CN109656775A - 通过执行时间监控航空电子软件应用程序的方法和装置、相关计算机程序和航空电子系统 - Google Patents

通过执行时间监控航空电子软件应用程序的方法和装置、相关计算机程序和航空电子系统 Download PDF

Info

Publication number
CN109656775A
CN109656775A CN201811182262.9A CN201811182262A CN109656775A CN 109656775 A CN109656775 A CN 109656775A CN 201811182262 A CN201811182262 A CN 201811182262A CN 109656775 A CN109656775 A CN 109656775A
Authority
CN
China
Prior art keywords
application program
hardware application
avionics hardware
predefined
avionics
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811182262.9A
Other languages
English (en)
Other versions
CN109656775B (zh
Inventor
马克·菲梅
若埃尔·亨利·勒内·博松
塔里克·埃格特
伊夫·梅耶
休伯特·拉基特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of CN109656775A publication Critical patent/CN109656775A/zh
Application granted granted Critical
Publication of CN109656775B publication Critical patent/CN109656775B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C23/00Combined instruments indicating more than one navigational value, e.g. for aircraft; Combined measuring devices for measuring two or more variables of movement, e.g. distance, speed or acceleration
    • G01C23/005Flight directors
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C25/00Manufacturing, calibrating, cleaning, or repairing instruments or devices referred to in the other groups of this subclass
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • G06F11/3419Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment by assessing time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3612Software analysis for verifying properties of programs by runtime analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Manufacturing & Machinery (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

用于监控能够在托管操作系统(20)的平台(16)上执行的航空电子软件应用程序(14)的方法由电子监控装置(24)实现。航空电子软件应用程序(14)包括要执行的一个或多个软件处理操作,平台(16)旨在用于飞行器上。该方法包括以下步骤:通过在至少一个预定义执行时间期满时验证航空电子软件应用程序(14)的至少一个软件处理操作的执行完成来监控航空电子软件应用程序(14)的执行持续时间;以及基于对航空电子软件应用程序(14)的执行持续时间的监控来更新航空电子软件应用程序(14)的状态。

