时间触发以太网标准研究

兰 杰 朱晓飞 陈 亚 李 峭

(1.北京航空航天大学，北京 100191；2.中航工业综合技术研究所，北京 100028)

航空电子系统经历了分立式、联合式、综合式和先进综合式4个发展阶段[1]。具体到大型飞机领域，空客A380和波音787采用综合模块化航空电子（IMA）系统和AFDX[2][3]骨干互连，具有先进综合式的特征，其核心综合处理模块在机架上集中安装。

随着高完整性时间触发通信互连技术的出现，有望实现异构的航空电子模块之间或主机之间的精确同步和并行处理，构成分布综合模块化航空电子（DIMA）体系结构，进一步严格保证航空电子信息交换的时间确定性，并支持时间隔离和分区隔离相结合的分布式综合设计，使之具有灵活配置、容错、可重构和良好的互操作能力。

时间触发以太网（Time-Triggered Ethernet，TTE）是在交换式网络互连环境下的时间触发通信技术，可以提供微秒级的分布式时钟同步服务，已经在NASA的载人飞船项目中获得实用，并得到国外飞机设备设计制造企业的重视。

根据SAE AS6802《时间触发以太网》[4]定义，TTE网络在支持时间触发（TT）流量的同时，还支持速率约束（Rate Constraint，RC）乃至“尽力传”（Best Effort，BE）流量，形成混合关键性的通信服务。

与ARINC 664 Part7标准定义的AFDX网络相比，TTE网络的微秒级时间触发通信的定时精度远高于AFDX网络允许的0.5ms时延抖动界限；另一方面，TTE网络可以用RC流量承载AFDX虚拟链路，起到向下兼容和保护既有投资的作用，并能够在TT与RC流量共存的情况下，提供容错、故障封闭、通信监视等完整性保证机制。

本文首先介绍时间触发以太网技术及其标准化工作的进展动态，随后概述SAE AS6802标准的范围和特色，进而主要分析其时钟同步服务的方法和机制，讨论其容错要求和高完整性保证方法，最后进行归纳并提出进行标准化研究工作的建议。

1 TTE网络技术及其标准化进展

TTE网络提供确定性的时间触发通信的机制[4]，是（Time-Triggered Architecture，TTA）体系结构[5]在分布式嵌入式实时系统领域的发展。不同于共享介质的TTP总线[6]，TTE网络在不能进行监听的交换式网络基础设施上实现了全局的时钟同步操作。

上世纪90年代末，维也纳技术大学在Koptez H等学者的引领下成立了专门的时间触发通信技术研发团队，随后成立TTTech公司。随着交换式以太网在嵌入式应用中适应性改造的深入，2001年至2005年，研制了实验性的TTE交换机[7]；2005年至2008年，推出工业应用TTE交换机[8]和TTE端系统；近年来，开始提供符合DO-254标准的交换机和模块。而在软件方面，TTE网络支持ARINC 653标准定义下的APEX分区TDMA调度和VxWorks 653操作系统。

在工程实用和应用基础研究的双重推动下，TTE网络技术获得了长足的发展。在欧盟FP7计划下的“可扩展可重配置电子平台与工具”（SCARLETT）项目[9]提出所谓“IMA2G”的互连技术，用到了实验性的TTE交换技术，使IMA模块的处理功能与I/O功能相互透明，以便于实现异构LRM和LRU的分布式综合。而在航天电子领域，美国Orion载人飞船采用1000BASE-CX物理层和双冗余配置的TTE网络综合互连方案，考虑了抗恶劣环境的高完整性。

在上述基础之上，TTTech公司于2008年发布了TTEthernet规格说明书，并经过SAE标准化组织的AS-2D“时间触发系统与体系结构”分委会牵头TTE网络的标准化工作，并由SAE组织于2011年11月形成并发布了SAE AS6802“时间触发以太网”标准。

在TTE网络的分布式时钟通信概念提出之前，我国对于时间触发通信的研究主要集中在时间触发的总线形或分支连接的网络，如Spacewire等，或是发展IEEE 1588主从同步技术。随着TTE网络的应用潜力得以体现，国内相关院校和研究所结合航空电子的背景已经开展了相应的技术研究工作[10]。

