A transparent online test approach for time-triggered communication protocols

Abstract

Modern cars comprise different Electronic Computer Units that are interconnected by shared communication medias. This architecture enables a better apprehension of the environment and results in improved car behavior. At the same time, the resulting system complexity and further, the introduction of electronics for safety-critical applications raises dependability problems; human life and health are depending on the correct operation of the car. The time-triggered architecture has been introduced in this context to cope with the growing complexity and to support highly dependable systems. While this architecture substantially eases system design and development, it does not explicitly support verification and maintenance operations.<br />This work is focused on the network, since this resource has been quickly recognized as playing a central role in maintaining the system in a safe state. Our intention is to provide an approach to test the reliability (continuity of correct services) of the communication system as well as the availability (readiness for correct services) of the associated error detection mechanisms. We propose a new test approach that is generic (not rely on dedicated services), non-intrusive (no modification of the system), and transparent (to avoid deviation of normal service delivery). This last attribute enables test operation to be performed concurrently to normal operation, and thus decreases the test period, even if the system can not be halted for maintenance. This in turn minimizes the probability of system failure due to fault accumulation.<br />Our test approach is first based on the monitoring of the bus traffic.<br />This is because the deterministic behavior of time-triggered communication systems provides a-priori known properties that can be efficiently checked for correctness. This pure monitoring approach is further complemented by a subtle stimulation of the clock synchronization mechanisms to test the error detection mechanisms within the nodes' receive path. This second approach exploits the tolerance boundaries of the clock correction and drives the system into a non-natural but still correct state. Since this state can only be reached and maintained with correct operation of the tester, the node reaction therefore provides information whether the tester frames have been correctly processed. A main concern of this work is to prove the transparency of our approach. More especially, we introduce deterministic replay operation as a technique to remotely control the nodes' clock correction and prove that our method results in no threats for the system operation.<br />Moreover, we show that the nodes' logical clocks always return within the accuracy of their underlaying oscillators. This property provides information about the current forces within the system and more especially on whether the additional test frames have been received or not. The theses presented in this work focus on the TTP/C and FlexRay communication protocols and the results are supported by simulations and experimental evaluations.<br />

Moderne Autos umfassen eine Vielzahl an elektronischen Steuergeräten, die mittels verteilter Kommunikationssysteme verbunden sind. Diese Architektur ermöglicht eine bessere Wahrnehmung der Umgebung und daher eine bessere Reaktion des Autos. Gleichzeitig zieht jedoch die resultierende Komplexität des Systems und im weiteren die Einführung von sicherheitskritischen Anwendungen Verlässlichkeitsprobleme mit sich:<br />Leben und Gesundheit von Menschen sind von der korrekten Funktion des Autos abhängig. In diesem Zusammenhang wurde die zeitgesteuerte Architektur eingeführt, um einerseits die Komplexität des Systems besser bewältigbar zu machen und anderseits eine zuverlässige Architektur für sicherheitskritische Anwendungen anzubieten. Diese Architektur erleichtert zwar das Design und die Entwicklung des Systems, bietet jedoch keine direkte Unterstützung für Test und Wartung.<br />Diese Doktorarbeit ist auf das Netzwerk fokussiert, da diese Ressource eine zentrale Rolle für das Einhalten eines sicheren Systemzustandes darstellt. Es wird eine Methode vorgeschlagen, die sowohl die Zuverlässigkeit des Kommunikationssystems als auch die Verfügbarkeit der darunterliegenden Fehlererkennungsmechanismen testet. Unsere Ansatz ist generisch (unabhängig von der Applikation), nicht intrusiv (keine Änderung des Systems) und transparent (keine Änderung der erbrachten Dienste). Die letztere Eigenschaft ermöglicht vor allem das Durchführen von Testoperationen gleichzeitig zur normalen Systemoperation.<br />Infolgedessen kann die Testperiode minimiert werden, womit sich die Wahrscheinlichkeit eines Absturzes in Folge von Fehlerakkumulation verringert. Unser Ansatz beruht zunächst auf der Überwachung des Kommunikationsmediums, denn das deterministische Verhalten des zeitgesteuerten Systems bietet voraussehbare Ereignisse an, die leicht zu verifizieren sind. Dieser Ansatz wird durch eine Stimulierung der Uhrensynchronisation weiter vervollständigt, um die Fehlererkennungsmechanismen innerhalb der Empfangspfade der Knoten zu testen. Dieser Ansatz macht sich die Toleranzgrenze der Uhrkorrektur zunutze und bewegt das System in einen nicht-natürlichen aber trotzdem gültigen Zustand. Da dieser Zustand nur aufgrund der Stimulation durch unseren Tester erreichbar ist, liefert die Reaktion der Knoten Informationen, ob die Tester Frames richtig verarbeitet worden sind oder nicht. Ein wichtiger Beitrag in dieser Arbeit besteht darin, die Transparenz unseres Ansatzes zu beweisen. Im Besonderen führen wir die deterministische Replay Operation als eine Methode zur Fernsteuerung der Uhrensynchronisation des Knotens ein und beweisen weiter, dass dieser Ansatz keine Gefahr für das System darstellt. Wir zeigen außerdem, dass die Genauigkeit der logischen Uhrzeit eines Knotens immer innerhalb der Genauigkeit des Quarzes zurückkehrt. Diese Eigenschaft liefert Informationen über die aktuellen Kräften im System und insbesondere Informationen, ob die Tester-Frames richtig bearbeitet wurden. Die Ergebnisse dieser Arbeit sind auf TTP/C und FlexRay fokussiert und werden durch Simulationen und Experimente gestützt.