Description

通过执行时间监控航空电子软件应用程序的方法和装置、相 关计算机程序和航空电子系统
本发明涉及一种用于监控能够在托管操作系统的平台上执行的航空电子软件应用程序的方法,该航空电子软件应用程序包括要执行的一个或多个软件处理操作,该平台旨在用于飞行器上,该方法由电子监控装置实现。
本发明还涉及一种计算机可读介质,包括计算机程序,该计算机程序包括软件指令,当由计算机执行时,该软件指令实现这样的方法。
本发明还涉及用于监控能够在托管操作系统的平台上执行的航空电子软件应用程序的电子装置,该航空电子软件应用程序包括要执行的一个或多个软件处理操作,该平台旨在用于飞行器上。
本发明还涉及一种电子航空电子系统,包括:能够存储至少一个航空电子软件应用程序的存储器;能够执行每个航空电子软件应用程序的平台,该平台托管操作系统;以及用于每个航空电子软件应用程序的这种电子监控装置。
本发明涉及机载航空电子平台的认证,特别是监控在这种机载航空电子平台上执行的软件应用程序的操作,特别是用于包括一个或多个多核处理器的航空电子平台。监控例如是安全网(Safety Net)类型的监控。
使用多核处理器为平台的认证带来了很大的困难。实际上,在一个处理器上同时运行多个软件应用程序会产生争用的风险,因为共享公共资源(总线、内存)、处理器的行为,特别是当它是多核处理器时,不能够容易控制。
术语“争用”指的是由于多核处理器允许的时间并行性,由所述多核处理器的至少一个核执行的至少一个活动经历其执行延迟的任何情况。
争用的起源通常是使用处理器或操作系统(也称为OS)的共享资源,导致产生这些延迟的等待。然后,争用会导致核中托管的软件应用程序的执行延迟。
争用的第一个例子是将核彼此连接的总线(通常称为“互连”),它不总是允许核之间或核与外围装置(例如某些集成高速缓冲存储器或外部存储器)之间的同时事务。
争用的另一个例子是使用安装在其中一个核上并且可能同时由所有核调用的OS的公共软件模块。对这种共享软件模块的同时调用导致仲裁以及将一些请求放置在待机状态,以便序列化安装了共享软件模块的核上的软件处理操作。
争用的另一个例子是在其中一个核上的特定事件上临时中断所有核,以便管理所有核之间的一致状态。
当处理器进一步是从供应商购买的处理器或COTS(商业现货)处理器时,通常不可能访问这种多核处理器的内部构件的设计细节,因此非常难以(如果不是不可能的话)保证处理器的确定性行为。
因此,本发明的目的是提出一种用于监控能够在航空电子平台上执行的航空电子软件应用程序的方法和装置,其允许更有效地监控软件应用程序。
为此,本发明涉及一种用于监控能够在托管操作系统的平台上执行的航空电子软件应用程序的方法,该航空电子软件应用程序包括要执行的一个或多个软件处理操作,该平台旨在用于飞行器上,该方法由电子监控装置实现。
通过在至少一个预定义执行时间期满时验证航空电子软件应用程序的至少一个软件处理操作的执行完成来监控航空电子软件应用程序的执行持续时间;以及
基于对航空电子软件应用程序的执行持续时间的监控来更新航空电子软件应用程序的状态。
利用根据本发明的监控方法,监控航空电子软件应用程序的执行持续时间然后使得可以检测航空电子软件应用程序的故障,对应于航空电子软件应用程序的争用情况,或者对应于涉及操作安全风险的“非安全”情况。
根据本发明的其他有利方面,该监控方法包括单独考虑或根据所有技术上可能的组合考虑的以下特征中的一个或多个:
用于监控执行持续时间的步骤包括在第一预定义执行时间期满时然后在第二预定义执行时间期满时验证航空电子软件应用程序的至少一个软件处理操作的执行完成,第二预定义执行时间严格大于第一预定义执行时间;
在更新状态的步骤期间,当在第一预定义执行时间期满之后并且在第二预定义执行时间期满之前检测到航空电子软件应用程序的相应软件处理操作的执行完成时,将航空电子软件应用程序的状态设置为“争用”;
在更新状态的步骤中:
当在该或每个预定义执行时间期满之前检测到航空电子软件应用程序的相应软件处理操作的执行完成时,将航空电子软件应用程序的状态设置为“正常”;以及
当在该或每个预定义执行时间期满之后未检测到航空电子软件应用程序的相应软件处理操作的执行完成时,将航空电子软件应用程序的状态设置为“非安全”;
该方法还包括以下步骤:
通过在预定义监控时段期满时验证检测到航空电子软件应用程序的至少一个应用程序事件来监控航空电子软件应用程序的行为;
然后根据对执行持续时间的监控和航空电子软件应用程序行为的监控来更新航空电子软件应用程序的状态;
在更新状态的步骤期间,当在第一预定义执行时间期满之后并且在第二预定义执行时间期满之前检测到航空电子软件应用程序的相应软件处理操作的执行完成时并且当在预定义监控时段期满之前检测到正确的应用程序事件时,将航空电子软件应用程序的状态设置为“争用”;
在更新状态的步骤中:
当在该或每个预定义执行时间期满之前检测到航空电子软件应用程序的相应软件处理操作的执行完成时并且在预定义监控时段期满之前检测到正确的应用程序事件时,将航空电子软件应用程序的状态设置为“正常”;以及
当在该或每个预定义执行时间期满之后未检测到航空电子软件应用程序的相应软件处理操作的执行完成时并且当在预定义监控时段期满之前检测到正确的应用程序事件时,将航空电子软件应用程序的状态设置为“非安全”;
在更新状态的步骤期间,当在预定义监控时段期满时未检测到应用程序事件或检测到的应用程序事件不正确时,将航空电子软件应用程序的状态设置为“超出控制”;以及
当在该或每个预定义执行时间期满之后未检测到航空电子软件应用程序的相应软件处理操作的执行完成时并且在预定义监控时段期满时未检测到应用程序事件时或者检测到的应用程序事件不正确时,在更新状态的步骤中,如果每个预定义执行时间短于预定义监控时段,则将航空电子软件应用程序的状态设置为“非安全”,如果不是,则设置为“超出控制”。
