在分布式嵌入式系统设计尤其是汽车系统设计中，灵活性的重要性日益增长，这已经在6.1节中进行了讨论。它的若干维度指的是运行操作方面的灵活性。因此我们一般把所有这些维度当做操作灵活性。寻求这种类型的灵活性是出于支持动态配置变化的愿望引起的，比如那些危险事件、发展需求、环境变化和在线服务质量（QoS）管理^{[BOUY05、LU02、SCHM01、MUTT02]}。一般来说，更高的灵活性提高了系统的生存能力^{[SCHM01、SHEL04]}，例如，支持灵活的模式和故障弱化，提高使用系统资源时的效率^[BUTT02]——特别是CPU和网络带宽，还具有降低系统成本和提高其可靠性的潜力。

例如，为了提供容错功能的备份复制必须在不同的节点处可用。然而，在许多非活跃的复制方案中，它们很少能够使用。因此，永久保持所需的资源分配即CPU和网络带宽，效率是低下的。另一方面，为其他活跃的功能正常操作释放这些资源，效率将会更好，因此可以提供更好的QoS，仅在必要时请求它们回归，并相应地调整分配给另一个功能的资源，然后将恢复到一个较低的QoS，但仍然满足安全运行。即使活跃地复制，但一旦失败，副本数量的减少会导致冗余消耗^[BOND99]。这可以弥补，如激活休眠状态副本的节点——它们一直用于其他非关键操作。就静态复制而言，这种灵活的容错方法可以大幅降低成本。然而，正如参考文献[LU02、PRAS03]所承认的，这种灵活性与静态调度表是不兼容的，而且为了保持系统处于安全的状态，必须在足够的控制之下实现，尤其在适应过程中。

上面提及的灵活性和安全水平需要一个足够的、来自计算和通信基础设施的支持，以便任务的相关参数和消息可以在指定范围内进行动态调整^[ALME03]。然而，由于网络诱导的延迟，在一个分布式系统中迅速执行这种调整是具有挑战性的，需要在涉及调整的节点之间达成共识，需要在所有节点执行同步调整。系统架构本质上应该满足以下要求：

•有界的通信延迟。

•用较小的、有界延迟在线修改处理/通信需求，这要求动态任务/流量调度。

•在线许可控制（基于适当的调度性分析，过滤掉危害系统时效性的变更请求），并辅之以带宽管理，具有较小的、有界的延迟。(www.daowen.com)

•对于所有子系统的一个预定义的降级但安全的操作模式来说，需要足够的资源。

•改变针对每项任务/数据流允许那些在线更改定义的属性。

第一条要求需要一个适当的网络访问协议，且它是确定的和可分析的。第二项和第三项要求对应于一个动态规划基础的流量调度模式。第四项和第五项要求是这样的方法，它们把灵活性约束为总是导致安全场景的一组允许的变化。

满足以上需求推动了FTT通信模型的发展，其中全局流量调度程序和系统同步器放置在一个中心位置，该位置还包括一个具有所有通信需求和其他的系统特性的数据库^{[ALME02、PEDR03、ALME03]}。所有通信和同步相关的数据都集中在一个节点的事实使得及时和有效的管理成为可能。这个节点被称为主节点，且使用特定的控制消息，以主/从方式，把调度系统活动（任务和消息）定期广播给其他节点。由于系统的事务是由时间而不是外部异步事件引发，此架构仍然遵循时间触发模式^[KOPE97]，需要具有全局时间的概念（由主节点执行），但是允许复杂的网络系统根据需要进行低延迟的更新^[ALME03]。据我们所知，FTT模型是第一次在时间触发通信模型中尝试引进高水平的操作灵活性，以支持新兴的应用程序、适应当前环境操作条件或动态调整QoS。该模型已经应用于一些网络技术，带来了协议FTT-CAN^[ALME02]、FTT-以太网^[PEDR02]以及最近的FTT-SE^[MARA06a]，它们分别基于CAN、以太网、微型分割的交换式以太网。这些协议的实际应用参见关于使用FTT-CAN的自主移动机器人的控制^[SILV05]和使用FTT-以太网的视频监控^[PEDR05]的文献报道。本节关注FTT-CAN，内容覆盖系统架构和它的主要组件以及提供容错操作的主要工作。FTT-CAN通过对流量的调度和总的管理，提供了更高的灵活性来解决CAN的局限性，利用操作灵活性确保了时效性，并针对资源利用率容错，确保了在线重新配置能力。