分布式通信系統的節點、連接到通信系統的節點及監測裝置的製作方法

2023-10-08 00:31:04 1

專利名稱：分布式通信系統的節點、連接到通信系統的節點及監測裝置的製作方法
技術領域：
本發明涉及一種分布式通信系統的節點，還涉及一種分布式通 信系統以及連接到該通信系統的節點的監測裝置。
背景技術：
目前存在一些在分布式通信系統中使用的協議。特別地，在汽 車領域中使用時間觸發協議。這種協議的一個是FlexRay協議。 FlexRay通信協議在汽車等領域中是汽車行業對不斷增加的可靠性、 高速數據通信需求的解決辦法。FlexRay通信協議是基於TDMA機制 來協調所述通信系統的參與裝置的訪問。但是，FlexRay通信協議避 免了在汽車通信系統中使用主同步節點來實現分散的對故障更魯棒 (more fault robust)的總線結構。當啟動通信系統時，這需要通信系 統中的所有參與節點的相互同步來實現與全球時間基準的一致。
FlexRay通信協議通過使用啟動和同步幀來提供 一 種用於這種 啟動階段的機制。此外，FlexRay協議允許傳輸符號以避免衝突。通 常，使用與時隙相關的幀來傳輸數據，其中每個幀包括頭部和數據部 分。
在基於FlexRay通信協議操作這種通信系統期間，人們已經認 識到在起始階段尤其可能出現單個節點失效的情況，其中這種失效可 妨礙節點的啟動從而降低有效性，或者這種失效將導致影響整個通信 系統的叢集的形成從而造成網絡局部隔開。FlexRay通信協議是所謂 的雙信道傳輸系統。當在一個節點的兩個輸出信道上輸出不同或者不 同定時的同步幀，則可能建立相互同步的節點組，該節點組與其他節 點組不同步。因此，通信系統中的另一組可使用不同的基準時間，因 為其是基於時間移位的同步幀的。如果未檢出通信系統中的這種叢集 的形成，則可能導致通信系統的有效性或可靠性的降低。
4短暫的或永久性的硬體錯誤(如陷落位元或反轉位元、定時錯 誤或偽重置)可引起啟動階段同步期間的其他差錯或者是數據傳輸期 間的一般差錯。
在FlexRay協議中，為每個節點安排一定的時隙來傳輸其數據。 在該節點傳輸其數據期間，將沒有其他節點通信。因此，非常需要所 有節點接受該時隙結構和在通信系統啟動期間定義的通信系統的基 於全球基準時間的一般調度計劃。
當前，存在兩種防止導致整個通信系統失效的單個節點失效的 解決方案。存在幾種使用所謂總線監控器的結構，該總線控制器平行 於節點的每個控制器而添加，如果由於在某時隙期間允許另一節點傳
輸而不允許某節點訪問媒介，則總線監控器觀察通信控制器對媒介的 訪問並阻止節點訪問媒介。這種總線監控器必須根據其節點的狀態和 媒介應該具有的狀態來形成其自己的判斷意見。因此，總線監控器具 有與節點的通信控制器基本相同的複雜度。總線監控器與通信控制器 接收相同的來自主機的命令。因此，總線監控器不能檢測主機的差錯。 此外，為了檢測節點是否在非法的時隙中傳輸，總線監控器僅僅粗略 地檢查傳輸路徑上的幀的時序而不檢查其內容。因此總線監控器不能 直接檢測出通信控制器中由於中斷的計數器產生的如小的時序差錯 或錯誤的幀內容的錯誤。
第二種機制是通過由節點的主機(CPU)單獨執行來監測從通 信控制器到主機傳遞的數據。該主機監測表示控制器可能失效的不一 致性。
但是，上述兩種解決方案都存在缺點。如上述的總線監控器使 控制器的複雜度加倍。但是它可保護網絡避免不限於啟動期間的各種 狀態中的幾乎所有可能的失效。第二種解決方案中主機基於由通信控 制器提供的信息檢測失效，但是必須承受依靠通信控制器提供的信息 的事實。因此，第二種解決方案對許多檢測差錯來說足夠，但是通信 控制器的更複雜的差錯可能偽造該信息或者簡單重複以前的正確信 息。因此，主機可能是基於不可靠的信息來確定的，這導致通信控制 器的不正確的操作，可能導致整個網絡的失效。因此，需要一種解決方案，該解決方案可提供增加的錯誤檢測 並且能避免僅基於通信控制器提供的信息來檢測和減少錯誤，並且具 有明顯低於總線監控器的複雜度。

發明內容
因此，本發明的目的是提供一種分布式通信系統的節點、 一種-分布式通信系統和監測裝置，增加錯誤檢測並降低複雜度以對需要非