利用根据本发明第二实施例的监控方法,对航空电子软件应用程序的执行持续时间和航空电子软件应用程序的行为的监控使得可以检测航空电子软件应用程序的故障,对应于航空电子软件应用程序的争用情况,对应于涉及操作安全风险的“非安全”情况,或者对应于认为航空电子软件应用程序变得疯狂的“超出控制”情况。
本发明还涉及一种计算机可读介质,包括计算机程序,该计算机程序包括软件指令,当由计算机执行时,该软件指令实现如上定义的监控方法。
本发明还涉及用于监控能够在托管操作系统的平台上执行的航空电子软件应用程序的电子装置,该航空电子软件应用程序包括要执行的一个或多个软件处理操作,该平台旨在用于飞行器尚,该电子监控装置包括:
监控模块,被配置为通过在至少一个预定义执行时间期满时验证航空电子软件应用程序的至少一个软件处理操作的执行完成来监控航空电子软件应用程序的执行持续时间;以及
更新模块,被配置为基于对航空电子软件应用程序的执行持续时间的监控来更新航空电子软件应用程序的状态。
本发明还涉及一种电子航空电子系统,包括:
能够存储至少一个航空电子软件应用程序的存储器;
能够执行每个航空电子软件应用程序的平台,该平台托管操作系统;以及
用于每个航空电子软件应用程序的电子监控装置,该电子监控装置如上所述。
通过阅读仅作为非限制性示例提供的并且参考附图进行的以下描述,本发明的这些特征和优点将变得更清楚,在附图中:
图1是根据本发明的电子航空电子系统的示意图,包括:能够存储至少一个航空电子软件应用程序的存储器;能够执行每个航空电子软件应用程序的平台,该平台包括资源并托管操作系统;以及用于航空电子软件应用程序的电子监控装置;以及
图2是根据本发明的用于监控能够在平台上执行的航空电子软件应用程序的方法的流程图,该方法由图1的监控装置执行;
图3是根据本发明第一实施例的监控方法的流程图;以及
图4是根据本发明第二实施例的类似于图3的视图。
在图1中,旨在放置在飞行器上的电子航空电子系统10包括:能够存储至少一个航空电子软件应用程序14的存储器12;能够执行每个航空电子软件应用程序14的平台16,平台16包括资源18并托管操作系统20,平台16连接到飞行器的其他电子航空电子系统22。
根据本发明,电子航空电子系统10还包括用于监控航空电子软件应用程序14的电子装置24。
在图1中,为了简化附图,已经在表示资源18的矩形外部示出了存储器12,以便提供与软件应用程序14以及监控装置24(如果适用的话)相对应的软件层的不同图示。然而,本领域技术人员当然将理解存储器12包括在平台16的资源18中。
飞行器优选地是飞机。或者,飞行器是直升机,或由飞行员远程驾驶的无人驾驶飞行器。
在图1的示例中,存储器12能够存储三个单独的航空电子软件应用程序14,并且电子监控装置24然后被配置为监控至少一个航空电子软件应用程序14,并且优选地监控这些航空电子软件应用程序14中的每一个。
每个航空电子软件应用程序14旨在由平台16执行,然后被设计为向由平台16托管的操作系统20发出一个或多个调用,并且还被配置为使用平台16的资源18。每个航空电子软件应用程序14包括要执行的一个或多个软件处理操作。
每个航空电子软件应用程序14也称为航空电子功能。航空电子软件应用程序14执行不同的功能以执行飞行,并且例如安装在不同的平台16上并使用所述平台16的资源18。
每个航空电子软件应用程序14执行软件处理操作。软件处理操作是指对航空电子软件应用程序14的数据的一组操作,使得可以执行航空电子功能的各部分,例如数据的获取或传输、数学计算、逻辑处理操作、数据操纵。
每个软件处理操作也称为进程或软件进程。软件处理操作例如是标准ARINC 653意义上的进程。
这些功能是关键的,像例如制动系统或飞行管理系统,每个航空电子软件应用程序14优选地由电子监控装置24在平台16对航空电子软件应用程序14的基本上整个执行持续时间内定期监控。
平台16旨在用于飞行器上。平台16例如是由与一个或多个处理器相关联的一个或多个存储器组成的信息处理单元。
平台16的资源18是能够提供给航空电子软件应用程序14的物理或逻辑元件。
资源18例如被分解为以下类别:数据处理资源,例如一个或多个处理器;存储器资源;输入和输出资源;航空电子网络特有的资源,例如ARINC664网络的通信路由器;图形资源,即允许显示数据;以及大容量存储器资源。
操作系统20例如是根据ARINC 653标准的操作系统,或POSIX操作系统,或管理程序或中间件。然后,本领域技术人员将理解,操作系统20应被广泛理解,并且更一般地是一组至少一个系统软件程序,其被设计为向每个应用程序14提供不同类型的服务。
电子监控装置24被配置为监控能够在平台16上执行的至少一个航空电子软件应用程序14,并且包括第一监控模块26,其被配置为监控航空电子软件应用程序14的执行持续时间(也称为执行时间)。
电子监控装置24包括更新模块27,其被配置为基于对航空电子软件应用程序14的执行持续时间的监控来更新航空电子软件应用程序14的状态。
作为可选的附加方案,根据本发明的第二实施例,电子监控装置24还包括第二监控模块28,其被配置为在预定义监控时段Tf期满时通过验证检测到航空电子软件应用程序的至少一个应用程序事件来监控航空电子软件应用程序14的行为。然后,更新模块27对航空电子软件应用程序的状态的更新取决于对执行持续时间的监控和对航空电子软件应用程序的行为的监控。
在图1的示例中,电子监控装置24例如与平台16分离,并且包括例如由与存储器34相关联的处理器32组成的信息处理单元30。
在替代方案中,监控装置24在图1中以水平交叉阴影线示出,监控装置24能够由平台16直接执行,然后使用其资源18。该替代方案是优选实施例,并且然后,监控装置24优选地进一步托管在操作系统20中或平台16的特定存储器分区内,该特定分区又例如通过一个或多个访问控制和/或完整性保护被保护免受网络攻击。
