用于产生故障沉默的同步讯息的方法和主时钟的制作方法

用于产生故障沉默的同步讯息的方法和主时钟的制作方法
【专利摘要】本发明涉及用于在分布式实时系统中产生故障沉默的同步讯息的方法，其中该方法使用以下功能单元：用于从导航卫星系统接收时间讯号(S-讯号)的卫星接收器(110)、产生实际时间讯号(R-讯号)的精确的参考时钟(130)、中央计算机(140)、监视器(120)以及用于储存配置参数的数据块(210)，其中该卫星接收器(110)定期产生S-讯号，和其中该参考时钟(130)定期产生R-讯号，其中该R-讯号的标称频率和相位与该S-讯号的频率和相位相同，而其中标称的和实际的R-讯号的差分用于在未来把这差分减至最小，而其中在该卫星接收器(110)正常的情况下，根据该中央计算机(140)的配置参数(210)产生的该定期同步讯息(220)是基于该S-讯号产生的，而该标称的和该实际的R-讯号的差分用于(优选地在短期内)适应该参考时钟(130)的时态于该S-讯号和(优选地在长期内)适应该参考时钟(130)的时序率于该S-讯号，而其中在该卫星接收器(110)异常的情况下暂停该参考时钟(120)的该时序率的适应，而其中在该卫星接收器(110)错误的情况下，依该中央计算机(140)的该配置参数(210)产生的该定期同步讯息(220)是基于该R-讯号产生的，而其中该监视器(120)检查该同步讯息包含的发讯时间与实际的发讯时间是否相符，以及两个连续的同步讯息(220)之间的间隔是否处于先验固定的容忍区间中，而如否，则以某方式修改该同步讯息(220)以致每个接收器把该同步讯息(220)识别为错误的。
【专利说明】用于产生故障沉默的同步讯息的方法和主时钟

【技术领域】
[0001]本发明涉及在分布式实时系统中产生故障沉默的同步讯息的方法。
[0002]本发明还涉及实行这样的方法的设备。
[0003]本发明在于计算机科技的领域。发明描述通过使用主时钟可靠地从卫星讯号产生符合时间触发以太网的SAE标准AS6802以及IEEE标准1588的同步讯息的创新方法。

【背景技术】
[0004]在分布式容错实时系统中，多部计算机控制一物理处理过程，在这其中当所有计算机都拥有符合国际原子时标准[7]的容错物理时基，会是有利的。这样的时基可通过接收定期的同步讯息建立，讯息由容错的主时钟发送。同步讯息在其数据栏位中包含主时钟的发讯的时刻。
[0005]下文将描述方法，解释如何可以建立这样的容错的主时钟，其产生符合时间触发以太网的SAE标准AS6802[8]以及IEEE标准1588 [9]的可靠的同步讯息。
[0006]下文将解释本文中使用的术语。以太讯息包含标头、数据栏位和冗余的循环冗余校验(CRC)栏位。在正确的封闭的讯息中，该CRC栏位是和讯息的内容相符的。当没有相符的CRC栏位时，讯息为开启的。因此，当要更改讯息的数据栏位时，讯息必须先被开启。当开启讯息时，检查封闭的讯息的内容是否和CRC栏位相符。如果不相符，则拒收讯息。当在开启的讯息的数据栏位中作出修改后，必须再封闭讯息，即是说需要计算新的相符的CRC栏位，然后才可把讯息继续传递。当修改开启的讯息时，在修改期间发生的瞬时性故障(例如因自然宇宙福射产生的单粒子翻转(single event upset))可引发讯息中的错误,其在封闭讯息后仍然存在。
[0007]在计算机可靠性的领域中错误隔离单元”(fault_containment unit, F(U)这术语拥有核心的重要性[7，第136页]。错误隔离单元被了解为封装的子系统，其中错误引发的直接效果被局限在这子系统内。
[0008]实时时钟的质量由其准确度定义[7]。因此，当比较两个实时时钟时，对其时态的差分和其时序率的差分作出区分。当一实时时钟的时态有规律地从一参考时钟偏离时，显示时序率的差分，这可使用数字小/大时跳转换逻辑(digitalen Mikro/Makro TickTransformat 1ns logik)校正。


【发明内容】

[0009]本发明的目的在于述明产生可靠的同步讯息的方案，尤其是符合时间触发以太网的SAE标准AS6802 [8]以及IEEE标准1588 [9]的方案。
