Description, Analysis and Evaluation of a Novel Architecture Concept for Fault-Tolerant Control Systems

Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsätzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler Programmausführung auf mehreren Rechnern. Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz führte. Aus dieser Überlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhängig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgeführte Software ersetzt werden, was im Hinblick auf die für das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwändige (und darüber hinaus fehleranfällige) Verkabelungsstrukturen in beträchtlichem Umfang zu reduzieren. Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschränkt. Realisierbar sind dementsprechend neben den beiden in der Praxis häufigsten Anforderungen − Ausfallsicherheit und Einfehlertoleranz − beliebige n-von-m-Systeme.The general problem of designing safety-critical control systems in a fault-tolerant manner may be regarded as largely solved (Echtle, 1990). Methods allowing for fault detection, forward/backward error recovery or fault masking using redundant computers partly exist since decades. As to a complete system, e. g. an automobile, usually each subsystem (steering system, brakes etc.) has, however, been treated and analyzed separately so far, leading to massive, but, from a fault tolerance point of view, superfluous, structural redundancy. Against this background, the concept of "remote redundancy" has been developed in order to enable the use of computing resources regardless of the location of their presence. As a consequence, formerly necessary hardware components may be replaced by a piece of software running on a different node, leading to a substantial savings potential for the production of the overall system. Even with regard to a single subsystem, remote redundancy allows to reduce complex and error-prone wiring structures to a considerable degree. The system architecture resulting from the appliance of remote redundancy is highly scalable and not at all restricted to a certain degree of fault tolerance. In addition to the most common requirements of single-fault tolerance and fail-safe behavior, any n-out-of-m-system is feasible

Rechtzeitigkeit und Dienstgüteförderung vernetzter gerätebasierter Systeme

Hochzuverlässige Systeme müssen sorgfältig entwickelt und gründlich geprüft werden. Sie erbringen sicherheitskritische Funktionen und unterliegen erhöhten Zuverlässigkeitsanforderungen. Eine statische Konfiguration und dedizierte Hardware machen die Verlässlichkeit dieser Systeme möglich. Man spricht auch von sogenannten Insellösungen; d.h. die Systeme sind in sich geschlossen und werden für einen ganz bestimmten Zweck entwickelt. Medizingeräte bilden zum Beispiel solche Systeme. Da diese Systeme für ihre Umgebung aber geschlossen sind, ist eine Fernüberwachung oder eine Automatisierung der Gerätekonfiguration in der Regel nicht möglich. Dies wäre aus Sicht der Verlässlichkeit auch eine potenzielle Gefahrenstelle. Eine ganz andere Systemklasse bilden die vernetzen gerätebasierten Systeme. Diese sind hochdynamisch und können durch die Vielfalt von Geräten, Sensoren, Kommunikationsdiensten, Cloud-Infrastrukturen und Big-Data-Analyseverfahren einen hohen Funktionsumfang anbieten. Sie unterliegen in der Regel jedoch einer begrenzten Verlässlichkeit. Die Fitnessbranche zum Beispiel sammelt und überwacht mittels IoT-Geräten wie Smartphones, Smartwatches und intelligenter Waagen die Gesundheitsparameter ihrer Anwender. Die Frage, die sich nun in der immer stärker wachsenden Welt der vernetzten Systeme stellt, ist, wie Informationen und neu gewonnene Erkenntnisse aus den unverlässlichen vernetzten Systemen auch im Umfeld der zuverlässigen Systeme genutzt werden können. Die vorliegende Dissertation untersucht die systematische und effiziente Entwicklung von Big Dependable Systems (BDS) als Zusammenführung von nicht verlässlichen vernetzten Systemen und verlässlichen Systemen. Im Rahmen dieser Arbeit wird ein Lösungsansatz entwickelt, der die Verlässlichkeit von BDS unter der Verwendung von unzuverlässigen vernetzten Konsumergeräten weiterhin gewährleistet. Als wichtigste Verlässlichkeitsanforderungen gelten die Funktionssicherheit sowie die Rechtzeitigkeit von BDS. Schwerpunkt der Untersuchung war das Einhalten der Rechtzeitigkeit und Dienstgüte in solch vernetzten gerätebasierten Systemen

