性：复制组件的行为在组件之间有一致性； (5)成员制：依靠通信网络上的节点，某一时间故障状态将自动 广播。
第 32 卷 第 4 期 Vol.32 ຫໍສະໝຸດ Baidu 4
计算机工程 Computer Engineering
2006 年 2 月 February 2006
·开发研究与设计技术·
文章编号：1000—3428(2006)04—0272—03 文献标识码：A
中图分类号：TP311
基于时间触发的高可靠性实时系统架构
全局时钟的一个时钟周期
全局时间
a:一个周期内的活动时间 s:一个周期内的停止时间
图 2 稀少时间模型
(2)状态/事件消息 状态只能在规定的时间间隔上改变。状态消息和事件消 息是两种不同的消息类型，它们的相互触发导致了消息的传 输。状态消息可以看作一个分布式的状态变量，它总是包含 最近时间内实时数据的某个精确版本。状态消息是周期性变 换的，事件消息是零星地变换的。接口消息的通信可以通过 两种消息来实现： 状态消息:=<名称，当前值，观测的起始时间…> 事件消息:=<名称，值的差异，时间发生的时间…> 2.2 TTA 设计要点 (1)临时防火墙 TTA 系统中最重要的接口就是控制器网络接口（CNI）。 这种接口连接通信控制器和节点主机子系统。节点通信是通 过 CNI 来交换状态消息的。CNI 中没有消息队列，因为新的 状态消息覆盖了旧版本的状态消息。 TTP/C 系统使用双路端口 RAM 设立了一道临时防火墙， 该防火墙用作控制器网络接口。主机将传输到网络上的信息 传送给 CNI。TTP 通信控制硬件通过在双口 RAM 上预先设 定的数据将信息传送给 CNI。在双口 RAM 中，TTP 控制器 从一端读写数据，而主机子系统从另一端读写数据。对状态 数据而言，CNI 包括一组状态和控制字来通知主机 TTP 协议 的运行情况。这两道防火墙有效地将主机和 TTP 网络的时序
1 时间触发的架构
1.1 概述 时间触发架构是分布式容错实时系统体系结构之一。时
间触发有如下基本特征：包括多个控制器模块和节点，并通 过一个时间触发协议在多个通道上通信。消息主要是面向状 态的，不是面向事件的。每条消息一直保持到状态改变，而 状态只能在对定的时间间隔上改变。网络像是一个全局存储 器，节点在网络内部进行自检，当检测到数据错误和时序错 误时，节点就脱开网络。通信错误(时序和数值错误)由网络 来检测，而不是由应用程序来检测。主要的容错策略是故障 沉默(fail-silent)组件复制，即当某个任务或节点出错时，另一 个任务或节点立即运行，系统从正在运行的任务或节点中采 集信息。这种策略有多种形式，但目的都是尽可能利用自然 冗余。信号的定义、时序的改变和调度的分配都是离线完成 的，并且在系统装配前保证无误。这样的策略有利于采用独 立设计和测试子系统来构成系统。 1.2 节点模型
TTA 跨越了分布式实时系统发展的整个阶段。目前，TTA 已经在嵌入式分布式系统中占有一席之地，而且高可靠性的 实时性越来越成为关注的焦点，TTA 的发展前景令人鼓舞。
Dependable Real-time Systems Architecture Based on Time-trigger
GUO Lijuan, LIU Shuangyu, ZHANG Ji
(East China Institute of Computer Technology, Shanghai 200233)
1.3 同步机制 时间触发架构最基本的特征是：整个通信系统的控制信
号以及对节点的处理都是基于一个全局时基进行的。可计算 的簇中的每个节点都有一个同步时钟，簇中所有节点之间的 通信都采用容错的时钟同步机制，遵循时间触发协议。节点 之间的消息发送是由通信控制器来控制的。系统启动时，控 制器记录产生一个先验标识（priori），这个先验标识作为系 统中所有节点公共消息的标识，所有协议在此先验点被初始 化。利用这个公共消息标识，所有 TTP 控制器按全局时基的 规定通过信道准时开始进行通信。系统时钟不可能达到完全 意义上的同步，每个接收器有时会发现发送方并没有在准确 的时间发送，相对接收器时钟来说稍早或稍迟，这种现象被 系统中所有节点用于促进连续的再同步。例如：每个控制器 测量出信息应到时间和实际到达时间的差异的容错平均数， 这样每个节点的时钟就可以调整为总体上同步。TTA 系统的 这种通信过程是自动进行的，无须主机任何命令控制。
【Abstract】The TTA provides a software and hardware infrastructure for design and implementation of dependable distributed embedded systems. In the TTA, this global time is used to precisely specify the interfaces among nodes, and it aims to simplify the communications, to perform prompt error detection and to guarantee the timeliness. This paper discusses the architecture model of TTA, explains rational design and presents a single car node model based on TTA. 【Key words】Time-triggered architecture (TTA); TTP; Global time base
2 TTA 设计
2.1 相关概念 (1)稀少时基模型 TTA 时间模型是基于牛顿物理理论提出的。在这种稀少