在图1的示例中,无论监控装置24与平台16分离还是由平台16托管和执行,当监控装置24与平台16分离时,第一监控模块26和更新模块27以及(作为可选的附加方案)第二监控模块28每个都以可由处理器(例如处理器32)执行的软件或软件包的形式制成。然后,监控装置24的存储器34能够存储适合于监控航空电子软件应用程序14的执行持续时间的第一监控软件应用程序和适用于基于航空电子软件应用程序14的执行持续时间的监控来更新航空电子软件应用程序14的状态的更新软件应用程序。作为可选的附加方案,监控装置24的存储器34还能够存储适合于监控航空电子软件应用程序14的行为的第二监控软件应用程序,状态的更新然后取决于对执行持续时间的监控和对航空电子软件应用程序的行为的监控。然后,处理器能够执行第一监控软件应用程序和更新软件应用程序,以及作为可选的附加方案,执行第二监控软件应用程序。
在未示出的替代方案中,第一监控模块26和更新模块27以及可选地和另外地第二监控模块28均以可编程逻辑组件的形式(例如FPGA(现场可编程门阵列))或者以专用集成电路的形式(例如ASIC(专用集成电路))制成。
当监控装置24以一个或多个软件程序的形式(即以计算机程序的形式)制成时,它还能够存储在可由计算机读取的介质(未示出)上。计算机可读介质例如是适合于存储电子指令并且能够与计算机系统的总线耦合的介质。作为示例,可读介质是软盘、光盘、CD-ROM、磁光盘、ROM存储器、RAM存储器、任何类型的非易失性存储器(例如,EPROM、EEPROM、FLASH、NVRAM)、磁卡或光卡。然后将包括软件指令的计算机程序存储在可读介质上。
第一监控模块26被配置为通过在至少一个预定义执行时间T1、T2期满时验证航空电子软件应用程序14的至少一个软件处理操作的执行完成来监控航空电子软件应用程序14的执行持续时间。
第一监控模块26优选地被配置为根据两个单独的预定义执行时间(即,第一预定义执行时间T1和大于第一执行时间T1的第二预定义执行时间T2)来监控航空电子软件应用程序14的执行持续时间。第一监控模块26被配置为通过在预定义执行时间T1期满时然后在第二预定义执行时间T2期满时验证航空电子软件应用程序14的至少一个软件处理操作的执行完成来监控航空电子软件应用程序14的执行持续时间。
对航空电子软件应用程序14的执行持续时间的监控是对航空电子软件应用程序14整体或所述航空电子软件应用程序14的一个或多个软件处理操作(例如根据ARINC 653标准的进程)的监控。在监控航空电子软件应用程序14整体的执行持续时间的情况下,第一预定义执行时间T1例如直接从在航空电子软件应用程序14的认证期间建立的WCET(最差情况执行时间)推断出。在监控航空电子软件应用程序14的一个或多个软件处理操作的执行持续时间的情况下,根据所述软件处理操作的最坏情况执行时间建立第一预定义执行时间T1,考虑任何执行持续时间总计。
监控装置24对所述第一预定义执行时间T1的了解可以通过与航空电子软件应用程序14相关联的配置来实现,或者在初始化航空电子软件应用程序14时实现。
在根据标准ARINC 653的平台16的示例中,可以监控航空电子软件应用程序14的每个进程的执行持续时间,然后为每个进程预定义第一执行时间T1。然后,第一执行时间T1对应于从最大执行时间的角度必须完成所述进程的持续时间。
检测航空电子软件应用程序14的每个软件处理操作的执行的完成例如直接通过操作系统20根据ARINC 653标准为进程提供的期限机制来完成。或者,检测每个软件处理操作的执行的完成是通过航空电子软件应用程序14提供的执行跟踪的结束(通常通过专用端口)完成的,其操作系统20在第一预定义时间T1执行期满时监控生成。
第一和第二执行时间T1和T2的值的示例在下面在处理器的示例中示出,在该处理器中安装了不同的航空电子软件应用程序14并且为其定义了50ms的实时循环。在50ms的时段期间,对于已经定义了8ms的最坏情况执行时间的所述航空电子软件应用程序14之一进行15ms的分配。在这些条件下,第一执行时间T1例如被选择为等于8ms并且第二执行时间T2被选择为等于15ms(或者基于对相应的航空电子软件应用程序14的安全性的分析,在8ms和15ms之间)。
根据本发明的第二实施例,第二监控模块28被配置为通过在预定义监控时段Tf期满时检测航空电子软件应用程序的至少一个应用程序事件来监控航空电子软件应用程序14的行为。
根据该第二实施例,更新模块27然后被配置为基于执行持续时间的监控和航空电子软件应用程序的行为的监控来更新航空电子软件应用程序14的状态。
应用程序事件是指提供关于航空电子软件应用程序14的状态的信息的事件,该事件然后被描述为应用程序,事件通常是在平台16上的给定时刻可观察到的任何事件。例如,事件是例如根据本申请的标准ARINC 653的进程在预定义监控时间Tf之前完成的事实,或者航空电子软件应用程序14执行特定监控任务并给出适当响应的事实。在监控行为的上下文中的应用程序事件被认为是自然的,例如在航空电子软件应用程序14在已知时刻提供数据,或被认为是受约束的,例如在添加活动的情况下,使得可以构建航空电子软件应用程序14的良好健康状况证据,通常通过在航空电子软件应用程序14的执行期间放置其结果已知的计算,以便在其分配的时间结束时验证航空电子软件应用程序14的正确执行。
例如,预定义监控时间Tf的确定取决于分区分析和在平台16的相应处理器上进行的表征,监控时间Tf被定义为超出则对应于争用的时间,并且超过该监控时间Tf然后对应于航空电子软件应用程序14超出控制。
预定义监控时间Tf的持续时间与第一和第二执行时间T1和T2的持续时间具有相同的数量级,通常在第一执行时间T1的持续时间和第二执行时间T2的持续时间之间。在预定义监控时间Tf的持续时间大于第二监控时间T2的持续时间的情况下,在第二执行时间T2期满时导致“非安全”状态的争用与“超出控制”应用程序之间将没有区别。“非安全”状态也称为“失去安全”状态。“超出控制”状态也称为“失控”状态。