100%失效安全解決方案的系統提供較高的有效性。
所述目的通過獨立權利要求的技術特徵解決。
本發明基於提供小的硬體元件的思想，下文稱其為監測裝置(也 可看作端檢測器)，優選地在與通信控制器相同的矽片上提供該監測 裝置，並且該監測裝置通過監測通信控制器的輸入和輸出線路之一來 .分析通信控制器的行為，即通信控制器的內部狀態和/或通信控制器 提供給主機的信息。如果監測裝置識別出可能使其他節點的通信中斷 的通信控制器的未定義行為，該監測裝置將.向主機發送通信控制器的 錯誤的或有缺陷的行為的信號。接著主機負責執行所需的行為，例如 關閉通信控制器或以其他方式阻止該通信控制器的進 一 步傳輸。因 此，提供一種容易降低成本的解決方案以適用於在分布式通信系統中 檢測預定數量的差錯。
特別地，監測裝置使用計數器、定時器和分析邏輯的混合來核 實通信控制器中重要處理的正確性。通過使用本發明的結構特別是監 測裝置，由於監測裝置使用了通信控制器的預處理信息，因此降低了 用於確定中間狀態和節點狀態的複雜度。此外，監測裝置使用通信控 制器的輸入和輸出信息來確定其行為是否正確。
此外，通過調整通信控制器所提供的信息量來觀察，可實現不 同級別的差錯保護。
特別地，將用於差錯檢測的監測裝置靠近所監督的通信控制器 放置允許使用內部線路(如調試線路)並觀察所監督的通信控制器的 內部狀態來獲得情況的更清楚的描繪。
監測裝置表示利用周期性的和額外的差錯檢測任務防止主機變得超負荷的專用硬體。因此，監測裝置可使用錯誤減少來允許主機實 現將要執行的更複雜的策略。因為監測裝置僅提供通信控制器運行錯 誤的信息，主機可決定關閉控制器、重置控制器、配置控制器(例如 僅對輸入/輸出信道之一)，或者決定配置控制器以非同步方式運行 來僅允許接收操作。
在本發明的優選實施例中，所述監測裝置可使用來自通信控制 器的各種信息用於其監督。在監測裝置中使用越多的預處理信息，監 測裝置的複雜度越低，但是同時監測裝置也變得更容易受通信控制器
的Byzantine差錯的影響。監測裝置的複雜度取決於通過監測裝置監 測多少差錯和哪些差錯。
因此必須對將要實現的需要的差錯保護權衡下文中配置的複雜 度成本。
監測裝置可檢測到的第一種差錯是由主機造成的可能妨礙叢集 啟動的差錯。主機的錯誤命令的產生造成在啟動過程中節點無法並 入。此外，由於連續地輸出命令(如準備就緒READY)，錯誤地 操作主機可妨礙任何其他節點的冷啟動。因此，節點將永遠不能從冷 啟動的嘗試中跑出。這種行為的 一 種原因可能是主機的吋鍾運行太 快。因此，監測裝置在預定時間內檢查READY命令數，其中可通過 在READY和RUN命令之間強制實施最小時延來克服這個問題。為 了避免這種差錯，監測裝置監測提供給通信控制器的主機命令。特別 地，監測裝置對從主機接收的READY命令計數並且針對預定閥值來 檢查單位時間內的READY命令或者READY命令之間的時間。如果 違背(violate)或超出了特定閥值，則很可能主機是失控的(buggy) 並且正在以有缺陷的方式運行。該主機行為可以如下方式造成該節點 阻止網絡的所有其他節點的啟動通信控制器將在主機的RUN命令 之後嘗試啟動網絡，但是由於主機接著的READY (約等於重置)命 令而放棄其啟動。這將導致整個網絡啟動的放棄。如果足夠快地重複 該RUN-READY序列，通信控制器將總需要媒介作為網絡的第一節 點而接著放棄啟動。因此網絡將由於一個錯誤的主機不能啟動。
為了監督主機命令，由於該監測裝置已檢測到主機可能正在錯誤地運行並可能因此錯誤地對錯誤報告錯誤地作出反應，因此向外部 控制單元或向控制對象報告檢測到的錯誤是很有必要的或者是很有 益的。可替換地，監測裝置自身可在安全的狀態中(如在失效沉默模 式中)採取措施來驅動監督的通信控制器。
監測裝置還可提供的可能是對通信控制器的內部狀態的監督， 以檢測可能導致叢集形成的失效。為此，監測裝置保持其表示通信控 制器應處於的狀態的自身狀態可變，並且根據控制器發送的事件(如
