ネットワーク
TTEthernetによる混成クリティカル・システム
システムにおける確固たる通信分割とグローバル時間ベースの可用性と共に、全てのクリティカル分散機能は、 異なるエンドシステム上で走り、同じネットワーク上で通信する余りクリティカルでない機能に影響されません。 帯域幅は、異なるタイプのトラフィックとQoSに適応するよう分割されます(TDMA)。
アビオニクス、または車両システムにおいて、同じネットワークで以下のシステムを持つことが可能です。
- 分散システム上で動作するハード・リアルタイム・ループを持つワイヤ制御による冗長性
- 時間クリティカルなデータストリームによる表示
- 音声/ビデオ通信ネットワーク
- システムにおける既存のセンサーを利用した統合Vehicle Health Management(IVHM)
- 管理、および制御の記憶
- 整備データの診断、および収集用のLinuxベース組み込みコンピュータ
- ミッション計画用のWindowsラップトップ
TTEthernetは、IEEE 802.3 Ethernet、速度抑制、およびタイム・トリガ通信サービスを使用する混成クリティカル・システムの設計を可能にします。 これは、総合帯域のより有効な使用を可能にします(表1参照)。比較として、非同期ネットワーク通信は、20~25%以上の帯域利用率では決定論的ではありません。 非同期と同期トラフィックでの決定論的帯域の利用率は、70~80%に上がり得ます。非同期 vs 同期トラフィックの能力の概要は、以下の通りです。
リフレクティブ・メモリ(64ユニット、1kByteメッセージ/ユニット、定期更新率5kHzで構成)
スマート・センサー/アクチュエータ、スタンドアロンの処理ユニットなし(100 Mbit/s)
混成クリティカル・システム/統合車載ネットワーク(1 GbE)
オーディオ/ビデオ配信ペイロード処理
ARINC 664 Part7(AFDX)のみ使用
VPX(VITA46)システム用のスイッチ・ファブリックとしてのTTEthernet
TTEthernetシステムのプロパティ
TTEthernetは、Ethernet上のタイム・トリガ通信を可能にするタイム・トリガ・サービスを有します。 これらのタイム・トリガ・サービスは、デバイスのローカル・クロックの密接な同期により実現されるグローバル時間を確立し、維持します。 グローバル時間は、重要システム・インタフェースの通信分割、精密な診断、リソースの有効利用、および曖昧でない定義(構成性)のようなシステム・プロパティに対する基礎を形成します。
TTEthernetにおけるデータフロー・オプション
TTEthernetは、Ethernetのトップ上でタイム・トリガ通信を可能にするサービスを指定します。タイム・トリガ・サービスは、通常のOSI層に並行して存在することができます。 これらのサービスを適用する通信コントローラは、システム内の他の通信コントローラ、およびスイッチと同期することができ、このシステム全体の同期からもたらされた時点でメッセージを送ることができます。 これらのメッセージは、タイム・トリガ・メッセージと呼ばれます。
TTEthernetが各種リアルタイム性を持つアプリケーション中の通信とネットワーク上の安全要求をサポートするように、 タイム・トリガ(TT)トラフィック、速度抑制(RC)トラフィック、およびベスト・エフォート(BE)トラフィックの3つの異なるトラフィック・タイプが提供されます。 要求された場合、一致するトラフィック・タイプのメッセージが、メッセージのEthernet Destinationアドレスに基づき識別されます。 既存の標準へのTTEthernetトラフィック・タイプの関係は、図9で描写されます。
図9 既存の通信標準へのTTEthernetの関係
IP、またはUDPのように、より高い層のプロトコルからのメッセージは、メッセージの内容自体の修正なく、タイム・トリガ「化」することができます。 TTEthernetプロトコル・オーバヘッドは、システム中の同期を確立するために使用されるプロトコル制御フレームと呼ばれる専用メッセージで送信されます。 要するに、TTEthernetは、データ・メッセージがメッセージ内の特定の内容なしに送られる「時」と関連するだけです。