本领域技术人员将观察到时间T1、T2和Tf的确定取决于使用上下文、航空电子软件应用程序和在平台16的相应处理器上完成的表征,处理器优选地是多核处理器。确定这些阈值的方式不影响根据本发明的监控方法,对于这些监控方法,这些阈值是输入参数。
作为确定时间T1、T2和Tf的示例,已经受到单独认证的每个安装的航空电子软件应用程序14与对应于功能链的一个或多个WCET值相关联,对于这些功能链必须在认证的上下文中提供保证。
在最坏情况理论条件下通过分析和测量完成的多核处理器的表征使得有可能获得:
在使用单个核的上下文中的执行持续时间与在其使用域中使用处理器的所有核的上下文中的执行持续时间之间的保证比率;
额外的余量,以保证航空电子软件应用程序14的更安全操作(例如,在最坏情况下应用以保证,至少对于最关键的应用程序,吸收可能已经逃脱表征方法的争用);以及
最大余量,超过该余量,将认为执行持续时间不再来自于争用,而是来自于航空电子软件应用程序14的错误或崩溃。
对于由根据本发明的装置和监控方法监控的每个功能链,然后例如根据以下公式预定时间T1、T2和Tf,其中时间原点对应于在分配的时间段内开始执行航空电子软件应用程序的执行:
T1=WCET x保证比率 (1)
T2=T1 x额外余量 (2)
Tf=T1 x最大余量 (3)
本领域技术人员将进一步注意到,处理器的表征可以导致对应于处理器的不同使用的若干组参数(例如,“计算”用途、“输入-输出”用途等),以及然后根据这些不同的用途预定义时间T1、T2和Tf。
现在将使用图2解释根据本发明的监控装置24的操作,图2示出了根据本发明的用于监控能够在平台16上执行的航空电子软件应用程序14的方法的流程图,该方法是由电子监控装置24执行。
在步骤100期间,监控装置24通过其第一监控模块26监控航空电子软件应用程序14的相应执行持续时间。该监控应用程序100包括在至少一个预定义执行时间T1、T2期满时验证航空电子软件应用程序14的至少一个软件处理操作的执行完成。
该监控步骤100包括在第一预定义执行时间T1期满时对航空电子软件应用程序14的至少一个软件处理操作的执行完成的第一验证M1,如图3所示。
当在第一预定义执行时间T1期满时未完成航空电子软件应用程序14的至少一个软件处理操作的执行时,监控步骤100优选地还包括在第二预定义执行时间T2期满时对航空电子软件应用程序14的至少一个软件处理操作的执行完成的第二验证M2。
第一验证M1试图诊断超过第一预定义执行时间T1,对于一个或多个相应的软件处理操作或者对于航空电子软件应用程序14整体而言,这种超过并不意味着安全问题。
第一验证M1的目的是监控航空电子软件应用程序14相对于正常时间的执行时间,该正常时间是根据平台的规则建立的,即相对于航空电子软件应用程序14的使用域。第一验证M1在第一预定义执行时间T1期满时完成,在该时间,航空电子软件应用程序14或所监控的相关软件处理操作的执行正常完成,使得如果应用程序超出控制,超过该执行持续时间可以则被解释为争用。第一预定义执行时间T1解释了对通过多核争用识别的执行时间的影响,通常在平台16的用户指南中呈现并且由平台16认证。
如果对于软件处理操作或整个航空电子软件应用程序14超过第一预定义执行时间T1,则监控装置24然后认为航空电子软件应用程序14经历了大于正常的争用,但是能够以健康的方式操作直到第二预定义执行时间T2。
如果对于软件处理操作或整个航空电子软件应用程序14超过第一预定义执行时间T1,则监控装置24优选地通过第一专用计数器nbM1进一步对事件进行计数,以便如果这些超过的数量超过预定阈值则产生预定义的附加动作,例如以预定时间间隔中观察到的争用数量表示。预定义的附加动作通常是通过从最不重要的航空电子软件应用程序14中停止航空电子软件应用程序14来减轻平台16的负载。
第二验证M2试图诊断超过第二预定义执行时间T2,对于一个或多个相应的软件处理操作或者对于航空电子软件应用程序14整体来说,该超过指示安全风险。如前所述,第二预定义执行时间T2严格大于第一预定义执行时间T1。
第二验证M2的目的是强制决定监控装置24不再等待航空电子软件应用程序14和/或其相应的软件处理操作的执行结束的日期,因为分配给航空电子软件应用程序14的持续时间期满,或者因为超过该第二预定义执行时间T2,航空电子软件应用程序14进入不再保证安全性的域。第二预定义执行时间T2小于或等于分配给航空电子软件应用程序14以用于其整体执行的持续时间。
本领域技术人员还将注意到,每个第一验证M1不一定与相应的第二验证M2相关联,相同的第二验证M2例如与若干第一验证M1相关联。事实上,可以监控航空电子软件应用程序14的若干软件处理操作,因此具有若干相应的第一验证M1,同时执行用于航空电子软件应用程序14整体的单个第二验证M2。或者,当航空电子软件应用程序14被分解为若干软件处理操作时,可以定义若干组第一和第二验证M1、M2。
如果对于软件处理操作或整个航空电子软件应用程序14超过第二预定义执行时间T2,则监控装置24重新启动航空电子软件应用程序14。在这种情况下,监控装置24优选地进一步通过专用的第二计数器nbM2解释事件。
根据本发明的第二实施例,监控装置24还在步骤110期间通过其第二监控模块28监控航空电子软件应用程序14的行为。该第二监控步骤110包括在预定义监控时间Tf期满时检测航空电子软件应用程序14的至少一个应用程序事件的验证Ma,如图4所示。
验证Ma试图诊断航空电子软件应用程序14的“超出控制”操作,即不健康。
根据本发明的第二实施例,目的是防止“超出控制”航空电子软件应用程序14将上述监控动作作为争用并且不正确地触发。实际上,由于其他航空电子软件应用程序14的不良行为,不合时宜地触发监控装置24可能导致航空电子软件应用程序14的丢失,这是不可接受的。