併入成功)和主機發送的命令(如WAKEUP或RUN)來改變。監測 裝置使用該內部狀態來執行控制，使得由通信控制器執行的狀態改變 自身(如從READY狀態到NORMAL—ACTIVE狀態的非直接轉換)
與監測裝置所保持的狀態一致(如在通信控制器沒有發送前一個併入 成功事件的情況下不從INTIALIZE—SCHEDULE轉換到 INTEGRATION—COLDSTART—CHECK)。這允許在狀態機中檢測可 能造成通信控制器錯誤地進行協議定義禁止的安全保護的差錯。
存在另一種檢測可能造成叢集形成的失效的可能。監測裝置保 持其自身的循環和時隙值並且根據通信控制器提供的事件(如循環開 始)來使其增加。監測裝置也可使用上述其自身的狀態變量。監測裝 置通過調試線路來檢測與通信控制器表示的值相應的這些計數器的 值。由於僅允許通信控制器在預定狀態中重置這些計數器中的 一 個， 如果在不允許重置的情況下由通信控制器表示的計數器與由監測裝 置保持的計數器不同，則可以很容易地通過監測裝置來檢測通信控制 器的有缺陷的操作。在這種情況下，監測裝置將向主機發送有缺陷操 作的信號。該步驟防止了一些陷落位元/反轉位元的錯誤。儘管對於 最終的保護，由於位元在通信控制器的傳輸途徑中也可能陷落/反轉， 因此監測裝置需要解碼在通信控制器的傳輸信道上發送的幀並且檢 測所使用的正確循環/時隙ID。如果在稍後的變化中，傳輸的時隙或 循環ID不符合由監測裝置保持的各計數器，則發送錯誤信號。
在本發明的另一個實施例中，可檢測通信節點的所謂的連續不 斷的(babbling)符號傳輸。如上述，在FlexRay通信協議中，可傳 輸包括頭部和數據部分的幀。此外，FlexRay通信協議允許傳輸特殊
8符號。有衝突避免符號(CAS)和喚醒符號(WUS)。如果在總線
上傳輸這種符號，所有其他節點將識別這些符號並且將停止自身喚醒 或啟動網絡的嘗試。同時這種符號將與其他節點發送的幀牴觸並破壞 它們。因此，很可能發生錯誤的通信控制器的情況，通信控制器將永
遠發送阻止所有其他節點的正當傳輸的這種CAS符號。在這種情況 下，指定的監測裝置可觀察通信控制器的傳輸信道及其自身的內部狀 態(如上述兩種可能的實施例)。長期的低速傳輸表示CAS/WUS的 傳輸。計數傳輸的符號數。基於通信控制器處在的狀態，如果傳輸多 於特定數量的這種符號，則向主機發送錯誤信號。這將防止該通信控 制器由於重複符號接收重置其等待協議而阻止其他節點啟動。在防止 連續不斷的CAS/WUS的情況下，對特定持續時間的低速傳輸周期進 行檢測將消除對將要在監測裝置中實現的複雜解碼電路的需要，因為 長期低速傳輸的檢測明顯比實際幀的解碼容易。特別地，如果監測裝 置注意到通信控制器處於喚醒狀態並且發送多於預定數量(如63) 的符號，則通知主機。此外，如果監測裝置注意到通信控制器不處於 喚醒狀態並且發送多於一個WAKEUP符號，則通知主機。
在本發明的另 一 個優選實施例中，監測裝置可防止網絡形成由 去同步的同步幀傳輸造成的叢集。由於Fl exR a y通信協議是 一 種雙信 道協議，需要每個主機同時在兩個信道上傳輸同步幀，所有節點使用 同步幀來獲得全球時間基準。在相同的時隙內傳輸同步幀是不夠的， 實際上還必須在兩個信道上同時開始同步幀的傳輸。因此，監測裝置 可觀察兩個傳輸信道和時隙計數器。如果通信控制器在每個信道上不 同的時間在被表示為同步幀的靜態段的時隙中開始傳輸，則向主機指 示差錯。這防止了叢集的形成，除非選擇網絡的其他節點來同步不同 信道。
關於防止由於兩個傳輸信道之間的去同步形成叢集，也可以在 沒有監測裝置的解碼電路的情況下來實現對兩個傳輸信道的監測，因 為觀察可能與要傳輸的實際數據分別指示的傳輸啟動(如FlexRay中 的RxEn與TxD)即可。
此外，在另一優選實施例中，可核實同步幀的接收。為此，監測裝置使用由通信控制器接收和預處理的數據來解碼所接收信息的 幀頭部。因此，將監測裝置與通信控制器連接，以接收在通信控制器 中接收並轉換後的更好的選通位元。計數一個循環中由監測裝置解碼 的同步幀頭部數。由於監測裝置看到的一些頭部可能已屬於同步的無 效幀，因此由監測裝置確定的同步幀頭部數形成通信控制器可向主機 發送的同步幀數的上限。如果通信控制器向主機發送其已看到更多的 同步幀的信號，監測裝置可通知錯誤運行的主機。這避免了在通信控 制器實際上沒有看到足夠的同步幀時，聲明已看到足夠的同步幀並將 其模式改變為允許傳輸。這將導致叢集形成或者導致網絡中僅有一些 節點啟動。