TTメッセージは、タイム・トリガ・アプリケーション用に使用されます。全てのTTメッセージは、事前定義された時間でネットワーク上に送られ、他の全てのトラフィック・タイプに先行します。 TTメッセージは、分散リアルタイム・システムにおける通信に最適です。TTメッセージは、典型的にネットワーク上の急速な制御ループを閉じるブレーク・バイ・ワイヤとスティア・バイ・ワイヤ・システム用に使用されます。 TTメッセージは、厳格に決定論的な分散システムの設計と試験を可能にし、全てのシステム・コンポーネントの振る舞いがマイクロ秒以下の精度で指定、分析、試験できます。
RCメッセージは、厳格なタイム・トリガ・アプリケーションほど厳格ではない決定論、およびリアルタイム要求を持つアプリケーション用に使用されます。 RCメッセージは、帯域幅が各アプリケーションに対して事前定義されることを保証し、遅延と一時的逸脱は、定義された制限を有します。 RCメッセージは、高度に信頼できる通信に依存し、穏健な一時品質要求を持つ安全性クリティカルな自動車と航空宇宙アプリケーション用に使用されます。 典型的に、RCメッセージは、 マルチメディア・システム用にも使用されます。
TTメッセージと比較して、RCメッセージは、システム中の同期時間ベースに関して送られます。 そのため、異なる通信コントローラは、同じレシーバに同じ時点でRCメッセージを送るかも知れません。 結論として、RCメッセージは、増加送信ジッタに導くネットワーク・スイッチでキューが満杯になるかも知れません。 RCメッセージの送信速度が優先され、ネットワーク・スイッチで制御されるように、送信ジッタの上限は、オフラインで計算でき、メッセージの損失が防止されます。
BEメッセージは、古典的なEthernetネットワークとして良く知られる方法をフォローします。 これらのメッセージが送信できるか否か、いかなる遅延が起こるのか、BEメッセージが受信者に到着したのか保証はありません。 BEメッセージは、ネットワークの残りの帯域幅を使用し、TT、およびRCメッセージほど優先度はありません。 BEメッセージの典型的なユーザは、Webサービスです。QoS要求のない全ての旧式なEthernetトラフィック(インターネット・プロトコル)は、このサービス・クラスにマップすることができます。 TTEthernetは、非クリティカルなBEトラフィックと他の全てのサービス・クラス間の強力な分割を適用します(図10参照)。
図10 TTEthernetは、TT、RC、およびBEメッセージを含む
転送同期プロトコルとしてのTTEthernet
TTEthernetは、明白な同期プロトコルであり、同じ物理通信ネットワーク上で、他のトラフィック、潜在的に旧式なトラフィックと共存できます。 フォールトトレランスの理由のため、多数のデバイスは、同期メッセージを生成するように設定することができます。 同期メッセージを生成するデバイスは、相互間の多数の仲介デバイスで分散されるかも知れません。
TTEthernetは、標準的なEthernetのようなメッセージ・ベース通信インフラのトップでタイム・トリガ・サービスの明白な統合を可能にする基本構築ブロックを定義します。 このために、TTEthernetは、恒久時点の概念を可能にする明白なクロック・メカニズムの新しい応用を定義し、レシーバにおけるメッセージの送り順の再確立を可能にします。
- 明白なクロック・メカニズムの応用:同期メッセージの送信、受信、または中継に動的遅延を課す分散コンピュータ・ネットワークにおける全デバイスは、 同期プロトコル用に使用される同期メッセージ内の専用フィールドにこの動的遅延を追加します
- 恒久時点の精密計算:明白なクロック・メカニズムのアプリケーションは、同期メッセージの一時順序の精密な再確立を可能にします。 最初のステップにおいて、最悪のケースの遅延がオフラインで計算されます。 第2ステップにおいて、各同期メッセージは、同期メッセージの受信による「最悪のケースの遅延マイナス動的遅延」分遅延され、 動的遅延は、同期メッセージが通信チャンネルを通して流れるように、同期メッセージに追加される遅延です。受信時点後のこの時点は、恒久時点と呼ばれます。 一般のフォールトトレランス・アルゴリズム、および個別のフォールトトレランス同期アルゴリズムのために、メッセージ送り順は、最高の重要度です。 同期メッセージの送り順の再確立は、分散コンピュータ・ネットワークにおけるローカル・クロックの同期を保障するフォールトマスク同期プロトコルに対して要求されます