第二监控模块28认为航空电子软件应用程序14的操作是正确的,例如当验证以下事件中的至少一个时:
根据应用程序的标准ARINC 653的进程在预定义监控时间Tf之前完成,
航空电子软件应用程序14执行了特定的监控任务,对于其良好的健康状况是重要的,并且给予了足够的响应。
作为示例,航空电子软件应用程序14必须及时执行结果已知的一系列计算,但是在由航空电子软件应用程序14管理的变量中不存在。整体结果的陈述被在适当的时候提供给第二监控模块28,例如在监控的WCET的背景下。根据已知的计划,这些计算可以进一步从一个时段到另一个时段变化,以便防止应用程序被阻止在良好的结果上,而航空电子软件应用程序14在每个时段中没有重新计算它。
然后,如果出现以下情况,则第二监控模块28认为航空电子软件应用程序14“超出控制”:
在预定义监控时间Tf之前尚未执行一个或多个软件处理操作,
或者航空电子软件应用程序14在该第二监控步骤110期间未提供适当的响应。
当在预定义监控时间Tf期满时认为航空电子软件应用程序14“超出控制”时,监控装置24停止所述航空电子软件应用程序14并独立于任何其他监控重新启动它。
根据本发明的第二实施例,本领域技术人员将理解,验证Ma与第一和第二验证M1、M2相关,如图4所示,因为如果航空电子软件应用程序14由于争用而没有完成其活动则不能建立验证Ma,相反,如果航空电子软件应用程序14超出控制并且然后不响应,则不能建立第一或第二验证M1、M2。
在随后的步骤120期间,监控方法包括更新航空电子软件应用程序14的状态。
根据第一实施例,如图3所示,航空电子软件应用程序14的状态的更新120取决于航空电子软件应用程序14的执行持续时间的监控100。
在更新状态的步骤120期间,如图3中的箭头A1所示,当在第一预定义执行时间T1期满之前(即,在每个预定义执行时间T1、T2期满之前)检测到航空电子软件应用程序14的相应的软件处理操作的执行完成时,航空电子软件应用程序14的状态被设置为“正常”,第二预定义执行时间T2严格地大于第一预定义执行时间T1。
当在第一验证M1期间在第一预定义执行时间T1期满之前未检测到航空电子软件应用程序14的相应软件处理操作的执行完成时,如图3中的箭头A2所示,第一监控模块26执行第二验证M2。
在更新状态的步骤120期间,当在第一预定义执行时间T1期满之后并且在第二预定义执行时间T2期满之前检测到航空电子软件应用程序14的相应软件处理操作的执行完成时,航空电子软件应用程序14的状态被设置为“争用”,如图3中的箭头A3所示。
当在该或每个预定义执行时间T1、T2期满之后未检测到航空电子软件应用程序14的相应软件处理操作的执行完成时,航空电子软件应用程序14的状态被设置为“非安全”,如图3中的箭头A4所示。
根据第二实施例,如图4所示,航空电子软件应用程序14的状态的更新120取决于航空电子软件应用程序14的执行持续时间的监控100和航空电子软件应用程序14的行为的监控110。
在更新状态的该步骤120期间,如图4中的箭头B1所示,当在第一预定义执行时间T1期满之前(即在每个预定义执行时间T1、T2期满之前)检测到航空电子软件应用程序14的相应软件处理操作的执行完成时并且在预定义监控时间Tf期满之前检测到正确的应用程序事件时,航空电子软件应用程序14的状态被设置为“正常”。
当在第一验证M1期间在第一预定义执行时间T1期满之前未检测到航空电子软件应用程序14的相应软件处理操作的执行完成时并且当不认为航空电子软件应用程序14“超出控制”时,第一监控模块26执行第二验证M2,如图4中的箭头B2所示。
在更新状态的步骤120期间,当在预定义监控时段Tf期满时未检测到应用程序事件时或者当检测到的应用程序事件不正确时,航空电子软件应用程序14的状态被设置为“超出控制”,如图4中的箭头B3所示。
当在第一预定义执行时间T1期满之后和第二预定义执行时间T2期满之前检测到航空电子软件应用程序14的相应软件处理操作的执行完成时并且当在预定义监控时间Tf期满之前检测到正确的应用程序事件时,航空电子软件应用程序14的状态被设置为“争用”,如图4中的箭头B4所示。
当在该或每个预定义执行时间T1、T2期满之后未检测到航空电子软件应用程序14的相应软件处理操作的执行完成时并且在预定义监控时间Tf期满之前检测到正确的应用程序事件时,将航空电子软件应用程序14的状态设置为“非安全”,如图4中的箭头B5所示。
当在该或每个预定义执行时间T1、T2期满之后未检测到航空电子软件应用程序14的相应软件处理操作的执行完成时并且在预定义监控时段Tf期满时未检测到应用程序事件或检测到的应用程序事件不正确时,在更新状态120的步骤期间,如果每个预定义执行时间T1、T2小于或等于预定义监控时间Tf,特别是如果第二预定义执行时间T2小于或等于预定义监控时间Tf,则航空电子软件应用程序14的状态被设置为“非安全”,如图4中的箭头B5所示。
否则,即,如果每个预定义执行时间T1、T2大于预定义监控时间Tf,特别是如果第二预定义执行时间T2大于预定义监控时间Tf,并且在该或每个预定义执行时间T1、T2期满之后未检测到航空电子软件应用程序14的相应软件处理操作的执行完成,在预定义监控时段Tf期满时未进一步检测到应用程序事件或检测到的应用程序事件不正确,然后航空电子软件应用程序14的状态被设置为“超出控制”,如图4中的箭头B6所示。
然后,根据本发明的方法和监控装置24可以基于对航空电子软件应用程序14的执行持续时间的监控或甚至根据第二实施例来更精确地进一步基于对航空电子软件应用程序14的行为的监控来确定航空电子软件应用程序14的状态。
因此可以看出,根据本发明的方法和监控装置24使得可以更有效地监控软件应用程序14。