監測裝置的存在還可以低成本引入進一步的對局部相關差錯的 檢查。在本發明的另一個實施例中，監測裝置還可包括幀格式檢查器， 該幀格式檢查器將觀察通信控制器的輸出信道的傳輸，並且檢査是否 為正確和預期的低/高序列，並且表示幀的低/高序列是否發生改變。 監測裝置使用這種幀格式檢查器可容易地收集合理地確認期望的幀 傳輸實際發生的信息。將複雜的位序列映射為在傳輸信道上傳輸的部 分通信要素的簡單模式，以使其在監測裝置中可容易地進行比較。如 果期望的幀傳輸沒有發生，監測裝置向主機發送信號，接著主機可快 速地嘗試解決該問題(如通過在另一時隙中重複傳輸)，而不必等待 否定應答信息。
此外，監測裝置可檢測在錯誤時隙或錯誤循環中發送的幀。如 上所述，僅允許節點根據調度在預定時隙傳輸數據。為了檢測這種差
錯，監測裝置使用TxD信號來解碼通過通信控制器傳輸的幀的頭部。 監測裝置檢査時隙ID和循環ID是否與監測裝置保持的時隙和循環 的計數(參見上文) 一致。此外，在監測裝置中執行頭CRC的CRC 校驗。ID校驗或CRC校驗的失效是幀在錯誤時隙發送的特定信號。 在這兩種情況下均通知主機。很容易看出，可以將這種機制延伸到復 制同在傳輸期間的接收時執行的完整校驗來檢測由早期的協議引擎 引起的傳輸差錯。
最後，儘管將數據傳遞到通信控制器，也可能發生協議引擎發
10送NULL幀。在這種情況下，監測裝置將針對從主機接收的命令來
解碼從主機接收的幀頭中的空幀位和第一淨荷字。
但是，本發明還可用於非時間觸發協議，如WLAN。在這種情 況下，監測裝置可通過解碼並且比較主機向通信控制器提供的數據與 通信控制器最終發出的數據，在通信控制器發出的分組幀中檢查節點 是否發送了正確的內容。此外，本發明不限於有線的媒介或總線。本 發明也可基於無線通信技術操作。


下文將參考圖示的實施例通過非限定性示例更詳細地描述本發明。
圖l示出了分布式通信系統的示例；
圖2說明了具有總線監控器的節點；
圖3a說明了使用基於差錯檢測的主機的節點；
圖3b說明了使用基於差錯檢測的總線監控器的節點；
圖4說明了本發明的第一實施例的節點；
圖5說明了根據本發明的監測裝置的結構；
圖6說明了根據本發明的用於檢測錯誤運行的主機的監測裝置 的實施例；
圖7說明了根據本發明的用於檢測通信控制器的內部狀態的監 測裝置的實施例；
圖8說明了根據本發明的用於檢測通信控制器的錯誤同步幀報 告的監測裝置的實施例；
圖9說明了根據本發明的通信控制器的內部結構。
具體實施例方式
圖1說明了用於本發明的通信系統。將圖1中說明的通信系統 分為多個子網(A-D)，每個子網由無源總線或者由星形耦合器支持。
參考圖2，更詳細地描述這種子網中使用的節點10。典型的容 錯時間觸發網絡通常由兩個通信信道A、 B組成，節點10連接到這兩個信道。每個節點10由總線驅動器17、通信控制器15以及用於 每個總線驅動器的總線監控裝置14和主機13。所述總線驅動器17 傳輸由通信控制器15提供給其所連接的信道的位元和字節，並且接 著向通信控制器15提供其從信道A、 B接收的信息。將通信控制器 15連接到兩個信道，並且向主機13發送相關數據並從主機13接收 數據。接著，通信控制器15將數據合集為幀並且向總線驅動器17 發送所述數據。信道數量與本發明無關。對這兩個信道、節點10的 結構的說明僅僅為了能對本發明更好地概述q本發明不局限於所描述 節點中的存在或不存在的部分，也不受其限制。通信控制器15包括 所謂協議引擎18，為了方便第二層(數據鏈路層)訪問協議，協議 引擎18提供節點10。與本發明最相關的是使用預定TDMA機制或 者通信調度訪問媒介的功能。必須配置通信系統中的用於每個節點 10的通信調度，以避免在通信系統中傳輸數據時節點IO之間的相互 衝突。總線監控器14是一種具有獨立配置數據組的裝置，僅在通信 調度指定的時隙期間使能總線上的傳輸。主機13包括數據源和接收 器，並且通常不與協議活動連接。主機13僅做出通信控制器15不能 單獨做出的決定。