时基模型中，连续的时间被分割为无限的时间间隔：在这种 时间间隔中活动和停止交替发生（如图 2 所示）。在活动的时 间间隔内，全局时间的精度一定要大于时钟同步的精度。规 定：分布式系统中，发生在不同节点上的事件，只要在同一 个全局时钟滴答内发生，就认为是同时发生的，如果不在同 一活动时间间隔内发生，那么就用一个全局的时间戳表示它。
TTP/A 总线系统
TTP/A 总线系统 网关
受控对象接口 主机子系统
应用软件 TTP/C 扩展的受控网络接口
容错子系统 TTP/C 基本的受控网络
TTP/C 通信控制器
冗余 TTP/C 总线 图 1 TTA 系统中的节点模型
作者简介：郭丽娟(1979—)，女，硕士生，主研方向：嵌入式操作系 统及应用；刘双与，硕士生；张 激，研究员 收稿日期：2005-02-28 E-mail：guolj@ecict.com
当今多数硬件的体系结构只提供单一的 CPU 处理中间 件和应用程序。TTA 的 FTU CNI 的实现引入了一个专用的中 间件处理器。通过消除中间件和主机之间不必要的通信，显 著提高了终端的可预测性。中间件的处理器负责处理中间件 内部事件和普通的错误，而主机处理器负责执行主机上的应 用程序。这种硬件体系结构很大程度上解决了分布式实时系 统的软件重用问题。
3 基于 TTA 的简单车载节点模型
3.1 时间触发通信协议 时间触发通信协议是以时分复用（TDMA）为基础的一
种协议。协议包括 CNI 和容错的设计规则。 3.2 TTA 中的容错
在 TTA 系统中，为了达到应用要求的可靠性水平，节点 会进行自我复制。一个节点及其复制节点都归入容错单元。 容错是通过复制决定机制来支持的。当两个或更多的节点在 同一输入和相同的初始化状态情况下产生相同的输出时，就 存在决定复制。由此可推测：当所有支持替换决定的条件为 真时，如果输出不同，则某一节点可能存在故障。
在 TTA 中，实时系统被分解成一些子系统，称作簇。目 前 有 两 种 簇 ： 与 环 境 相 关 的 簇 (Ecluster) 和 可 计 算 的 簇 (Ccluster)。与环境相关的簇的例子是某些受控对象，如：一
—272—
个受控进程或者操作数。可计算的簇的例子是一组分布的可 通信的节点。通常来说，这些节点包括 3 个子系统：主机子 系统，交互控制器和 I/O 处理子系统（图 1 所示）。主机子系 统和通信控制器之间的接口称作控制器网络接口。主机子系 统和 I/O 处理子系统之间的接口称作受控对象接口。
郭丽娟，刘双与，张 激
（华东计算技术研究所，上海 200233）
摘 要：时间触发架构（TTA）为设计和实现高可靠性分布式嵌入式系统提供了软件和硬件的模型。在 TTA 系统中，全局时基和各种接口 的精确定义，简化了节点间通信，保障了实时应用时限和错误检测。该文描述了 TTA 模型和 TTA 设计原则，并提出了基于 TTA 简单的车 载节点模型。 关键词：时间触发架构；时间触发协议；全局时基
目前实时嵌入式系统中普遍使用的串行通信协议都是基 于事件触发的。大量研究表明：对高可靠性系统而言，时间 触发的解决方案具有更大优势。
时间触发系统和事件触发系统的工作原理不同。前者的 控制信号来源于时间进程；后者的控制信号来源于事件的发 生（如一次中断）。时间触发系统中使用的状态信息来自规定 时间内的某个条件，如传感器的值；而事件信息一般是在事 件发生时激活中断服务程序采取相应的措施。因此，时间触 发通信具有较高的可预测性和简便的即时测试功能。
在时序内，节点级的故障被通信协议中的复制决定机制 产生的行为所屏蔽。同样在值域内，节点级的故障也会被掩 盖。例如，发送方由内部自检机制确保节点的故障沉默；那 么在接收方传输的故障可被复制总线上冗余信息和 CRC 保 护信息所屏蔽。由此可见，TTA 系统中所有容错机制的主要 目的是简化应用开发的过程，使编码不过于复杂。 3.3 基于 TTA 的简单车载节点模型
—273—
相关的簇是跟踪和诊断系统，它通过数字无线接口与可计算 的簇通信。
根据 TTA 的容错策略，由于接收簇要循环访问高速运转 的车轮系统，并实时解码，因此有必要在 RC－operator 和可 计算的簇之间添加两个容错的 CNI，这样建立了两个节点级 冗余；汽车硬件簇四轮系统提供了特殊的应用级容错，因为 任意某个车轮的失效信息会从其余 3 个车轮的安全状态得到 补偿，所以车轮系统实现了无冗余的容错。
通过上述分析，我们设计一个基于 TTA 的简单车载节 点模型（如图 3）。
环境簇 (RC-Operator
环境簇(汽车 硬件系统)
可计算簇(车载 控制系统)
环境簇(监控和 诊断系统)
图 3 简单车载节点模型
整个系统被抽象成 4 个簇，簇之间通过网关进行通信。 簇结构具有内部紧耦合度和外部松耦合度。具体设计为一个 可计算的簇（汽车控制系统）和周围 3 个与环境相关的簇。 其中，RC－operator 接收簇包括接收控制器和无限信号接收 接口；汽车硬件簇内部结构因不同厂商差异较大，通常是描 述汽车系统具体的静态和动态信息，并通过转向系统和驱动 系统的传感器和激励与汽车控制系统通信；最后一个与环境
行为分隔开。 (2)组合能力 组合能力用于衡量系统地结构能力，检测是否能容纳几
个不同特性节点，并确保几个节点连接在一起时它们各自的 特性仍然有效。
(3)可扩展性 TTA 应用目标是大型的分布式实时系统。其子系统之间 由网关节点连接，CNI 对节点功能进行一致性的透明封装。 因为 CNI 是不变的，所以一旦故障出现，故障节点可扩展为 网关节点，保证了系统的一致性和连续性。 (4)可靠性 在实时系统中故障探测和容错十分重要。TTP/C 提供成 员服务来探测通信故障。TTP 节点周期性的交换信息，每个 传输节点将这种成员服务信息作为信息包的一部分来发送， 以便系统里其它所有节点能够检测到它。