Claims (13)

1.一种用于监控能够在托管操作系统(20)的平台(16)上执行的航空电子软件应用程序(14)的方法,所述航空电子软件应用程序(14)包括要执行的一个或多个软件处理操作,所述平台(16)旨在用于飞行器上,所述方法由电子监控装置(24)实现,包括以下步骤:
通过在至少一个预定义执行时间(T1,T2)期满时验证对所述航空电子软件应用程序(14)的至少一个软件处理操作的执行完成来监控(100)所述航空电子软件应用程序(14)的执行持续时间;以及
基于所述航空电子软件应用程序(14)的执行持续时间的监控(100)来更新(120)所述航空电子软件应用程序(14)的状态。
2.根据权利要求1所述的方法,其中,所述监控执行持续时间的步骤(100)包括在第一预定义执行时间(T1)期满时然后在第二预定义执行时间(T2)期满时验证所述航空电子软件应用程序(14)的至少一个软件处理操作的执行完成,所述第二预定义执行时间(T2)严格地大于所述第一预定义执行时间(T1)。
3.根据权利要求2所述的方法,其中,在所述更新状态的步骤(120)期间,当在所述第一预定义执行时间(T1)期满之后并且在所述第二预定义执行时间(T2)期满之前检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时,将所述航空电子软件应用程序(14)的状态设置为“争用”。
4.根据权利要求1或2所述的方法,其中,在所述更新状态的步骤(120)期间:
当在所述或每个预定义执行时间(T1,T2)期满之前检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时,将所述航空电子软件应用程序(14)的状态设置为“正常”;以及
当在所述或每个预定义执行时间(T1,T2)期满之后未检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时,将所述航空电子软件应用程序(14)的状态设置为“非安全”。
5.根据权利要求1所述的方法,其中,所述方法还包括以下步骤:
通过在预定义监控时段(Tf)期满时验证检测到所述航空电子软件应用程序(14)的至少一个应用程序事件来监控(110)所述航空电子软件应用程序(14)的行为;
然后根据执行持续时间的监控(100)和所述航空电子软件应用程序(14)的行为的监控(110)来更新(120)所述航空电子软件应用程序(14)的状态。
6.根据权利要求5所述的方法,其中,所述监控执行持续时间的步骤(100)包括在第一预定义执行时间(T1)期满时然后在第二预定义执行时间(T2)期满时验证所述航空电子软件应用程序(14)的至少一个软件处理操作的执行完成,所述第二预定义执行时间(T2)严格大于所述第一预定义执行时间(T1);以及
其中,在所述更新状态的步骤(120)中,当在所述第一预定义执行时间(T1)期满之后并且所述第二预定义执行(T2)时间期满之前检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且当在所述预定义监控时段(Tf)期满之前检测到正确的应用程序事件时,将所述航空电子软件应用程序(14)的状态设置为“争用”。
7.根据权利要求5所述的方法,其中,在所述更新状态的步骤(120)期间:
当在所述或每个预定义执行时间(T1,T2)期满之前检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且在所述预定义监控时段(Tf)期满之前检测到正确的应用程序事件时,将所述航空电子软件应用程序(14)的状态设置为“正常”;以及
当所述或每个预定义执行时间(T1,T2)期满之前未检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且当在所述预定义监控时段(Tf)期满之前检测到正确的应用程序事件时,将所述航空电子软件应用程序(14)的状态设置为“非安全”。
8.根据权利要求6所述的方法,其中,在所述更新状态的步骤(120)期间:
当在所述或每个预定义执行时间(T1,T2)期满之前检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且当在所述预定义监控时段(Tf)期满之前检测到正确的应用程序事件时,将所述航空电子软件应用程序(14)的状态设置为“正常”;以及
当在所述或每个预定义执行时间(T1,T2)期满之前未检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且当在所述预定义监控时段(Tf)期满之前检测到正确的应用程序事件时,将所述航空电子软件应用程序(14)的状态设置为“非安全”。
9.根据权利要求5所述的方法,其中,在所述更新状态的步骤(120)期间,当在所述预定义监控时段(Tf)期满时未检测到应用程序事件时或者当检测到的应用程序事件不正确时,将所述航空电子软件应用程序(14)的状态设置为“超出控制”。
10.根据权利要求5所述的方法,其中,当在所述或每个预定义执行时间(T1,T2)期满之后未检测到所述航空电子软件应用程序(14)的相应软件处理操作的执行完成时并且当在所述预定义监控时段(Tf)期满时未检测到应用程序事件或者检测到的应用程序事件不正确时,在所述更新状态的步骤(120)期间,如果每个预定义执行时间(T1,T2)短于所述预定义监控时段(Tf),则将所述航空电子软件应用程序(14)的状态设置为“非安全”,如果不是,则设置为“超出控制”。
11.一种计算机可读介质,包括计算机程序,所述计算机程序包括软件指令,所述软件指令在由计算机执行时执行根据权利要求1或2的方法。
12.一种用于监控能够在托管操作系统(20)的平台(16)上执行的航空电子软件应用程序(14)的电子监控装置(24),所述航空电子软件应用程序(14)包括要执行的一个或多个软件处理操作,所述平台(16)旨在用于飞行器上,
所述电子监控装置(24)包括:
监控模块(26),被配置为通过在至少一个预定义执行时间(T1,T2)期满时验证所述航空电子软件应用程序(14)的至少一个软件处理操作的执行完成来监控所述航空电子软件应用程序(14)的执行持续时间;以及
更新模块(27),被配置为基于对所述航空电子软件应用程序(14)的执行持续时间的监控来更新所述航空电子软件应用程序(14)的状态。
13.一种电子航空电子系统(10),包括:
能够存储至少一个航空电子软件应用程序(14)的存储器(12);
能够执行每个航空电子软件应用程序(14)的平台(16),所述平台(16)托管操作系统(20);以及
用于每个航空电子软件应用程序(14)的电子监控装置(24),所述电子监控装置(24)根据权利要求12。
CN201811182262.9A 2017-10-11 2018-10-10 通过执行时间监控航空电子软件应用程序的方法和装置、相关计算机程序和航空电子系统 Active CN109656775B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1701055A FR3072191A1 (fr) 2017-10-11 2017-10-11 Procede et dispositif de surveillance d'une application logicielle avionique via sa duree d'execution, programme d'ordinateur et systeme avionique associes
FR1701055 2017-10-11