要基於時間觸發TDMA訪問網絡，就如FlexRay協議的需要一 樣，節點IO之間的同步是首要的。通常每個節點IO都有其自己的時 鍾，儘管通常希望各時鐘相等，但是由於由溫度、電壓波動以及製造 公差的影響，其時間基準可與其他節點io的不同。
每個節點10的通信控制器15包括同步機制，其中節點10監聽 與其相連接的信號並且可適用於同步或者影響共同的始終頻率和偏 移。
通信系統中的網絡啟動由所謂冷啟動節點處理，其中一個開始 通信循環而其他的響應。該節點由配置或者由一些確定幾個潛在節點 中的某個節點執行啟動的算法來選擇。這種算法通常由所連接的信道 上的傳輸幀或類似的結構組成，無論何時都不存在可檢測的通信調 度。從而冷啟動節點的通信控制器15必須監聽所有連接的信道並且 必須同時在所有連接的潛在冗餘信道上傳輸其包括同步幀的啟動數據。如果通信控制器15接收到表示啟動的特定同步幀或類似的結構， 則將從觀察的通信採納定時機制並且將其集成到系統中。
從圖2中可容易地看出，包括總線監控器的節點的複雜度很高。
因此，根據本發明需要提供可在主機13或通信控制器15運行 錯誤的情況下保護通信系統的監測裝置16。
在圖3a和3b中，說明節點中兩種通常用於差錯減少的方法。
在圖3a中，說明一種總線監控器解決方案。由於總線監控器14 與通信控制器15具有幾乎相同的複雜度，總線監控器14自身可基於 通信調度監測是否允許通信控制器15在特定時隙發送。因此直接將 總線監控器耦接到通信系統，以識別通信系統的狀態。此外，在檢測 到任何錯誤的情況下，總線監控器14可斷開通信控制器14的傳輸路 徑。但是，總線監控器14所需要的成本和空間很高。此外，在大多 數應用中都不需要這種10 0 %的失效安全解決方案。
在圖3b中，說明一種基於軟體的錯誤減少解決方案。通信控制 器15連接到主機13，其中主機13監測由通信控制器15提供給主機 13的信息。根據接收到的信息，主機13可評估通信控制器15的行 為是否正確。在通信控制器15的運行不正確的情況下，主機13可通 過斷開傳輸路徑來中止通信控制器15的傳輸操作。但是，通信控制 器15是否正確運行時根據通信控制器5自身提供的信息來確定的。 因此，該信息可能是不正確的，因此連接或斷開通信控制器15的決 定也是不太可靠的。
因此，本發明建議提供圖4中說明的監測裝置16。監測裝置16 耦接到通信控制器15的傳輸路徑，直接耦接到通信控制器15並連接 到向主機13提供信息的信息輸出。
因此，監測裝置16可通過檢查計數器、定時器以及由通信控制 器或其輸入和輸出線路的預處理信息提供的狀態來檢測預定差錯。
在監測裝置16檢測到通信控制器15不正確的行為的情況下， 向主機13報告該行為。因此，主機13將停止通信控制器15或者可 以重置通信控制器15。可替換地或除此之外，類似圖3b中的主機斷 開Tx路徑的解決方案也可行，但是該解決方案基於來自監測裝置的信息而不是基於來自控制器自身的信息。
可以在與通信控制器15相同的矽片上實現監控裝置16,但是不 需要將其布置在矽片上。由於限制部件的數量，可容易地將監測裝置
16與通信控制器15 —起實現。因此用於監測狀態的連接線路很短以
避免進一步由連接或傳輸問題引起的差錯。
在圖5中提供了這種監測裝置16的內部部件的簡要說明。監測 裝置16從通信控制器15並且特別是從通信控制器15中協議引擎18 引出的調試線路接收預處理信息。此外，監測裝置16從通信控制器 15的總線驅動器接口接收信息或數據。最後，監測裝置16從通信控 制器15中的控制器主機接口接收信息。
將這些信息提供給用於數據解碼的數據解碼和評估單元53。如 上所述，在FlexRay協議中，通常在包含頭部和數據部分的幀中發送 數據。因此，為了檢測數據結構，必須解碼幀結構來評估頭部的內容。 數據解碼和評估單元53根據通信控制器15所提供的信息來解碼信 息。數據解碼和評估單元53同時也評估通信控制器的發送事件，以 命令狀態複製保留(State Copy Maintenance)單元52如何改變其狀 態來連續地跟蹤通信控制器的狀態。