Automatisierung des Entwurfs vollständig testbarer Schaltungen

Die Kosten für die Testvorbereitung, Testerzeugung und Testdurchführung wachsen überproportional mit der Komplexität anwendungsspezifischer Schaltungen, und die Teststrategie sollte daher bereits in einer sehr frühen Phase des Schaltungsentwurfs festgelegt und berücksichtigt werden. In diesem Artikel werden logische Grundzellen und Algorithmen zur Unterstützung des pseudo-erschöpfenden Tests vorgestellt. Diese Teststrategie hat den Vorteil, daß die äußerst rechenzeitaufwendige Testmustererzeugung entfällt und zugleich eine vollständige Fehlererfassung auf Gatterebene garantiert ist. Die vorgestellten Grundzellen dienen der Zerlegung der Gesamtschaltung in erschöpfend testbare Teile, die präsentierten Algorithmen sollen diese Segmentierungszellen so plazieren, daß der Mehraufwand an Silizium gering bleibt. Hierzu wurden Varianten sogenannter "Hill-Climbing" und "Simulated-Annealing"-Verfahren entwickelt

Fehlertolerante Integration limitierter Geräte in SOA unter Verwendung von Geräte-Proxies

Typische Ubiquitous-Computing-Umgebungen erfordern den Einsatz von Middleware, die in der Regel einen hohen Ressourcenbedarf an die teilnehmenden Geräte stellt. Jedoch befinden sich gerade in Ubiquitous-Computing-Umgebungen viele kleine, limitierte Geräte, die nur über geringe Ressourcen wie Rechenleistung, Arbeitsspeicher und Energie verfügen. In der Arbeit wird gezeigt, wie derart limitierte Geräte trotz ihrer Beschränkungen in Middleware-basierte Systeme integriert werden können. Dabei wird das Konzept der Geräte-Proxies verfolgt. Es wird gezeigt, wie Proxies für limitierte Geräte auf dynamische und transparente Weise bereitgestellt und ausgeführt werden können. Da Proxies und limitierte Geräte jedoch Seriensysteme bilden, wird durch den Einsatz des Proxy-Konzeptes die Ausfallwahrscheinlichkeit des Gesamtsystems erhöht. Aus diesem Grund werden im Rahmen der Arbeit geeignete Fehlertoleranzverfahren, wie die Migration von Proxies sowie die Anwendung von Rollback-Recovery-Protokollen untersucht. Anhand von Simulationen wird abschließend gezeigt, welche der betrachteten Rollback-Recovery-Protokolle sich für Proxy-basierte Systeme eignen

An efficient byzantine fault tolerant agreement protocol for distributed realtime systems

