TTA系统专为关键安全应用设计,因此必须具有足够的容错能力。基于给定的“故障假设”给出的故障容错,是指一组假设的故障的类型、数量和频率。在TTP/C中实施的核心算法中,如组成员和时钟同步,只能够容纳显示它们作为一些节点接收故障或一致性发送故障[12],且它们依赖于作为一致性的传输故障。也就是说,信息必须通过没有错误的节点或不通过节点后才能被正确接收。特别地,TTP/C通信的以下三个正确性能是必须满足的:
•有效期:如果正确的节点发送正确的信息,那么所有正确接收器接收信息。
•协定:如果任何正确的节点接收信息,那么所有正确的接收器也接收。
•真实性:一个正确的节点只接收给定时槽调度节点发送的信息。(www.daowen.com)
例如为了满足有效期性能,故障节点不能发出超出它们分配时槽以外的信息。为了防止这样的时序故障,特殊的硬件组件,所谓的守护者被引入[13]。守护者是一个自动化装置,通过监督它们的输出来保护共享的通信网络免受节点的故障行为的影响。通信网络的原来总线拓扑结构采用本地总线守护者,它被放置在节点和总线之间。然而,故障注入实验表明,在航空航天和汽车行业,为了实现更加苛刻的容错要求,更加复杂的守护者是必要的。在最近的星形拓扑结构中,中央守护者用在了每个星的集线器中。
通过采用连接节点的有关知识,守护者可以判断一个节点发送的信息是否有效,是否可以把信息传递到它们的信道上的其他节点,或是否有被阻塞的。例如,守护者监控节点的瞬时行为。由于一个给定的节点被允许访问的通信信道的时间间隔是静态确定的,所以守护者可以控制信息传输的正确时序,并禁止一个错误节点发送信息到其指定的时隙之外。因此,节点的时序故障会被有效地转化为发送故障。
此外,守护者也可以防止一类特殊的Byzantine故障,即所谓的稍微偏离规范(SOS)的故障。如果一个组件展示了轻微的故障特性且看起来对一些组件是正确的,但对其他组件来说是故障的,带来违反上述协定属性,因此这个组件被称为SOS故障的组件。如果一个节点在非常接近其调度的传输间隔末尾终止传输,那么稍微偏离规范的时序故障可能发生;因此,一些接收器可能接收信息,而其他接收器可能会认为这不合时宜而在信息完成传输前关闭接收窗口。因为一个特定传输的持续时间是事先知晓的,所以守护者就可以防止这样的截止情况出现。节点必须在预定义的时槽开始一段时间后开始传输,否则守护者将终止它访问通信网络的权利。因此,守护者可以有效地防止切断SOS故障,只要选择足够长的发送间隔,以确保传输无论是否按时启动都适应时间间隔。具体来说,TTP/C守护者防止物理层上信息的线路编码中的SOS故障、SOS时序故障、传输数据超出了指定发送时隙、传输未经允许的重要状态信息,并且防止故障节点伪装成其他节点,这些都违反了上面提到的“真实性”属性。这些节点故障有效地转化为可以被协议容纳的发送或接收故障。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。