2 时间触发以太网标准

SAE AS6802标准并不重新定义标准IEEE802.3标准以太网或AFDX等专用以太网，仅在以太网协议基础上规定可用于时间触发通信和分区管理的故障冗余同步协议。通过链路层的改造，增强以太网服务的时间确定性，提供一种能够以固定的端到端延迟和微秒级时延抖动进行确定性消息传递的服务，以及具有灵活性的时分多路复用的带宽划分[4]。

如图1，以太网带宽之上的灰色部分对应着链路层改造的内容，而TTE网络还能保留部分事件触发的异步通信，例如图1中的速率约束流量和尽力传流量。

SAE AS6802标准对于分布式同步协议的规定特别关注于系统的完整性、分布式时钟同步依赖于透明时钟机制、具有容错能力的分布式算法，以及系统的启动和重启动的协议状态机，并根据应用的需要分别给出高完整性和标准完整性的配置说明。

图1 TTE网络的带宽划分示意图

SAE AS6802标准的第1章到第11章的内容分别为：

第1章 范围。概述该标准的目的、应用和结构。

第2章可用文档。该标准可引用和参考的文档。

第3章 时间触发以太网概述。概述了TTE网络对不同时序需求流量、透明同步、可扩展故障容忍、同步域和同步优先级的支持。

第4章 同步协议控制流。说明TTE同步操作所支持的拓扑，以及故障容忍同步方法。

第5章 消息固化功能。包含透明时钟演算和固化演算在内的消息固化功能。

第6章 压缩功能。对于不同场景下压缩功能不同阶段操作和演算的讨论，以及对PCF域改写的定义和其他参数的范围规定。

第7章 时钟同步服务。包括在SM/SC和CM上的时钟同步的描述，以及对于压缩后PCF帧派发的规定。

第8章 结团检测和解除服务。包含同步、异步和相对结团检测功能的描述。

第9章 启动和重启动服务。先说明协议状态机的格式，随后定义SM、SC、CM（含高完整性和标准完整性）的协议状态机的定义。

第10章 系统之系统同步。说明TTE网络的高级同步/网络拓扑。

第11章 同步参数概述。将TTE网络中的参数分为传输、调度、时钟同步、启动和重启动、同步优先级、诊断各部分进行概述。

在SAE AS6802标准的第3～10章中，都有本章节的规范化描述。在附录中，则分别说明了标准中所用的缩略语，对术语进行了定义，介绍了通过监视等手段进行故障封闭的方法，说明了在普通以太网和AFDX网络基础上实现同步主控器和压缩主控器所需规范化描述的内容。

3 TTE网络的时钟同步

可以跨越交换机的精确的分布式时间同步是TTE网络通信的基础，TTE提出同步主控器（Synchronization Master，SM），同步客户端（Synchronization Client，SC），压缩主控器（Compression Master，CM）3种功能组件。在TTE网络中，相应的嵌入式节点根据时钟同步的功能担当SM，SC或CM的角色，以下统称同步节点。

3.1 同步协议控制帧

同步节点需要支持格式如图2的协议控制帧（Protocol Control Frame,PCF）。

图2 协议控制帧的格式

其中，“同步域”用于标识可以通过传递PCF帧实现同步的节点集合；“同步优先级”使得CM能够区分其可接收的预设优先级的PCF帧；由“类型”字段的枚举值用于识别PCF的类型——冷启动帧（CS）、冷启动应答帧（CA）和综合帧（IN），前两者用于启动过程，后者在每一次综合循环开始后传输，定期维持分布式时钟的同步服务；而“综合循环”域的计数表示正常同步操作时的PCF所属的综合循环。

TTE网络引进了IEEE1588v2标准中“透明时钟”概念[11]，PCF帧的“透明时钟”字段用于储存从发送节点到当前节点操作所经历的时间，当PCF帧经过支持透明时钟的TTE设备时，由硬件将从输入到输出的时间值记录并累加到该字段，这样，接收节点可以得到各段传输延迟的累加值。

