基于TTEthernet的集成容错航天器网络
使用场景:IMA航天器体系结构、航天器计算机故障模拟
技术挑战:
- 数据网络需要防止非关键性故障通过共享的硬件资源传播并影响更关键的系统
- 数据网络必须容忍不同性能和层级的流量,并实现容错的能力
IMA在网络方面的需求
- 网络能够容纳来自多个不同层次的系统,能提供关键和非关键的流量的传输能力
- 非关键系统通常需要灵活性和高性能,关键系统更需要可靠的操作
- 关键功能通常由精确的定时循环驱动,要求网络在消息等待时间(即确定性)和容错方面具有严格的保证。但在实际中时间延迟是变化的。
- 必须防止系统不同级联失效的故障和其引发的多米诺骨牌效应
- 避免系统中不必要的开销,增加共享,不断提高数据传输性能效果
传统以太网缺陷:事件驱动,只能异步处理,时序不可预测;交换机处可能出现冲突并进行仲裁,传输时间不可预测,吞吐率不高;尽力传输,可靠性和时间确定性不能保证
TTE特征:
- TTEthernet建立在以太网基础上,使用于传统以太网相似的帧结构和负载大小,具有以太网技术的高速,灵活性和价格低廉的组件的特性。TTEthernet的硬件可以被不同系统(TTE网络于经典以太网)所共享。
- TTEthernet引入了分散式时钟同步范例,使之能够使用适用于硬实时应用的时间触发的以太网消息
- 端到端的信息传输是根据时间触发而进行的,不存在传输冲突,几乎没有排队延迟
- 时间确定使得行为可预测,可以通过使用一个虚拟链路通过多个冗余交换机传输重复的信息提高冗余能力
- TTEthernet可用于分布式架构,使得降低了抖动,同时通过消除单点故·障来提供额外的容错能力
- TTEthernet支持时间触发消息(TT)、速率约束(RC)和尽力而为(BE)三个不同的流量类,可以容纳高速、低优先级和时间关键型数据在同一网络、同一物理层上传输
- BE流量的性能与传统的第2层以太网相当,但不保证及时(甚至成功)的消息传递
- RC通过预先确定流量值,实现速率约束,确保传输延迟的上界。BE与RC都属于事件驱动
- 事件驱动不影响时间触发的信息传输,可以提供流量传输的故障容忍
- 可以通过配置交换机为总线保护程序,以避免单个TTE设备的故障传播
A&S项目得出结论:以太网是未来载人航天航空电子体系结构设计的基础
关键技术:
- 网络结构
- 时间触发信息是基于虚拟链接的消息转发,每一个时间触发帧相关联的虚拟链路通过报文头中的关键流量标识符CTID来标记用于交换机的路由,而CT标记是一个静态标识符,用于将定时触发的帧与其他以太网通信流量区分开来。两者替换了传统以太网MAC地址的标记。
- 每一个TTE交换机使用静态转发表,将不同的虚拟链路于端口关联
- 可以设计一个包含多个独立同步域的TTE网络,但不同域间只能通过事件驱动流量类来实现
- TTE基于优先级划分三种不同的消息类型(TT、RC、BE)
- TTE没有增加新的协议层,可以在以太网基础上添加其他QoS的协议信息,如RC
- 非关键功能使用(RC、BE)进行通信,关键功能使用TT进行通信,时间触发的通信属于*,不被其他类型流量影响。
- 通过timely block( 提前告知何时可以发送优先级更高的消息 )或者shuffling防止三个流量类间的冲突
- 时间同步
- 基于三种角色(SM、CM、SC)间周期性的PCFs帧通信交互,建立一个全局的时间基础; 交换机通常配置为CMs,而终端系统通常充当SMs
- 两个步骤:SM发时间到CM,CM固化后计算发送到所有SM、SC,所有设备更新自身时间
- 优势:分散的CM,无外部时钟,不需要搜索最好的时钟,能容忍多种错误
航天器计算机故障转移
使用TTE进行故障转移(当主设备失效,从设备接替主设备功能)
-
基于虚拟链接的交付消除了负载均衡器的需求,相同的消息可以同时发送给多个收件人
-
时间触发的通道允许更无缝地进行故障转移,主计算机和备份计算机都保证在特定的时间间隔从模拟中接收相同的数据。当主计算机丢失时,备用计算机可以从下一组开始对新的simu作出响应。
-
冗余的TTEthernet交换机也可以用来提高容错能力
-
时间触发通信的周期性与CFS(Core Flight Software)的日程驱动架构很好地集成在一起