安全性とフォールト・トレランス
ハイレベルの安全性は、TTEthernetのタイム・トリガ方法により提供され、ネットワークと一定のシステムにおける障害と不規則性を検知します。 最大限の安全、可用性、およびフォールトトレランスを達成するために、追加の措置を取る必要があります。
TTEthernetネットワークは、複数の冗長エンドシステム、スイッチ、およびセグメントでセットアップすることができます。 このように、システムは、障害が発生した場合ですら動作し続けます。 冗長ネットワーク・パスは、常にフォールトトレランスTTEthernetシステムで使用され、単一システム、またはメッセージの障害は、アプリケーションに影響することなく耐えることができます。 複数の冗長性が適用される場合、複数の障害に耐えられます。システム全体が前に定義したのと同じ一時条件下で動作し続けることが重要です。
TTEhernetは、スイッチとエンドシステムにおける監視者の統合を可能にします。 監視者は、ネットワーク上の通信が事前定義されたパラメータに準拠して動作しているかをチェックします。 フォールト・システムがネットワーク・セグメントをブロックする場合、監視者は、ネットワーク・セグメント、またはポートを遮断します。 複数の冗長監視者は、最高度の安全要求を満たすように適用することができます(図11参照)。
図11 TTEthernetは、暗黙的なフォールトトレランス・メカニズムを提供
フォールトトレランス能力
TTEthernetは、多数の産業アプリケーションに対して調整できるよう設計されています。TTEthernetそれ自体が、需要のあるフォールトトレランス能力を構成します。
- TTEthernetはスケーラブル: TTEthernetは、産業制御用のシンプルなマスター・スレーブ同期プロトコルか、民間アビオニクス用のマルチ・マスター同期プロトコルとして動作するように設定できます。 異なるアプリケーション・ドメイン中のTTEthernetの実現コストが著しく減少できるため、このスケーラビリティは、経済的に極めて有益です。 同様に、TTEthernetのクロス・ドメイン利用は、TTEthernetの実現における潜在的障害検知の確率を増大させ、匹敵するレベルの緊急性でシステムに配備される時、TTEthernetの「サービス履歴」に寄与します。
- TTEthernetは、複数の一致しない障害に耐える: マルチ・マスター・モードで設定された時、TTEthernetは、完全な不一致省略障害通信パスと、同じ時点での不一致省略障害エンドシステムにすら耐えます。 この障害モードは、各障害デバイスが各メッセージに対する潜在的な不一致ドロッピングの振る舞いで、その流入通信リンクの何れかとその流出通信リンクの何れか上のメッセージを恣意的にドロップすることを意味します。 TTEthernetは、それ故、システムにおける複数の一致する障害の耐性を要求するシステム・アーキテクチャのより費用対効果のある実現を可能にします。
- TTEthernetは、恣意的なエンドシステム障害に耐える: TTEthernetにおけるスイッチは、中央バス監視者機能を実行するよう設定することができます。 中央バス監視者機能は、1セットのエンドシステムが恣意的な障害となった場合ですら、これら障害エンドシステムのシステム中へのインパクトを隠蔽することを保証します。 ノード間通信用のブロードキャスト・バスに基づく分散ハード・リアルタイム・システムにおいて、単一の障害ノードが通信バスを独占することを防止することが重要です。 恣意的な障害モードは、タイム・トリガ通信システムにおける誤った振る舞いと類似の障害モードも含みます。TTEthernetスイッチは、障害抑止境界を確立します。