3.2 分布式时钟同步原理

SAE AS6802标准定义了复杂的协议状态机，通过启动或重启动建立综合循环。在每个综合循环开始的时候，TTE网络提供同步服务，经过如图3所示几个步骤完成同步。首先，多个SM在本地时钟到达综合循环的预设时间点，向相应的CM发送IN类型的PCF帧；CM收到后运行固化功能，通过透明时钟字段携带的传输延迟数值计算还原SM发送IN的真实时刻时序；然后CM对固化后的时刻运行压缩功能，得到它们的加权均值作为时钟修正的基准值；CM以此基准值对本地时钟进行修正，同时向SM和SC发送压缩后的IN帧；SM和SC以此基准值修正自己的本地时钟。

图3 TTE一个综合循环内的同步操作

在综合循环的同步服务之后，根据离线设计的时间调度表组织节点之间的TT通信，TT通信后的剩余时间片可以用于RC通信。根据周期性通信任务的要求，若干综合循环构成集群循环。

3.3 固化功能和压缩功能

固化功能和压缩功能是时钟同步服务的关键。固化功能（如图4）在SM，SC和CM中均需实现。压缩功能（如图5）仅在CM中实现，旨在将与之相连的SM时钟进行加权求均值作为该CM同步域的基准时钟。

参见图4，接收节点并不能直接测得确切的发送时刻td，只能通过本地时钟测得接收时刻点的值tr，但只要利用先验设定的最大传输延迟Dmax和透明时钟值记录的PCF帧从发送端到接收端所经历的传输延迟Dt，可计算得到固化时刻点的确切值tp，即：tp=tr+Dmax-Dt。

图4 固化功能时刻图

图5 压缩功能时刻图

压缩功能将一组由SM发送的具有时间差的同步数据帧的固化时刻点压缩到一个平均时刻点，即压缩时刻点tcp。如图5所示，CM将一组接收的PCF帧中最早的一个固化时刻tp,1作为起始点，开启固定长度的观察窗口，采集该组帧其余所有的固化时刻，直到最大观察窗长度TOWM。每个固化时刻相对第一个固化时刻的时间差进行加权平均，加权平均后的结果称为压缩修正（Tcc），该过程计算的固定时间开销为Tco，则：tcp=tp,1+TOWM+Tco+Tcc。以tcp为基准，CM将PCF帧发送回SM，SM仍使用固化功能接收。

由于Dmax、Tco等参数先验已知，往返传输延迟由透明时钟可测，实质上使得每个参与同步的节点可以依据同一个压缩修正值Tcc调整本地时钟。

4 TTE网络的容错能力

TTE网络节点本地时钟之间的同步是系统时间，而不需要外部的壁钟钟源，也不需要搜索最优主时钟，失效压力下的操作可以容忍多点故障，容忍拜占庭同步故障等。

除了时钟同步服务本身的容错能力，利用精确的时钟同步，TTE网络还可以实现故障封闭等机制，增强实时通信的完整性。

4.1 失效模式与假设

对于通信网络，讨论失效模式总是同设备的网络接口和行为有关。典型的失效模式包括：

失效—寂静：设备失效并停止输出。

失效—遗漏：设备将遗漏任意数目的发送/接受帧。

失效—不一致：仅对群组通信（从一个发送器向多个接收器的通信），出现不同接收器收到的信息正确性不一致。

失效—不一致—遗漏：“失效—不一致”和“失效—遗漏”的组合。

失效—随意：设备不受控制的在任意时刻以任意内容产生随意的消息。

TTE被设计对抗两种失效假设：单节点失效和双节点失效。单节点失效假设下：TTE能够容忍端系统的“失效—随意”和交换机的“失效—不一致—遗漏”。通过在交换机上实习“中央总线守卫”功能，可以使端系统的“随意”失效对系统表现为“不一致—遗漏”失效，从而达到错误的屏蔽。双节点失效假设下：TTE网络可以容忍两个节点（端系统或交换机）的“不一致—遗漏”失效。

4.2 结团检测

TTE网络的时钟同步服务的分布式算法在运行中会遇到结团（clique）问题，即：同步成员中的部分设备形成了“小集团”，在它们之间能够维持同步，但其它设备无法参与同步。为了发现这个问题，结团检测在SM和CM随着综合循环周期性的运行，并将和当前节点处于同步和不处于同步的节点通过“本地同步成员列表”和“本地异步成员列表”分别进行记录。