此外，數據解碼和評估單元53評估通信控制器15提供的數據 並且向正確性檢查單元51提供評估結果。正確性檢查單元51耦接到 狀態複製保留單元52，其中存儲狀態之間的預定轉換、相關定時器 的值以及計數器的值。根據這些存儲的信息，正確性檢查單元51可 比較數據解碼和評估單元53提供的數據與存儲在狀態複製保留單元 52中的數據。基於比較結果，在監測裝置16中評估通信控制器15 的行為是否正確。在通信控制器15錯誤操作的情況下通過正確性檢 査單元51的輸出向主機13提供報警信號。
圖6描述了監測裝置16的實施例，該監測裝置16用於通過監 測主機命令來檢測主機的錯誤行為。這些命令被提供給命令解碼器 62，其用於識別從主機13傳輸到通信控制器15的命令。在識別出命 令為READY的情況下，向READY計數器61提供增值信號。監測 裝置16包括超時定時器43，每當超過預定時間(如每秒)則減小
14READY計數器61使其趨於零。在READY計數器61超出預定門限 (如3)的情況下，通知主機13釆取所需措施。但是，特別地在通 過計數每單位時間從主機13接收的READY命令或者通過測量 READY命令之間的時間來監督主機13的行為的情況下，再向額外 的監督單元(未示出)提供一個差錯信號以採取所需要的措施來重置 或關閉錯誤操作的主機13是很有用的。
圖7說明了監測裝置16的實現，其中通信控制器15提供多個 用於檢測通信控制器15的可能導致叢集形成的時隙或循環計數問題 的信息。所有這些信息直接從通信控制器15的內部終端提供。監測 裝置16包括時隙計數器72，用於當從通信控制器15接收時隙開始 信號時通過增加計數器來計數時隙。此外還有循環計數器71，其在 從通信控制器15接收到循環開始後增加。將兩個計數值(時隙、循 環)提供給比較和重置單元73。比較和重置單元73進一步接收靜態 時隙的數量、通信控制器的協議操作控制(POC)單元的狀態、時隙 ID和循環ID。基於這些信號，比較和重置單元73可比較通信控制 器15的時隙和循環計數值與其自己的時隙和循環計數值。在不匹配 的情況下，例如如果在允許不重置的狀態期間重置了通信控制器15 的時隙計數器，則檢測到差錯，向主機13發送信號。
圖8說明了偽同步幀報告的檢測。如果通信控制器15在接收路 徑上接收到了同步幀，則確認該同步幀並向主機13報告同步幀的接 收。但是，可能發生通信控制器15沒有接受同步幀或者沒有正確地 識別同步幀而向主機13報告同步幀的正確接收的情況。在這種情況 下，通信控制器15是錯誤操作的。為了檢測這種同步幀接收和同步 幀報告之間的不匹配，監測裝置16使用通信控制器15的預處理接收 數據。通信控制器15包括解碼器單元，其中所接收的位元在通信控 制器15中進一步處理之前是選通的。將這些預處理的接收數據位元 提供給監測裝置16，檢測裝置16可基於這些選通位元來識別所接收 的頭部是否屬於同步幀。接著在單元81中計數一個循環期間通信控 制器接受的同步幀頭部的數量。如果通信控制器15向主機報告其已 接收了多個同步幀(不是實際所接收的同步幀的準確數目)，則向主機通知通信控制器15的這個不正確的行為。
此外，如果網絡中在所有啟動節點已退出後只有非啟動節點繼 續發送同步幀，則存在由於沒有啟動幀而導致的想要再併入的節點不 能併入的問題。同時由於存在持續的幀而阻止了網絡重新冷啟動的可 能。為了檢測這種情況並且允許仍然在網的主機通過完全關閉網絡來 修復，監測裝置16還可用啟動位組來計數幀。這將通過類似於計數
器81的第二計數器來實現，當計數達到5時由計數器82觸發。如果 在一個循環中包括這種啟動位的幀的數量為零，通知主機，並且如果 這種情況繼續幾個循環，則可確定開始全面關閉網絡。
圖9示出了用於本發明的通信控制器15的內部結構。 通信控制器15包括控制器主機接口 91，用於通過連接線路107 來管理通信控制器15與主機15之間的數據流。控制器主機接口 91 從協議引擎18接收狀態信息。該狀態信息包括從協議引擎18向控制 器主機接口 91傳輸的命令。這種命令通過線路97提供給監測裝置 16。特別地，通過在監測裝置16中監測通過線路97協議引擎18提 供給控制器主機接口 91的信息，可如圖8所示向命令解碼器84提供 命令，以檢測通信控制器15是否向主機13報告了一個錯誤的接收的 同步幀的數量。