Der Einsatz von verteilten (Echtzeit-) Systemen ist in vielen Bereichen der Industrie nicht mehr wegzudenken, wie etwa in der Medizintechnik, der Kraftfahrzeugtechnik, der Flug-technik oder Automatisierungstechnik. Weiterhin kann man davon ausgehen, dass sich im Zuge der fortschreitenden Technologieentwicklung der Einsatzbereich von verteilten (Echtzeit-) Systemen auch in anderen Bereichen der Industrie weiter ausdehnen wird. Da in solchen Systemen jederzeit Fehler auftreten können, welche die Zuverlässigkeit und Sicherheit beeinträchtigen, müssen geeignete Fehlertoleranz-Verfahren entwickelt und eingesetzt werden. Ferner unterliegen viele sicherheitskritische Anwendungen harten Echtzeitanforderungen und zugleich deutlichen Kostenrestriktionen. In solchen Anwendungen spielt für die praktische Umsetzbarkeit nicht einzig die Fehlertoleranzfähigkeit eine entscheidende Rolle, sondern ebenfalls der von Fehlertoleranzverfahren verursachte Kommunikationsaufwand in Form von Nachrichten-, Knoten- und Speicheroverhead. Das Byzantinische Übereinstimmungsproblem stellt eines der wichtigsten zu lösenden Probleme in fehlertoleranten verteilten Systemen dar. Obwohl das Byzantinische Übereinstimmungsproblem gut erforscht ist und viele Lösungen unter verschiedenen Systemmodellannahmen existieren, stellt die Entwicklung effizienter Lösungen bis heute eine anspruchsvolle Aufgabe dar, die abhängig vom Fehler- und Timing-Modell sowie von den Aufwands- und Kostengrenzen alles andere als trivial zu lösen ist. Die vorliegende Arbeit untersucht Techniken und Strategien zur Entwicklung effizienter Übereinstimmungsprotokolle für verteilte (vorwiegend drahtlose) Echtzeitsysteme, und stellt hierzu zwei Lösungen vor. Im ersten Lösungsansatz wird ein neuartiges rundenbasiertes Übereinstimmungsprotokoll – ESSEN genannt – vorgestellt, das für synchrone verteilte Systeme effizient erbeitet. ESSEN löst das Byzantinische Übereinstimmungsproblem in Anwesenheit von bis zu f willkürlichen Fehlern (kooperierende Byzantinische Fehler inbegriffen). Hierzu benötigt ESSEN mindesten n >= 3f + max(0,f-2) Knoten. Außerdem stellt das Übereinstimmungsprotokoll ESSEN den ersten Lösungsansatz dar, welcher das Byzantinische Übereinstimmungsproblem unab-hängig von der Anzahl der zu tolerierenden Fehler in einer Runde löst. Obwohl ESSEN eine effiziente Lösung darstellt, lag die Vermutung nahe, dass durch den Einsatz eines geeigneten Signaturverfahrens eine weitere Verbesserung bzgl. der Kommuni-kationskomplexität erzielt werden kann. Folglich wurde im zweiten Teil der Arbeit ein weiterer Lösungsansatz entwickelt, mit dessen Hilfe sich die Kommunikationskomplexität von Übereinstimmungsprotokollen weiter reduzieren lässt (von ESSEN abweichende Übereinstimmungsprotokolle eingeschlossen). Im zweiten Lösungsansatz wurde zur Verbesserung der Kommunikationskomplexität von ESSEN ein neuartiges Verfahren zur Erzeugung und Prüfung von Signaturen (kurz: Signatur-verfahren) – SigSeam genannt – vorgestellt, welches mehrere Signaturen zu einer einzigen Signatur zusammenfasst, ohne die Nachrichtengröße hierdurch zu verändern. Im Rahmen der Arbeit konnte gezeigt werden, dass das Signaturverfahren SigSeam in der Lage ist, die Kommunikationskomplexität von Übereinstimmungsprotokollen signifikant zu reduzieren. Dies betrifft sowohl die Nachrichtenlänge wie auch die Nachrichtenanzahl, die beide reduziert werden können. Allerdings benötigt SigSeam im Vergleich zu herkömmlichen Signatur-verfahren für eine einzelne Signatur eine um ca. 25 Prozent höhere Informationsredundanz, wenn eine gleich gute Fehlerfassung wie bei diesen erzielt werden soll. Insgesamt konnte mit den beiden Lösungen ESSEN und SigSeam das Ziel der Effizienz-steigerung von Übereinstimmungsprotokollen für verteilte (Echtzeit-) Systeme erreicht werden. Weiterhin konnte gezeigt werden, dass das Prinzip der Signaturverschmelzung zur Reduzierung der Kommunikationskomplexität prinzipiell auf einen Großteil der existierenden Übereinstimmungsprotokolle angewendet werden kann.Using distributed (real-time) systems has become an integral part of industrial applications such as medical technology, automotive engineering, aeronautics and automation engineering. Along with the progress of technological development, it can be expected that the field of distributed (real-time) systems extends to other areas of industrial applications. This is a result of continuous technological advances. Given the fact that malfunctions in a distributed system (which can compromise the reliability and safety of systems) cannot be completely avoided, fault-tolerant mechanisms have to be developed and applied. Furthermore, many safety-critical applications are hard real-time applications and subject to cost restrictions. Therefore, for the practical usability of a distributed system with real-time requirements all of the following properties can become crucial: the fault tolerance capability, the communication complexity in terms of the number of required nodes, overall communication overhead as well as the overhead caused by the message storage. The Byzantine agreement problem has been exposed as one of the most fundamental issues to be solved. However, solving the Byzantine agreement problem in an efficient way in terms of communication complexity is still a challenging task. The following thesis deals with techniques and strategies for designing efficient fault-tolerant Byzantine agreement protocols primarily for wireless distributed real-time applications. In this paper two new solutions are presented, evaluated, and proven as correct. In the first approach, a novel synchronous single-round-based agreement protocol – called ESSEN – is presented, which copes with f arbitrary faults (including cooperative Byzantine faults) using at least n >= 3 f + max(0, f-2) nodes. Moreover, this is the first approach which solves the Byzantine agreement problem in a single broadcast round independent of the number of tolerated faults. Following this, we present a novel signature generation technique, called SigSeam, to merge several signatures into a single one, which is the topic of the second part of this thesis. This advantage opens a design space for agreement protocols with significantly reduced message overhead. Moreover, the new signature technique can also be applied to existing agreement and/or consensus protocols without affecting the fault tolerance properties of the protocol.Within the framework of this thesis it could be shown that the proposed signature technique with merging functionality significantly improves the efficiency of agreement protocols. However, to achieve a fault coverage comparable to conventional signature techniques, SigSeam requires approximately 25 percent more information redundancy. Altogether, the goal of improving the efficiency of agreement protocols has been achieved