[0010]这目的通过根据本发明的方法达成，该方法在于使用以下功能单元:用于从导航卫星系统接收时间讯号(S-讯号)的卫星接收器、产生实际时间讯号(R-讯号)的精确的参考时钟、中央计算机、监视器以及用于储存配置参数的数据块，其中该卫星接收器定期产生S-讯号，和其中参考时钟定期产生R-讯号，其中R-讯号的标称频率和相位与S-讯号的频率和相位相同，而其中标称的和实际的R-讯号的差分用于在未来把这差分减至最小，而其中在卫星接收器正常的情况下，根据中央计算机的配置参数产生的定期同步讯息是基于S-讯号产生的，而标称的和实际的R-讯号的差分用于(优选地在短期内)适应参考时钟的时态于S-讯号和(优选地在长期内)适应参考时钟的时序率于S-讯号，而其中在卫星接收器异常的情况下暂停参考时钟的时序率的适应，而其中在卫星接收器错误的情况下，根据中央计算机的配置参数产生的定期同步讯息是基于R-讯号产生的，而其中监视器检查同步讯息包含的发讯时间与实际的发讯时间是否相符，以及两个连续的同步讯息之间的间隔是否处于先验固定(a pr1ri festgelegten)的容忍区间(Toleranzintervalls)中，而如否，则以某方式修改同步讯息以致每个接收器把同步讯息识别为错误的。
[0011]本发明的重点在于主时钟有三个独立的时间来源，其互相校对和互补:(I)从卫星接收器的定期时间讯号、(2)本地参考时钟的定期时间讯号和(3)独立监视器的定期时间来源。在正常情况下，主时钟的中央计算机以卫星接收器的时间讯号作为产生定期同步讯息的基础，而本地参考时钟的时序率则被适应为卫星接收器的时序率。当发生异常，例如卫星讯号的场强度变为超出正常区间外时，则不对参考时钟的时序率作更正。因此，当中央计算机确定卫星讯号错误或故障时，以参考时钟作为产生定期同步讯息的基础。独立监视器与中央计算机并行，在不开启同步讯息的情况下检查每个同步讯息的内容以及连续的同步讯息之间的时间间隔，以识别在封闭同步讯息前发生的错误。当监视器认出错误时，把将送出的同步讯息中断，或将其以某方式修改以致每个接收器可把经修改的同步讯息识别为错误的。这样地，以高或然率确保了句法上正确的同步讯息同时在内容上也是正确的。当一系统中使用两个独立的主时钟，该系统中就这样可容忍一个主时钟故障。
[0012]本方法的基本创新是关于建立用于产生定期的故障沉默的、与以太网兼容的同步讯息的主时钟，其于分布式实时系统中提供如全球定位系统(GPS)所定义的物理时间，并识别因硬件故障或安全性攻击引起的错误，并部分地容忍这些错误。当使用两个或更多个这样的独立的主时钟，可建立容错的同步。
[0013]现有技术中描述的基于卫星讯号创造同步讯息方法[3，4]没有细述有关主时钟的保安和容错的问题。
[0014]本发明公开创新的方法和设备，其用于可靠地产生符合时间触发以太网的SAE标准AS6802以及IEEE标准1588的同步讯息，以在分布式实时系统中建立可靠的物理时基。根据本发明，一个故障沉默的主时钟由三个错误隔离单元建立，即卫星接收器、含参考时钟的中央计算机和含专用时钟的独立监视器。在正常情况下，以卫星接收器的时间讯号作基础产生同步讯息，而参考时钟的时序率被适应为卫星讯号的时序率。独立监视器额外地监视定期同步讯息之间的确切时间间隔。当监视器认出错误时，把将送出的同步讯息以某方式修改以致每个接收器可把经修改的同步讯息识别为错误的。如果卫星接收器产生的时间讯号出现故障的情况，则以参考时钟的时间讯号作产生同步讯息的基础。当在分布式实时系统中使用第二个故障沉默的主时钟时，就这样可以容忍两个主时钟中其中一个的完全故障。
[0015]根据本发明的方法的进一步有利的实施例如下所述，并可附加地、替代地或彼此以任何组合地实施。如下的皆可行:
[0016]-)监视器在启动后进入初始阶段，在初始段中测量连续的同步讯息之间的间隔，而测得的间隔在随后的工作阶段中用作认出两个连续的同步讯息之间错误的间隔；
[0017]-)中央计算机定期产生诊断讯息，诊断讯息中包含在上一期期间，系统总体的工作状态和任何异常或错误；
[0018]-)储存于配置数据块的数据以错误识别码保护；
[0019]-)储存于配置数据块的数据以错误更正码保护；
[0020]-)只有当外置输入装置和中央计算机之间存有实体连接时，储存于配置数据块中的参数才能被更改；
[0021]-)可通过互联网以加密保护的协议更改储存于配置数据块的参数；