Publications (2)

Publication Number Publication Date
CN109656775A true CN109656775A (zh) 2019-04-19
CN109656775B CN109656775B (zh) 2023-09-15

Family

ID=61599206

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811182262.9A Active CN109656775B (zh) 2017-10-11 2018-10-10 通过执行时间监控航空电子软件应用程序的方法和装置、相关计算机程序和航空电子系统

Country Status (4)

Country Link
US (1) US10571295B2 (zh)
EP (1) EP3470986B1 (zh)
CN (1) CN109656775B (zh)
FR (1) FR3072191A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111191346A (zh) * 2019-12-11 2020-05-22 上海航天控制技术研究所 一种空间飞行器软件在轨运行实例数据还原方法及介质

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210024224A1 (en) * 2019-07-22 2021-01-28 Honeywell International Inc. Systems and methods for automatically recording interactivity and anomaly data at a vehicle
US11409643B2 (en) * 2019-11-06 2022-08-09 Honeywell International Inc Systems and methods for simulating worst-case contention to determine worst-case execution time of applications executed on a processor
FR3103038B1 (fr) * 2019-11-07 2021-11-19 Thales Sa Procede et dispositif electronique de surveillance d'une application logicielle avionique via des compteurs d'appel(s) systeme, programme d'ordinateur et systeme avionique associes
US11876790B2 (en) * 2020-01-21 2024-01-16 The Boeing Company Authenticating computing devices based on a dynamic port punching sequence

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101688787A (zh) * 2007-07-05 2010-03-31 空中客车运作股份公司 用于航空电子和非航空电子应用的显示系统
US20150134153A1 (en) * 2013-11-14 2015-05-14 Thales Supervision device for an aircraft, associated supervision system, supervision method, computer program product and non-transitory computer readable medium
WO2017024371A1 (pt) * 2015-08-11 2017-02-16 Uniao Brasileira De Educacao E Assistencia Método e dispositivo para análise e controle temporal da aplicação crítica de um processador multicore
US20170083394A1 (en) * 2014-05-11 2017-03-23 Safetty Systems Ltd A framework as well as method for developing time-triggered computer systems with multiple system modes

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7003775B2 (en) * 2001-08-17 2006-02-21 Hewlett-Packard Development Company, L.P. Hardware implementation of an application-level watchdog timer
EP2133793B1 (en) * 2008-06-10 2015-08-12 Barcelona Supercomputing Center-Centro Nacional de Supercomputación A multithreaded processor and a mechanism and a method for executing one hard real-time task in a multithreaded processor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101688787A (zh) * 2007-07-05 2010-03-31 空中客车运作股份公司 用于航空电子和非航空电子应用的显示系统
US20150134153A1 (en) * 2013-11-14 2015-05-14 Thales Supervision device for an aircraft, associated supervision system, supervision method, computer program product and non-transitory computer readable medium
US20170083394A1 (en) * 2014-05-11 2017-03-23 Safetty Systems Ltd A framework as well as method for developing time-triggered computer systems with multiple system modes
US20170102968A1 (en) * 2014-05-11 2017-04-13 Safetty Systems Ltd. A monitoring unit as well as method for predicting abnormal operation of time-triggered computer systems
WO2017024371A1 (pt) * 2015-08-11 2017-02-16 Uniao Brasileira De Educacao E Assistencia Método e dispositivo para análise e controle temporal da aplicação crítica de um processador multicore

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111191346A (zh) * 2019-12-11 2020-05-22 上海航天控制技术研究所 一种空间飞行器软件在轨运行实例数据还原方法及介质
CN111191346B (zh) * 2019-12-11 2023-09-29 上海航天控制技术研究所 一种空间飞行器软件在轨运行实例数据还原方法及介质

Also Published As

Publication number Publication date
US20190107415A1 (en) 2019-04-11
FR3072191A1 (fr) 2019-04-12
US10571295B2 (en) 2020-02-25
EP3470986A1 (fr) 2019-04-17
CN109656775B (zh) 2023-09-15
EP3470986B1 (fr) 2020-04-15

Similar Documents

Publication Publication Date Title
CN109656775A (zh) 通过执行时间监控航空电子软件应用程序的方法和装置、相关计算机程序和航空电子系统
EP2568346B1 (en) Robust system control method with short execution deadlines
CN103676722B (zh) 使用修改的监视计时器的安全系统的质问和响应
US8543286B2 (en) Vehicle hardware integrity analysis systems and methods
RU2763779C2 (ru) Система и реализуемый компьютером способ межмашинной аутентификации устройства
EP3623971A1 (en) Information processing device and anomaly response method
CN105988480B (zh) 飞行控制系统命令选择和数据传输
CN102819466B (zh) 操作系统异常的处理方法及其装置
CN109308252A (zh) 一种故障定位处理方法及装置
JP2003517668A (ja) クリティカル・システムのためのフェイル・セーフ・プロセスの実行、監視、および出力の制御のためのシステムおよび方法
CN102541048A (zh) 控制器局域网消息传送停止测试系统和方法
KR20130056347A (ko) 2개 이상의 마이크로 컨트롤러의 모니터링 방법
JP2013514497A (ja) 制御装置における監視構想
Hamad et al. Prediction of abnormal temporal behavior in real-time systems
Wang et al. RSimplex: A robust control architecture for cyber and physical failures
CN110780886A (zh) 安装航空电子软件应用的方法和装置、计算机程序及系统
Dessiatnikoff et al. Potential attacks on onboard aerospace systems
US11874923B2 (en) Method and electronic device for monitoring an avionics software application via system call(s) counters, related computer program and avionics system
Nag et al. A novel multi-core approach for functional safety compliance of automotive electronic control unit according to ISO 26262
Alonso et al. Safety Concept for a Mixed Criticality On-Board Software System∗
Davis et al. PROXIMA: a probabilistic approach to the timing behaviour of mixed-criticality systems
EP4148513A1 (en) Systems and methods for circuit failure protection
US9575860B2 (en) Apparatus and a method for memory testing by a programmable circuit in a safety critical system
CN111201514B (zh) 在包括多核处理器的平台上执行软件应用期间实施分区的电子设备和方法、相关联的计算机程序和电子系统
US9405580B2 (en) Method of sequencing on a multicore processor

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant