在FTT架构中存在两种单点故障，也就是主节点和总线信道故障。事实上，如果主节点失效，那么带EC时间表的TM没有被传播，因而通信中断。网络分区也破坏通信，因此也必须容忍。用一个或多个类似的节点充当备份主节点和两个或两个以上的总线信道，使用这样的复制可以避免那样的故障。此外，假定节点为沉默型失效，并在时域内从节点上执行，具有总线监控者且在时域和值域上的主节点执行，具有一个特定的网络接口，用于支持内部节点复制^[FERR05]。鉴于其成本太高，如果有必要，从节点值域的沉默型失效留给了应用程序。参考的容错架构如图6.12所示。

主节点的副本有进一步同步的要求，这样它们可以在没有任何通信调度间断的情形下，替代活动的节点。这项要求对在线系统适应性来说是非常困难的，因为通信需求可能随时间而变化。因此，开发了几种机制来处理主节点复制，即

•主节点替代方案。

•警戒机制来检测备份主节点失去同步。

•协议同步启动或重新启动备份主节点，坚持传输当前SRT。

•以确保一致性的SRT更新变更请求的协议。(www.daowen.com)

图6.12 容错FTT-CAN参考架构

所有与主节点复制和沉默型执行相关的机制已在参考文献[FERR06]中介绍，且更多细节见参考文献[FERR05]。前一种机制在文献[MARR06]中进行了进一步的实验评估。

最后，在FTT-CAN中的总线复制最近已被解决，见参考文献[SILV06]，总线复制被推荐用于在每一个媒体中复制传播关键信息以及传播不同的、非关键信息，从而增加了单纯总线的容量。另一种可能性是使用透明式的总线复制机制，比如参考文献[RUFI99]中就推荐了一种。总线冗余的一种替代方案是使用一种复制的星形，如ReCANcentrate等，也将在这一章中介绍。