[0022]-)卫星接收器测量卫星讯号的场强度并与中央计算机沟通以使能够认出卫星讯号中的异常；
[0023]-)同步讯息以电子签名保护；
[0024]-)同步讯息的句法结构相应于SAE标准AS6802；
[0025]-)同步讯息的句法结构相应于IEEE标准1588；
[0026]-)S-讯号以GPS系统的卫星讯号作为基础产生，和/或S-讯号以伽利略系统的卫星讯号作为基础产生，和/或S-讯号以格洛纳斯(GLAN0SS)系统的卫星讯号作为基础产生；
[0027]-)当卫星接收器的故障结束後，参考时钟产生的R-讯号以最高的预定的时序率的差分被带回重新提供的S-讯号，以排除在故障期间R-讯号和S-讯号之间累积的时态差分。
[0028]通过在引言中提及的那类用于实行根据本发明的方法的设备，特别是主时钟，亦会达成本发明。
[0029]该设备优选地从经温度补偿的石英得出参考时钟的R-讯号，或者从原子钟得出参考时钟的R-讯号。

【专利附图】

【附图说明】
[0030]本发明将以下图作基础以例子作解释。唯一的附图(图1)显示故障沈默的主时钟的内部结构。

【具体实施方式】
[0031]图1显示故障沉默的主时钟的结构图。主时钟包括三个错误隔离单元(FCT): (I)卫星接收器110、(2)含参考时钟130的中央计算机140和(3)监视器120。定义主时钟的确切功能的参数储存于配置数据块210中。储存于配置数据块210中的数据可以错误识别码或错误更正码保护。通过输入装置和主时钟之间的实体连接把参数载入配置数据块210中，以防止通过互联网的安全性的攻击。替代地，可通过互联网用加密保护的协议将其载入配置数据块。
[0032]卫星接收器110把定期的时间讯号一S-讯号一发往中央计算机140。与此并行地，独立参考时钟130把定期的时间讯号一R-讯号一发往中央计算机140。在无错误的状态中，S-讯号和标称的R-讯号的时序率和相位会是一样的。
[0033]准确的时钟(例如经温度补偿的振荡器或原子钟)位于参考时钟中。这准确的时钟产生的主讯号在参考时钟130中经数字小/大时跳转换单元转换为在与中央计算机140的接口期待的该R-讯号。这数字小/大时跳转换单元可由中央计算机参数化，以使参考时钟130输出的R-讯号的时态和时序率可以数字方式被修改。在正常情况下，中央计算机140测量从卫星接收器110而来的时间讯号一S-讯号一和从参考时钟130而来的实际的时间讯号一R-讯号之间的差分，而小/大时跳转换单元被以某方式参数化，以使从参考时钟130而来的实际的R-讯号被适应为(由卫星接收器的S-讯号预定的)标称的R-讯号。这适应以两种方式发生。在短期内，R-讯号的时态被适应为S-讯号的时态。在长期内，R-讯号的时序率被适应为S-讯号的时序率。这样的把参考时钟130的时序率适应于卫星系统预定的S-讯号的结果是，R-信号的漂移的准确度可得到高达两个数量级的改善[7，第72页]。
[0034]卫星接收器130从导航卫星系统[6]接收导航讯号(导航卫星系统例如为GPS系统、GLAN0SS系统或未来的伽利略系统)并监视这些讯号的场强度。这对场强度的监视是为了要得知任何对卫星讯号(例如GPS讯号)的安全性攻击而进行的。在无错误的状态中，GPS讯号的场强度处于一普遍区间中，所述普遍区间通过长时间内测量发生的场强度而确定。当这些场强度自发地、大幅地改变而超出该普遍区间时，就显示发生安全性攻击。原则上，可对堵截攻击和欺骗攻击两种对卫星讯号的安全性攻击作出区分[5]。在堵截攻击的情况下，GPS讯号被干扰，以致卫星接收器不能接收句法正确的讯息。卫星接收器会简单地认出堵截攻击，因为讯号实际上消失。在欺骗攻击的情况下，产生伪造的、句法正确的讯号以扰乱接收器。由于伪造的欺骗攻击讯号要和真实的GPS讯号重叠，欺骗讯号的场强度必然会处于普遍范围以外。在普遍的场强度和由欺骗攻击以致确切地被认定为错误的状态之间存有中间区域，其被称为异常。当认出异常，马上暂停对参考时钟的时序率的校正，以防止参考时钟的时钟时序率被错误地适应至非真正的卫星讯号的可能发生。