控制器主機接口 91向協議引擎18提供從主機13接收的信息和 命令。這些命令通過線路96 (CHI-PE命令)提供給監測裝置中的命 令解碼器(圖6)，其中監測主機13是否在其錯誤行為的情況下持 續地向通信控制器15提供READY命令。
協議引擎8包括協議操作控制單元92、媒介訪問控制單元93、 時間產生單元94以及編碼/解碼單元95。此外，在協議引擎18中還 存在其他對本發明不重要的模塊，因此不作任何說明。協議操作控制 單元92定義協議引擎18進行的狀態序列。其中定義了協議引擎單元 18從何狀態可以轉到下一狀態。不經過該協議操作控制單元92，通 過線路98向監測裝置16提供POC狀態。特別地，在圖7中說明的 實施例中使用該POC狀態。在該實施例中，監測通信控制器15是否 產生導致一些節點的叢集形成的計數問題。將協議操作控制器92的狀態提供給比較和重置單元73，其中比較通信控制器15的時隙值和 循環值與監測裝置16的內部值，通知主機13不匹配的情況。
媒介訪問控制單元93判斷是否向/從總線發送或接收信息。在主 機13向總線提供要傳輸的數據的情況下，媒介訪問控制單元93計數 總線上的時隙並且在用於各節點10的各保留時隙中控制使CHI 91 把來自主機13的信息向編碼器/解碼器95轉發的時間，編碼器/解碼 器95用於向總線傳輸信息。
媒介訪問控制單元93通過線路99和線路100分別向監測裝置 16提供時隙ID號和時隙邊界(大致等效於Slot—start)。分別向比較 和重置單元73以及時隙計數器72提供時隙邊界和時隙ID信號，以 檢測通信控制器15的任何計數問題。
此外，通信控制器15的協議引擎18包括時間產生單元94，用 於計數滴答的時間(microtick)以產生滴答的時間。滴答的時間是通 信控制器15中最小的時間單位，而滴答的時間是節點之間使用的網 絡時間單元。時間產生單元94也負責確定網絡所處的循環並且通過 線路101和線路102分別向監測裝置16並且特別向比較和重置單元 73以及循環計數器71提供循環ID信號和循環開始信號。
最後，通信控制器15包括編碼器/解碼器95，其中分別準備用 於通過TxD或RxD路徑傳輸的數據並且準備通過TxD或RxD路徑 從總線接收的數據。每當從編碼器/解碼器95接收到任何數據後解碼 新位元時，編碼器/解碼器單元95通過線路103向位計數器82提供 位選通信號，必須監測所接收的數據是否包括幀並且特別地是否包括 同步幀。因此，需要監測幀頭部的第四位是否置位，其表示所接收的 幀為同步幀。因此，編碼器/解碼器單元95也通過線路105向位計數 器82提供潛在幀開始的信號，以啟動監測裝置16中的位計數器82。 此外，編碼器/解碼器單元95通過線路104提供表示網絡正處於空閒 狀態並允許監測裝置16停止評估所接收的位的CHIRP信號。選通所 接收的數據位，並且通過RxD線路106提供給如圖8中所示的監測 裝置16中的同步幀計數器81。根據來自時間產生單元94的線路102 上的循環開始信號，當一個新的循環開始吋重置同步幀計數器81。
17因此，監測裝置16可重置同步幀計數器81以計數通信控制器15所 接收的同步幀的數量，並且在同步數比較器83中比較所接收的同步 幀的數量。在報告給主機13的同步幀的數量大於通信控制器15所接 收的同步幀的數量時，通知主機通信控制器15的該錯誤行為。
儘管是逐個地說明各個實施例，但是也可以很容易地組合如圖 6-8中所示的監測裝置16的部件。因此，可以監測通信控制器15是 否連續地發送如CAS/WUS的符號並且還可以檢査主機13是否連續 地發送READY命令。需要檢測裝置檢測的差錯越特殊，則監測裝置 需要實現得越複雜，但是，監測裝置中的一些計數器可用於不同的差 錯檢測，因此監測裝置16的部分可實現雙重功能。
權利要求