4.3 启动与重启动

在通信设施启动后，SM与CM通过冷启动帧（CS）与冷启动应答帧（CA）的通信，进行“容错握手”。其过程同综合帧（IN）的方式相同，但是CM将不进行固化和压缩，而只是附加延迟并送回CA。通过“容错握手”，各个设备进入到协议状态机中同步操作的初始化状态并开始同步。

重启动用来解决结团问题。在结团检测每个综合循环中，同步节点判定“本地同步成员列表”的值小于“本地异步成员列表”，则说明形成结团，这时需要进行重启动，使各个设备进入到协议状态机中同步操作的初始化状态，并重新开始同步。

4.4 故障封闭

TTE网络对于CM和SM设定面对“不一致—遗漏”失效模式的应对策略，不仅可以使得SM容忍任何单点失效，而且在多点故障发送时CM和SM可以对“不一致—遗漏”失效有故障封闭能力。故障封闭机制被分为“源端的故障封闭”，以及对于TT和RC流量的“远程实例端的故障封闭”。

对于以高完整性为设计要求的组件，具有“指令器/监视器（COM/MON）对”的结构，满足几个核心COM/MON假设，构成高完整性设计，如图 6所示。也可以采用其他手段，如附加的诊断机制进行检测，以应对高完整性设计中假设组件发生不一致遗漏失效的情况。

5 总结与展望

本文介绍了时间触发以太网技术的发展及其标准化进展，说明了SAE AS6802 时间触发以太网标准的范围，重点分析了TTE网络分布式时钟同步方法与机制，讨论其容错要求及方法。通过对相应标准的协议分析和技术发展调研，说明TTE网络可以实现远程任务之间同步处理的时间确定性，支持分布式综合模块化航空电子体系结构，而相应网络协议的标准化工作对于航空工业这样有着高科技、高投入、高产出、高风险的行业发展有着至关重要的作用。

图6 成对的COM/MON构成高完整性设计

通过充分理解SAE AS6802标准的内容，理清我国实现时间触发以太网的技术条件，在弄清原理的基础上缩小技术差距；同时应该与国外相关标准化组织或产业联盟交流，促进标准化工作的国际合作。

在未来20年，我国大中型民用飞机的需求量将超过4000架，我国未来双通道C929飞机的航电系统将瞄准新型体系结构和更深层次的综合，时间触发网络技术及其配套的标准化研究工作将有望为我国大飞机的发展提供有利的帮助。

[1]熊华钢，王中华.先进综合航空电子技术[M].北京：国防工业出版社，2009.1.

[2]熊华钢，李峭，黄永葵.航空电子全双工交换式以太网标准研究[J].航空标准化与质量，2008.2.

[3]熊华钢，李峭，黄永葵.航空电子全双工交换式以太网标准研究（续）[J].航空标准化与 质量，2008.4.

[4]SAE AS6802.Time-Triggered Ethernet[S].SAE Aerospace Standard,2011.11.

[5]Koptez H.Real-time systems--Design Principles for Distributed Embedded Applications,2nd ed.[M].Springer,2011.

[6]SAE AS6003.TTP Communication Protocol[S].SAE Aerospace Standard,2011.2.

[7]Steinhammer K.A TT-Ethernet Switch based on COTS-Components[R].Vienna Univ.of Tech.,2004.5.

[8]Steinhammer K,Ademaj Astrit.Hardware Implementation on the Time-Triggered Ethernet Controller[C].IFIP v.231,Embedded System Design Topics,Tech.and Trends，pp.325-338,2007.

[9]Fuchsen R.IMA NextGen：ANew Technology for the SCARLETT Program[J].IEEE Aerospace&Electronics Systems Magazine，25（10），2010，10.

[10]刘晚春，李峭，何锋，熊华钢.时间触发以太网同步及调度机制的研究[J].航空计算技术，2011.7.

[11]IEEE 1588-2008.IEEE Standard for a Precision Clock synchronization Protocol for Networked Measurement and Control Systems[S].