[0035]在无错误的情况下，中央计算机140以从卫星接收器110而来的S-讯号为基础以定期产生与以太网兼容的同步讯息220，所述同步讯号符合时间触发以太网的SAE标准AS6802或IEEE标准1588。此讯息的参数(频率与相位)是从配置数据块210取得的。如有必要，同步讯息可以电子签名[7]保护，以确保讯息的真确性。中央计算机140通过计算和加上CRC多项式把封闭的同步讯息220封闭，并精确地于讯息包含的发讯时间把讯息发往指定的接收器。
[0036]当S-讯号从卫星接收器110和中央计算机120之间的接口消失，或当中央计算机确定发生对卫星讯号的欺骗攻击时，中央计算机140就这样以从参考时钟130而来的R-讯号为基础以产生同步讯息220。当正确的S-讯号再次可用时，中央计算机马上确定R-讯号和S-讯号之间的时态差分，并通过小/大时跳转换单元的参数更改参考时钟130的时序率，直至R-讯号再次和S-讯号相符。其中，参考时钟的时序率从卫星讯号的时序率的偏离不超过配置数据块220中包含的先验固定的最大偏离。当R-讯号的时态达到S-讯号的时态后，中央计算机马上再以S-讯号为基础以产生同步讯息。
[0037]在正常运作中，监视器120以直通(cut through)方法检查将送出的封闭的同步讯息220。其中，两个连续的同步讯息220之间的时间间隔以监视器120的时钟测量，而同步讯息的内容则被检查。如果两个连续的同步讯息220之间的时间间隔处于之前确定的容忍区间以外，或当认出基于内容的错误时，则把将送出的封闭的同步讯息220以某方式修改，以致例如作为发讯过程的提早中断的结果，每个接收该同步讯息220的接收器皆可把同步讯息识别为错误的。监视器额外地发出附有错误原因的错误讯息往中央计算机。
[0038]通过在主时钟的初始化阶段中由监视器120测量某数量的同步讯息的讯息间隔，确定容忍区间，其拟定两个连续的同步讯息220之间可容许的间隔。替代地，这容忍区间的长度可在配置数据块210中拟定。
[0039]中央计算机140定期地(该定期的时间间隔于配置数据块210中指定)发出诊断讯息往指定的诊断电脑。所有重要的参数，例如测量所得的卫星讯号的场强度、实际的R-讯号的时序率和时态差分以及于上一期期间发生的任何错误讯息，皆在这诊断讯息中传达给该诊断电脑。
[0040]引用文献
[0041][1]US 5，694，542Kopetz，H.Time-triggered communicat1n control unit andcommunicat1n method.于 1997 年 12 月 2 日授权。
[0042][2]US 7，839，868.Kopetz，H.Communicat1n method and system for thetransmiss1n of time-driven and event-driven Ethernet messages.于 2010 年 11 月23日授权。
[0043][3]US 8，089，99IUngermann.Network and method for clock synchronizat1nof clusters in a time triggered network.于 2012 年 I 月 3 日授权。
[0044][4]US 8，018，950Wu，et al.Systems and methods for distributing GPS clockto communicat1ns devices.于 2011 年 9 月 13 日授权。
[0045][5]Warner, J.et.al.GPS Spoofing Countermeasures, Los Alamos Nat1nalLaboratory.网址:http://lewisperdue.com/DieByWire/GPS-Vulnerability-LosAlamos.pdf
[0046][6] Hofmann-Wellenhof,B.et al.GNSS-Global Navigat1n SatelliteSystems:GPSj GLONASSj Galileo, and more.Springer publishing house, 2007.
[0047][7]Kopetz,H.Real-Time Systems,Design Principles for DistributedEmbedded Applicat1ns.Springer publishing house.2011.