A reference model for Server Based Computing infrastructures and its application for the capacity management

Der weltweit rasant steigende Bedarf an Unterstützung von Anwendern durch leistungsfähige IT-Systeme führt zu einer gleichermaßen steigenden Nachfrage nach Technologien, die es Unternehmen ermöglichen, ihren Endanwendern Desktop-Umgebungen und Applikationen in effizienter und effektiver Weise bereitzustellen. Daraus leitet sich sowohl unter ökologischen als auch unter ökonomischen Aspekten die Anforderung ab, vorhandene Hardware- und Software-Plattformen möglichst passend zum heutigen und zukünftigen Bedarf zu dimensionieren und die Systeme optimal auszulasten. Protokolle zum Zugriff auf Server-Ressourcen unter Microsoft Windows Betriebssystemen nach dem Prinzip der entfernten Präsentation wurden erstmals ca. 1995 implementiert. Seither hat das damit auch unter Windows mögliche Server Based Computing (SBC) mit Terminal Servern und im Nachgang auch virtuellen Desktops eine technische Reife erlangt, die dem Betriebsmodell der verteilten Ausführung und Datenhaltung mittels konventioneller Personal Computer nicht nachsteht. Energie- und ressourcensparende Thin Clients haben sich entsprechend als Alternative zu herkömmlichen Arbeitsplatz-Computern und ihrer lokalen Datenverarbeitung etabliert. Die Leistungsfähigkeit der Thin Clients hängt jedoch maßgeblich von der Kapazität der Server-Infrastruktur im Rechenzentrum ab. Die vorliegende Dissertation greift dieses Thema auf und entwirft ein Referenzmodell für das Kapazitätsmanagement von Server Based Computing Infrastrukturen mit dem Ziel, vorhandene wie auch neu zu konzipierende Systeme zu planen und in einem iterativen Prozess weiterzuentwickeln. Der zu Grunde liegende Ansatz baut auf Methoden und Sprachen der Referenzmodellierung auf. Zunächst wird die aus fünf Schichten bestehende Gesamtsicht einer Server Based Computing Infrastruktur entworfen. Aus diesem Referenzmodell werden nach einem methodischen Vorgehen konkretere Informationsmodelle abgeleitet und in der Sprache der Fundamental Modeling Concepts (FMC) notiert. Ein solches Modell kann anschließend im Rahmen einer Simulation oder einer analytischen Herangehensweise dazu verwendet werden, bereits bei der Konzeption verschiedene Handlungsalternativen zu untersuchen und bezüglich der Kapazität der Ressourcen zu bewerten. Das Referenzmodell und seine Methodik werden anhand eines exemplarischen Szenarios mit verschiedenen Gruppen von Anwendern und Arbeitsplatzgeräten auf der Client-Seite sowie mehreren Profilen von Anwendungen auf der Server-Seite erprobt. Hierbei wird deutlich, dass die modellbasierte Herangehensweise einen wertvollen Beitrag zum Kapazitätsmanagement leisten kann, ohne dass vorab der tatsächliche Aufbau einer neuen IT-Infrastruktur durch die Installation eines physischen Prototypen und die Simulation von Arbeitslasten darauf notwendig wäre.A worldwide rapidly increasing need for assistance of staff by powerful IT-systems leads to an equally ever growing demand for technologies that enable organizations to provide desktop environments and applications to their end users in an efficient and effective way. In terms of both ecologic and economic aspects, the deduced requirement is to size existing hardware and software platforms as suitable as possible for present and future needs, and to allow for an optimum utilization of the system capacities. Access protocols on server resources based on Microsoft Windows operating systems within the scope of remote presentation were implemented for the first time around 1995. Since then, Server Based Computing (SBC), with terminal servers and virtual desktops later on, has reached a technical maturity which is not inferior to the distributed issue of the operating modeland data storage as used in conventional personal computers. Accordingly, energy and resource saving thin clients have established themselves as an alternative to conventional desktop computers and local data processing. Their performance, however, depends significantly on the capacity of the server infrastructure located in the data center. The present thesis takes up this subject and outlines a reference model for the capacity management of Server Based Computing infrastructures with the intention to plan novel designed systems and, further, to develop both these as well as exsisting ones by means of an iterative process. The underlying approach bases upon methods for reference modeling and languages. Initially, a global view of a Server Based Computing infrastructure consisting of five layers is developed. From this reference model, more precise information models are derived following a methodological approach and are stated according to language elements of the Fundamental Modeling Concepts (FMC). Such model can be used subsequently within the scope of a simulation or an analytical approach, hereby aiming to investigate and evaluate various alternative courses of action regarding the capacity of resources already during the conception phase. The reference model and its methodology are evaluated using an exemplary scenario with different groups of users and workstation devices on the client side and several profiles of applications on the server side. This shows clearly that the model-based approach can make a valuable contribution to the capacity management, without requiring the actual implementation of a new IT infrastructure by building a physical prototype and simulating workloads within this prototype