- TTEthernetは、恒久的な障害が存在する場合ですら恣意的な一時的障害に耐えます: フォールトトレランスに加えて、TTEthernetは、自己安定化プロパティも提供します。 言い換えれば、同期は、分散コンピュータ・システムにおいて、多数のデバイスの一時的不調後ですら再確立されます。 TTEthernetは、恣意的システム状態から同期システム状態に安定します。 この自己安定化プロパティは、コンピュータ・チップのサイズが将来縮小、そのため、一時的不調が増加するとより重要となります。 未来の信頼できる分散コンピュータ・ネットワークの設計は、複数の一時的不調の効果的かつ堅固な耐性に依存します。
ネットワーク構造
TTEthernetは、スイッチ・ベース・ネットワークに対してIEEE 802.3で指定された全ての物理層をサポートします。 異なる帯域(100 Mb/s、1 Gb/s等)を持つサブネットワークですらサポートされます。
TTEthernetにおけるスイッチは、データ通信を組織するのに中心的な役割を持ちます。 TTメッセージは、可能な限り小さな遅延で事前定義されたスケジュールに従いスイッチでルートされます。 システム設計時点での精密な計画は、ランタイムでのリソースの競合を排除します。 TTメッセージは、最高度の優先レベルを持ちます。これらのメッセージの1つの計画された送信時間が来たら、このメッセージは、直ちに送信されます。 メッセージの事前定義された送信のため、スイッチは、媒体が送信時間から解放され、遅延が排除されることを保障します。
RCメッセージは、ほとんど遅延なくルートされます。TTメッセージが同時に同じ流出ポートを経由して送信される場合、TTメッセージは、RCメッセージに対して優先されます。 TTメッセージは、RCメッセージを遅延させ得ます。RCメッセージは、計画されたTTメッセージの送信がペンディングしておらず、送信者が最小送信距離を観測する場合に送信されます。 スイッチは、流出ポートでいくつかのRCメッセージの調整を担当します。
BEメッセージは、常に最低の優先度を持ちます。RC、およびTTメッセージは、同じ流出ポートでBEメッセージを遅延させるか、廃棄することができます。 スイッチは、TT、またはRCメッセージが送信されない場合、BEメッセージ用の残りの帯域を使用します。BEメッセージは、ペンディングしている全てのRCメッセージの後に送信されます。 この方法は、最適な方法でネットワークの帯域を利用します。ツールは、予めTTEthernetシステムを設計、および確認するために使用されます。 これは、TT、RC、およびBEメッセージ用の帯域が、アプリケーションの要求に従い常に十分で、割り込みが最小限度まで縮小されることを保障します。その後、システム設定の逐次変更が可能です。
TTEthernetスイッチは、エンドシステムのグループへのTTメッセージの同時配布、または非同期TTEthernetネットワークの接続を可能にします。 これは、TTEthernetネットワークがより小さなアプリケーション固有サブネットワークに分割され、設計を促進できる方法です。
サポートされるトポロジー
TTEthernetは、分散コンピュータ・ネットワークにおける同期ローカル・クロックを可能にします。 ネットワークにおけるデバイス間の通信リンク上で送られるメッセージ経由で情報を交換するコンピュータ・ネットワークは、特に興味深いものです。 標準的なEthernetにおいて、エンドシステムは、双方向通信リンク経由でネットワーク・スイッチと接続されます。 エンドシステムは、スイッチにメッセージを送ることにより2番目のエンドシステム、またはエンドシステムのグループと通信した後、受信エンドシステムにメッセージを中継します。 また、スイッチは、双方向通信リンク経由で互いに接続することができます。結果として生じるアーキテクチャは、マルチホップ・アーキテクチャとして、2つのスイッチ間のリンクは、マルチホップ・リンクとして言及されます。
通信リンクとスイッチは、エンドシステム間の通信チャンネルを形成します。 エンドシステムは、双方向通信リンク経由で互いに直接接続でき、一定の設定上の困難において、エンドシステムとスイッチ間の明白な違いを作り出します。 一般に、デバイスの用語を使用して、エンドシステムか、スイッチである物理デバイスに言及します。 デバイスがエンドシステムか、スイッチとして言及されるかは、その物理的形態よりはむしろ、その利用により決定されます。