[0048][8]SAE Standard AS6802von TT Ethernet.网址:http://standards, sae.0rg/as6802
[0049][9]IEEE 1588Standard for a Precis1n Clock Synchronizat1n Protocol forNetwork Measurement and Control Systems.网址:http://www.1eeel588.com/
【权利要求】
1.用于在分布式实时系统中产生故障沉默的同步讯息的方法， 其特征在于 该方法使用以下功能单元:用于从导航卫星系统接收时间讯号(S-讯号)的卫星接收器(110)、产生实际时间讯号(R-讯号)的精确的参考时钟(130)、中央计算机(140)、监视器(120)以及用于储存配置参数的数据块(210)，其中该卫星接收器(110)定期产生S-讯号，和其中该参考时钟(130)定期产生R-讯号，其中该R-讯号的标称频率和相位与该S-讯号的频率和相位相同，而其中标称的和实际的R-讯号的差分用于在未来把这差分减至最小，而其中在该卫星接收器(110)正常的情况下，根据该中央计算机(140)的配置参数(210)产生的该定期同步讯息(220)是基于该S-讯号产生的，而该标称的和该实际的R-讯号的差分用于(优选地在短期内)适应该参考时钟(130)的时态于该S-讯号和(优选地在长期内)适应该参考时钟(130)的时序率于该S-讯号，而其中在该卫星接收器(110)异常的情况下暂停该参考时钟(120)的该时序率的适应，而其中在该卫星接收器(110)错误的情况下，依该中央计算机(140)的该配置参数(210)产生的该定期同步讯息(220)是基于该R-讯号产生的，而其中该监视器(120)检查该同步讯息包含的发讯时间与实际的发讯时间是否相符，以及两个连续的同步讯息(220)之间的间隔是否处于先验固定的容忍区间中，而如否，则以某方式修改该同步讯息(220)以致每个接收器把该同步讯息(220)识别为错误的。
2.如权利要求1所述的方法，其特征在于该监视器(120)在启动后进入初始阶段，在该初始段中测量连续的同步讯息(220)之间的间隔，而在随后的工作阶段中使用该测得的间隔以认出两个连续的同步讯息(220)之间错误的间隔。
3.如权利要求1所述的方法，其特征在于该中央计算机(140)定期产生诊断讯息，该诊断讯息中包含在上一期期间，系统总体的工作状态和任何异常或错误。
4.如权利要求1至3之任一所述的方法，其特征在于储存于该配置数据块(210)的数据以错误识别码保护。
5.如权利要求1至4之任一所述的方法，其特征在于储存于该配置数据块(210)的数据以错误更正码保护。
6.如权利要求1至5之任一所述的方法，其特征在于只有当外置输入装置和该中央计算机(140)之间存有实体连接时，储存于该配置数据块(210)中的参数才能被更改。
7.如权利要求1至6之任一所述的方法，其特征在于可通过互联网以加密保护的协议更改储存于该配置数据块(210)的参数。
8.如权利要求1至7之任一所述的方法，其特征在于该卫星接收器(110)测量卫星讯号的场强度并与该中央计算机(140)沟通以使能够认出该卫星讯号中的异常。
9.如权利要求1至8之任一所述的方法，其特征在于该同步讯息(220)以电子签名保护。
10.如权利要求1至9之任一所述的方法，其特征在于该同步讯息(220)的句法结构相应于SAE标准AS6802。
11.如权利要求1至10之任一所述的方法，其特征在于该同步讯息(220)的句法结构相应于IEEE标准1588。
12.如权利要求1至11之任一所述的方法，其特征在于该S-讯号以GPS系统的卫星讯号作为基础产生。
13.如权利要求1至12之任一所述的方法，其特征在于该3-讯号以伽利略系统的卫星讯号作为基础产生。
14.如权利要求1至13之任一所述的方法，其特征在于该3-讯号以格洛纳斯系统的卫星讯号作为基础产生。
15.如权利要求1至14之任一所述的方法，其特征在于当该卫星接收器(110)的故障结束後，该参考时钟(130)产生的该I？-讯号以最高的预定的时序率的差分被导回重新提供的该3-讯号，以排除在故障期间该讯号和该3-讯号之间累积的时态差分。
16.用于实行如权利要求1至15之任一所述的方法的设备。
17.如权利要求16所述的设备，其特征在于该参考时钟(130)的该I？-讯号从经温度补偿的石英得出。
18.如权利要求16所述的设备，其特征在于该参考时钟(130)的该I？-讯号从原子钟得出。
【文档编号】H04L12/26GK104365042SQ201380030537
【公开日】2015年2月18日 申请日期:2013年4月9日 优先权日:2012年4月11日
【发明者】斯蒂芬·波莱德纳 申请人:Fts电脑技术有限公司