Klausurtagung des Instituts für Telematik. Schloss Dagstuhl, 29. März bis 1. April 2000

Der vorliegende Bericht gibt einen Überblick über aktuelle Forschungsarbeiten des Instituts für Telematik an der Universität Karlsruhe (TH). Das Institut für Telematik ist in einem Teilgebiet der Informatik tätig, welches durch das Zusammenwachsen von Informatik und Kommunikationstechnik zur Telematik geprägt ist. Es gliedert sich in die Forschungsbereiche Telematik, Telecooperation Office (TecO), Cooperation & Management, Hochleistungsnetze und Netzwerkmanagement sowie dezentrale Systeme und Netzdienste. Die Schwerpunkte des Forschungsbereichs "Telematik" (Prof. Dr. Dr. h.c. mult. G. Krüger) liegen in den Bereichen "Dienstgüte", "Mobilkommunikation" und "Verteilte Systeme". Gemeinsames Ziel ist die Integration heterogener Netze (Festnetze und Funknetze), Rechnersysteme (von Workstations bis zu PDAs) und Softwarekomponenten, um damit den Anwendern eine Vielzahl von integrierten Diensten effizient und mit größtmöglicher Qualität zu erbringen. Das "Telecooperation Office" (TecO, Prof. Dr. Dr. h.c. mult. G. Krüger) ist ein Institutsbereich, der in Zusammenarbeit mit der Industrie anwendungsnahe Forschungsthemen der Telematik aufgreift. Im Mittelpunkt steht die innovative Nutzung von Kommunikationsinfrastrukturen mit den Schwerpunkten Softwaretechnik für Web-Anwendungen, neue Formen der Telekooperation sowie tragbare und allgegenwärtige Technologien (Ubiquitous Computing). Die Kernkompetenz des Forschungsbereichs "Cooperation & Management" (Prof. Dr. S. Abeck) liegt im prozessorientierten Netz-, System- und Anwendungsmanagement. Es werden werkzeuggestützte Managementlösungen für Betriebsprozesse entwickelt und in realen Szenarien erprobt. Ein wichtiges Szenario stellt das multimediale Informationssystem "NEXUS" dar, das als Plattform eines europaweit verteilten Lehr- und Lernsystems genutzt wird. Der Forschungsbereich "Hochleistungsnetze & Netzwerkmanagement" (Prof. Dr. W. Juling) befasst sich mit Technologie und Konzepten moderner leistungsfähiger Netzwerke sowie darüber hinaus mit sämtlichen Aspekten des Managements dieser zumeist ausgedehnten Netze. Um eine enge Abstimmung zwischen Forschungsaktivitäten und betrieblicher Praxis zu erzielen, werden insbesondere auch Synergien zwischen Institut und Rechenzentrum angestrebt. Die Arbeiten des Forschungsbereichs "Dezentrale Systeme und Netzdienste" (Prof. Dr. L. Wolf) befassen sich mit der Unterstützung verteilter Multimedia-Systeme, auch unter Berücksichtigung von Komponenten mit drahtlosem Zugang und den dafür geeigneten Architekturen und Infrastrukturen. Dabei werden vor allem Aspekte der Kommunikationssysteme wie Protokollmechanismen, Ressourcenverwaltung und adaptive und heterogene Systeme untersucht

Dynamische Rekonfigurationsmethodik für zuverlässige, echtzeitfähige Eingebettete Systeme in Automotive

Currently, dynamically reconfigurable systems are not used in automotive and there is no process model for their development. The focus of this dissertation is to explore methods and approaches for the development of such systems. One major architectural driver is autonomous driving, another is functional high integration on central computing platforms. Taking these into account, dynamic reconfiguration is classified and explored