1.一種分布式通信系統的節點(10)，所述通信系統包括多個節點(10)，每個節點耦接到一種通信媒介；每個節點(10)至少包括-耦接到接收和傳送路徑的通信控制器(15)，-用於執行應用的主機(13)，以及-監測裝置(16)，至少耦接到通信控制器(15)的接收或傳送路徑、通信控制器(15)和主機(13)之間的接口(91)以及通信控制器(15)的內部線路之一，其中提供監測裝置(16)用於評估通信控制器(15)所提供的信息，以監測通信控制器(15)的至少一個狀態，其中在檢測到非定義狀態的情況下通知主機(13)執行與通信控制器(15)的該狀態相關的預定措施。
2. 如權利要求l所述的節點，其中監測裝置(16)適用於接收 通信控制器(15)的預處理信息，以根據監測裝置(16)中存儲的信 息與從通信控制器(15)接收到的信息之間的比較結果來確定通信控 制器(15)的至少一種狀態，其中預處理信息包括通信控制器(15) 從通信系統接收的至少一個輸入信息、通信控制器(15)的至少一個 內部狀態以及輸出到節點(10)的主機(13)的信息。
3. 如權利要求1或2所述的節點，其中通信系統根據基於時間 的協議運行，特別地基於FlexRay協議，其中允許每個節點(10)根 據預定時間調度來傳輸數據。
4. 如權利要求1至3之一所述的節點，其中監測裝置(16)接 收通信控制器(15)的預處理信息，該預處理信息在監測裝置(16) 中解碼並與存儲的信息進行比較，其中根據比較結果確定通信控制器(15)的狀態，其中在不匹配或者錯誤的狀態改變的情況下通知主機(13)。
5. 如權利要求1至4之一所述的節點，其中在主機被監測裝置 (16)通知的情況下，主機(13)適用於執行關閉通信控制器(15)、重置通信控制器(15)和中斷通信控制器(15)的傳輸路徑中的至少 一種措施。
6. 如權利要求1至5之一所述的節點，其中在檢測到主機(13) 與通信控制器(15)之間的錯誤的情況下，通知外部監督裝置來控制 檢測為錯誤運行的通信控制器(15)和/或主機(13)。
7. 如權利要求1至6之一所述的節點，其中監測裝置(16)包 括計數器(71， 72)、定時器(63)、存儲器(52)以及比較器(51， 73)中的至少一個。
8. 如權利要求1至7之一所述的節點，其中監測裝置(16)與 通信控制器(15)形成在相同晶片上。
9. 一種基於時間觸發協議操作的分布式通信系統，包括至少一 個如權利要求1至8之一所述的節點。
10. —種監測裝置，其被耦接到與通信系統相連接的節點(10) 的通信控制器(15)，其中監測裝置(16)適用於接收通信控制器(15) 的預處理信息，以根據監測裝置(16)中存儲的信息與從通信控制器(15)接收到的信息之間的比較結果來確定通信控制器(15)的至少 一種狀態，其中預處理信息包括通信控制器(15)從通信系統接收的 至少一個輸入信息、通信控制器(15)的至少一個內部狀態以及輸出 到節點(10)的主機(13)的信息。
全文摘要
本發明涉及一種在時間觸發協議下運行的分布式通信系統中的節點，還涉及到分布式通信系統以及耦接到這種通信系統的節點的監測裝置。為了提供一種增強了錯誤檢測並降低了複雜度的分布式通信系統的節點、分布式通信系統以及監測裝置，以為需要非100％故障安全解決方案的系統提供較高的可靠性，本發明提出一種節點，包括耦接到接收和傳送路徑的通信控制器(15)、用於執行應用的主機(13)以及耦接到通信控制器(15)的傳輸路徑、通信控制器(15)和主機(13)之間的接口(91)以及通信控制器(15)的內部線路至少之一的監測裝置(16)，其中提供監測裝置(16)用於評估通信控制器(15)提供的信息，以監測通信控制器(15)的至少一種狀態，其中在監測到非定義狀態的情況下通知主機(13)執行與通信控制器(15)的狀態相關的預定措施。因此，提供一種容易降低成本的解決方案，用於監測分布式通信系統中預定數量的差錯。
文檔編號H04L12/40GK101632262SQ200880007885
公開日2010年1月20日 申請日期2008年3月3日 優先權日2007年3月14日
發明者彼得·富爾曼, 馬庫斯·鮑邁斯特 申請人:Nxp股份有限公司